Comissão propõe novas medidas comuns em matéria de cibersegurança e segurança da informação

Cibersegurança e InfoSec Notícias

A Comissão propôs este mês novas regras para estabelecer medidas comuns em matéria de cibersegurança e segurança da informação em todas as instituições, órgãos e organismos da UE. A proposta visa reforçar a sua resiliência e capacidades de resposta contra ciberameaças e incidentes de cibersegurança, bem como assegurar uma administração pública da UE resiliente e segura, num contexto de ciberatividades maliciosas crescentes a nível global. 

Johannes Hahn, comissário responsável pelo Orçamento e Administração, declarou: «Num ambiente conectado, um único incidente de cibersegurança pode afectar toda uma organização. É por esta razão que é fundamental criar um forte escudo protector contra ciberameaças e incidentes que possam perturbar a nossa capacidade de agir. Os regulamentos que propomos hoje constituem um marco no panorama da cibersegurança e da segurança da informação da UE. Baseiam-se numa cooperação reforçada e no apoio mútuo entre as instituições, órgãos e organismos da UE, bem como numa preparação e resposta coordenadas. Trata-se de um verdadeiro esforço colectivo da UE.»

No contexto da pandemia de COVID-19 e dos desafios geopolíticos crescentes, é imperativo adoptar uma abordagem conjunta relativamente à cibersegurança e à segurança da informação.

Assim, a Comissão propôs um regulamento relativo à cibersegurança e um regulamento relativo à segurança da informação. Ao estabelecer prioridades e quadros comuns, estas regras permitem intensificar a cooperação interinstitucional, minimizar a exposição aos riscos e reforçar ainda mais a cultura de segurança da UE.

Regulamento Cibersegurança

O Regulamento Cibersegurança proposto criará um quadro de governação, gestão dos riscos e controlo no domínio da cibersegurança. Conduzirá à criação de um novo Conselho de Cibersegurança interinstitucional, reforçará as capacidades de cibersegurança e incentivará avaliações regulares da maturidade e uma melhor ciber-higiene. Alargará igualmente o mandato da Equipa de Resposta a Emergências Informáticas para as instituições, órgãos e organismos da UE (CERT-UE), enquanto plataforma de informações sobre ameaças, intercâmbio de informações e coordenação da resposta a incidentes, um organismo consultivo central e um prestador de serviços.

Elementos essenciais da proposta de Regulamento Cibersegurança:

  • Reforçar o mandato da CERT-UE e disponibilizar os recursos de que necessita para o cumprir;
  • Exigir a todas as instituições, órgãos e organismos da UE que:
    • disponham de um quadro de governação, gestão de riscos e controlo no domínio da cibersegurança;
    • definam uma base de referência de medidas de cibersegurança para fazer face aos riscos identificados;
    • realizem regularmente avaliações da maturidade;
    • estabeleçam um plano para melhorar a sua cibersegurança, aprovado pela direção da entidade;
    • partilhem sem demora injustificada, informações relacionadas com incidentes com a CERT-UE.
  • Criar um novo Conselho de Cibersegurança interinstitucional para impulsionar e acompanhar a aplicação do regulamento e orientar a CERT-UE;
  • Mudar o nome da CERT-UE de «Equipa de Resposta a Emergências Informáticas» para «Centro de Cibersegurança», em consonância com a evolução registada nos Estados-Membros e a nível mundial, mas manter o nome abreviado «CERT-UE» para o reconhecimento do nome.

Regulamento Segurança da Informação

O Regulamento Segurança da Informação proposto criará um conjunto mínimo de normas e regras em matéria de segurança da informação para todas as instituições, órgãos e organismos da UE, a fim de assegurar uma proteção reforçada e coerente contra a evolução das ameaças à sua informação.

Estas novas regras proporcionarão um terreno estável para um intercâmbio seguro de informações entre as instituições, órgãos e organismos da UE e com os Estados-Membros, com base em práticas e medidas normalizadas para proteger os fluxos de informações.

Elementos essenciais da proposta de Regulamento Segurança da Informação:

  • Instaurar uma governação eficiente para promover a cooperação entre todas as instituições, órgãos e organismos da UE, nomeadamente um Grupo de Coordenação da Segurança da Informação a nível interinstitucional;
  • Estabelecer uma abordagem comum para a categorização das informações com base no nível de confidencialidade;
  • Modernizar as políticas de segurança da informação, incluindo plenamente a transformação digital e o trabalho à distância;
  • Racionalizar as práticas atuais e aumentar a compatibilidade entre os sistemas e dispositivos pertinentes.

Contexto

Na sua resolução de Março de 2021, o Conselho da União Europeia salientou a importância de um quadro de segurança sólido e coerente para proteger o conjunto do pessoal, dos dados, das redes de comunicação, dos sistemas de informação e dos processos de tomada de decisão da UE. Este objectivo só pode ser alcançado mediante o reforço da resiliência e a melhoria da cultura de segurança das instituições, órgãos e organismos da UE.

No seguimento da Estratégia da UE para a União da Segurança e da Estratégia de Cibersegurança da UE, o Regulamento Cibersegurança proposto assegurará a coerência com as políticas existentes da UE em matéria de cibersegurança, em plena conformidade com a legislação europeia em vigor:

Tendo em conta o número crescente de informações sensíveis não classificadas e de informações classificadas da UE tratadas pelas instituições, órgãos e organismos da UE, o Regulamento relativo à Segurança da Informação proposto visa aumentar a protecção das informações, racionalizando os diferentes quadros jurídicos das instituições, órgãos e organismos da União neste domínio. A proposta está em consonância com:

  • Estratégia da UE para a União da Segurança, que inclui um compromisso global da UE no sentido de complementar os esforços dos Estados-Membros em todos os domínios da segurança;
  • A principal característica da Agenda Estratégica para 2019-2024, adoptada pelo Conselho Europeu em junho de 2019, para proteger as nossas sociedades das ameaças em constante evolução que visam as informações tratadas pelas instituições, órgãos e organismos da UE;
  • As conclusões do Conselho «Assuntos Gerais» de dezembro de 2019, que apelam às instituições, órgãos e organismos da UE, apoiados pelos Estados-Membros, para que elaborem e apliquem um conjunto abrangente de medidas para garantir a sua segurança.

Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.