RELATÓRIO sobre a proposta de regulamento do Parlamento Europeu e do Conselho relativo à ENISA, a «Agência da União Europeia para a Cibersegurança», e à certificação da cibersegurança das tecnologias da informação e comunicação, e que revoga o Regulamento (UE) n.º 526/2013 («Regulamento Cibersegurança»)
30.7.2018 - (COM(2017) 0477 – C8-0310/2017 – 2017/0225(COD)) - ***I
Comissão da Indústria, da Investigação e da Energia
Relatora: Angelika Niebler
Relator de parecer (*):
Nicola Danti, Comissão do Mercado Interno e da Proteção dos Consumidores
(*) Comissão associada – artigo 54.º do Regimento
- PROJETO DE RESOLUÇÃO LEGISLATIVA DO PARLAMENTO EUROPEU
- EXPOSIÇÃO DE MOTIVOS
- PARECER DA COMISSÃO DO MERCADO INTERNO E DA PROTEÇÃO DOS CONSUMIDORES
- PARECER DA COMISSÃO DOS ORÇAMENTOS
- PARECER DA COMISSÃO DAS LIBERDADES CÍVICAS, DA JUSTIÇA E DOS ASSUNTOS INTERNOS
- PROCESSO DA COMISSÃO COMPETENTE QUANTO À MATÉRIA DE FUNDO
- VOTAÇÃO NOMINAL FINAL NA COMISSÃO COMPETENTE QUANTO À MATÉRIA DE FUNDO
PROJETO DE RESOLUÇÃO LEGISLATIVA DO PARLAMENTO EUROPEU
sobre a proposta de regulamento do Parlamento Europeu e do Conselho relativo à ENISA, a «Agência da União Europeia para a Cibersegurança», e à certificação da cibersegurança das tecnologias da informação e comunicação, e que revoga o Regulamento (UE) n.º 526/2013 («Regulamento Cibersegurança»)
(COM(2017) 0477 – C8-0310/2017 – 2017/0225(COD))
(Processo legislativo ordinário: primeira leitura)
O Parlamento Europeu,
– Tendo em conta a proposta da Comissão ao Parlamento Europeu e ao Conselho (COM(2017) 0477),
– Tendo em conta o artigo 294.º, n.º 2, e o artigo 114.º do Tratado sobre o Funcionamento da União Europeia, nos termos dos quais a proposta lhe foi apresentada pela Comissão (C8-0310/2017),
– Tendo em conta o artigo 294.º, n.º 3, do Tratado sobre o Funcionamento da União Europeia,
– Tendo em conta o parecer do Comité Económico e Social Europeu de 14 de fevereiro de 2018[1],
– Tendo em conta o artigo 59.º do seu Regimento,
– Tendo em conta o parecer fundamentado apresentado pelo Senado francês, no âmbito do Protocolo n.º 2 relativo à aplicação dos princípios da subsidiariedade e da proporcionalidade, segundo o qual o projeto de ato legislativo não respeita o princípio da subsidiariedade,
– Tendo em conta o relatório da Comissão da Indústria, da Investigação e da Energia e os pareceres da Comissão do Mercado Interno e da Proteção dos Consumidores, da Comissão dos Orçamentos e da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos (A8-0264/2018),
1. Aprova a posição em primeira leitura que se segue;
2. Requer à Comissão que lhe submeta de novo a sua proposta se a substituir, se a alterar substancialmente ou se pretender alterá-la substancialmente;
3. Encarrega o seu Presidente de transmitir a posição do Parlamento ao Conselho e à Comissão, bem como aos parlamentos nacionais.
Alteração 1 Proposta de regulamento Considerando 1 | |
|
Texto da Comissão |
Alteração |
|
(1) As redes e sistemas de informação e as redes e serviços de telecomunicações desempenham um papel crucial para a sociedade e tornaram-se a espinha dorsal do crescimento económico. As tecnologias da informação e comunicação estão na base de sistemas complexos que apoiam as atividades sociais, mantêm as nossas economias a funcionar em setores determinantes como a saúde, a energia, as finanças e os transportes e apoiam, em especial, o funcionamento do mercado interno. |
(1) As redes e sistemas de informação e as redes e serviços de telecomunicações desempenham um papel crucial para a sociedade e tornaram-se a espinha dorsal do crescimento económico. As tecnologias da informação e comunicação (TIC) estão na base de sistemas complexos que apoiam as atividades sociais quotidianas, mantêm as nossas economias a funcionar em setores determinantes como a saúde, a energia, as finanças e os transportes e apoiam, em especial, o funcionamento do mercado interno. |
Alteração 2 Proposta de regulamento Considerando 2 | |
|
Texto da Comissão |
Alteração |
|
(2) A utilização de redes e sistemas de informação por parte dos cidadãos, das empresas e dos governos da União é agora generalizada. A digitalização e a conectividade estão a tornar-se características centrais num número cada vez maior de produtos e serviços e, com o surgimento da Internet das coisas (IdC), espera-se que milhões, se não mesmo milhares de milhões, de dispositivos digitais conectados sejam implantados em toda a UE durante a próxima década. Embora cada vez mais dispositivos estejam conectados à Internet, a segurança e a resiliência não são suficientemente integradas desde a conceção, conduzindo a uma insuficiência de cibersegurança. Neste contexto, a utilização reduzida da certificação leva a que haja informação insuficiente para os utilizadores empresariais e individuais sobre as características de cibersegurança de produtos e serviços de TIC, prejudicando a confiança nas soluções digitais. |
(2) A utilização de redes e sistemas de informação por parte dos cidadãos, das empresas e dos governos da União é agora generalizada. A digitalização e a conectividade estão a tornar-se características centrais num número cada vez maior de produtos e serviços e, com o surgimento da Internet das coisas (IdC), espera-se que milhões, se não mesmo milhares de milhões, de dispositivos digitais conectados sejam implantados em toda a UE durante a próxima década. Embora cada vez mais dispositivos estejam conectados à Internet, a segurança e a resiliência não são suficientemente integradas desde a conceção, conduzindo a uma insuficiência de cibersegurança. Neste contexto, a utilização reduzida da certificação leva a que haja informação insuficiente para os utilizadores empresariais e individuais sobre as características de cibersegurança de produtos, processos e serviços de TIC, prejudicando a confiança nas soluções digitais. Este objetivo está no centro do programa de reformas da Comissão Europeia para alcançar um mercado único digital, uma vez que as redes TIC constituem a espinha dorsal dos produtos e serviços digitais que têm potencial para apoiar todos os aspetos das nossas vidas e impulsionar o crescimento económico da Europa. A fim de garantir que os objetivos do mercado único digital sejam plenamente alcançados, é necessário dispor de componentes tecnológicos essenciais dos quais dependem domínios importantes como a saúde em linha, a IdC, a inteligência artificial, a tecnologia quântica, os sistemas de transporte inteligentes e as tecnologias de fabrico avançadas. |
Alteração 3 Proposta de regulamento Considerando 3 | |
|
Texto da Comissão |
Alteração |
|
(3) A digitalização e conectividade crescentes conduzem a maiores riscos de cibersegurança, tornando, assim, a sociedade em geral mais vulnerável a ciberameaças e agravando os perigos que as pessoas enfrentam, nomeadamente as pessoas vulneráveis como as crianças. A fim de mitigar o risco para a sociedade, têm de ser adotadas todas as ações necessárias para melhorar a cibersegurança na UE de modo a proteger melhor das ciberameaças as redes e sistemas de informação, as redes de telecomunicações, os produtos digitais, os serviços e dispositivos utilizados pelos cidadãos, os governos e as empresas — desde PME a operadores de infraestruturas críticas. |
(3) A digitalização e conectividade crescentes conduzem a maiores riscos de cibersegurança, tornando, assim, a sociedade em geral mais vulnerável a ciberameaças e agravando os perigos que as pessoas enfrentam, nomeadamente as pessoas vulneráveis como as crianças. A fim de mitigar o risco para a sociedade, têm de ser adotadas todas as ações necessárias para melhorar a cibersegurança na UE de modo a proteger melhor das ciberameaças as redes e sistemas de informação, as redes de telecomunicações, os produtos digitais, os serviços e dispositivos utilizados pelos cidadãos, os governos e as empresas – desde PME a operadores de infraestruturas críticas. A este respeito, o Plano de Ação para a Educação Digital, publicado pela Comissão em 17 de janeiro de 2018, é um passo na direção certa – nomeadamente a campanha de sensibilização à escala da UE dirigida aos educadores, pais e estudantes – para promover a segurança em linha, a ciber-higiene e a literacia mediática, bem como a iniciativa de ensino em matéria de cibersegurança baseada no Quadro Europeu de Competências Digitais para os Cidadãos, para capacitar as pessoas para utilizarem a tecnologia de forma responsável e com confiança. |
Alteração 4 Proposta de regulamento Considerando 3-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(3-A) Considera que os objetivos e as funções da ENISA devem continuar a ser harmonizados com a comunicação conjunta no que diz respeito à sua referência à promoção da ciber-higiene e da sensibilização; observa que a ciber-resiliência pode ser alcançada através da aplicação de princípios básicos de ciber-higiene; |
Alteração 5 Proposta de regulamento Considerando 3-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(3-B) A ENISA deve dar mais apoio prático e baseado em informações à indústria da cibersegurança da União, em especial às PME e às empresas em fase de arranque, que são as principais fontes de soluções inovadoras no domínio da ciberdefesa, e deve promover uma cooperação mais estreita com as grandes organizações de investigação universitárias, a fim de reduzir a dependência dos produtos de cibersegurança de fontes externas e de criar uma cadeia de abastecimento estratégica no interior da União. |
Alteração 6 Proposta de regulamento Considerando 4 | |
|
Texto da Comissão |
Alteração |
|
(4) Os ciberataques estão a aumentar e uma economia e sociedade conectadas, mais vulneráveis a ciberameaças e ciberataques, exigem defesas mais fortes. No entanto, apesar de os ciberataques terem amiúde uma natureza transfronteiriça, as respostas políticas por parte das autoridades responsáveis pela cibersegurança e as competências de aplicação da lei são predominantemente nacionais. Os ciberincidentes em grande escala são suscetíveis de perturbar a prestação de serviços essenciais na UE. Esta realidade exige uma resposta e uma gestão de crises a nível da UE, criando políticas específicas e desenvolvendo instrumentos mais abrangentes que permitam mostrar a solidariedade europeia e prestar assistência mútua. Além disso, é importante para os decisores políticos, para as empresas e para os utilizadores que se proceda a uma avaliação regular da situação da cibersegurança e da resiliência na União, com base em dados fiáveis da União, bem como a uma previsão sistemática da evolução, dos desafios e das ameaças futuras, tanto a nível da União como a nível global. |
(4) Os ciberataques estão a aumentar e uma economia e sociedade conectadas, mais vulneráveis a ciberameaças e ciberataques, exigem defesas mais fortes e mais seguras. No entanto, apesar de os ciberataques terem amiúde uma natureza transfronteiriça, as respostas políticas por parte das autoridades responsáveis pela cibersegurança e as competências de aplicação da lei são predominantemente nacionais. Os ciberincidentes em grande escala são suscetíveis de perturbar a prestação de serviços essenciais na UE. Esta realidade exige uma resposta e uma gestão de crises a nível da UE, criando políticas específicas e desenvolvendo instrumentos mais abrangentes que permitam mostrar a solidariedade europeia e prestar assistência mútua. As necessidades de formação no domínio da ciberdefesa são consideráveis e crescentes, pelo que a cooperação a nível da União é a forma mais eficaz de as satisfazer. Além disso, é importante para os decisores políticos, para as empresas e para os utilizadores que se proceda a uma avaliação regular da situação da cibersegurança e da resiliência na União, com base em dados fiáveis da União, bem como a uma previsão sistemática da evolução, dos desafios e das ameaças futuras, tanto a nível da União como a nível global. |
Alteração 7 Proposta de regulamento Considerando 5 | |
|
Texto da Comissão |
Alteração |
|
(5) Atendendo aos desafios de cibersegurança cada vez maiores que a União enfrenta, afigura-se necessário um conjunto abrangente de medidas que tenha por base ações anteriores da União e que promova objetivos que se reforcem mutuamente. Os mesmos incluem a necessidade de reforçar as capacidades e o grau de preparação dos Estados-Membros e das empresas, bem como de melhorar a cooperação e coordenação entre Estados-Membros e instituições, agências e organismos da UE. Além disso, atendendo à natureza sem fronteiras das ciberameaças, é necessário aumentar as capacidades a nível da União suscetíveis de complementar a ação dos Estados-Membros, designadamente no caso de ciberincidentes em grande escala e cibercrises transfronteiriças. São também necessários esforços adicionais para aumentar a sensibilização dos cidadãos e das empresas para as questões de cibersegurança. Além disso, a confiança no mercado único digital deve continuar a ser melhorada mediante a disponibilização de informação transparente sobre o nível de segurança de produtos e serviços de TIC. Tal pode ser facilitado por uma certificação a nível da UE que preveja requisitos de cibersegurança e critérios de avaliação comuns nos mercados e setores nacionais. |
(5) Atendendo aos desafios de cibersegurança cada vez maiores que a União enfrenta, afigura-se necessário um conjunto abrangente de medidas que tenha por base ações anteriores da União e que promova objetivos que se reforcem mutuamente. Os mesmos incluem a necessidade de reforçar as capacidades e o grau de preparação dos Estados-Membros e das empresas, bem como de melhorar a cooperação, a coordenação e a partilha de informações entre Estados-Membros e instituições, agências e organismos da UE. Além disso, atendendo à natureza sem fronteiras das ciberameaças, é necessário aumentar as capacidades a nível da União suscetíveis de complementar a ação dos Estados-Membros, designadamente no caso de ciberincidentes em grande escala e cibercrises transfronteiriças, sublinhando, ao mesmo tempo, a importância de manter e reforçar as capacidades nacionais para responder a ciberameaças de qualquer escala. São também necessários esforços adicionais para assegurar uma resposta coordenada da UE e aumentar a sensibilização dos cidadãos e das empresas para as questões de cibersegurança. Além disso, dado que os incidentes informáticos minam a confiança, nomeadamente dos consumidores, nos prestadores de serviços digitais e no próprio mercado único digital, é necessário reforçar a confiança mediante a disponibilização de informação transparente sobre o nível de segurança de produtos, processos e serviços de TIC, realçando que mesmo um elevado nível de certificação da cibersegurança não garante a total segurança de um produto ou serviço de TIC. Tal pode ser facilitado por uma certificação a nível da UE que preveja requisitos de cibersegurança e critérios de avaliação comuns nos mercados e setores nacionais, bem como pela promoção da ciberliteracia. A par de uma certificação a nível da UE, e dada a crescente disponibilidade de dispositivos da IdC, existe uma gama de medidas voluntárias que o setor privado deve tomar para reforçar a confiança na segurança dos produtos, serviços e processos de TIC, como a cifragem e as tecnologias da cadeia de blocos («blockchain»). Os desafios enfrentados devem ser refletidos proporcionalmente no orçamento atribuído à Agência, por forma a assegurar a melhor funcionalidade possível nas circunstâncias atuais. |
Alteração 8 Proposta de regulamento Considerando 5-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(5-A) Com o objetivo de melhorar as estruturas de segurança e de ciberdefesa europeias, é importante manter e desenvolver as capacidades dos Estados-Membros para responder de forma exaustiva às ciberameaças, incluindo incidentes transfronteiriços, ao passo que a coordenação pela Agência a nível da UE não deve levar à redução das capacidades ou dos esforços envidados nos Estados-Membros. |
Alteração 9 Proposta de regulamento Considerando 5-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(5-B) As empresas e os consumidores individuais devem dispor de informações precisas sobre o nível de segurança dos seus produtos de TIC. Ao mesmo tempo, entende-se que nenhum produto é ciberseguro e que é necessário promover e dar prioridade às regras básicas da ciber-higiene. |
Alteração 10 Proposta de regulamento Considerando 7 | |
|
Texto da Comissão |
Alteração |
|
(7) A União já deu passos importantes para garantir a cibersegurança e reforçar a confiança nas tecnologias digitais. Em 2013, a Estratégia da UE para Cibersegurança foi adotada para orientar a resposta política da União às ameaças e riscos de cibersegurança. No seu esforço de proteger melhor os europeus em linha, a União adotou em 2016 o primeiro ato legislativo no domínio da cibersegurança, a Diretiva (UE) 2016/1148, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União («Diretiva SRI»). A Diretiva SRI instituiu requisitos relativos às capacidades nacionais no domínio da cibersegurança, criou os primeiros mecanismos para reforçar a cooperação estratégica e operacional entre Estados-Membros e introduziu obrigações relativas às medidas de segurança e notificações de incidentes nos setores que são vitais para a economia e a sociedade, tais como a energia, os transportes, a água, a banca, as infraestruturas do mercado financeiro, os cuidados de saúde, as infraestruturas digitais, bem como os prestadores de serviços digitais essenciais (motores de pesquisa, serviços de computação em nuvem e mercados em linha). Foi atribuído à ENISA um papel importante de apoio à execução desta diretiva. Além disso, a luta eficaz contra a cibercriminalidade constitui uma prioridade importante da Agenda Europeia para a Segurança, contribuindo para o objetivo geral de alcançar um elevado nível de cibersegurança. |
(7) A União já deu passos importantes para garantir a cibersegurança e reforçar a confiança nas tecnologias digitais. Em 2013, a Estratégia da UE para Cibersegurança foi adotada para orientar a resposta política da União às ameaças e riscos de cibersegurança. No seu esforço de proteger melhor os europeus em linha, a União adotou em 2016 o primeiro ato legislativo no domínio da cibersegurança, a Diretiva (UE) 2016/1148, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União («Diretiva SRI»). A Diretiva SRI, cujo êxito dependerá em larga medida de uma transposição eficaz pelos Estados-Membros, implementa a estratégia para o mercado único digital e – conjuntamente com outros instrumentos, como a Diretiva que estabelece o Código Europeu das Comunicações Eletrónicas, o Regulamento (UE) n.º 2016/679 e a Diretiva 2002/58/CE – institui requisitos relativos às capacidades nacionais no domínio da cibersegurança, cria os primeiros mecanismos para reforçar a cooperação estratégica e operacional entre Estados-Membros e introduz obrigações relativas às medidas de segurança e notificações de incidentes nos setores que são vitais para a economia e a sociedade, tais como a energia, os transportes, a água, a banca, as infraestruturas do mercado financeiro, os cuidados de saúde, as infraestruturas digitais, bem como os prestadores de serviços digitais essenciais (motores de pesquisa, serviços de computação em nuvem e mercados em linha). Foi atribuído à ENISA um papel importante de apoio à execução desta diretiva. Além disso, a luta eficaz contra a cibercriminalidade constitui uma prioridade importante da Agenda Europeia para a Segurança, contribuindo para o objetivo geral de alcançar um elevado nível de cibersegurança. |
Alteração 11 Proposta de regulamento Considerando 8 | |
|
Texto da Comissão |
Alteração |
|
(8) É reconhecido que, desde a adoção da Estratégia da UE para Cibersegurança, de 2013, e da última revisão do mandato da Agência, o contexto político geral se alterou significativamente, inclusive em relação a um ambiente mundial mais incerto e menos seguro. Neste contexto e no âmbito do quadro da nova política de cibersegurança da União, é necessário rever o mandato da ENISA para definir o seu papel no ecossistema alterado de cibersegurança e assegurar que contribui eficazmente para a resposta da União aos desafios de cibersegurança decorrentes deste cenário de ameaça radicalmente transformado, para o qual, conforme reconhecido pela avaliação da Agência, o mandato atual não é suficiente. |
(8) É reconhecido que, desde a adoção da Estratégia da UE para Cibersegurança, de 2013, e da última revisão do mandato da Agência, o contexto político geral se alterou significativamente, inclusive em relação a um ambiente mundial mais incerto e menos seguro. Neste contexto, bem como no contexto do papel positivo que a Agência tem vindo a desempenhar ao longo dos anos na partilha de conhecimentos, na coordenação e no desenvolvimento de capacidades e no âmbito do quadro da nova política de cibersegurança da União, é necessário rever o mandato da ENISA para definir o seu papel no ecossistema alterado de cibersegurança e assegurar que contribui eficazmente para a resposta da União aos desafios de cibersegurança decorrentes deste cenário de ameaça radicalmente transformado, para o qual, conforme reconhecido pela avaliação da Agência, o mandato atual não é suficiente. |
Alteração 12 Proposta de regulamento Considerando 11 | |
|
Texto da Comissão |
Alteração |
|
(11) Atendendo aos desafios crescentes de cibersegurança que a União está a enfrentar, os recursos financeiros e humanos atribuídos à Agência devem ser aumentados para refletir o reforço do seu papel e atribuições e a sua posição crucial no ecossistema de organizações que defendem o ecossistema digital europeu. |
(11) Atendendo aos desafios e ameaças crescentes em matéria de cibersegurança que a União está a enfrentar, os recursos financeiros e humanos atribuídos à Agência devem ser aumentados para refletir o reforço do seu papel e atribuições e a sua posição crucial no ecossistema de organizações que defendem o ecossistema digital europeu, permitindo à ENISA exercer de forma eficaz as atribuições que lhe são conferidas pelo presente regulamento. |
Alteração 13 Proposta de regulamento Considerando 12 | |
|
Texto da Comissão |
Alteração |
|
(12) A Agência deve desenvolver e manter um elevado nível de conhecimentos especializados e servir de ponto de referência, instaurando a confiança no mercado único graças à sua independência, à qualidade do aconselhamento prestado e das informações que divulga, à transparência dos seus procedimentos e dos seus métodos de funcionamento e à sua diligência no exercício das suas atribuições. A Agência deve contribuir pró-ativamente para os esforços nacionais e da União, exercendo simultaneamente as suas atribuições em plena cooperação com as instituições, organismos, órgãos e agências da União e com os Estados-Membros. Além disso, a Agência deve tirar proveito da cooperação com o setor privado e outras partes interessadas relevantes e dos seus contributos. Um conjunto de atribuições deve determinar como a Agência deve atingir os seus objetivos, permitindo-lhe ao mesmo tempo uma certa flexibilidade de funcionamento. |
(12) A Agência deve desenvolver e manter um elevado nível de conhecimentos especializados e servir de ponto de referência, instaurando a confiança no mercado único graças à sua independência, à qualidade do aconselhamento prestado e das informações que divulga, à transparência dos seus procedimentos e dos seus métodos de funcionamento e à sua diligência no exercício das suas atribuições. A Agência deve contribuir pró-ativamente para os esforços nacionais e da União, exercendo simultaneamente as suas atribuições em plena cooperação com as instituições, organismos, órgãos e agências da União e com os Estados-Membros, evitando toda e qualquer duplicação de esforços, promovendo sinergias e assegurando a complementaridade e, por conseguinte, garantindo a coordenação e poupanças orçamentais. Além disso, a Agência deve tirar proveito da cooperação com os setores público e privado e outras partes interessadas relevantes e dos seus contributos. A forma como a Agência deverá alcançar os seus objetivas deve ser estabelecida através de uma agenda precisa e de um conjunto de atribuições e objetivos claramente definidos, tomando ao mesmo tempo em devida conta a flexibilidade necessária às suas operações. Sempre que possível, deve manter-se o mais elevado grau de transparência e divulgação da informação. |
Alteração 14 Proposta de regulamento Considerando 12-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(12-A) O papel da Agência deve ser objeto de avaliação contínua e análise em tempo útil, em especial, o seu papel de coordenação em relação aos Estados-Membros e respetivas autoridades nacionais, bem como a possibilidade de atuar como um balcão único para os Estados-Membros e os órgãos e instituições da UE. Convém ainda avaliar o papel desempenhado pela Agência na prevenção da fragmentação do mercado interno e na eventual introdução obrigatória de sistemas de certificação da cibersegurança, caso a situação no futuro venha a exigir esta mudança, bem como o papel que esta desempenha no que respeita à avaliação dos produtos de países terceiros que entram no mercado da UE e a eventual criação duma lista negra de empresas que não cumpram os critérios da UE. |
Alteração 15 Proposta de regulamento Considerando 12-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(12-B) A fim de poder prestar um apoio adequado à cooperação operacional com os Estados-Membros, a ENISA deve reforçar as suas próprias capacidades técnicas e conhecimentos especializados. Para o efeito, a Agência deve reforçar progressivamente o seu pessoal afetado ao cumprimento desta tarefa, de modo a poder recolher e analisar autonomamente os diferentes tipos de uma multitude de ameaças à cibersegurança e de software maligno, efetuar análises forenses e ajudar os Estados-Membros a responder a incidentes de grandes dimensões. A fim de evitar qualquer duplicação das capacidades existentes nos Estados-Membros, a ENISA deverá aumentar os seus conhecimentos e capacidades com base nos recursos existentes nos Estados-Membros, nomeadamente através do destacamento de peritos nacionais para a Agência, da criação de grupos de peritos, de programas de intercâmbio de pessoal, entre outros. Aquando da seleção do pessoal responsável neste domínio, a Agência deve assegurar progressivamente que estes preenchem os critérios necessários à prestação do apoio adequado. |
Alteração 16 Proposta de regulamento Considerando 13 | |
|
Texto da Comissão |
Alteração |
|
(13) A Agência deve prestar assistência à Comissão por meio de aconselhamento, de pareceres e de análises sobre todas as matérias da competência da União relacionadas com a elaboração, atualização e revisão de políticas e de legislação no domínio da cibersegurança, incluindo a proteção das infraestruturas críticas e a ciber-resiliência. A Agência deve atuar como um ponto de referência de aconselhamento e conhecimentos especializados para iniciativas políticas e legislativas em setores específicos da União que envolvam questões relacionadas com a cibersegurança. |
(13) A Agência deve prestar assistência à Comissão por meio de aconselhamento, de pareceres e de análises sobre todas as matérias da competência da União relacionadas com a elaboração, atualização e revisão de políticas e de legislação no domínio da cibersegurança, incluindo a proteção das infraestruturas críticas e a ciber-resiliência. A Agência deve atuar como um ponto de referência de aconselhamento e conhecimentos especializados para iniciativas políticas e legislativas em setores específicos da União que envolvam questões relacionadas com a cibersegurança. Os seus conhecimentos especializados serão particularmente necessários aquando da elaboração do programa de trabalho plurianual da União para os sistemas europeus de certificação da cibersegurança. A Agência deve fornecer regularmente ao Parlamento informações atualizadas, análise e revisão no domínio da cibersegurança e da evolução das suas tarefas. |
Alteração 17 Proposta de regulamento Considerando 14 | |
|
Texto da Comissão |
Alteração |
|
(14) A tarefa subjacente da Agência é promover a aplicação consistente do quadro jurídico relevante, nomeadamente a execução eficaz da Diretiva SRI, que é essencial para aumentar a ciber-resiliência. Atendendo à rápida evolução do cenário de ameaça à cibersegurança, é manifesto que os Estados-Membros devem ser apoiados por uma abordagem mais abrangente e transversal às políticas para reforçar a ciber-resiliência. |
(14) A tarefa subjacente da Agência é promover a aplicação consistente do quadro jurídico relevante, nomeadamente a execução eficaz da Diretiva SRI, da Diretiva que estabelece o Código Europeu das Comunicações Eletrónicas, do Regulamento (UE) 2016/679 e da Diretiva 2002/58/CE, que é essencial para aumentar a ciber-resiliência. Atendendo à rápida evolução do cenário de ameaça à cibersegurança, é manifesto que os Estados-Membros devem ser apoiados por uma abordagem mais abrangente e transversal às políticas para reforçar a ciber-resiliência. |
Alteração 18 Proposta de regulamento Considerando 15 | |
|
Texto da Comissão |
Alteração |
|
(15) A Agência deve prestar assistência aos Estados-Membros e às instituições, organismos, órgãos e agências da União nos seus esforços para criar e reforçar as capacidades e o grau de preparação para prevenir, detetar e responder a problemas e incidentes de cibersegurança e em relação à segurança das redes e sistemas de informação. Concretamente, a Agência deve apoiar o desenvolvimento e reforço de CSIRT nacionais, com vista à consecução de um elevado nível comum da sua maturidade na União. A Agência deve igualmente prestar assistência no desenvolvimento e na atualização de estratégias da União e dos Estados-Membros em matéria de segurança das redes e sistemas de informação, nomeadamente de cibersegurança, promover a sua divulgação e acompanhar o progresso da sua execução. A Agência deve também disponibilizar formações e material de formação a organismos públicos e, quando pertinente, «formar os formadores», com vista a assistir os Estados-Membros no desenvolvimento das suas próprias capacidades de formação. |
(15) A Agência deve prestar assistência aos Estados-Membros e às instituições, organismos, órgãos e agências da União nos seus esforços para criar e reforçar as capacidades e o grau de preparação para prevenir, detetar e responder a problemas e incidentes de cibersegurança e em relação à segurança das redes e sistemas de informação. Concretamente, a Agência deve apoiar o desenvolvimento e reforço de CSIRT nacionais, com vista à consecução de um elevado nível comum da sua maturidade na União. A Agência deve igualmente prestar assistência no desenvolvimento e na atualização de estratégias da União e dos Estados-Membros em matéria de segurança das redes e sistemas de informação, nomeadamente de cibersegurança, promover a sua divulgação e acompanhar o progresso da sua execução. Considerando que os erros humanos constituem um dos riscos mais pertinentes para a cibersegurança, a Agência deve também disponibilizar formações e material de formação a organismos públicos e, tanto quanto possível, «formar os formadores», com vista a assistir os Estados-Membros e as instituições e agências da União no desenvolvimento das suas próprias capacidades de formação. A Agência deve também servir como ponto de contacto para os Estados-Membros e as instituições da União, que devem poder solicitar a assistência da Agência no âmbito das competências e funções que lhe foram atribuídas. |
Alteração 19 Proposta de regulamento Considerando 18 | |
|
Texto da Comissão |
Alteração |
|
(18) A Agência deve agregar e analisar relatórios nacionais das CSIRT e da CERT-UE, criando regras, linguagem e terminologia comuns para o intercâmbio de informações. A Agência deve também envolver o setor privado, dentro do quadro da Diretiva SRI, que estabelece os fundamentos para o intercâmbio voluntário de informações técnicas a nível operacional com a criação da rede de CSIRT. |
(18) A Agência deve agregar e analisar relatórios nacionais das CSIRT e da CERT-UE, criando regras, linguagem e terminologia comuns para o intercâmbio de informações. A Agência deve também envolver os setores público e privado, dentro do quadro da Diretiva SRI, que estabelece os fundamentos para o intercâmbio voluntário de informações técnicas a nível operacional com a criação da rede de CSIRT. |
Alteração 20 Proposta de regulamento Considerando 19 | |
|
Texto da Comissão |
Alteração |
|
(19) A Agência deve contribuir para uma resposta a nível da UE, em caso de incidentes de cibersegurança transfronteiriços em grande escala e crises de cibersegurança. Esta função deve incluir a recolha de informações relevantes e a atuação como um facilitador entre a rede de CSIRT e a comunidade técnica, bem como os decisores políticos responsáveis pela gestão de crises. Além disso, a Agência poderá apoiar o tratamento de incidentes de uma perspetiva técnica, facilitando o intercâmbio pertinente de soluções técnicas entre Estados-Membros e disponibilizando contributos para comunicações públicas. A Agência deve apoiar o processo testando modalidades dessa cooperação por intermédio de exercícios anuais de cibersegurança. |
(19) A Agência deve contribuir para uma resposta a nível da UE, em caso de incidentes de cibersegurança transfronteiriços em grande escala e crises de cibersegurança. Esta função deve incluir a convocação das autoridades dos Estados-Membros, o apoio à coordenação da sua resposta, a recolha de informações relevantes e a atuação como um facilitador entre a rede de CSIRT e a comunidade técnica, bem como os decisores políticos responsáveis pela gestão de crises. Além disso, a Agência poderá apoiar o tratamento de incidentes de uma perspetiva técnica, por exemplo, facilitando o intercâmbio pertinente de soluções técnicas entre Estados-Membros e disponibilizando contributos para comunicações públicas. A Agência deve apoiar o processo testando modalidades dessa cooperação por intermédio de exercícios anuais de cibersegurança. A Agência deve respeitar as competências dos Estados-Membros em matéria de cibersegurança, especialmente as relativas à segurança pública, à defesa e à segurança nacional, bem como as atividades do Estado no domínio do direito penal. |
Alteração 21 Proposta de regulamento Considerando 25 | |
|
Texto da Comissão |
Alteração |
|
(25) Os Estados-Membros poderão convidar as empresas afetadas pelo incidente a cooperarem mediante o fornecimento de informações e assistência necessárias à Agência, sem prejuízo do seu direito de protegerem as informações comercialmente sensíveis. |
(25) Os Estados-Membros poderão convidar as empresas afetadas pelo incidente a cooperarem mediante o fornecimento de informações e assistência necessárias à Agência, sem prejuízo do seu direito de protegerem as informações comercialmente sensíveis e as informações pertinentes para a segurança pública. |
Alteração 22 Proposta de regulamento Considerando 26 | |
|
Texto da Comissão |
Alteração |
|
(26) Para compreender melhor os desafios no domínio da cibersegurança, e com vista a prestar aconselhamento estratégico de longo prazo aos Estados-Membros e às instituições da União, a Agência deve analisar os riscos atuais e emergentes. Para o efeito, a Agência deve, em cooperação com os Estados-Membros e, quando pertinente, com institutos de estatística e outros organismos, recolher informações pertinentes, analisar tecnologias emergentes e fornecer avaliações de tópicos específicos sobre impactos sociais, jurídicos, económicos e regulamentares previstos das inovações tecnológicas na segurança das redes e da informação, nomeadamente na cibersegurança. Além disso, a Agência deve apoiar os Estados-Membros e as instituições, agências e organismos da União na identificação de tendências emergentes e na prevenção de problemas relacionados com a cibersegurança, mediante a análise de ameaças e incidentes. |
(26) Para compreender melhor os desafios no domínio da cibersegurança, e com vista a prestar aconselhamento estratégico de longo prazo aos Estados-Membros e às instituições da União, a Agência deve analisar os riscos atuais e emergentes, os incidentes, as ameaças e as vulnerabilidades. Para o efeito, a Agência deve, em cooperação com os Estados-Membros e, quando pertinente, com institutos de estatística e outros organismos, recolher informações pertinentes, analisar tecnologias emergentes e fornecer avaliações de tópicos específicos sobre impactos sociais, jurídicos, económicos e regulamentares previstos das inovações tecnológicas na segurança das redes e da informação, nomeadamente na cibersegurança. Além disso, a Agência deve apoiar os Estados-Membros e as instituições, agências e organismos da União na identificação de tendências emergentes e na prevenção de problemas relacionados com a cibersegurança, mediante a análise de ameaças, incidentes e vulnerabilidades. |
Alteração 23 Proposta de regulamento Considerando 27 | |
|
Texto da Comissão |
Alteração |
|
(27) A fim de aumentar a resiliência da União, a Agência deve desenvolver excelência no tema da segurança da infraestrutura de Internet e das infraestruturas críticas, prestando aconselhamento, orientação e divulgando boas práticas. Com vista a assegurar um acesso facilitado a informação mais bem estruturada sobre riscos de cibersegurança e eventuais soluções, a Agência deve desenvolver e manter o «polo de informação» da União, um portal único que preste ao público informações sobre cibersegurança resultantes das instituições, das agências e dos organismos da UE e nacionais. |
(27) A fim de aumentar a resiliência da União, a Agência deve desenvolver excelência no tema da segurança da infraestrutura de Internet e das infraestruturas críticas, prestando aconselhamento, orientação e divulgando boas práticas. Com vista a assegurar um acesso facilitado a informação mais bem estruturada sobre riscos de cibersegurança e eventuais soluções, a Agência deve desenvolver e manter o «polo de informação» da União, um portal único que preste ao público informações sobre cibersegurança resultantes das instituições, das agências e dos organismos da UE e nacionais. Um acesso mais fácil a informações mais bem estruturadas sobre os riscos de cibersegurança e as potenciais medidas corretivas deve ajudar os Estados-Membros a consolidar as suas capacidades, adaptar as suas práticas e melhorar deste modo a sua resiliência geral aos ciberataques. |
Alteração 24 Proposta de regulamento Considerando 28 | |
|
Texto da Comissão |
Alteração |
|
(28) A Agência deve contribuir para a sensibilização do público sobre os riscos relacionados com a cibersegurança e fornecer orientações sobre boas práticas para utilizadores individuais destinadas aos cidadãos e às organizações. A Agência deve também contribuir para promover boas práticas e soluções a nível das pessoas e organizações, recolhendo e analisando informações publicamente disponíveis relativas a incidentes importantes e coligindo relatórios destinados a prestar orientação às empresas e aos cidadãos e a melhorar o nível geral de preparação e resiliência. Além disso, a Agência deve organizar, em cooperação com os Estados-Membros e as instituições, organismos, órgãos e agências da União, ações de sensibilização e campanhas públicas de informação destinadas aos utilizadores finais, a fim de promover comportamentos individuais em linha mais seguros e de sensibilizar para as ameaças potenciais no ciberespaço, incluindo cibercrimes como os ataques de mistificação da interface, as redes de computadores zombies ou botnets e as fraudes financeiras e bancárias, bem como prestar aconselhamento sobre a autenticação de base e a proteção de dados. A Agência deve desempenhar um papel central na intensificação da sensibilização dos utilizadores finais para a segurança dos dispositivos. |
(28) A Agência deve, nomeadamente através da promoção da educação, contribuir para a sensibilização do público sobre os riscos relacionados com a cibersegurança e fornecer orientações sobre boas práticas para utilizadores individuais destinadas aos cidadãos, às organizações e às empresas. A Agência deve também contribuir para promover boas práticas em matéria de ciber-higiene, que abrangem várias práticas a introduzir e realizar com regularidade, a fim de proteger os utilizadores e as empresas em linha, e soluções a nível das pessoas, das organizações e das empresas, recolhendo e analisando informações publicamente disponíveis relativas a incidentes importantes e coligindo e publicando relatórios e guias destinados a prestar orientação às empresas e aos cidadãos e a melhorar o nível geral de preparação e resiliência. A ENISA deve igualmente procurar prestar aos consumidores informações pertinentes sobre os sistemas de certificação aplicáveis, por exemplo, fornecendo orientações e recomendações aos mercados em linha e fora de linha. Além disso, a Agência deve organizar – em conformidade com o Plano de Ação para a Educação Digital e em cooperação com os Estados-Membros e as instituições, organismos, órgãos e agências da União – ações de sensibilização e campanhas públicas de informação destinadas aos utilizadores finais, a fim de promover comportamentos individuais em linha mais seguros e a literacia digital, bem como de sensibilizar para as ameaças potenciais no ciberespaço, incluindo cibercrimes como os ataques de mistificação da interface, as redes de computadores zombies ou botnets e as fraudes financeiras e bancárias, bem como prestar aconselhamento sobre a autenticação de base de vários fatores, o patching, a cifragem, a anonimização e a proteção de dados. A Agência deve desempenhar um papel central na intensificação da sensibilização dos utilizadores finais para a segurança dos dispositivos e para uma utilização segura dos serviços, favorecendo, a nível da UE, a difusão da segurança desde o projeto, da privacidade de raiz, e dos incidentes e respetivas soluções. Para a consecução deste objetivo, a Agência deve tirar o melhor partido das boas práticas e experiências disponíveis, especialmente de instituições académicas e investigadores de segurança informática. Tendo em conta que os erros individuais e o desconhecimento dos riscos de cibersegurança constituem um dos principais fatores de incerteza em matéria de cibersegurança, a Agência deve ser dotada de recursos adequados para exercer esta função ao mais alto grau. |
Alteração 25 Proposta de regulamento Considerando 28-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(28-A) A Agência deve aumentar a sensibilização dos cidadãos para o risco de incidentes relacionados com fraude e roubo de dados que possam afetar gravemente os direitos fundamentais dos indivíduos, representar uma ameaça para o Estado de direito e pôr em risco a estabilidade de sociedades democráticas, inclusive os processos democráticos nos Estados-Membros. |
Alteração 26 Proposta de regulamento Considerando 30 | |
|
Texto da Comissão |
Alteração |
|
(30) A fim de assegurar a plena realização dos seus objetivos, a Agência deve estabelecer ligações com as instituições, as agências e os organismos competentes, nomeadamente a CERT-UE, o Centro Europeu da Cibercriminalidade (EC3) da Europol, a Agência Europeia de Defesa (AED), a Agência Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça (eu-LISA), a Agência Europeia para a Segurança da Aviação (AESA) e qualquer outra agência da UE que esteja envolvida na cibersegurança. Deve ainda estabelecer ligações com autoridades que lidem com a proteção de dados, a fim de partilhar conhecimentos especializados e boas práticas e prestar aconselhamento sobre aspetos de cibersegurança suscetíveis de afetarem o seu trabalho. O grupo permanente de partes interessadas da Agência deve poder incluir representantes das autoridades nacionais e da União encarregadas da aplicação da lei e da proteção de dados. Ao estabelecer ligações com os organismos encarregados da aplicação da lei sobre aspetos de segurança das redes e da informação que possam afetar o seu trabalho, a Agência deve respeitar os canais de informação existentes e as redes estabelecidas. |
(30) A fim de assegurar a plena realização dos seus objetivos, a Agência deve estabelecer ligações com as instituições, as autoridades de supervisão e outras autoridades competentes da UE, as agências e os organismos competentes, nomeadamente a CERT-UE, o Centro Europeu da Cibercriminalidade (EC3) da Europol, a Agência Europeia de Defesa (AED), a Agência do GNSS Europeu (GSA), o Organismo de Reguladores Europeus das Comunicações Eletrónicas (ORECE), a Agência Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça (eu-LISA), o Banco Central Europeu (BCE), a Autoridade Bancária Europeia (EBA), o Comité Europeu para a Proteção de Dados (CEPD), a Agência Europeia para a Segurança da Aviação (AESA) e qualquer outra agência da UE que esteja envolvida na cibersegurança. Deve ainda estabelecer ligações com as organizações europeias de normalização (OEN), as partes interessadas pertinentes e as autoridades que lidem com a proteção de dados, a fim de partilhar conhecimentos especializados e boas práticas e prestar aconselhamento sobre aspetos de cibersegurança suscetíveis de afetarem o seu trabalho. O grupo consultivo da ENISA deve poder incluir representantes das autoridades nacionais e da União encarregadas da aplicação da lei e da proteção de dados. Ao estabelecer ligações com os organismos encarregados da aplicação da lei sobre aspetos de segurança das redes e da informação que possam afetar o seu trabalho, a Agência deve respeitar os canais de informação existentes e as redes estabelecidas. Devem ser estabelecidas parcerias com instituições académicas que desenvolvam iniciativas de investigação nos domínios relevantes, enquanto os contributos das associações de consumidores e de outras organizações devem dispor de canais adequados e ser sempre apreciados. |
Alteração 27 Proposta de regulamento Considerando 31 | |
|
Texto da Comissão |
Alteração |
|
(31) A Agência, enquanto membro da rede de CSIRT que, além disso, assegura o seu serviço de secretariado, deve apoiar as CSIRT dos Estados-Membros e a CERT-UE na cooperação operacional, além de todas as atribuições relevantes da rede de CSIRT, como definido na Diretiva SRI. Além disso, a Agência deve promover e apoiar a cooperação entre as CSIRT pertinentes em caso de incidentes, ataques ou perturbações nas redes ou infraestruturas por estas geridas ou protegidas e que envolvam, ou sejam suscetíveis de envolver, pelo menos duas CERT, tendo simultaneamente em conta os procedimentos operacionais normalizados da rede de CSIRT. |
(31) A Agência, enquanto membro da rede de CSIRT que, além disso, assegura o seu serviço de secretariado, deve apoiar as CSIRT dos Estados-Membros e a CERT-UE na cooperação operacional, além de todas as atribuições relevantes da rede de CSIRT, como definido na Diretiva SRI. Além disso, a Agência deve promover e apoiar a cooperação entre as CSIRT pertinentes em caso de incidentes, ataques ou perturbações nas redes ou infraestruturas por estas geridas ou protegidas e que envolvam, ou sejam suscetíveis de envolver, pelo menos duas CERT, tendo simultaneamente em conta os procedimentos operacionais normalizados da rede de CSIRT. A Agência pode, a pedido da Comissão ou de um Estado-Membro, proceder regularmente a auditorias regulares à segurança informática de infraestruturas transfronteiriças críticas, com o objetivo de identificar eventuais riscos de cibersegurança e com vista a determinar recomendações para reforçar a sua resiliência. |
Alteração 28 Proposta de regulamento Considerando 33 | |
|
Texto da Comissão |
Alteração |
|
(33) A Agência deve ainda desenvolver e manter os seus conhecimentos especializados em matéria de certificação da cibersegurança, com vista a apoiar a política da União neste domínio. A Agência deve promover a adoção da certificação da cibersegurança dentro da União, nomeadamente contribuindo para a criação e manutenção de um quadro de certificação da cibersegurança a nível da União, com vista a aumentar a transparência da garantia de cibersegurança de produtos e serviços de TIC e, desta forma, reforçar a confiança no mercado interno digital. |
(33) A Agência deve ainda desenvolver e manter os seus conhecimentos especializados em matéria de certificação da cibersegurança, com vista a apoiar a política da União neste domínio. A Agência deve basear-se nas boas práticas existentes e promover a adoção da certificação da cibersegurança dentro da União, nomeadamente contribuindo para a criação e manutenção de um quadro de certificação da cibersegurança a nível da União, com vista a aumentar a transparência da garantia de cibersegurança de produtos e serviços de TIC e, desta forma, reforçar a confiança no mercado interno digital. |
Alteração 29 Proposta de regulamento Considerando 35 | |
|
Texto da Comissão |
Alteração |
|
(35) A Agência deve incentivar os Estados-Membros e os prestadores de serviços a reforçarem as suas normas gerais de segurança, para que todos os utilizadores da Internet possam tomar as medidas necessárias para assegurarem a sua própria cibersegurança. Concretamente, os prestadores de serviços e os fabricantes de produtos devem retirar ou reciclar produtos e serviços que não cumpram as normas de cibersegurança. Em cooperação com as autoridades competentes, a ENISA poderá divulgar informações relativas ao nível de cibersegurança dos produtos e serviços disponibilizados no mercado interno e emitir alertas que visem os prestadores e fabricantes e solicitar-lhes que reforcem a segurança, nomeadamente a cibersegurança, dos seus produtos e serviços. |
(35) A Agência deve incentivar os Estados-Membros, os fabricantes e os prestadores de serviços a reforçarem as suas normas gerais de segurança dos seus produtos, processos, serviços e sistemas de TIC, que devem respeitar as obrigações básicas em matéria de segurança, em conformidade com o princípio da segurança por definição e desde a conceção, nomeadamente fornecendo as atualizações necessárias, para que todos os utilizadores da Internet possam ser protegidos e incentivados a tomar as medidas necessárias para assegurarem a sua própria cibersegurança. Concretamente, os prestadores de serviços e os fabricantes de produtos devem retirar ou reciclar produtos e serviços que não cumpram as obrigações básicas de cibersegurança, enquanto os importadores e distribuidores devem assegurar que os produtos, processos, serviços e sistemas de TIC que colocam no mercado da UE cumprem os requisitos aplicáveis e não colocam um risco para os consumidores europeus. Em cooperação com as autoridades competentes, a ENISA poderá divulgar informações relativas ao nível de cibersegurança dos produtos e serviços disponibilizados no mercado interno e emitir alertas que visem os prestadores e fabricantes e solicitar-lhes que reforcem a segurança, nomeadamente a cibersegurança, dos seus produtos, processos, serviços e sistemas. A Agência deve trabalhar em conjunto com as partes interessadas no desenvolvimento de uma abordagem à escala da UE para divulgação responsável de vulnerabilidades e deve promover as melhores práticas neste domínio. |
Alteração 30 Proposta de regulamento Considerando 36 | |
|
Texto da Comissão |
Alteração |
|
(36) A Agência deve ter plenamente em conta as atividades de investigação, desenvolvimento e avaliação tecnológica em curso, em especial as realizadas pelas diversas iniciativas de investigação da União, a fim de aconselhar as instituições, organismos, órgãos e agências da União e, se for caso disso, os Estados-Membros, a seu pedido, sobre as necessidades de investigação em matéria de segurança das redes e da informação, nomeadamente de cibersegurança. |
(36) A Agência deve ter plenamente em conta as atividades de investigação, desenvolvimento e avaliação tecnológica em curso, em especial as realizadas pelas diversas iniciativas de investigação da União, a fim de aconselhar as instituições, organismos, órgãos e agências da União e, se for caso disso, os Estados-Membros, a seu pedido, sobre as necessidades de investigação em matéria de segurança das redes e da informação, nomeadamente de cibersegurança. Mais especificamente, deve ser estabelecida cooperação com o Conselho Europeu de Investigação (CEI) e o Instituto Europeu de Inovação e Tecnologia (IET), devendo a investigação em matéria de segurança ser incluída no Nono Programa-Quadro de Investigação (PQ9) e no Horizonte 2020. |
Alteração 31 Proposta de regulamento Considerando 36-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(36-A) As normas são um instrumento voluntário que se rege pelo mercado, fornecendo orientações e requisitos técnicos em resultado de um processo aberto, transparente e inclusivo. A Agência deve consultar com regularidade as organizações de normalização e desenvolver as suas atividades em estreita colaboração com as mesmas, nomeadamente aquando da elaboração dos sistemas europeus de certificação da cibersegurança. |
Alteração 32 Proposta de regulamento Considerando 37 | |
|
Texto da Comissão |
Alteração |
|
(37) Os problemas de cibersegurança são questões mundiais. É necessário reforçar a cooperação internacional a fim de melhorar as normas de segurança, nomeadamente definindo normas de comportamento, partilhando informações e promovendo uma colaboração internacional mais célere na resposta aos problemas de segurança das redes e da informação, bem como uma abordagem global comum desses problemas. Para esse efeito, a Agência deve apoiar um maior envolvimento e cooperação da União com os países terceiros e com as organizações internacionais, fornecendo, se for caso disso, os conhecimentos especializados e as análises necessárias às instituições, organismos, órgãos e agências competentes da União. |
(37) Os problemas de cibersegurança são questões mundiais. É necessário reforçar a cooperação internacional a fim de melhorar as normas de segurança, nomeadamente definindo normas de comportamento e códigos de conduta comuns, usando normas internacionais, partilhando informações e promovendo uma colaboração internacional mais célere na resposta aos problemas de segurança das redes e da informação, bem como uma abordagem global comum desses problemas. Para esse efeito, a Agência deve apoiar um maior envolvimento e cooperação da União com os países terceiros e com as organizações internacionais, fornecendo, se for caso disso, os conhecimentos especializados e as análises necessárias às instituições, organismos, órgãos e agências competentes da União. |
Alteração 33 Proposta de regulamento Considerando 40 | |
|
Texto da Comissão |
Alteração |
|
(40) O conselho de administração, composto pelos Estados-Membros e pela Comissão, deve definir a orientação geral das operações da Agência e garantir que esta execute as suas atribuições de acordo com o presente regulamento. O conselho de administração deve ser dotado dos poderes necessários para estabelecer o orçamento, verificar a sua execução, aprovar as regras financeiras adequadas, definir procedimentos de trabalho transparentes para o processo decisório da Agência, aprovar o documento único de programação da Agência, aprovar o seu próprio regulamento interno, nomear o diretor executivo e decidir da prorrogação ou do termo do mandato deste último. |
(40) O conselho de administração, em representação dos Estados-Membros e da Comissão, bem como das partes interessadas relevantes para os objetivos da Agência, deve definir a orientação geral das operações da Agência e garantir que esta execute as suas atribuições de acordo com o presente regulamento. O conselho de administração deve ser dotado dos poderes necessários para estabelecer o orçamento, verificar a sua execução, aprovar as regras financeiras adequadas, definir procedimentos de trabalho transparentes para o processo decisório da Agência, aprovar o documento único de programação da Agência, aprovar o seu próprio regulamento interno, nomear o diretor executivo e decidir da prorrogação ou do termo do mandato deste último. Tendo em conta as tarefas altamente técnicas e científicas da Agência, convém que os membros do conselho de administração possuam uma experiência adequada e disponham de um elevado nível de conhecimentos especializados em questões abrangidas pelo âmbito das missões da Agência. |
Alteração 34 Proposta de regulamento Considerando 41 | |
|
Texto da Comissão |
Alteração |
|
(41) Para o funcionamento correto e eficaz da Agência, a Comissão e os Estados-Membros devem assegurar que as pessoas nomeadas para o conselho de administração tenham competências profissionais especializadas e experiência em áreas funcionais adequadas. A Comissão e os Estados-Membros devem também procurar limitar a rotação dos seus representantes no conselho de administração, a fim de assegurar a continuidade do trabalho deste órgão. |
(41) Para o funcionamento correto e eficaz da Agência, a Comissão e os Estados-Membros devem assegurar que as pessoas nomeadas para o conselho de administração tenham competências profissionais especializadas e experiência em áreas funcionais adequadas. A Comissão e os Estados-Membros devem também procurar limitar a rotação dos seus representantes no conselho de administração, a fim de assegurar a continuidade do trabalho deste órgão. Em virtude do elevado valor de mercado apresentado pelas competências necessárias ao exercício das funções na Agência, convém assegurar que os salários e as condições sociais oferecidos a todo o seu pessoal sejam competitivos e permitam aliciar os melhores profissionais. |
Justificação | |
Para dispor do nível de especialização adequado, a ENISA tem de ser um empregador competitivo num mercado altamente concorrencial. | |
Alteração 35 Proposta de regulamento Considerando 42 | |
|
Texto da Comissão |
Alteração |
|
(42) O bom funcionamento da Agência implica que o seu diretor executivo seja nomeado com base no mérito e em capacidades de gestão e administrativas documentadas, bem como na competência e na experiência relevantes para a cibersegurança, e que desempenhe as suas funções com total independência. O diretor executivo deve preparar uma proposta de programa de trabalho da Agência, após consulta da Comissão, e tomar todas as medidas necessárias para garantir a boa execução do programa de trabalho. O diretor executivo deve preparar um relatório anual a apresentar ao conselho de administração, elaborar um projeto de mapa previsional das receitas e despesas da Agência e executar o orçamento. Além disso, o diretor executivo deve ter a possibilidade de criar grupos de trabalho ad hoc para questões específicas, designadamente de natureza científica, técnica, legal ou socioeconómica. O diretor executivo deve assegurar que os membros dos grupos de trabalho ad hoc sejam selecionados de acordo com os mais elevados padrões de especialização, tendo devidamente em conta a necessidade de assegurar uma representação equilibrada, se for caso disso, em função das questões específicas em causa, entre as administrações públicas dos Estados-Membros, as instituições da União e o setor privado, incluindo empresas, utilizadores e académicos especialistas em segurança das redes e da informação. |
(42) O bom funcionamento da Agência implica que o seu diretor executivo seja nomeado com base no mérito e em capacidades de gestão e administrativas documentadas, bem como na competência e na experiência relevantes para a cibersegurança, e que desempenhe as suas funções com total independência. O diretor executivo deve preparar uma proposta de programa de trabalho da Agência, após consulta da Comissão, e tomar todas as medidas necessárias para garantir a boa execução do programa de trabalho. O diretor executivo deve preparar um relatório anual a apresentar ao conselho de administração, elaborar um projeto de mapa previsional das receitas e despesas da Agência e executar o orçamento. Além disso, o diretor executivo deve ter a possibilidade de criar grupos de trabalho ad hoc para questões específicas, designadamente de natureza científica, técnica, legal ou socioeconómica. O diretor executivo deve assegurar que os membros dos grupos de trabalho ad hoc sejam selecionados de acordo com os mais elevados padrões de especialização, tendo devidamente em conta a necessidade de assegurar uma representação equilibrada e o equilíbrio entre os géneros, se for caso disso, em função das questões específicas em causa, entre as administrações públicas dos Estados-Membros, as instituições da União e o setor privado, incluindo empresas, utilizadores e académicos especialistas em segurança das redes e da informação. |
Alteração 36 Proposta de regulamento Considerando 44 | |
|
Texto da Comissão |
Alteração |
|
(44) A Agência deve dispor, a título de órgão consultivo, de um grupo permanente de partes interessadas para assegurar o diálogo regular com o setor privado, com as associações de consumidores e com outras partes interessadas pertinentes. Esse grupo permanente de partes interessadas, criado pelo conselho de administração sob proposta do diretor executivo, deve concentrar-se em questões pertinentes para as partes interessadas e submetê-las à atenção da Agência. A composição do grupo permanente de partes interessadas, que deverá ser consultado particularmente no que diz respeito ao projeto de programa de trabalho, e as atribuições que lhe são conferidas devem assegurar uma representação suficiente das partes interessadas no trabalho da Agência. |
(44) A Agência deve dispor, a título de órgão consultivo, de um grupo consultivo da ENISA para assegurar o diálogo regular com o setor privado, com as associações de consumidores e o mundo académico e com outras partes interessadas pertinentes. O grupo consultivo da ENISA, criado pelo conselho de administração sob proposta do diretor executivo, deve concentrar-se em questões pertinentes para as partes interessadas e submetê-las à atenção da Agência. A composição do grupo permanente de partes interessadas, que deverá ser consultado particularmente no que diz respeito ao projeto de programa de trabalho, e as atribuições que lhe são conferidas devem assegurar uma representação suficiente das partes interessadas no trabalho da Agência. Dada a importância dos requisitos de certificação para garantir a confiança na IdC, a Comissão deve ponderar especificamente medidas de aplicação destinadas a garantir a harmonização das normas de segurança à escala da UE para os dispositivos da IdC. |
Alteração 37 Proposta de regulamento Considerando 44-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(44-A) A Agência deve dispor, a título de órgão consultivo, de um grupo das partes interessadas para a certificação, a fim de assegurar o diálogo regular com o setor privado, as associações de consumidores, o mundo académico e outras partes interessadas pertinentes. O grupo das partes interessadas para a certificação, criado pelo diretor executivo, deve ser constituído por um comité consultivo geral, que deverá pronunciar-se sobre os produtos e serviços que devem ser abrangidos por futuros sistemas europeus de certificação de segurança informática, bem como por comités ad hoc, que deverão contribuir para a proposta, o desenvolvimento e a adoção dos sistemas europeus de cibersegurança solicitados. |
Alteração 38 Proposta de regulamento Considerando 46 | |
|
Texto da Comissão |
Alteração |
|
(46) A fim de assegurar a plena autonomia e independência da Agência, e de lhe permitir exercer atribuições novas ou adicionais, incluindo atribuições de emergência imprevistas, a Agência deve ser dotada de um orçamento autónomo suficiente cujas receitas provenham essencialmente de uma contribuição da União e de contribuições dos países terceiros que participam nos trabalhos da Agência. A maior parte do pessoal da Agência deve estar diretamente implicada na execução operacional do mandato da Agência. O Estado-Membro de acolhimento, ou qualquer outro Estado-Membro, deve poder contribuir voluntariamente para as receitas da Agência. O procedimento orçamental da União deve permanecer aplicável no que diz respeito a todas as subvenções imputadas ao orçamento geral da União. Além disso, o Tribunal de Contas deve proceder à auditoria das contas da Agência, a fim de assegurar a transparência e a responsabilização. |
(46) A fim de assegurar a plena autonomia e independência da Agência, e de lhe permitir exercer atribuições novas ou adicionais, incluindo atribuições de emergência imprevistas, a Agência deve ser dotada de um orçamento autónomo suficiente cujas receitas provenham essencialmente de uma contribuição da União e de contribuições dos países terceiros que participam nos trabalhos da Agência. Um orçamento adequado é fundamental para garantir que a Agência disponha da capacidade necessária para que possa realizar na sua totalidade as suas crescentes atribuições e objetivos. A maior parte do pessoal da Agência deve estar diretamente implicada na execução operacional do mandato da Agência. O Estado-Membro de acolhimento, ou qualquer outro Estado-Membro, deve poder contribuir voluntariamente para as receitas da Agência. O procedimento orçamental da União deve permanecer aplicável no que diz respeito a todas as subvenções imputadas ao orçamento geral da União. Além disso, o Tribunal de Contas deve proceder à auditoria das contas da Agência, a fim de assegurar a transparência, a responsabilização e a eficiência das despesas. |
Alteração 39 Proposta de regulamento Considerando 47 | |
|
Texto da Comissão |
Alteração |
|
(47) A avaliação da conformidade é o processo pelo qual se demonstra que um produto, processo, serviço, sistema, pessoa ou organismo satisfaz os requisitos específicos que lhe são aplicáveis. Para efeitos do presente regulamento, a certificação deve ser considerada um tipo de avaliação da conformidade respeitante às características de cibersegurança de um produto, processo, serviço, sistema ou combinação dos mesmos («produtos e serviços de TIC») realizada por um terceiro independente, que não o fabricante do produto ou o prestador do serviço. A certificação, por si só, não pode garantir que os produtos e serviços de TIC certificados são ciberseguros. Trata-se antes de um procedimento e de uma metodologia técnica para atestar que os produtos e serviços de TIC foram ensaiados e que cumprem determinados requisitos de cibersegurança estabelecidos noutros diplomas, por exemplo, conforme especificado em normas técnicas. |
(47) A avaliação da conformidade é o processo pelo qual se demonstra que um produto, processo, serviço, sistema, pessoa ou organismo satisfaz os requisitos específicos que lhe são aplicáveis. Para efeitos do presente regulamento, a certificação deve ser considerada um tipo de avaliação da conformidade respeitante às características de cibersegurança de um produto, processo, serviço, sistema ou combinação dos mesmos («produtos, processos e serviços de TIC») realizada por um terceiro independente, ou, quando permitido, por meio de uma autoavaliação efetuada pelo fabricante do produto ou pelo prestador do serviço. A autoavaliação pode ser realizada pelo fabricante do produto, pelas PME ou pelo prestador do serviço, tal como estipulado pelo presente regulamento e, se for caso disso, nos termos do novo quadro legislativo e em conformidade com o mesmo. Além disso, a autoavaliação pode ser efetuada pelo fabricante ou pelo operador do produto sempre que não se preveja que a probabilidade de ocorrência de um incidente de cibersegurança – e/ou a probabilidade de tal incidente causar danos substanciais à sociedade ou a uma grande parte dela – seja elevada ou substancial, tendo em conta a utilização a que o produto ou serviço em questão se destina de acordo com o fabricante ou prestador de serviços. A certificação, por si só, não pode garantir que os produtos, processos e serviços de TIC abrangidos são ciberseguros, facto que deve ser devidamente comunicado aos consumidores e às empresas. Trata-se antes de um procedimento e de uma metodologia técnica para atestar que os produtos, processos e serviços de TIC foram ensaiados e que cumprem determinados requisitos de cibersegurança estabelecidos noutros diplomas, por exemplo, conforme especificado em normas técnicas. Essas normas técnicas compreendem uma indicação sobre se um produto, processo ou serviço de TIC pode ou não operar de forma regular quando desligado da Internet. |
Alteração 40 Proposta de regulamento Considerando 48 | |
|
Texto da Comissão |
Alteração |
|
(48) A certificação da cibersegurança desempenha um papel importante no aumento da confiança e segurança dos produtos e serviços de TIC. O mercado único digital, e em especial a economia dos dados e a Internet das coisas, apenas pode prosperar se houver uma confiança pública generalizada de que esses produtos e serviços fornecem um determinado nível de garantia da cibersegurança. Os automóveis conectados, os dispositivos médicos eletrónicos, os sistemas industriais de automatização e controlo ou as redes inteligentes são apenas alguns exemplos de setores nos quais a certificação é já amplamente utilizada ou suscetível de vir a ser utilizada no futuro próximo. Os setores regulados pela Diretiva SRI são também setores nos quais a certificação da cibersegurança é crucial. |
(48) A certificação europeia da cibersegurança desempenha um papel fundamental no aumento da confiança e segurança dos produtos, processos e serviços de TIC. O mercado único digital, e em especial a economia dos dados e a Internet das coisas, apenas pode prosperar se houver uma confiança pública generalizada de que esses produtos e serviços fornecem um elevado nível de garantia da cibersegurança. Os automóveis conectados, os dispositivos médicos eletrónicos, os sistemas industriais de automatização e controlo ou as redes inteligentes são apenas alguns exemplos de setores nos quais a certificação é já amplamente utilizada ou suscetível de vir a ser utilizada no futuro próximo. Os setores regulados pela Diretiva SRI são também setores nos quais a certificação da cibersegurança é crucial. |
Alteração 41 Proposta de regulamento Considerando 49 | |
|
Texto da Comissão |
Alteração |
|
(49) Na comunicação de 2016 intitulada «Reforçar o sistema de ciberresiliência da Europa e promover uma indústria de cibersegurança competitiva e inovadora», a Comissão salientou a necessidade de produtos e soluções de cibersegurança de elevada qualidade, acessíveis e interoperáveis. O fornecimento de produtos e serviços de TIC no mercado único continua a ser muito fragmentado geograficamente. Isto resulta de a indústria da cibersegurança na Europa se ter desenvolvido essencialmente com base na procura governamental nacional. Além disso, a falta de soluções interoperáveis (normas técnicas), práticas e mecanismos de certificação à escala da UE são outras das lacunas que afetam o mercado único da cibersegurança. Por um lado, esta situação torna difícil para as empresas europeias concorrer a nível nacional, europeu e mundial. Por outro, reduz a escolha de tecnologias de cibersegurança viáveis e utilizáveis a que as pessoas e as empresas têm acesso. De igual modo, na revisão intercalar relativa à aplicação da Estratégia para o Mercado Único Digital, a Comissão salientou a necessidade de produtos e sistemas conectados seguros e indicou que a criação de um quadro europeu de segurança das TIC que defina regras sobre como organizar a certificação da segurança das TIC na União poderia preservar a confiança na Internet e resolver a fragmentação atual do mercado da cibersegurança. |
(49) Na comunicação de 2016 intitulada «Reforçar o sistema de ciberresiliência da Europa e promover uma indústria de cibersegurança competitiva e inovadora», a Comissão salientou a necessidade de produtos e soluções de cibersegurança de elevada qualidade, acessíveis e interoperáveis. O fornecimento de produtos, processos e serviços de TIC no mercado único continua a ser muito fragmentado geograficamente. Isto resulta de a indústria da cibersegurança na Europa se ter desenvolvido essencialmente com base na procura governamental nacional. Além disso, a falta de soluções interoperáveis (normas técnicas), práticas e mecanismos de certificação à escala da UE são outras das lacunas que afetam o mercado único da cibersegurança. Por um lado, esta situação torna difícil para as empresas europeias concorrer a nível nacional, europeu e mundial. Por outro, reduz a escolha de tecnologias de cibersegurança viáveis e utilizáveis a que as pessoas e as empresas têm acesso. De igual modo, na revisão intercalar relativa à aplicação da Estratégia para o Mercado Único Digital, a Comissão salientou a necessidade de produtos e sistemas conectados seguros e indicou que a criação de um quadro europeu de segurança das TIC que defina regras sobre como organizar a certificação da segurança das TIC na União poderia preservar a confiança na Internet e resolver a fragmentação atual do mercado da cibersegurança. |
Alteração 42 Proposta de regulamento Considerando 50 | |
|
Texto da Comissão |
Alteração |
|
(50) Atualmente, a certificação da cibersegurança de produtos e serviços de TIC é utilizada apenas de forma limitada. Quando existe, verifica-se na sua maioria a nível do Estado-Membro ou no quadro de sistemas impulsionados pela indústria. Neste contexto, um certificado emitido por uma autoridade nacional de cibersegurança não é, em princípio, reconhecido por outros Estados-Membros. Por conseguinte, as empresas têm de certificar os seus produtos e serviços nos vários Estados-Membros onde operam, nomeadamente com vista a participar em procedimentos nacionais de adjudicação de contratos. Acresce que, embora estejam a surgir novos sistemas, parece não existir uma abordagem coerente e holística no tocante a questões horizontais de cibersegurança, designadamente no domínio da Internet das coisas. Os sistemas existentes apresentam insuficiências e diferenças consideráveis em termos de cobertura de produtos, níveis de garantia, critérios substantivos e utilização efetiva. |
(50) Atualmente, a certificação da cibersegurança de produtos, processos e serviços de TIC é utilizada apenas de forma limitada. Quando existe, verifica-se na sua maioria a nível do Estado-Membro ou no quadro de sistemas impulsionados pela indústria. Neste contexto, um certificado emitido por uma autoridade nacional de cibersegurança não é, em princípio, reconhecido por outros Estados-Membros. Por conseguinte, as empresas têm de certificar os seus produtos, processos e serviços nos vários Estados-Membros onde operam, nomeadamente com vista a participar em procedimentos nacionais de adjudicação de contratos, desta forma acarretando custos suplementares para as empresas. Acresce que, embora estejam a surgir novos sistemas, parece não existir uma abordagem coerente e holística no tocante a questões horizontais de cibersegurança, designadamente no domínio da Internet das coisas. Os sistemas existentes apresentam insuficiências e diferenças consideráveis em termos de cobertura de produtos, níveis de garantia baseados no risco, critérios substantivos e utilização efetiva. Neste contexto, o reconhecimento mútuo e a confiança entre os Estados-Membros constituem um elemento fundamental. A ENISA tem um papel importante a desempenhar no apoio aos Estados-Membros com vista a desenvolverem uma estrutura institucional sólida e conhecimentos especializados em matéria de proteção contra potenciais ciberataques. É necessária uma abordagem caso a caso para garantir que os serviços, processos e produtos estejam sujeitos a sistemas de certificação adequados. Além disso, é necessária uma abordagem baseada no risco para a identificação eficaz e a mitigação dos riscos, embora reconhecendo a impossibilidade de estabelecer um sistema de solução única. |
Alteração 43 Proposta de regulamento Considerando 52 | |
|
Texto da Comissão |
Alteração |
|
(52) Atendendo ao que precede, afigura-se necessário criar um quadro europeu de certificação da cibersegurança que estabeleça os principais requisitos horizontais para os sistemas europeus de certificação da cibersegurança a desenvolver e que permita que os certificados dos produtos e serviços de TIC sejam reconhecidos e utilizados em todos os Estados-Membros. O quadro europeu deve ter uma dupla finalidade: por um lado, deve ajudar a aumentar a confiança nos produtos e serviços de TIC que foram certificados em conformidade com os referidos sistemas; por outro lado, deve evitar a multiplicação de certificações nacionais da cibersegurança que entrem em conflito ou que se sobreponham e, desta forma, reduzir os custos para as empresas que operam no mercado único digital. Os sistemas devem ser não discriminatórios e assentes em normas internacionais e/ou da UE, salvo se tais normas forem ineficazes ou inadequadas para satisfazer os objetivos legítimos da União a este respeito. |
(52) Atendendo ao que precede, afigura-se necessário adotar uma abordagem comum e criar um quadro europeu de certificação da cibersegurança que estabeleça os principais requisitos horizontais para os sistemas europeus de certificação da cibersegurança a desenvolver e que permita que os certificados dos produtos e serviços de TIC sejam reconhecidos e utilizados em todos os Estados-Membros. Para tal, é essencial tomar por base sistemas nacionais e internacionais, bem como sistemas de reconhecimento mútuo, designadamente o SOG-IS, bem como permitir uma transição harmoniosa dos sistemas existentes para os sistemas aplicáveis ao abrigo do no novo quadro europeu. O quadro europeu deve ter uma dupla finalidade: por um lado, deve ajudar a aumentar a confiança nos produtos, processos e serviços de TIC que foram certificados em conformidade com os referidos sistemas; por outro lado, deve evitar a multiplicação de certificações nacionais da cibersegurança que entrem em conflito ou que se sobreponham e, desta forma, reduzir os custos para as empresas que operam no mercado único digital. Quando um sistema europeu de certificação da cibersegurança tenha substituído um sistema nacional, os certificados emitidos ao abrigo do sistema europeu são aceites como válidos nos casos em que seja exigida a certificação ao abrigo de um sistema nacional. Os sistemas devem guiar-se pelo princípio da segurança desde a conceção e pelos princípios referidos no Regulamento (UE) 2016/679. Devem ainda ser não discriminatórios e assentes em normas internacionais e/ou da UE, salvo se tais normas forem ineficazes ou inadequadas para satisfazer os objetivos legítimos da União a este respeito. |
Alteração 44 Proposta de regulamento Considerando 52-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(52-A) O quadro europeu de certificação da cibersegurança deve ser estabelecido de forma homogénea em todos os Estados-Membros para evitar a prática da certificação mais favorável («certification shopping») assente nas disparidades em termos de custo e nível de exigência existentes entre os Estados-Membros. |
Alteração 45 Proposta de regulamento Considerando 52-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(52-B) Observa que os sistemas de certificação devem basear-se no que já existe a nível nacional e internacional, tirando partido dos atuais pontos fortes e analisando e corrigindo as deficiências. |
Alteração 46 Proposta de regulamento Considerando 52-C (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(52-C) São necessárias soluções flexíveis em matéria de cibersegurança para que a indústria se antecipe a ameaças e ataques perniciosos, pelo que qualquer sistema de certificação deve evitar o risco de ficar rapidamente desatualizado. |
Alteração 47 Proposta de regulamento Considerando 53 | |
|
Texto da Comissão |
Alteração |
|
(53) Devem ser atribuídas competências à Comissão para adotar sistemas europeus de certificação da cibersegurança relativamente a grupos específicos de produtos e serviços de TIC. Esses sistemas devem ser implementados e supervisionados por autoridades nacionais supervisoras da certificação e os certificados emitidos no âmbito de tais sistemas devem ser válidos e reconhecidos em toda a União. Os sistemas de certificação operados pela indústria ou outras organizações privadas devem ser excluídos do âmbito de aplicação do regulamento. Contudo, os organismos que operem tais sistemas poderão propor à Comissão que os considere como base para a aprovação de sistemas europeus. |
(53) Devem ser atribuídas competências à Comissão para adotar sistemas europeus de certificação da cibersegurança relativamente a grupos específicos de produtos, processos e serviços de TIC. Esses sistemas devem ser implementados e supervisionados por autoridades nacionais supervisoras da certificação e os certificados emitidos no âmbito de tais sistemas devem ser válidos e reconhecidos em toda a União. Os sistemas de certificação operados pela indústria ou outras organizações privadas devem ser excluídos do âmbito de aplicação do regulamento. Contudo, os organismos que operem tais sistemas poderão propor à Comissão que os considere como base para a aprovação de sistemas europeus. A Agência deve identificar e avaliar os sistemas já operados pela indústria ou por organizações privadas, a fim de selecionar as boas práticas suscetíveis de serem integradas num sistema europeu. Os intervenientes do setor podem autoavaliar os seus produtos ou serviços antes da certificação, indicando assim que o seu produto ou serviço está pronto para iniciar o processo de certificação, se necessário. |
Alteração 48 Proposta de regulamento Considerando 53-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(53-A) A Agência e a Comissão devem utilizar da melhor forma os sistemas de certificação já existentes a nível da UE e/ ou internacional. A ENISA deve poder avaliar quais dos sistemas já utilizados se adequam à finalidade e podem ser incluídos na legislação europeia, em cooperação com organizações de normalização da UE e, tanto quanto possível, internacionalmente reconhecidos. As boas práticas em vigor devem ser recolhidas e partilhadas entre os Estados-Membros. |
Alteração 49 Proposta de regulamento Considerando 54 | |
|
Texto da Comissão |
Alteração |
|
(54) As disposições do presente regulamento devem aplicar-se sem prejuízo da legislação da União que prevê regras específicas em matéria de certificação de produtos e serviços de TIC. Designadamente, o Regulamento Geral sobre a Proteção de Dados («RGPD») estabelece disposições para a criação de procedimentos de certificação em matéria de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de responsáveis pelo tratamento e subcontratantes com esse regulamento. Esses procedimentos de certificação e selos e marcas de proteção de dados permitem que os titulares dos dados avaliem rapidamente o nível de proteção de dados proporcionado pelos produtos e serviços em causa. O presente regulamento aplica-se sem prejuízo da certificação das operações de tratamento de dados, nomeadamente quando essas operações estejam integradas em produtos e serviços, ao abrigo do RGPD. |
(54) As disposições do presente regulamento devem aplicar-se sem prejuízo da legislação da União que prevê regras específicas em matéria de certificação de produtos, processos e serviços de TIC. Designadamente, o Regulamento Geral sobre a Proteção de Dados («RGPD») estabelece disposições para a criação de procedimentos de certificação em matéria de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de responsáveis pelo tratamento e subcontratantes com esse regulamento. Esses procedimentos de certificação e selos e marcas de proteção de dados permitem que os titulares dos dados avaliem rapidamente o nível de proteção de dados proporcionado pelos produtos e serviços em causa. O presente regulamento aplica-se sem prejuízo da certificação das operações de tratamento de dados, nomeadamente quando essas operações estejam integradas em produtos e serviços, ao abrigo do RGPD. |
Alteração 50 Proposta de regulamento Considerando 55 | |
|
Texto da Comissão |
Alteração |
|
(55) O objetivo dos sistemas europeus de certificação da cibersegurança deve ser garantir que os produtos e serviços de TIC certificados ao abrigo desses sistemas cumprem os requisitos especificados. Esses requisitos dizem respeito à capacidade de resistir, com um determinado nível de garantia, a ações que se visem comprometer a disponibilidade, autenticidade, integridade e confidencialidade de dados armazenados, transmitidos ou tratados, as funções conexas ou serviços oferecidos por esses produtos, processos, serviços e sistemas ou acessíveis por via deles, na aceção do presente regulamento. É impossível definir pormenorizadamente no presente regulamento os requisitos de cibersegurança relativos a todos os produtos e serviços de TIC. Os produtos e serviços de TIC e necessidades de cibersegurança conexas são de tal forma diversos que é muito difícil apresentar requisitos de cibersegurança globais que sejam genericamente aplicáveis. Por conseguinte, é necessário adotar uma noção lata e geral de cibersegurança para efeitos de certificação, complementada por um conjunto de objetivos de cibersegurança específicos que devem ser tidos em conta durante a conceção dos sistemas europeus de certificação da cibersegurança. As modalidades com as quais esses objetivos serão alcançados em produtos e serviços de TIC específicos devem depois ser estabelecidas em pormenor a nível do sistema de certificação individual adotado pela Comissão, nomeadamente mediante referência a normas ou especificações técnicas. |
(55) O objetivo dos sistemas europeus de certificação da cibersegurança deve ser garantir que os produtos, serviços e processos de TIC certificados ao abrigo desses sistemas cumprem os requisitos especificados. Esses requisitos dizem respeito à capacidade de resistir, com um determinado nível de risco, a ações que se visem comprometer a disponibilidade, autenticidade, integridade e confidencialidade de dados armazenados, transmitidos ou tratados, as funções conexas ou serviços oferecidos por esses produtos, processos, serviços e sistemas ou acessíveis por via deles, na aceção do presente regulamento. É impossível definir pormenorizadamente no presente regulamento os requisitos de cibersegurança relativos a todos os produtos, serviços e processos de TIC. Os produtos, serviços e processos de TIC e necessidades de cibersegurança conexas são de tal forma diversos que é muito difícil apresentar requisitos de cibersegurança globais que sejam genericamente aplicáveis. Por conseguinte, é necessário adotar uma noção lata e geral de cibersegurança para efeitos de certificação, complementada por um conjunto de objetivos de cibersegurança específicos que devem ser tidos em conta durante a conceção dos sistemas europeus de certificação da cibersegurança. As modalidades com as quais esses objetivos serão alcançados em produtos, serviços e processos de TIC específicos devem depois ser estabelecidas em pormenor a nível do sistema de certificação individual adotado pela Comissão, nomeadamente mediante referência a normas ou especificações técnicas. Todos os intervenientes numa determinada cadeia de abastecimento devem ser incentivados a desenvolver e adotar padrões de segurança, normas técnicas e princípios de segurança desde a conceção, em todas as fases do ciclo de vida do produto, serviço ou processo; cada sistema europeu de certificação da cibersegurança deve ser concebido para esse efeito. |
Alteração 51 Proposta de regulamento Considerando 56 | |
|
Texto da Comissão |
Alteração |
|
(56) Devem ser atribuídas competências à Comissão para pedir à ENISA que prepare propostas de sistemas destinados a produtos ou serviços de TIC específicos. Devem ser atribuídas competências à Comissão para adotar, com base na proposta de sistema apresentada pela ENISA, o sistema europeu de certificação da cibersegurança por meio de atos de execução. Tendo em conta a finalidade geral e os objetivos de segurança identificados no presente regulamento, os sistemas europeus de certificação da cibersegurança adotados pela Comissão devem especificar um conjunto mínimo de elementos relativos ao objeto, âmbito de aplicação e funcionamento do sistema individual. Os mesmos devem incluir, entre outros, o âmbito de aplicação e objeto da certificação da cibersegurança, designadamente as categorias de produtos e serviços de TIC abrangidos, a especificação pormenorizada dos requisitos de cibersegurança, por exemplo mediante referência a normas ou especificações técnicas, os critérios específicos de avaliação e métodos de avaliação, bem como o nível previsto de garantia: básico, substancial e/ou elevado. |
(56) Devem ser atribuídas competências à Comissão para pedir à ENISA que prepare propostas de sistemas destinados a produtos, processos ou serviços de TIC específicos com base em motivos devidamente justificados, nomeadamente a fragmentação do mercado interno pelos sistemas nacionais de certificação da cibersegurança atualmente em vigor, uma necessidade atual ou prevista de apoio à legislação da União ou um parecer emitido pelo grupo dos Estados-Membros para a certificação ou pelo grupo das partes interessadas para a certificação. Após a avaliação das propostas de sistemas de certificação apresentadas pela ENISA com base no pedido da Comissão, devem ser atribuídas competências à Comissão para adotar os sistemas europeus de certificação da cibersegurança por meio de atos delegados. Tendo em conta a finalidade geral e os objetivos de segurança identificados no presente regulamento, os referidos sistemas europeus de certificação da cibersegurança adotados pela Comissão devem especificar um conjunto mínimo de elementos relativos ao objeto, âmbito de aplicação e funcionamento do sistema individual. Os mesmos devem incluir, entre outros, o âmbito de aplicação e objeto da certificação da cibersegurança, designadamente as categorias de produtos e serviços de TIC abrangidos, a especificação pormenorizada dos requisitos de cibersegurança, por exemplo mediante referência a normas ou especificações técnicas, os critérios específicos de avaliação e métodos de avaliação, bem como o nível previsto de garantia: básico, substancial e/ou elevado. |
Alteração 52 Proposta de regulamento Considerando 56-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(56-A) A Agência deve ser o ponto de referência para a informação sobre os sistemas europeus de cibersegurança. Deve manter um sítio Web com todas as informações pertinentes, nomeadamente as informações relativas aos certificados retirados e caducados e às certificações nacionais abrangidas. A Agência deverá assegurar que uma parte adequada do conteúdo disponibilizado no seu sítio Web é compreensível para o consumidor comum. |
Alteração 53 Proposta de regulamento Considerando 56-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(56-B) É necessário estabelecer níveis de garantia nos certificados, a fim de dar ao utilizador final uma indicação do tipo de ciberameaça esperado que as medidas de cibersegurança previstas no produto, no processo ou no serviço pretendem prevenir. As ciberameaças devem ser definidas tomando em consideração o risco previsível e as capacidades esperadas do autor ou dos autores do ataque no âmbito da utilização prevista do produto, processo ou serviço de TIC abrangido. O nível de garantia «básico» refere-se à capacidade de resistir a ataques que podem ser evitados com medidas básicas de cibersegurança e facilmente verificáveis através do exame da documentação técnica. O nível de garantia «substancial» refere-se à capacidade de resistir a tipos de ataque conhecidos, perpetrados por um intruso com um certo nível de sofisticação, mas recursos limitados. O nível de garantia «elevado» refere-se à capacidade de resistir a vulnerabilidades desconhecidas e a ataques sofisticados, utilizando para tal técnicas de ponta e recursos importantes, tais como equipas multidisciplinares financiadas. |
Alteração 54 Proposta de regulamento Considerando 56-C (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(56-C) A fim de evitar a fragmentação do mercado interno resultante dos diferentes sistemas nacionais de cibersegurança, encorajar legislações futuras e aumentar a confiança e a segurança, o poder de adotar atos em conformidade com o artigo 290.º do Tratado sobre o Funcionamento da União Europeia deve ser delegado na Comissão no que diz respeito à definição das prioridades da certificação europeia da cibersegurança, à adoção do programa evolutivo e ao estabelecimento de sistemas europeus de certificação. É sobremaneira importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos, e que essas consultas sejam conduzidas de acordo com os princípios estabelecidos no Acordo Interinstitucional sobre legislar melhor de 13 de abril de 2016. Em particular, a fim de assegurar a igualdade de participação na preparação dos atos delegados, o Parlamento Europeu e o Conselho recebem todos os documentos ao mesmo tempo que os peritos dos Estados-Membros e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados. |
Alteração 55 Proposta de regulamento Considerando 56-D (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(56-D) Entre os métodos e processos de avaliação associados a cada sistema europeu de certificação da cibersegurança, convinha promover, ao nível da União, a pirataria informática ética, que tem por objetivo identificar as fraquezas e vulnerabilidades dos dispositivos e sistemas de informação, antecipando as ações e manobras de perícia dos piratas malévolos. |
Alteração 56 Proposta de regulamento Considerando 57 | |
|
Texto da Comissão |
Alteração |
|
(57) O recurso à certificação europeia da cibersegurança deve manter-se voluntário, salvo disposição em contrário na legislação da União ou nacional. Todavia, com vista à consecução dos objetivos do presente regulamento e para evitar a fragmentação do mercado interno, os sistemas ou procedimentos nacionais de certificação da cibersegurança de produtos e serviços de TIC abrangidos por um sistema europeu de certificação da cibersegurança devem cessar de produzir efeitos a contar da data estipulada pela Comissão por meio do ato de execução. Além disso, os Estados-Membros não devem introduzir novos sistemas nacionais de certificação que incluam sistemas de certificação da cibersegurança de produtos e serviços de TIC já abrangidos por um sistema europeu de certificação da cibersegurança existente. |
(57) O recurso à certificação europeia da cibersegurança deve manter-se voluntário, salvo disposição em contrário na legislação da União ou nacional. Todavia, com vista à consecução dos objetivos do presente regulamento e para evitar a fragmentação do mercado interno, os sistemas ou procedimentos nacionais de certificação da cibersegurança de produtos, processos e serviços de TIC abrangidos por um sistema europeu de certificação da cibersegurança devem cessar de produzir efeitos a contar da data estipulada pela Comissão por meio do ato delegado. Além disso, os Estados-Membros não devem introduzir novos sistemas nacionais de certificação que incluam sistemas de certificação da cibersegurança de produtos e serviços de TIC já abrangidos por um sistema europeu de certificação da cibersegurança existente. Contudo, o presente regulamento não deve prejudicar a gestão pelos Estados-Membros dos sistemas nacionais que abranjam produtos, processos e serviços de TIC utilizados no âmbito da respetiva soberania. |
Alteração 57 Proposta de regulamento Considerando 57-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(57-A) É introduzido um dever de emitir uma declaração de produto que contenha informações estruturadas relativas à certificação do produto, processo ou serviço para fornecer mais informações ao consumidor e permitir que este faça uma escolha fundamentada. |
Alteração 58 Proposta de regulamento Considerando 57-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(57-D) Ao propor novos sistemas europeus de cibersegurança, a ENISA e outros organismos relevantes devem prestar a devida atenção à dinâmica competitiva da proposta, certificando-se especificamente de que, quando existam muitas pequenas e médias empresas no setor em causa, como é o caso do desenvolvimento de software, os sistemas de certificação não constituam um obstáculo à entrada de novas empresas e à inovação. |
Alteração 59 Proposta de regulamento Considerando 57-C (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(57-C) Os sistemas europeus de cibersegurança contribuirão para harmonizar e unificar as práticas de cibersegurança na União. Contudo, não devem passar a constituir o nível mínimo de cibersegurança. A conceção de sistemas europeus de cibersegurança deve também ter em conta e permitir o desenvolvimento de inovações no domínio da cibersegurança. |
Alteração 60 Proposta de regulamento Considerando 58 | |
|
Texto da Comissão |
Alteração |
|
(58) Assim que um sistema europeu de certificação da cibersegurança for adotado, os fabricantes de produtos de TIC ou os prestadores de serviços de TIC devem poder apresentar uma candidatura para a certificação dos seus produtos ou serviços a um organismo de avaliação da conformidade da sua escolha. Os organismos de avaliação da conformidade devem ser acreditados por um organismo de acreditação se cumprirem determinados requisitos estabelecidos no presente regulamento. A acreditação deve ser emitida por um período máximo de cinco anos e pode ser renovada nas mesmas condições, desde que o organismo de avaliação da conformidade cumpra os requisitos. Os organismos de acreditação devem revogar a acreditação de um organismo de avaliação da conformidade se as condições para a acreditação não forem cumpridas ou deixarem de ser cumpridas, ou se o organismo de avaliação da conformidade tomar medidas que violem o presente regulamento. |
(58) Assim que um sistema europeu de certificação da cibersegurança for adotado, os fabricantes de produtos de TIC, os fornecedores de processos de TIC ou os prestadores de serviços de TIC devem poder apresentar uma candidatura para a certificação dos seus produtos ou serviços a um organismo de avaliação da conformidade da sua escolha, em qualquer ponto da União. Os organismos de avaliação da conformidade devem ser acreditados por um organismo de acreditação se cumprirem determinados requisitos estabelecidos no presente regulamento. A acreditação deve ser emitida por um período máximo de cinco anos e pode ser renovada nas mesmas condições, desde que o organismo de avaliação da conformidade cumpra os requisitos. Os organismos de acreditação devem revogar a acreditação de um organismo de avaliação da conformidade se as condições para a acreditação não forem cumpridas ou deixarem de ser cumpridas, ou se o organismo de avaliação da conformidade tomar medidas que violem o presente regulamento. A Agência deve realizar auditorias para assegurar um nível equivalente de qualidade e diligência dos organismos de avaliação da conformidade, a fim de evitar a arbitragem regulamentar. Os resultados devem ser comunicados à Agência, à Comissão e ao Parlamento e devem ser disponibilizados ao público. |
Alteração 61 Proposta de regulamento Considerando 58-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(58-A) A utilização obrigatória da certificação europeia da cibersegurança deve ser limitada aos casos em que os custos para a indústria, para os cidadãos e para os consumidores são justificados com base na análise de risco. Os incidentes que perturbam os serviços essenciais podem impedir a prossecução das atividades económicas, gerar perdas financeiros substanciais, minar a confiança dos utilizadores e causar danos avultados à economia da União. A utilização obrigatória da certificação europeia da cibersegurança pelos operadores de serviços essenciais deve limitar-se aos elementos que se revestem de importância crítica para o seu funcionamento e não deve abranger produtos, processos e serviços de aplicação geral, uma vez que tal comportaria custos injustificados para a indústria e para os consumidores. A Comissão deve trabalhar em conjunto com o grupo de cooperação criado nos termos do artigo 11.º da Diretiva (UE) 2016/1148, a fim de estabelecer uma lista de categorias de produtos, processos e serviços exclusivamente destinados a ser utilizados pelos operadores de serviços essenciais e cujo mau funcionamento em caso de ocorrência de um incidente pode ter um efeito perturbador importante no serviço essencial. A referida lista deve ser coligida gradualmente e atualizada sempre que necessário. Apenas os produtos, processos e serviços que figuram nessa lista devem ser obrigatórios para os operadores de serviços essenciais. |
Alteração 62 Proposta de regulamento Considerando 58-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(58-B) A presença de referências cruzadas na legislação nacional, remetendo para uma norma nacional que deixou de produzir efeitos jurídicos em virtude da entrada em vigor de um sistema europeu de certificação, pode constituir uma potencial fonte de confusão para os fabricantes e utilizadores finais. A fim de evitar que os fabricantes continuem a aplicar especificações correspondentes aos certificados nacionais que já não estão em vigor, os Estados-Membros devem, em conformidade com as obrigações que lhes incumbem por força dos Tratados, adaptar a respetiva legislação nacional de modo a refletir a adoção de um sistema europeu de certificação. |
Alteração 63 Proposta de regulamento Considerando 59 | |
|
Texto da Comissão |
Alteração |
|
(59) É necessário exigir que todos os Estados-Membros designem uma autoridade supervisora da certificação da cibersegurança para supervisionar a conformidade dos organismos de avaliação da conformidade e dos certificados emitidos pelos organismos de avaliação da conformidade estabelecidos no seu território com os requisitos do presente regulamento e dos sistemas de certificação da cibersegurança pertinentes. As autoridades nacionais supervisoras da certificação devem tratar das reclamações apresentadas por pessoas singulares ou coletivas relativamente a certificados emitidos por organismos de avaliação da conformidade estabelecidos nos respetivos territórios, investigar, tanto quanto for necessário, o conteúdo das reclamações e informar os respetivos autores do andamento e do resultado da investigação num prazo razoável. Além disso, deverão cooperar com outras autoridades nacionais supervisoras da certificação ou outras autoridades públicas, incluindo pela partilha de informações sobre a eventual não conformidade de produtos e serviços de TIC com os requisitos do presente regulamento ou de sistemas de certificação da cibersegurança específicos. |
(59) É necessário exigir que todos os Estados-Membros designem uma autoridade supervisora da certificação da cibersegurança para supervisionar a conformidade dos organismos de avaliação da conformidade e dos certificados emitidos pelos organismos de avaliação da conformidade estabelecidos no seu território com os requisitos do presente regulamento e dos sistemas de certificação da cibersegurança pertinentes, bem como para assegurar que os certificados europeus de cibersegurança sejam reconhecidos nos respetivos territórios. As autoridades nacionais supervisoras da certificação devem tratar das reclamações apresentadas por pessoas singulares ou coletivas relativamente a certificados emitidos por organismos de avaliação da conformidade estabelecidos nos respetivos territórios ou relativamente a alegadas deficiências no reconhecimento de certificados nos respetivos territórios, investigar, tanto quanto for necessário, o conteúdo das reclamações e informar os respetivos autores do andamento e do resultado da investigação num prazo razoável. Além disso, deverão cooperar com outras autoridades nacionais supervisoras da certificação ou outras autoridades públicas, incluindo pela partilha de informações sobre a eventual não conformidade de produtos, processos e serviços de TIC com os requisitos do presente regulamento ou de sistemas de certificação da cibersegurança específicos ou sobre o não reconhecimento de certificados europeus de cibersegurança. Deverão ainda supervisionar e verificar a regularidade das autodeclarações de conformidade e se os certificados europeus da cibersegurança foram emitidos por organismos de avaliação da conformidade no respeito dos requisitos previstos no presente regulamento, incluindo as normas adotadas pelo grupo europeu para a certificação da cibersegurança e os requisitos estabelecidos pelo sistema de certificação da cibersegurança aplicável. Uma cooperação efetiva entre autoridades nacionais supervisoras da certificação é fundamental para a aplicação adequada dos sistemas europeus de certificação da cibersegurança e das questões técnicas relativas à cibersegurança de produtos e serviços de TIC. A Comissão deve facilitar o intercâmbio de informações através da disponibilização de um sistema geral de apoio a informações eletrónicas, por exemplo o Sistema de Fiscalização do Mercado e de Intercâmbio de Informações (ICSMS) e o sistema de alerta rápido para produtos de consumo não alimentares (RAPEX), já utilizados pelas autoridades de fiscalização do mercado de acordo com o Regulamento (CE) n.º 765/2008. |
Alteração 64 Proposta de regulamento Considerando 60 | |
|
Texto da Comissão |
Alteração |
|
(60) Com vista a assegurar a aplicação consistente do quadro europeu de certificação da cibersegurança, deve ser criado um grupo europeu para a certificação da cibersegurança («Grupo») composto por autoridades nacionais supervisoras da certificação. As principais atribuições do Grupo serão: aconselhar e assistir a Comissão no seu trabalho, a fim de assegurar uma execução e uma aplicação coerentes do quadro europeu de certificação da cibersegurança; assistir e cooperar estreitamente com a Agência na preparação de propostas de sistemas de certificação da cibersegurança; recomendar que a Comissão peça à Agência que prepare uma proposta de sistema europeu de certificação da cibersegurança; adotar pareceres dirigidos à Comissão relacionados com a manutenção e revisão dos sistemas europeus de certificação da cibersegurança existentes. |
(60) Com vista a assegurar a aplicação consistente do quadro europeu de certificação da cibersegurança, deve ser criado um grupo dos Estados-Membros para a certificação («Grupo») composto por autoridades nacionais supervisoras da certificação. As principais atribuições do grupo dos Estados-Membros para a certificação serão: aconselhar e assistir a Comissão no seu trabalho, a fim de assegurar uma execução e uma aplicação coerentes do quadro europeu de certificação da cibersegurança; assistir e cooperar estreitamente com a Agência na preparação de propostas de sistemas de certificação da cibersegurança; recomendar que a Comissão peça à Agência que prepare uma proposta de sistema europeu de certificação da cibersegurança; adotar pareceres dirigidos à Comissão relacionados com a manutenção e revisão dos sistemas europeus de certificação da cibersegurança existentes. |
Alteração 65 Proposta de regulamento Considerando 60-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(60-A) Com vista a garantir a equivalência do nível de competência técnica dos organismos de avaliação da conformidade, a facilitar o reconhecimento mútuo e a promover a aceitação geral dos certificados e dos resultados de avaliação da conformidade emitidos pelos organismos de avaliação da conformidade, importa que as autoridades nacionais supervisoras da certificação apliquem um sistema rigoroso e transparente de avaliação pelos pares e se submetam regularmente a essa avaliação. |
Alteração 66 Proposta de regulamento Considerando 60-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(60-B) A cooperação eficaz entre autoridades nacionais supervisoras da certificação é essencial à correta execução da avaliação pelos pares e no que respeita à acreditação transfronteiriça. No interesse da transparência, será, pois, necessário prever a obrigação de as autoridades nacionais supervisoras da certificação procederem à troca de informação e de facultarem a informação relevante às autoridades nacionais e à Comissão. Deverá também ser tornada pública e, portanto, acessível, em particular aos organismos de avaliação da conformidade, informação atualizada e rigorosa sobre a disponibilidade de atividades de acreditação levadas a cabo por organismos nacionais de acreditação. |
Alteração 67 Proposta de regulamento Considerando 61 | |
|
Texto da Comissão |
Alteração |
|
(61) A fim de sensibilizar para os futuros sistemas de cibersegurança da UE e de facilitar a sua aceitação, a Comissão Europeia poderá emitir orientações gerais ou setoriais sobre cibersegurança, abordando, por exemplo, as boas práticas de cibersegurança ou o comportamento responsável em matéria de cibersegurança, salientando o efeito positivo da utilização de produtos e serviços de TIC certificados. |
(61) A fim de sensibilizar para os futuros sistemas de cibersegurança da UE e de facilitar a sua aceitação, a Comissão Europeia poderá emitir orientações gerais ou setoriais sobre cibersegurança, abordando, por exemplo, as boas práticas de cibersegurança ou o comportamento responsável em matéria de cibersegurança, salientando o efeito positivo da utilização de produtos, processos e serviços de TIC certificados. |
Alteração 68 Proposta de regulamento Considerando 63 | |
|
Texto da Comissão |
Alteração |
|
(63) Com vista a especificar mais pormenorizadamente os critérios para a acreditação de organismos de avaliação da conformidade, o poder de adotar atos, nos termos do artigo 290.º do Tratado sobre o Funcionamento da União Europeia, deve ser delegado na Comissão. A Comissão deve efetuar consultas adequadas durante os seus trabalhos preparatórios, nomeadamente a nível de peritos. As consultas devem ser realizadas na observância dos princípios estabelecidos no Acordo Interinstitucional «Legislar Melhor», de 13 de abril de 2016. Em particular, a fim de assegurar a igualdade de participação na preparação de atos delegados, o Parlamento Europeu e o Conselho devem receber todos os documentos ao mesmo tempo que os peritos dos Estados-Membros, e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados. |
(63) Com vista a especificar mais pormenorizadamente os critérios para a acreditação de organismos de avaliação da conformidade, o poder de adotar atos, nos termos do artigo 290.º do Tratado sobre o Funcionamento da União Europeia, deve ser delegado na Comissão. A Comissão deve efetuar consultas adequadas durante os seus trabalhos preparatórios, nomeadamente a nível de peritos e, se for caso disso, com as partes interessadas pertinentes. As consultas devem ser realizadas na observância dos princípios estabelecidos no Acordo Interinstitucional «Legislar Melhor», de 13 de abril de 2016. Em particular, a fim de assegurar a igualdade de participação na preparação de atos delegados, o Parlamento Europeu e o Conselho devem receber todos os documentos ao mesmo tempo que os peritos dos Estados-Membros, e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados. |
Alteração 69 Proposta de regulamento Considerando 65 | |
|
Texto da Comissão |
Alteração |
|
(65) O procedimento de exame deve ser seguido no que concerne a adoção de atos de execução relativos: aos sistemas europeus de certificação da cibersegurança de produtos e serviços de TIC; às modalidades para realização de inquéritos por parte da Agência; às circunstâncias, aos formatos e aos procedimentos de notificação de organismos de avaliação da conformidade acreditados pelas autoridades nacionais supervisoras da certificação à Comissão. |
(65) Podem também ser adotados atos delegados relativos aos sistemas europeus de certificação da cibersegurança de produtos, processos e serviços de TIC; às modalidades para realização de inquéritos por parte da Agência; às circunstâncias, aos formatos e aos procedimentos de notificação de organismos de avaliação da conformidade acreditados pelas autoridades nacionais supervisoras da certificação à Comissão. |
Alteração 70 Proposta de regulamento Considerando 66 | |
|
Texto da Comissão |
Alteração |
|
(66) As atividades da Agência devem ser avaliadas de forma independente. A avaliação deve ter em consideração a consecução dos objetivos por parte da Agência, os seus métodos de trabalho e a pertinência das suas atribuições. A avaliação deve também avaliar o impacto, a eficácia e a eficiência do quadro europeu de certificação da cibersegurança. |
(66) As atividades da Agência devem ser avaliadas de forma constante e independente. A avaliação deve ter em consideração a consecução dos objetivos por parte da Agência, os seus métodos de trabalho e a pertinência das suas atribuições, em especial, o papel de coordenação que desempenha relativamente aos Estados-Membros e às respetivas autoridades nacionais. Em caso de revisão, a Comissão deverá avaliar a possibilidade de a Agência funcionar como um balcão único para os Estados-Membros e as instituições e organismos da União. |
Alteração 71 Proposta de regulamento Considerando 66-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(66-A) A avaliação deve também avaliar o impacto, a eficácia e a eficiência do quadro europeu de certificação da cibersegurança. No caso de uma revisão, a Comissão poderia ponderar a possibilidade de a Agência desempenhar um papel na avaliação dos produtos e serviços de países terceiros que entram no mercado da União e a eventual criação de uma lista negra das empresas que não cumprem as normas da União. |
Alteração 72 Proposta de regulamento Considerando 66-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(66-B) A avaliação deverá apreciar o nível de cibersegurança dos produtos e serviços vendidos na União. No caso de uma revisão, a Comissão deve avaliar se convém incluir requisitos essenciais de cibersegurança como condição de acesso ao mercado interno. |
Alteração 73 Proposta de regulamento Artigo 1 – parágrafo 1 – alínea a) | |
|
Texto da Comissão |
Alteração |
|
a) Os objetivos, as atribuições e os aspetos organizativos da ENISA, a «Agência da União Europeia para a Cibersegurança», a seguir designada por «Agência»; e |
a) Os objetivos, as atribuições e os aspetos organizativos da «Agência da União Europeia para a Segurança das Redes e da Informação» («Agência»); e |
Alteração 74 Proposta de regulamento Artigo 1 – parágrafo 1 – alínea b) | |
|
Texto da Comissão |
Alteração |
|
b) Um quadro para o estabelecimento de sistemas europeus de certificação da cibersegurança com o objetivo de assegurar um nível adequado de cibersegurança de produtos e serviços de TIC na União. Este quadro é aplicável sem prejuízo de disposições específicas em matéria de certificação de caráter voluntário ou obrigatório constantes de outros atos da União. |
b) Um quadro para o estabelecimento de sistemas europeus de certificação da cibersegurança com o objetivo de evitar uma fragmentação dos sistemas de certificação na União e assegurar um nível adequado de cibersegurança de produtos, processos e serviços de TIC na União que seja aplicável sem prejuízo de disposições específicas em matéria de certificação de caráter voluntário e, se for caso disso, em matéria de certificação de caráter obrigatório, quando previsto pelo presente regulamento ou por outros atos da União. |
Alteração 75 Proposta de regulamento Artigo 1 – parágrafo 1-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
A Agência exerce as suas funções sem prejuízo das competências dos Estados-Membros em matéria de cibersegurança e, em especial, dos suas competências no domínio da segurança pública, da defesa, da segurança nacional e do direito penal. |
Alteração 76 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 1 | |
|
Texto da Comissão |
Alteração |
|
1) «Cibersegurança»: as atividades necessárias para proteger de ciberameaças as redes e dos sistemas de informação, os seus utilizadores e as pessoas afetadas; |
(Não se aplica à versão portuguesa.) |
Alteração 77 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 2 | |
|
Texto da Comissão |
Alteração |
|
2) «Rede e sistema de informação»: um sistema na aceção do artigo 4.º, n.º 1, da Diretiva (UE) 2016/1148; |
2) «Rede e sistema de informação»: uma rede e um sistema de informação na aceção do artigo 4.º, n.º 1, da Diretiva (UE) 2016/1148; |
Alteração 78 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 3 | |
|
Texto da Comissão |
Alteração |
|
3) «Estratégia nacional de segurança das redes e dos sistemas de informação»: um enquadramento na aceção do artigo 4.º, n.º 3, da Diretiva (UE) 2016/1148; |
3) «Estratégia nacional de segurança das redes e dos sistemas de informação»: uma estratégia nacional de segurança das redes e dos sistemas de informação na aceção do artigo 4.º, n.º 3, da Diretiva (UE) 2016/1148; |
Alteração 79 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 4 | |
|
Texto da Comissão |
Alteração |
|
4) «Operador de serviços essenciais»: uma entidade pública ou privada na aceção do artigo 4.º, n.º 4, da Diretiva (UE) 2016/1148; |
4) «Operador de serviços essenciais»: um operador de serviços essenciais na aceção do artigo 4.º, n.º 4, da Diretiva (UE) 2016/1148; |
Alteração 80 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 5 | |
|
Texto da Comissão |
Alteração |
|
5) «Prestador de serviços digitais»: uma pessoa coletiva que presta um serviço digital na aceção do artigo 4.º, n.º 6, da Diretiva (UE) 2016/1148; |
5) «Prestador de serviços digitais», um prestador de serviços digitais na aceção do artigo 4.º, n.º 6, da Diretiva (UE) 2016/1148; |
Alteração 81 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 6 | |
|
Texto da Comissão |
Alteração |
|
6) «Incidente»: um evento na aceção do artigo 4.º, n.º 7, da Diretiva (UE) 2016/1148; |
6) «Incidente»: um incidente na aceção do artigo 4.º, n.º 7, da Diretiva (UE) 2016/1148; |
Alteração 82 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 7 | |
|
Texto da Comissão |
Alteração |
|
7) «Tratamento de incidentes»: um procedimento na aceção do artigo 4.º, n.º 8, da Diretiva (UE) 2016/1148; |
7) «Tratamento de incidentes»: um tratamento de incidentes na aceção do artigo 4.º, n.º 8, da Diretiva (UE) 2016/1148; |
Alteração 83 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 8 | |
|
Texto da Comissão |
Alteração |
|
8) «Ciberameaça»: uma potencial circunstância ou evento que possa afetar negativamente as redes e os sistemas de informação, os seus utilizadores e as pessoas afetadas. |
8) «Ciberameaça»: uma potencial circunstância, um evento ou uma ação intencional, nomeadamente um comando automatizado, que possa prejudicar, perturbar ou afetar negativamente de qualquer outra forma as redes e os sistemas de informação, os seus utilizadores e as pessoas afetadas. |
Alteração 84 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 8-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
8-A) «Ciber-higiene»: medidas simples de rotina que, quando aplicadas e realizadas com regularidade pelos utilizadores e pelas empresas em linha, minimizam a sua exposição aos riscos decorrentes de ciberameaças. |
Alteração 85 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 9 | |
|
Texto da Comissão |
Alteração |
|
9) «Sistema europeu de certificação da cibersegurança»: o conjunto abrangente de regras, requisitos técnicos, normas e procedimentos definidos a nível da União e aplicáveis à certificação de produtos e serviços de tecnologias da informação e comunicação (TIC) abrangidos pelo âmbito de aplicação desse sistema específico; |
9) «Sistema europeu de certificação da cibersegurança»: o conjunto abrangente de regras, requisitos técnicos, normas e procedimentos definidos a nível da União e em conformidade com as normas internacionais e europeias, bem como as especificações das TIC identificadas pela Agência, aplicáveis à certificação de produtos, serviços e processos de tecnologias da informação e comunicação (TIC) abrangidos pelo âmbito de aplicação desse sistema específico; |
Alteração 86 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 10 | |
|
Texto da Comissão |
Alteração |
|
10) «Certificado europeu de cibersegurança»: um documento emitido por um organismo de avaliação da conformidade que ateste que um determinado produto ou serviço de TIC cumpre os requisitos específicos estabelecidos por um sistema europeu de certificação da cibersegurança; |
10) «Certificado europeu de cibersegurança»: um documento emitido por um organismo de avaliação da conformidade que ateste que um determinado produto, serviço ou processo de TIC cumpre os requisitos específicos estabelecidos por um sistema europeu de certificação da cibersegurança; |
Alteração 87 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 11-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
11-A) «Processo de TIC»: um conjunto de atividades levadas a cabo para conceber, desenvolver, manter e fornecer um produto ou serviço de TIC; |
Alteração 88 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 11-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
11-B) «Dispositivo eletrónico de consumo»: um dispositivo que consiste em hardware e software de processamento de dados pessoais ou ligação à Internet tendo em vista o funcionamento de aparelhos de domótica e de controlo do lar, equipamentos de escritório, equipamento e dispositivos de encaminhamento que se ligam a uma rede, nomeadamente televisões conectadas (smart TV), brinquedos e consolas de jogos, assistentes pessoais ou virtuais, dispositivos para fluxo contínuo de dados conectados, tecnologias usáveis («wearables»), sistemas de comando por voz e de realidade virtual; |
Alteração 89 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 16 | |
|
Texto da Comissão |
Alteração |
|
16) «Norma»: uma norma na aceção do artigo 2.º, n.º 1, do Regulamento (UE) n.º 1025/2012. |
16) «Norma, especificação técnica e especificação técnica no domínio das TIC»: uma norma, especificação técnica ou especificação técnica no domínio das TIC na aceção do artigo 2.º, n.os 1, 4 e 5 do Regulamento (UE) n.º 1025/2012; |
Alteração 90 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 16-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
16-A) «Autoridade nacional supervisora da certificação»: um organismo designado por cada Estado-Membro em conformidade com o artigo 50.º do presente regulamento; |
Alteração 91 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 16-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
16-B) «Autoavaliação»: a declaração de conformidade através da qual o fabricante declara que produtos, processos e serviços satisfazem os requisitos específicos estabelecidos por um sistema de certificação que lhes são aplicáveis; |
Alteração 92 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 16-C (novo) | |
|
Texto da Comissão |
Alteração |
|
|
16-C) «Segurança por definição», situação em que, se um produto, software ou processo puder ser configurado de modo a garantir um grau de segurança mais elevado, a configuração predefinida disponibilizada ao primeiro utilizador deve apresentar a maior segurança possível. Se, numa base caso a caso, em resultado de uma análise de risco e facilidade de utilização se concluir que uma tal definição não é viável, os utilizadores deverão ser convidados a optar pela definição mais segura. |
Alteração 93 Proposta de regulamento Artigo 2 – parágrafo 1 – ponto 16-D (novo) | |
|
Texto da Comissão |
Alteração |
|
|
16-D) «Operadores de serviços essenciais»: operadores de serviços essenciais na aceção do artigo 4.º, n.º 4, da Diretiva (UE) 2016/1148. |
Alteração 94 Proposta de regulamento Artigo 3 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. A Agência exerce as atribuições que lhe são conferidas pelo presente regulamento com o objetivo de contribuir para um elevado nível de cibersegurança na União. |
1. A Agência exerce as atribuições que lhe são conferidas pelo presente regulamento e é reforçada com o objetivo de contribuir para a consecução de um elevado nível comum de cibersegurança, a fim de prevenir ciberataques na União, reduzir a fragmentação no mercado interno e melhorar o seu funcionamento, bem como assegurar a coerência, tendo em conta os êxitos registados pelos Estados-Membros em matéria de cooperação no âmbito da Diretiva SRI. |
Alteração 95 Proposta de regulamento Artigo 4 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. A Agência é um centro de conhecimentos especializados em matéria de cibersegurança, graças à sua independência, à qualidade científica e técnica do aconselhamento e assistência prestados e das informações que divulga, à transparência dos seus procedimentos operacionais e dos seus métodos de funcionamento e à sua diligência no exercício das suas atribuições. |
1. A Agência é um centro de conhecimentos especializados teóricos e práticos em matéria de cibersegurança, graças à sua independência, à qualidade científica e técnica do aconselhamento e assistência prestados e das informações que divulga, à transparência dos seus procedimentos operacionais e dos seus métodos de funcionamento e à sua diligência no exercício das suas atribuições. |
Alteração 96 Proposta de regulamento Artigo 4 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. A Agência presta assistência às instituições, agências e organismos da União, bem como aos Estados-Membros, na elaboração e execução de políticas relacionadas com a cibersegurança. |
2. A Agência presta assistência às instituições, agências e organismos da União, bem como aos Estados-Membros, na elaboração e execução de políticas relacionadas com a cibersegurança e na sensibilização dos cidadãos e das empresas. |
Alteração 97 Proposta de regulamento Artigo 4 – n.º 3 | |
|
Texto da Comissão |
Alteração |
|
3. A Agência apoia o reforço das capacidades e do grau de preparação em toda a União, prestando assistência à União Europeia, aos Estados-Membros e às partes interessadas públicas e privadas a fim de aumentar a proteção das suas redes e sistemas de informação, desenvolver capacidades e competências no domínio da cibersegurança, e alcançar a ciber-resiliência. |
3. A Agência apoia o reforço das capacidades e do grau de preparação em toda a União, prestando assistência às instituições, agências ou organismos da União Europeia, aos Estados-Membros e às partes interessadas públicas e privadas a fim de aumentar a proteção das suas redes e sistemas de informação, desenvolver e melhorar a ciber-resiliência e as capacidades de resposta, bem como sensibilizar e desenvolver capacidades e competências no domínio da cibersegurança. |
Alteração 98 Proposta de regulamento Artigo 4 – n.º 4 | |
|
Texto da Comissão |
Alteração |
|
4. A Agência promove a cooperação e a coordenação a nível da União entre os Estados-Membros, as instituições, agências e organismos da União, e as partes interessadas pertinentes, incluindo o setor privado, em questões relacionadas com a cibersegurança. |
4. A Agência promove a cooperação, a coordenação e a partilha de informações a nível da União entre os Estados-Membros, as instituições, agências e organismos da União, e as partes interessadas pertinentes em questões relacionadas com a cibersegurança. |
Alteração 99 Proposta de regulamento Artigo 4 – n.º 5 | |
|
Texto da Comissão |
Alteração |
|
5. A Agência aumenta as capacidades em matéria de cibersegurança a nível da União a fim de complementar a ação dos Estados-Membros na prevenção e resposta a ciberameaças, nomeadamente em caso de incidentes transfronteiriços. |
5. A Agência contribui para o aumento das capacidades em matéria de cibersegurança a nível da União a fim de complementar a ação dos Estados-Membros na prevenção e resposta a ciberameaças, nomeadamente em caso de incidentes transfronteiriços, e a fim de levar a cabo a sua tarefa de ajudar as instituições da União no desenvolvimento das políticas relacionadas com a cibersegurança. |
Alteração 100 Proposta de regulamento Artigo 4 – n.º 6 | |
|
Texto da Comissão |
Alteração |
|
6. A Agência promove o recurso à certificação, nomeadamente contribuindo para a criação e a manutenção de um quadro de certificação da cibersegurança a nível da União em conformidade com o título III do presente regulamento, com vista a aumentar a transparência da garantia de cibersegurança de produtos e serviços de TIC e, por conseguinte, reforçar a confiança no mercado interno digital. |
6. A Agência promove o recurso à certificação de molde a evitar a fragmentação do mercado interno e a melhorar o seu funcionamento, nomeadamente contribuindo para a criação e a manutenção de um quadro de certificação da cibersegurança a nível da União em conformidade com o título III do presente regulamento, com vista a aumentar a transparência da garantia de cibersegurança de produtos, serviços e processos de TIC e, por conseguinte, reforçar a confiança no mercado interno digital, bem como aumentar a compatibilidade dos sistemas de certificação nacionais e internacionais existentes. |
Alteração 101 Proposta de regulamento Artigo 4 – n.º 7 | |
|
Texto da Comissão |
Alteração |
|
7. A Agência promove um elevado nível de sensibilização dos cidadãos e das empresas para as questões relacionadas com a cibersegurança. |
7. A Agência promove e apoia projetos que contribuam para um elevado nível de sensibilização, de ciber-higiene e de ciberliteracia dos cidadãos e das empresas para as questões relacionadas com a cibersegurança. |
Alteração 102 Proposta de regulamento Artigo 5 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. Prestando assistência e aconselhamento, nomeadamente emitindo pareceres independentes e realizando trabalhos preparatórios relativos à elaboração e à revisão da política e do direito da União no domínio da cibersegurança, bem como de iniciativas legislativas e políticas setoriais que envolvam questões relacionadas com a cibersegurança; |
1. Prestando assistência e aconselhamento, nomeadamente emitindo pareceres e fornecendo análises independentes sobre atividades pertinentes no ciberespaço e realizando trabalhos preparatórios relativos à elaboração e à revisão da política e do direito da União no domínio da cibersegurança, bem como de iniciativas legislativas e políticas setoriais que envolvam questões relacionadas com a cibersegurança; |
Alteração 103 Proposta de regulamento Artigo 5 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. Prestando assistência aos Estados-Membros na execução coerente da política e do direito da União em matéria de cibersegurança, nomeadamente no que diz respeito à Diretiva (UE) 2016/1148, incluindo por meio de pareceres, orientações, aconselhamento e divulgação de boas práticas sobre questões como a gestão dos riscos, a comunicação de incidentes e a partilha de informações, bem como facilitando o intercâmbio de boas práticas entre as autoridades competentes neste domínio; |
2. Prestando assistência aos Estados-Membros na execução coerente da política e do direito da União em matéria de cibersegurança, nomeadamente no que diz respeito à Diretiva (UE) 2016/1148, à Diretiva ... que estabelece o Código Europeu das Comunicações Eletrónicas, ao Regulamento (UE) 2016/679 e à Diretiva 2002/58/CE, incluindo por meio de pareceres, orientações, aconselhamento e divulgação de boas práticas sobre questões como o desenvolvimento de software e sistemas seguros, a gestão dos riscos, a comunicação de incidentes, a partilha de informações e medidas técnicas e organizativas, em particular a adoção de programas de divulgação coordenada de vulnerabilidades, bem como facilitando o intercâmbio de boas práticas entre as autoridades competentes neste domínio; |
Alteração 104 Proposta de regulamento Artigo 5 – n.º 2-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-A. O desenvolvimento e a promoção de políticas que garantam a disponibilidade geral ou a integridade do núcleo público da Internet aberta, assegurando a operacionalidade de base da Internet no seu conjunto e apoiando o seu normal funcionamento, incluindo, entre outros, a segurança e a estabilidade de protocolos fundamentais (em particular DNS, BGP e IPv6), a operação do Sistema de Nomes de Domínio (incluindo todos os Domínios de Topo) e o funcionamento da Zona Raiz. |
Alteração 105 Proposta de regulamento Artigo 5 – n.º 4 – ponto 2 | |
|
Texto da Comissão |
Alteração |
|
2) A promoção de um reforço do nível de segurança das comunicações eletrónicas, nomeadamente disponibilizando conhecimentos especializados e aconselhamento, bem como facilitando o intercâmbio de boas práticas entre as autoridades competentes; |
2) A promoção de um reforço do nível de segurança das comunicações eletrónicas, armazenamento e tratamento de dados, nomeadamente disponibilizando conhecimentos especializados e aconselhamento, bem como facilitando o intercâmbio de boas práticas entre as autoridades competentes; |
Alteração 106 Proposta de regulamento Artigo 5 – n.º 5-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
5-A. Prestando assistência aos Estados-Membros na aplicação coerente da política e da legislação da União relacionadas com a proteção de dados, nomeadamente o Regulamento (UE) 2016/679, e prestando assistência ao Comité Europeu para a Proteção de Dados no desenvolvimento de orientações relacionadas com a aplicação do Regulamento (UE) 2016/679 para fins de cibersegurança. O Comité Europeu para a Proteção de Dados consulta a Agência, sempre que emita um parecer ou tome uma decisão sobre a aplicação do RGPD ou a cibersegurança, a título de exemplo, sem caráter exaustivo, sobre assuntos relacionados com avaliações de impacto em matéria de privacidade, notificações de violações de dados, controlos de segurança, requisitos de segurança e a privacidade desde a conceção. |
Alteração 107 Proposta de regulamento Artigo 6 – n.º 1 – alínea a-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
a-A) Aos Estados-Membros e às instituições da União na elaboração e aplicação de políticas de divulgação coordenada de vulnerabilidades e de processos de supervisão governamental da divulgação de vulnerabilidades, cujas práticas e decisões devem ser transparentes e ser objeto de um controlo independente. |
Alteração 108 Proposta de regulamento Artigo 6 – n.º 1 – alínea a-B) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
a-B) A Agência promove o estabelecimento e o lançamento de um projeto europeu de segurança informática a longo prazo que fomente a investigação em matéria de cibersegurança na União e nos Estados-Membros, em cooperação com o Conselho Europeu de Investigação (CEI) e o Instituto Europeu de Inovação e Tecnologia (IET) e no que diz respeito aos programas de investigação da União; |
Alteração 109 Proposta de regulamento Artigo 6 – n.º 1 – alínea g) | |
|
Texto da Comissão |
Alteração |
|
g) Aos Estados-Membros, organizando anualmente os exercícios de cibersegurança em grande escala a nível da União a que se refere o artigo 7.º, n.º 6, e emitindo recomendações políticas com base no processo de avaliação dos exercícios e das lições tiradas dos mesmos; |
g) Aos Estados-Membros, organizando regularmente e, pelo menos, uma vez por ano os exercícios de cibersegurança em grande escala a nível da União a que se refere o artigo 7.º, n.º 6, emitindo recomendações políticas e procedendo ao intercâmbio de boas práticas com base no processo de avaliação dos exercícios e das lições tiradas dos mesmos; |
Alteração 110 Proposta de regulamento Artigo 6 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. A Agência facilita o estabelecimento de centros de partilha e análise de informações (ISAC) setoriais e apoia-os permanentemente, em particular nos setores enumerados no anexo II da Diretiva (UE) 2016/1148, divulgando boas práticas e orientações sobre os instrumentos disponíveis e os procedimentos, bem como sobre a resolução de questões regulamentares relativas à partilha de informações. |
2. A Agência facilita o estabelecimento de centros de partilha e análise de informações (ISAC) setoriais e apoia-os permanentemente, em particular nos setores enumerados no anexo II da Diretiva (UE) 2016/1148, divulgando boas práticas e orientações sobre os instrumentos disponíveis, os procedimentos e os princípios de ciber-higiene, bem como sobre a resolução de questões regulamentares relativas à partilha de informações. |
Alteração 111 Proposta de regulamento Artigo 7 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. A Agência apoia a cooperação operacional entre os organismos públicos competentes, e entre as partes interessadas. |
1. A Agência apoia a cooperação operacional entre os Estados-Membros, as instituições, agências e organismos da União, e entre as partes interessadas, no intuito de estabelecer uma colaboração, através de uma análise e avaliação dos sistemas nacionais existentes, do desenvolvimento e da execução de um plano e do recurso aos instrumentos adequados, a fim de alcançar o nível mais elevado de certificação da cibersegurança na União e nos Estados‑Membros. |
Alteração 112 Proposta de regulamento Artigo 7 – n.º 4 – parágrafo 1 – alínea b) | |
|
Texto da Comissão |
Alteração |
|
b) Fornecendo-lhes, a seu pedido, assistência técnica em caso de incidentes com um impacto significativo ou substancial; |
b) Fornecendo-lhes, a seu pedido, assistência técnica sob a forma de partilha de informação e conhecimentos especializados em caso de incidentes com um impacto significativo ou substancial; |
Alteração 113 Proposta de regulamento Artigo 7 – n.º 4 – parágrafo 1 – alínea b-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
b-A) Quando um incidente produz um efeito perturbador importante e, por conseguinte, a situação exige medidas urgentes, um Estado-Membro pode solicitar a assistência de peritos da Agência para avaliar a situação. O pedido deve incluir a descrição da situação, das eventuais finalidades e das necessidades previstas. |
Alteração 114 Proposta de regulamento Artigo 7 – n.º 5 – parágrafo 1 | |
|
Texto da Comissão |
Alteração |
|
Na sequência de pedidos apresentados por dois ou mais Estados-Membros afetados, e com o único objetivo de prestar aconselhamento para a prevenção de incidentes futuros, a Agência presta apoio a inquéritos técnicos ex post, ou procede aos mesmos, relativos a incidentes com um impacto significativo ou substancial que as empresas afetadas tenham notificado, em conformidade com a Diretiva (UE) 2016/1148. A Agência procede igualmente a tais inquéritos mediante pedido devidamente justificado da Comissão, com o acordo dos Estados-Membros em causa, em caso de incidentes similares que afetem mais de dois Estados-Membros. |
Na sequência de pedidos apresentados por um ou mais Estados-Membros afetados, e com o único objetivo de prestar assistência quer sob a forma de aconselhamento para a prevenção de incidentes futuros quer sob a forma de assistência para responder a incidentes em curso de grandes dimensões, a Agência presta apoio a inquéritos técnicos ex post, ou procede aos mesmos, relativos a incidentes com um impacto significativo ou substancial que as empresas afetadas tenham notificado, em conformidade com a Diretiva (UE) 2016/1148. A Agência leva a cabo as tarefas supramencionadas mediante a receção de informações pertinentes dos Estados-Membros afetados e com base nos seus próprios recursos para a avaliação de ameaças e para a resposta a incidentes. A Agência procede igualmente a tais inquéritos mediante pedido devidamente justificado da Comissão, com o acordo dos Estados-Membros em causa, em caso de incidentes similares que afetem mais de um Estado-Membro. Ao fazê-lo, a Agência assegura‑se de que não divulga as medidas tomadas pelos Estados-Membros para salvaguardar as funções essenciais do Estado, em especial as que digam respeito à segurança nacional. |
Alteração 115 Proposta de regulamento Artigo 7 – n.º 6 | |
|
Texto da Comissão |
Alteração |
|
6. A Agência organiza anualmente exercícios de cibersegurança a nível da União, e apoia, a seu pedido, os Estados-Membros e as instituições, agências e organismos da UE na organização de exercícios. Os exercícios anuais a nível da União incluem elementos técnicos, operacionais e estratégicos e ajudam a preparar a resposta colaborativa, a nível da União, a incidentes de cibersegurança transfronteiriços em larga escala. A Agência contribui também, se for caso disso, para exercícios de cibersegurança setoriais e ajuda a organizá-los, juntamente com os ISAC competentes, e permite igualmente que estes participem nos exercícios de cibersegurança a nível da União. |
6. A Agência organiza, em qualquer caso pelo menos anualmente, exercícios de cibersegurança regulares a nível da União, e apoia, a seu pedido, os Estados-Membros e as instituições, agências e organismos da UE na organização de exercícios. Os exercícios anuais a nível da União incluem elementos técnicos, operacionais e estratégicos e ajudam a preparar a resposta colaborativa, a nível da União, a incidentes de cibersegurança transfronteiriços em larga escala. A Agência contribui também, se for caso disso, para exercícios de cibersegurança setoriais e ajuda a organizá-los, juntamente com os ISAC competentes, e permite igualmente que estes participem nos exercícios de cibersegurança a nível da União. |
Alteração 116 Proposta de regulamento Artigo 7 – n.º 7 | |
|
Texto da Comissão |
Alteração |
|
7. A Agência elabora regularmente um relatório sobre a situação técnica da cibersegurança na UE quanto a incidentes e ameaças, baseando-se em informações de fonte aberta, nas suas próprias análises e em relatórios partilhados, entre outros: pelas CSIRT dos Estados-Membros (numa base voluntária) ou pelos pontos únicos de contacto no âmbito da Diretiva SRI (em conformidade com o artigo 14.º, n.º 5, da Diretiva SRI); pelo Centro Europeu da Cibercriminalidade (EC3) da Europol; pela CERT-UE. |
7. A Agência elabora regularmente um relatório aprofundado sobre a situação técnica da cibersegurança na UE quanto a incidentes e ameaças, baseando-se em informações de fonte aberta, nas suas próprias análises e em relatórios partilhados, entre outros: pelas CSIRT dos Estados-Membros (numa base voluntária) ou pelos pontos únicos de contacto no âmbito da Diretiva SRI (em conformidade com o artigo 14.º, n.º 5, da Diretiva SRI); pelo Centro Europeu da Cibercriminalidade (EC3) da Europol; pela CERT-UE. O diretor executivo apresenta as conclusões públicas ao Parlamento Europeu, sempre que adequado. |
Alteração 117 Proposta de regulamento Artigo 7 – n.º 7-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
7-A. A Agência contribui, sempre que adequado, e com a aprovação prévia da Comissão, para a cooperação no domínio do ciberespaço com o Centro de Excelência Cooperativo para a Ciberdefesa da OTAN e com a Academia das Comunicações e da Informação da OTAN. |
Alteração 118 Proposta de regulamento Artigo 7 – n.º 8 – alínea a) | |
|
Texto da Comissão |
Alteração |
|
a) Agregando relatórios provenientes de fontes nacionais, com vista a estabelecer um conhecimento comum da situação; |
a) Analisando e agregando relatórios provenientes de fontes nacionais, com vista a estabelecer um conhecimento comum da situação; |
Alteração 119 Proposta de regulamento Artigo 7 – n.º 8 – alínea c) | |
|
Texto da Comissão |
Alteração |
|
c) Apoiando a resposta técnica a um incidente ou crise, nomeadamente facilitando a partilha de soluções técnicas entre Estados-Membros; |
c) Apoiando a resposta técnica a um incidente ou a uma crise, com base nos seus próprios recursos e conhecimentos especializados independentes, nomeadamente facilitando a partilha voluntária de soluções técnicas entre Estados-Membros; |
Alteração 120 Proposta de regulamento Artigo 7 – n.º 8-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
8-A. A Agência toma as medidas necessárias para proceder a uma troca de pontos de vista sempre que necessário e auxilia as autoridades dos Estados-Membros na coordenação da sua resposta, de acordo com os princípios da subsidiariedade e da proporcionalidade. |
Alteração 121 Proposta de regulamento Artigo 7-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
Artigo 7.º-A |
|
|
Capacidades técnicas da Agência |
|
|
1. A fim de alcançar os objetivos descritos no artigo 7.º, e em conformidade com o programa de trabalho da Agência, esta desenvolve, entre outros aspetos, as seguintes capacidades e competências técnicas: |
|
|
a) Capacidade para recolher de informações sobre ameaças cibersegurança associadas a fontes abertas; e |
|
|
b) Capacidade para ativar à distância equipamento técnico, ferramentas e conhecimentos especializados. |
|
|
2. Para alcançar as capacidades técnicas referidas no n.º 1 do presente artigo e desenvolver as competências relevantes, a Agência: |
|
|
a) Assegura que os seus processos de recrutamento tenham em conta as diversas competências técnicas necessárias; e |
|
|
b) Coopera com a CERT-UE e a Europol, em conformidade com o artigo 7.º, n.º 2, do presente regulamento. |
Alteração 122 Proposta de regulamento Artigo 8 – parágrafo 1 – alínea a) – parte introdutória | |
|
Texto da Comissão |
Alteração |
|
a) Apoia e promove a elaboração e a execução da política da União em matéria de certificação da cibersegurança de produtos e serviços de TIC, tal como estabelecido no título III do presente regulamento, nomeadamente: |
a) Apoia e promove a elaboração e a execução da política da União em matéria de certificação da cibersegurança de produtos, serviços e processos de TIC, tal como estabelecido no título III do presente regulamento, nomeadamente: |
Alteração 123 Proposta de regulamento Artigo 8 – parágrafo 1 – alínea a) – ponto -1 (novo) | |
|
Texto da Comissão |
Alteração |
|
|
-1) Identificando de modo contínuo normas, especificações técnicas e especificações técnicas no domínio das TIC; |
Alteração 124 Proposta de regulamento Artigo 8 – parágrafo 1 – alínea a) – ponto 1 | |
|
Texto da Comissão |
Alteração |
|
1) Elaborando propostas de sistemas europeus de certificação da cibersegurança de produtos e serviços de TIC, em conformidade com o artigo 44.º do presente regulamento; |
1) Elaborando, em cooperação com partes interessadas da indústria e organizações de normalização no âmbito de um processo formal, normalizado e transparente, propostas de sistemas europeus de certificação da cibersegurança de produtos, serviços e processos de TIC, em conformidade com o artigo 44.º do presente regulamento; |
Alteração 125 Proposta de regulamento Artigo 8 – parágrafo 1 – alínea a) – ponto 1-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
1-A) Realizando, em colaboração com o grupo dos Estados-Membros para a certificação da cibersegurança, em conformidade com o artigo 53.º do presente regulamento, avaliações dos procedimentos para a emissão de certificados europeus de cibersegurança implementados pelos organismos de avaliação da conformidade mencionados no artigo 51.º do presente regulamento, a fim de assegurar a aplicação uniforme do presente regulamento por parte dos organismos de avaliação da conformidade aquando da emissão de certificados; |
Alteração 126 Proposta de regulamento Artigo 8 – parágrafo 1 – alínea a) – ponto 1-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
1-B) Efetuando verificações periódicas independentes ex post da conformidade dos produtos, processos e serviços de TIC com os sistemas europeus de certificação da cibersegurança; |
Alteração 127 Proposta de regulamento Artigo 8 – parágrafo 1 – alínea a) – ponto 2 | |
|
Texto da Comissão |
Alteração |
|
2) Prestando assistência à Comissão, ao assegurar os serviços de secretariado do grupo europeu para a certificação da cibersegurança, em conformidade com o artigo 53.º do presente regulamento; |
2) Prestando assistência à Comissão, ao assegurar os serviços de secretariado do grupo dos Estados-Membros para a certificação da cibersegurança, em conformidade com o artigo 53.º do presente regulamento; |
Alteração 128 Proposta de regulamento Artigo 8 – parágrafo 1 – alínea a) – ponto 3 | |
|
Texto da Comissão |
Alteração |
|
3) Compilando e publicando orientações e desenvolvendo boas práticas em matéria de requisitos de cibersegurança de produtos e serviços de TIC, em cooperação com as autoridades nacionais supervisoras da certificação e a indústria; |
3) Compilando e publicando orientações e desenvolvendo boas práticas, incluindo princípios de ciber-higiene, em matéria de requisitos de cibersegurança de produtos, processos e serviços de TIC, em cooperação com as autoridades nacionais supervisoras da certificação e a indústria no âmbito de um processo formal, normalizado e transparente; |
Alteração 129 Proposta de regulamento Artigo 8 – parágrafo 1 – alínea b) | |
|
Texto da Comissão |
Alteração |
|
b) Facilita o estabelecimento e a adoção de normas europeias e internacionais para a gestão dos riscos e para a segurança de produtos e serviços de TIC, e elabora, em colaboração com os Estados-Membros, recomendações e orientações relativas aos domínios técnicos relacionados com os requisitos de segurança para os operadores de serviços essenciais e os prestadores de serviços digitais, bem como relativas a normas já existentes, incluindo normas nacionais dos Estados-Membros, em conformidade com o artigo 19.º, n.º 2, da Diretiva (UE) 2016/1148; |
b) Facilita o estabelecimento e a adoção de normas europeias e internacionais para a gestão dos riscos e para a segurança de produtos, processos e serviços de TIC, elabora, em colaboração com os Estados-Membros e a indústria, recomendações e orientações relativas aos domínios técnicos relacionados com os requisitos de segurança para os operadores de serviços essenciais e os prestadores de serviços digitais, bem como relativas a normas já existentes, incluindo normas nacionais dos Estados-Membros, em conformidade com o artigo 19.º, n.º 2, da Diretiva (UE) 2016/1148, e partilha essa informação com os Estados-Membros; |
Alteração 130 Proposta de regulamento Artigo 9 – parágrafo 1 – alínea c) | |
|
Texto da Comissão |
Alteração |
|
c) Fornece, em cooperação com peritos das autoridades dos Estados-Membros, recomendações, orientações e boas práticas para a segurança das redes e sistemas de informação, em especial para a segurança da infraestrutura de Internet e das infraestruturas de apoio aos setores enumerados no anexo II da Diretiva (UE) 2016/1148; |
c) Fornece, em cooperação com peritos das autoridades dos Estados‑Membros e partes interessadas pertinentes, recomendações, orientações e boas práticas para a segurança das redes e sistemas de informação, em especial para a segurança da infraestrutura de Internet e das infraestruturas de apoio aos setores enumerados no anexo II da Diretiva (UE) 2016/1148; |
Alteração 131 Proposta de regulamento Artigo 9 – parágrafo 1 – alínea e) | |
|
Texto da Comissão |
Alteração |
|
e) Sensibiliza o público para os riscos de cibersegurança, e fornece orientações sobre boas práticas para utilizadores individuais destinadas aos cidadãos e às organizações; |
e) Sensibiliza o público, de forma crescente e contínua, para os riscos de cibersegurança, faculta formação e orientações sobre boas práticas para utilizadores individuais destinadas aos cidadãos e às organizações e promove a adoção de medidas de segurança informática sólidas e de caráter preventivo e uma proteção fiável dos dados e da privacidade; |
Alteração 132 Proposta de regulamento Artigo 9 – parágrafo 1 – alínea g) | |
|
Texto da Comissão |
Alteração |
|
g) Organiza, em cooperação com os Estados-Membros e as instituições, organismos, órgãos e agências da União, campanhas de sensibilização periódicas, a fim de aumentar a cibersegurança e a sua visibilidade na União. |
g) Organiza, em cooperação com os Estados-Membros e as instituições, organismos, órgãos e agências da União, campanhas de comunicação periódicas, a fim de incentivar um amplo debate público. |
Alteração 133 Proposta de regulamento Artigo 9 – parágrafo 1 – alínea g-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
g-A) Promove uma coordenação e um intercâmbio mais estreitos das melhores práticas entre os Estados-Membros no tocante à literacia e à educação em matéria de cibersegurança, à ciber-higiene e à sensibilização para a cibersegurança. |
Alteração 134 Proposta de regulamento Artigo 10 – parágrafo 1 – alínea a) | |
|
Texto da Comissão |
Alteração |
|
a) Presta aconselhamento à União e aos Estados-Membros sobre as necessidades e prioridades de investigação no domínio da cibersegurança, a fim de lhes permitir responder eficazmente aos riscos e ameaças atuais e emergentes, nomeadamente no que respeita às tecnologias de informação e comunicação novas e emergentes, e utilizar de forma eficaz as tecnologias de prevenção dos riscos; |
a) Assegura uma consulta prévia dos grupos de utilizadores pertinentes e presta aconselhamento à União e aos Estados-Membros sobre as necessidades e prioridades de investigação nos domínios da cibersegurança, da proteção de dados e da privacidade, a fim de lhes permitir responder eficazmente aos riscos e ameaças atuais e emergentes, nomeadamente no que respeita às tecnologias de informação e comunicação novas e emergentes, e utilizar de forma eficaz as tecnologias de prevenção dos riscos; |
Alteração 135 Proposta de regulamento Artigo 10 – parágrafo 1 – alínea b-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
b-A) Encomenda as suas próprias atividades de investigação em domínios de interesse que ainda não sejam abrangidos pelos programas de investigação existentes na União, sempre que seja claramente identificado um valor acrescentado europeu. |
Alteração 136 Proposta de regulamento Artigo 11 – parágrafo 1 – alínea c-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
c-A) Prestando aconselhamento e apoio à Comissão, em colaboração com o grupo dos Estados-Membros para a certificação da cibersegurança criado nos termos do artigo 53.º, sobre questões relacionadas com acordos de reconhecimento mútuo de certificados de cibersegurança com países terceiros. |
Alteração 137 Proposta de regulamento Artigo 12 – parágrafo 1 – alínea d) | |
|
Texto da Comissão |
Alteração |
|
d) Um grupo permanente de partes interessadas, que exerce as funções definidas no artigo 20.°; |
d) Um grupo consultivo da ENISA, que exerce as funções definidas no artigo 20.º; |
Alteração 138 Proposta de regulamento Artigo 14 – n.º 1 – alínea e) | |
|
Texto da Comissão |
Alteração |
|
e) Avaliar e adotar o relatório anual consolidado sobre as atividades da Agência e enviar esse relatório e respetiva avaliação, até 1 de julho do ano seguinte, ao Parlamento Europeu, ao Conselho, à Comissão e ao Tribunal de Contas. O relatório anual inclui as contas e descreve como a Agência cumpriu os seus indicadores de desempenho. O relatório é tornado público; |
e) Avaliar e adotar o relatório anual consolidado sobre as atividades da Agência e enviar esse relatório e respetiva avaliação, até 1 de julho do ano seguinte, ao Parlamento Europeu, ao Conselho, à Comissão e ao Tribunal de Contas. O relatório anual inclui as contas, descreve a eficácia das despesas e avalia em que medida a Agência foi eficiente e até que ponto cumpriu os seus indicadores de desempenho. O relatório é tornado público; |
Alteração 139 Proposta de regulamento Artigo 14 – n.º 1 – alínea m) | |
|
Texto da Comissão |
Alteração |
|
m) Nomear o diretor executivo e, sendo caso disso, prorrogar o seu mandato ou exonerá-lo, em conformidade com o artigo 33.º do presente regulamento; |
m) Nomear o diretor executivo, através de uma seleção baseada em critérios profissionais, e, sendo caso disso, prorrogar o seu mandato ou exonerá-lo, em conformidade com o artigo 33.º do presente regulamento; |
Alteração 140 Proposta de regulamento Artigo 14 – n.º 1 – alínea o) | |
|
Texto da Comissão |
Alteração |
|
o) Tomar todas as decisões relativas à criação e, sempre que necessário, alteração das estruturas internas da Agência, tendo em consideração as necessidades decorrentes das atividades da mesma e uma boa gestão orçamental; |
o) Tomar todas as decisões relativas à criação e, sempre que necessário, alteração das estruturas internas da Agência, tendo em consideração as necessidades decorrentes das atividades da mesma, tal como indicado no presente regulamento, e uma boa gestão orçamental; |
Alteração 141 Proposta de regulamento Artigo 16 – n.º 4 | |
|
Texto da Comissão |
Alteração |
|
4. Os membros do grupo permanente de partes interessadas podem participar, a convite do presidente, nas reuniões do conselho de administração, sem direito a voto. |
4. Os membros do grupo consultivo da ENISA podem participar, a convite do presidente, nas reuniões do conselho de administração, sem direito a voto. |
Alteração 142 Proposta de regulamento Artigo 18 – n.º 3 | |
|
Texto da Comissão |
Alteração |
|
3. A comissão executiva é composta por cinco membros nomeados de entre os membros do conselho de administração, entre os quais o presidente do conselho de administração, que pode também presidir à comissão executiva, e por um dos representantes da Comissão. O diretor executivo participa nas reuniões da comissão executiva, mas sem direito de voto. |
3. A comissão executiva é composta por cinco membros nomeados de entre os membros do conselho de administração, entre os quais o presidente do conselho de administração, que pode também presidir à comissão executiva, e por um dos representantes da Comissão. O diretor executivo participa nas reuniões da comissão executiva, mas sem direito de voto. As nomeações devem procurar assegurar uma representação equilibrada de homens e mulheres na comissão executiva. |
Justificação | |
As nomeações para a comissão executiva devem também ter como objetivo um equilíbrio entre homens e mulheres no conselho de administração, refletindo o previsto no artigo 13.º, n.º 3. | |
Alteração 143 Proposta de regulamento Artigo 19 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. O diretor executivo apresenta relatórios ao Parlamento Europeu sobre o desempenho das suas funções, sempre que for convidado a fazê-lo. O Conselho pode convidar o diretor executivo a apresentar relatórios sobre o desempenho das suas funções. |
2. O diretor executivo apresenta relatórios ao Parlamento Europeu sobre o desempenho das suas funções anualmente ou sempre que for convidado a fazê-lo. O Conselho pode convidar o diretor executivo a apresentar relatórios sobre o desempenho das suas funções. |
Alteração 144 Proposta de regulamento Artigo 19 – n.º 5-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
5-A. O diretor executivo está igualmente habilitado a agir como conselheiro especial institucional sobre a política de cibersegurança junto do Presidente da Comissão Europeia, estando o seu mandato definido na Decisão C(2014) 541 da Comissão de 6 de fevereiro de 2014. |
Alteração 145 Proposta de regulamento Artigo 20 – título | |
|
Texto da Comissão |
Alteração |
|
Grupo permanente de partes interessadas |
Grupo consultivo da ENISA |
|
|
(Esta modificação aplica-se à integralidade do texto em apreço; a sua aprovação impõe adaptações técnicas em todo o texto). |
Alteração 146 Proposta de regulamento Artigo 20 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. O conselho de administração, agindo sob proposta do diretor executivo, cria um grupo permanente de partes interessadas composto por peritos reconhecidos que representam as partes interessadas, nomeadamente empresas de TIC, fornecedores de redes ou serviços de comunicações eletrónicas disponibilizados ao público, associações de consumidores, peritos académicos no domínio da cibersegurança e representantes das autoridades competentes nacionais notificadas nos termos da [diretiva que estabelece o Código Europeu das Comunicações Eletrónicas] e das autoridades supervisoras responsáveis pela aplicação da lei e pela proteção dos dados. |
1. O conselho de administração, agindo sob proposta do diretor executivo, de forma transparente, cria um grupo consultivo da ENISA composto por peritos reconhecidos em segurança que representam as partes interessadas, nomeadamente empresas de TIC, incluindo PME, operadores de serviços essenciais nos termos da Diretiva sobre a Cibersegurança, fornecedores de redes ou serviços de comunicações eletrónicas disponibilizados ao público, associações de consumidores, peritos académicos no domínio da cibersegurança, organizações europeias de normalização (OEN), agências da UE e representantes das autoridades competentes nacionais notificadas nos termos da [diretiva que estabelece o Código Europeu das Comunicações Eletrónicas] e das autoridades supervisoras responsáveis pela aplicação da lei e pela proteção dos dados. O conselho de administração assegura um equilíbrio adequado entre os diferentes grupos de partes interessadas. |
Alteração 147 Proposta de regulamento Artigo 20 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. Os procedimentos relativos ao grupo permanente de partes interessadas, nomeadamente quanto à composição e ao número e nomeação dos seus membros pelo conselho de administração, quanto à proposta a apresentar pelo diretor executivo e quanto ao funcionamento do grupo serão especificados no regulamento interno da Agência e tornados públicos. |
2. Os procedimentos relativos ao grupo consultivo da ENISA, nomeadamente quanto à composição e ao número e nomeação dos seus membros pelo conselho de administração, quanto à proposta a apresentar pelo diretor executivo e quanto ao funcionamento do grupo serão especificados no regulamento interno da Agência e tornados públicos. |
Alteração 148 Proposta de regulamento Artigo 20 – n.º 3 | |
|
Texto da Comissão |
Alteração |
|
3. O grupo permanente de partes interessadas é presidido pelo diretor executivo ou por qualquer outra pessoa nomeada, caso a caso, pelo diretor executivo. |
3. O grupo consultivo da ENISA é presidido pelo diretor executivo ou por qualquer outra pessoa nomeada, caso a caso, pelo diretor executivo. |
Alteração 149 Proposta de regulamento Artigo 20 – n.º 4 | |
|
Texto da Comissão |
Alteração |
|
4. O mandato dos membros do grupo permanente de partes interessadas tem a duração de dois anos e meio. Os membros do conselho de administração não podem ser membros do grupo permanente de partes interessadas. Podem assistir às reuniões do grupo permanente de partes interessadas, e participar nos seus trabalhos, peritos da Comissão e dos Estados-Membros. Podem ser convidados a assistir às reuniões do grupo permanente de partes interessadas, e a participar nos seus trabalhos, representantes de outros organismos que o diretor executivo considere relevantes e que não sejam membros do grupo permanente de partes interessadas. |
4. O mandato dos membros do grupo consultivo da ENISA tem a duração de dois anos e meio. Os membros do conselho de administração não podem ser membros do grupo consultivo da ENISA. Podem assistir às reuniões do grupo consultivo da ENISA, e participar nos seus trabalhos, peritos da Comissão e dos Estados-Membros. Podem ser convidados a assistir às reuniões do grupo consultivo da ENISA, e a participar nos seus trabalhos, representantes de outros organismos que o diretor executivo considere relevantes e que não sejam membros do grupo consultivo da ENISA. |
Alteração 150 Proposta de regulamento Artigo 20 – n.º 4-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
4-A. O grupo consultivo da ENISA atualiza regularmente, ao longo do ano, a informação sobre a sua programação e estabelece os objetivos no seu programa de trabalho, que é publicados de seis em seis meses para garantir a transparência; |
Alteração 151 Proposta de regulamento Artigo 20 – n.º 5 | |
|
Texto da Comissão |
Alteração |
|
5. O grupo permanente de partes interessadas aconselha a Agência no exercício das suas atividades. O grupo aconselha, em particular, o diretor executivo na elaboração da proposta de programa de trabalho da Agência, e no que respeita à comunicação com as partes interessadas sobre todas as questões ligadas ao programa de trabalho. |
5. O grupo consultivo da ENISA aconselha a Agência em relação ao exercício das suas atividades, exceto sobre a aplicação do título III do presente regulamento. O grupo aconselha, em particular, o diretor executivo na elaboração da proposta de programa de trabalho da Agência, e no que respeita à comunicação com as partes interessadas sobre todas as questões ligadas ao programa de trabalho. |
Alteração 152 Proposta de regulamento Artigo 20-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
Artigo 20.º-A |
|
|
Grupo das partes interessadas para a certificação |
|
|
1. O diretor executivo cria um grupo das partes interessadas para a certificação, composto por um comité consultivo geral que presta aconselhamento sobre a aplicação do título III do presente regulamento, bem como comités ad hoc para a proposta, o desenvolvimento e a adoção de cada uma das propostas de sistema. Os membros deste grupo são selecionados de entre peritos reconhecidos em segurança que representem as partes interessadas, nomeadamente empresas de TIC, incluindo PME, operadores de serviços essenciais nos termos da Diretiva sobre a Cibersegurança, fornecedores de redes ou serviços de comunicações eletrónicas disponibilizados ao público, associações de consumidores, peritos académicos no domínio da cibersegurança, organizações europeias de normalização (OEN) e representantes das autoridades competentes notificadas nos termos da [diretiva que estabelece o Código Europeu das Comunicações Eletrónicas] e das autoridades supervisoras responsáveis pela aplicação da lei e pela proteção dos dados. |
|
|
2. Os procedimentos relativos ao grupo das partes interessadas para a certificação, nomeadamente quanto ao número, à composição e à nomeação dos seus membros pelo diretor executivo, serão especificados no regulamento interno da Agência, com base nas boas práticas de garantir uma representação equitativa e a igualdade de direitos de todas as partes interessadas, e serão tornados públicos. |
|
|
3. Os membros do conselho de administração não podem ser membros do grupo das partes interessadas para a certificação. Os membros do grupo consultivo da ENISA podem ser igualmente membros do grupo das partes interessadas para a certificação. Os peritos da Comissão e dos Estados-Membros podem, mediante convite, estar presentes nas reuniões do grupo das partes interessadas para a certificação. Os representantes de outros organismos considerados relevantes pelo diretor executivo podem ser convidados a assistir às reuniões do grupo das partes interessadas para a certificação e a participar nos seus trabalhos. |
|
|
4. O grupo das partes interessadas para a certificação aconselha a Agência em relação ao exercício das suas atividades no que se refere ao título III do presente regulamento. Está, em particular, habilitado a propor à Comissão a elaboração de uma proposta de sistema europeu de certificação da cibersegurança, tal como previsto no artigo 44.º do presente regulamento, bem como a participar nos procedimentos descritos nos artigos 43.º a 48.º e no artigo 53.º do presente regulamento para a aprovação de tal sistema. |
Alteração 153 Proposta de regulamento Artigo 21-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
Artigo 21.º-A |
|
|
Pedidos dirigidos à Agência |
|
|
1. A Agência estabelece e gere um ponto de entrada único através do qual serão canalizados os pedidos de aconselhamento e de assistência que se enquadrem nos objetivos e nas atribuições da Agência. Estes pedidos são acompanhados de informações que contextualizem e expliquem a questão a tratar. A Agência determina as eventuais implicações em termos de recursos e, no momento oportuno, dá seguimento aos pedidos. Caso a Agência recuse um pedido, deve justificar a sua recusa. |
|
|
2. Os pedidos mencionados no n.º 1 podem ser apresentados: |
|
|
a) Pelo Parlamento Europeu; |
|
|
b) Pelo Conselho; |
|
|
c) Pela Comissão; e |
|
|
d) Por qualquer organismo competente designado por um Estado-Membro, nomeadamente uma autoridade reguladora nacional, conforme definida no artigo 2.º da Diretiva 2002/21/CE. |
|
|
3. As regras de execução dos n.ºs 1 e 2, designadamente no que respeita à apresentação, à hierarquização e ao seguimento dos pedidos, bem como à informação, são estabelecidas pelo conselho de administração no regulamento interno da Agência. |
Alteração 154 Proposta de regulamento Artigo 24 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. Os membros do conselho de administração, o diretor executivo, os membros do grupo permanente de partes interessadas, os peritos externos que participam nos grupos de trabalho ad hoc e os membros do pessoal da Agência, incluindo os agentes destacados pelos Estados-Membros a título temporário, estão sujeitos à obrigação de confidencialidade prevista no artigo 339.º do Tratado sobre o Funcionamento da União Europeia (TFUE), mesmo após a cessação das suas funções. |
2. Os membros do conselho de administração, o diretor executivo, os membros do grupo consultivo da ENISA, os peritos externos que participam nos grupos de trabalho ad hoc e os membros do pessoal da Agência, incluindo os agentes destacados pelos Estados-Membros a título temporário, estão sujeitos à obrigação de confidencialidade prevista no artigo 339.º do Tratado sobre o Funcionamento da União Europeia (TFUE), mesmo após a cessação das suas funções. |
Alteração 155 Proposta de regulamento Artigo 26 – n.º 1 – parágrafo 1-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
O projeto de mapa previsional de receitas e despesas baseia-se nos objetivos e nos resultados esperados do documento único de programação a que se refere o artigo 21.º, n.º 1, do presente regulamento, e tem em conta os recursos financeiros necessários para atingir esses objetivos e resultados esperados, em conformidade com o princípio de uma orçamentação baseada no desempenho. |
Alteração 156 Proposta de regulamento Artigo 30 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. O Tribunal de Contas dispõe de poderes para auditar, com base em documentos ou no local, todos os beneficiários de subvenções, contratantes e subcontratantes que tenham recebido fundos da União por intermédio da Agência. |
2. O Tribunal de Contas dispõe de poderes para auditar, com base em documentos ou em inspeções no local, todos os beneficiários de subvenções, contratantes e subcontratantes que tenham recebido fundos da União por intermédio da Agência. |
Alteração 157 Proposta de regulamento Artigo 36 – n.º 5 | |
|
Texto da Comissão |
Alteração |
|
5. A responsabilidade pessoal dos agentes perante a Agência é regulada pelas disposições relevantes do regime aplicável ao pessoal da Agência. |
5. A responsabilidade pessoal dos agentes perante a Agência é regulada pelas disposições relevantes do regime aplicável ao pessoal da Agência. A Agência assegura um processo eficaz recrutamento do pessoal. |
Alteração 158 Proposta de regulamento Artigo 37 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. Os serviços de tradução necessários ao funcionamento da Agência são assegurados pelo Centro de Tradução dos Organismos da União Europeia. |
2. Os serviços de tradução necessários ao funcionamento da Agência são assegurados pelo Centro de Tradução dos Organismos da União Europeia ou por outros prestadores de serviços de tradução, em conformidade com as regras em matéria de contratos públicos e dentro dos limites estabelecidos pelas disposições financeiras pertinentes. |
Alteração 159 Proposta de regulamento Artigo 39 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. A Agência pode, em função do necessário para alcançar os objetivos fixados no presente regulamento, cooperar com as autoridades competentes de países terceiros ou com organizações internacionais ou ambos. Para o efeito, a Agência pode, mediante aprovação prévia da Comissão, estabelecer acordos de cooperação com essas autoridades de países terceiros e organizações internacionais. Esses acordos não podem criar obrigações jurídicas à União e aos seus Estados-Membros. |
1. A Agência pode, em função do necessário para alcançar os objetivos fixados no presente regulamento, cooperar com as autoridades competentes de países terceiros ou com organizações internacionais ou ambos. Para o efeito, a Agência pode, mediante aprovação prévia da Comissão, estabelecer acordos de cooperação com essas autoridades de países terceiros e organizações internacionais. A cooperação com a OTAN, quando tiver lugar, poderá incluir exercícios conjuntos de cibersegurança e uma coordenação conjunta da resposta a incidentes informáticos. Esses acordos não podem criar obrigações jurídicas à União e aos seus Estados-Membros. |
Justificação | |
Dado o caráter transfronteiriço dos incidentes informáticos, a ENISA deverá agir em concertação com os intervenientes na cibersegurança da Europa, como a OTAN, se for conveniente fazê-lo. Trata-se de algo especialmente importante, uma vez que a OTAN pode ter capacidades informáticas que a ENISA não tenha e vice-versa. Num contexto do aumento dos ciberataques contra Estados como um todo é fundamental para a segurança da Europa que a ENISA coopere com organizações internacionais como a OTAN a nível internacional. | |
Alteração 160 Proposta de regulamento Artigo 41 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. O Estado-Membro de acolhimento da Agência proporciona as melhores condições possíveis para assegurar o bom funcionamento da Agência, incluindo a acessibilidade da localização, condições de ensino apropriadas para os filhos dos membros do pessoal e acesso adequado ao mercado de trabalho, à segurança social e a cuidados médicos para os filhos e cônjuges. |
2. O Estado-Membro de acolhimento da Agência proporciona as melhores condições possíveis para assegurar o bom funcionamento da Agência, incluindo uma sede única para toda a Agência, a acessibilidade da localização, condições de ensino apropriadas para os filhos dos membros do pessoal e acesso adequado ao mercado de trabalho, à segurança social e a cuidados médicos para os filhos e cônjuges. |
Justificação | |
A estrutura atual da Agência, com a sede administrativa em Heráclion e as operações principais em Atenas, revelou-se ineficaz e onerosa. Todo o pessoal da ENISA deve, por conseguinte, trabalhar na mesma cidade. Atendendo aos critérios referidos no presente número, essa cidade deveria ser Atenas. | |
Alteração 161 Proposta de regulamento Artigo 43 | |
|
Texto da Comissão |
Alteração |
|
Um sistema europeu de certificação da cibersegurança atesta que os produtos e serviços de TIC que foram certificados em conformidade com esse sistema cumprem os requisitos especificados no que respeita à sua capacidade de resistir, com um determinado nível de garantia, a ações que visem comprometer a disponibilidade, autenticidade, integridade ou confidencialidade de dados armazenados, transmitidos ou tratados, ou as funções ou serviços oferecidos por esses produtos, processos, serviços e sistemas ou acessíveis por via deles. |
Um sistema europeu de certificação da cibersegurança atesta que os produtos, processos e serviços de TIC abrangidos não apresentam vulnerabilidades conhecidas no momento da certificação, cumprem os requisitos especificados que possam decorrer das normas, especificações técnicas e especificações técnicas das TIC europeias ou internacionais, no que respeita à sua capacidade de resistir, ao longo do ciclo de vida, com um determinado nível de garantia, a ações que visem comprometer a disponibilidade, autenticidade, integridade ou confidencialidade de dados armazenados, transmitidos ou tratados, ou as funções ou serviços oferecidos por esses produtos, processos e serviços, e cumprem os objetivos de segurança especificados. |
Alteração 162 Proposta de regulamento Artigo 44 – n.º -1 (novo) | |
|
Texto da Comissão |
Alteração |
|
|
-1. A Comissão adota atos delegados nos termos do artigo 55.º-A, a fim de completar o presente regulamento por meio do estabelecimento de um programa de trabalho evolutivo da União para os sistemas europeus de certificação da cibersegurança. Esses atos delegados identificam as ações comuns a realizar a nível da União e as prioridades estratégicas. O programa de trabalho evolutivo da União inclui, em particular, uma lista prioritária de produtos, processos e serviços de TIC que possam ser sujeitos a um sistema europeu de certificação da cibersegurança, bem como uma análise para determinar se existe um nível equivalente de qualidade, conhecimentos e competências entre os organismos de avaliação da conformidade e as autoridades nacionais supervisoras da certificação e, se necessário, uma proposta de medidas a adotar para alcançar esse nível de equivalência. |
|
|
O programa inicial de trabalho evolutivo da União é estabelecido até... [seis meses a contar da data de entrada em vigor do presente regulamento] e será atualizado sempre que necessário e, em qualquer caso, pelo menos de dois em dois anos. O programa de trabalho evolutivo da União é facultado ao público. |
|
|
Antes de adotar ou atualizar o programa de trabalho evolutivo da União, a Comissão consulta o grupo dos Estados-Membros para a certificação, a Agência e o grupo das partes interessadas para a certificação, através de uma consulta aberta, transparente e inclusiva. |
Alteração 163 Proposta de regulamento Artigo 44 – n.º -1-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
-1-A. Quando se justificar, a Comissão pode pedir à Agência que elabore uma proposta de sistema europeu de certificação da cibersegurança. O pedido baseia-se no programa de trabalho evolutivo da União. |
Alteração 164 Proposta de regulamento Artigo 44 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. Na sequência de um pedido da Comissão, a ENISA elabora uma proposta de sistema europeu de certificação da cibersegurança que cumpra os requisitos estabelecidos nos artigos 45.º, 46.º e 47.º do presente regulamento. Os Estados-Membros ou o grupo europeu para a certificação da cibersegurança (a seguir designado por «Grupo») criado nos termos do artigo 53.º podem propor à Comissão que se elabore uma proposta de sistema europeu de certificação da cibersegurança. |
1. O pedido de elaboração de uma proposta de sistema europeu de certificação da cibersegurança indica o âmbito de aplicação, os objetivos de segurança aplicáveis referidos no artigo 45.º, os elementos aplicáveis referidos no artigo 47.º e o prazo para a entrada em vigor da proposta de sistema específico. Para a elaboração do pedido, a Comissão pode consultar a Agência, o grupo dos Estados-Membros para a certificação e o grupo das partes interessadas para a certificação. |
Alteração 165 Proposta de regulamento Artigo 44 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. Durante a elaboração das propostas de sistema a que se refere o n.º 1 do presente artigo, a Agência consulta todas as partes interessadas pertinentes e coopera estreitamente com o Grupo. O Grupo presta à ENISA a assistência e o aconselhamento especializado de que esta necessite, no que concerne a elaboração da proposta de sistema, nomeadamente fornecendo pareceres sempre que necessário. |
2. Durante a elaboração das propostas de sistema a que se refere o n.º -1, a Agência consulta todas as partes interessadas pertinentes, por meio de um processo de consulta formal, aberto, transparente e inclusivo, e coopera estreitamente com o grupo dos Estados-Membros para a certificação, o grupo das partes interessadas para a certificação, os comités ad hoc, em conformidade com o artigo 20.º-A do presente regulamento, e os organismos de normalização europeus. Tais entidades prestam à Agência a assistência e o aconselhamento especializado de que esta necessite, no que concerne à elaboração da proposta de sistema, nomeadamente fornecendo pareceres sempre que necessário. |
Alteração 166 Proposta de regulamento Artigo 44 – n.º 3 | |
|
Texto da Comissão |
Alteração |
|
3. A ENISA transmite à Comissão a proposta de sistema europeu de certificação da cibersegurança elaborada em conformidade com o n.º 2 do presente artigo. |
3. A Agência transmite à Comissão a proposta de sistema elaborada em conformidade com os n.ºs 1 e 2 do presente artigo. |
Alteração 167 Proposta de regulamento Artigo 44 – n.º 4 | |
|
Texto da Comissão |
Alteração |
|
4. A Comissão, com base na proposta de sistema apresentada pela ENISA, pode adotar atos de execução, em conformidade com o artigo 55.º, n.º 1, que estabeleçam sistemas europeus de certificação da cibersegurança de produtos e serviços de TIC que cumpram os requisitos estabelecidos nos artigos 45.º, 46.º e 47.º do presente regulamento. |
4. A Comissão, com base na proposta de sistema apresentada pela Agência, pode adotar atos delegados, em conformidade com o artigo 55.º-A, a fim de completar o presente regulamento por meio do estabelecimento de sistemas europeus de certificação da cibersegurança de produtos, processos e serviços de TIC que cumpram os requisitos estabelecidos nos artigos 45.º, 46.º e 47.º. |
Alteração 168 Proposta de regulamento Artigo 44 – n.º 5 | |
|
Texto da Comissão |
Alteração |
|
5. A ENISA mantém um sítio onde disponibiliza informações sobre os sistemas europeus de certificação da cibersegurança, bem como ações de divulgação dos mesmos. |
5. A Agência mantém um sítio onde disponibiliza informações sobre os sistemas europeus de certificação da cibersegurança, bem como ações de divulgação dos mesmos, nomeadamente informações sobre os certificados retirados e caducados e as certificações nacionais abrangidas. |
|
|
Sempre que um sistema europeu de certificação da cibersegurança satisfaça os requisitos que visa cumprir, em conformidade com a legislação pertinente da União em matéria de harmonização, a Comissão publica sem demora uma referência a esse sistema no Jornal Oficial da União Europeia, ou por quaisquer outros meios, de acordo com as condições estabelecidas no ato correspondente da legislação da União em matéria de harmonização. |
Alteração 169 Proposta de regulamento Artigo 44 – n.º 5-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
5-A. Os sistemas adotados são reavaliados pela Agência, com base na estrutura instituída pelo presente regulamento, no fim do seu período de validade, em conformidade com o artigo 47.º, n.º 1, alínea a-C), ou a pedido da Comissão, tendo em conta as observações das partes interessadas. |
Alteração 170 Proposta de regulamento Artigo 45 – parágrafo 1 – parte introdutória | |
|
Texto da Comissão |
Alteração |
|
Um sistema europeu de certificação da cibersegurança é concebido de modo a ter em conta, conforme aplicável, os seguintes objetivos de segurança: |
Um sistema europeu de certificação da cibersegurança é concebido de modo a ter em conta, conforme aplicável, objetivos de segurança que garantam: |
Alteração 171 Proposta de regulamento Artigo 45 – parágrafo 1 – alínea a) | |
|
Texto da Comissão |
Alteração |
|
a) Proteger dados armazenados, transmitidos ou sujeitos a qualquer outro tipo de tratamento contra o armazenamento, tratamento, acesso ou divulgação acidental ou não autorizada; |
a) A confidencialidade, a integridade, a disponibilidade e a privacidade dos serviços, funções e dados; |
Alteração 172 Proposta de regulamento Artigo 45 – parágrafo 1 – alínea b) | |
|
Texto da Comissão |
Alteração |
|
b) Proteger dados armazenados, transmitidos ou sujeitos a qualquer outro tipo de tratamento contra a destruição acidental ou não autorizada e a perda ou alteração acidental; |
b) O acesso a serviços, funções e dados e a sua utilização apenas por pessoas autorizadas e/ou por sistemas e programas autorizados; |
Alteração 173 Proposta de regulamento Artigo 45 – parágrafo 1 – alínea c) | |
|
Texto da Comissão |
Alteração |
|
c) Assegurar que as pessoas, programas ou máquinas autorizadas podem aceder exclusivamente aos dados, serviços ou funções abrangidos pelos seus direitos de acesso; |
c) A existência de um processo para identificar e documentar todas as dependências e vulnerabilidades conhecidas de produtos, processos e serviços de TIC; |
Alteração 174 Proposta de regulamento Artigo 45 – parágrafo 1 – alínea d) | |
|
Texto da Comissão |
Alteração |
|
d) Registar que dados, funções ou serviços foram comunicados, quando e por quem; |
d) A ausência de vulnerabilidades conhecidas em produtos, processos e serviços de TIC; |
Alteração 175 Proposta de regulamento Artigo 45 – parágrafo 1 – alínea e) | |
|
Texto da Comissão |
Alteração |
|
e) Assegurar a possibilidade de verificar que dados, serviços ou funções foram acedidos ou utilizados, quando e por quem; |
e) A existência de um processo para superar vulnerabilidades recém‑descobertas em produtos, processos e serviços de TIC; |
Alteração 176 Proposta de regulamento Artigo 45 – parágrafo 1 – alínea f) | |
|
Texto da Comissão |
Alteração |
|
f) Restabelecer a disponibilidade e o acesso a dados, serviços e funções de forma atempada, no caso de um incidente físico ou técnico; |
f) A segurança dos produtos, processos e serviços de TIC por definição e desde a conceção. |
Alteração 177 Proposta de regulamento Artigo 45 – parágrafo 1 – alínea g) | |
|
Texto da Comissão |
Alteração |
|
g) Assegurar que os produtos e serviços de TIC são equipados com suportes lógicos atualizados que não contêm vulnerabilidades conhecidas e que incluem mecanismos que permitam atualizações seguras desses suportes. |
g) O equipamento de produtos e serviços de TIC com suportes lógicos atualizados que não contenham vulnerabilidades conhecidas e que incluam mecanismos que permitam atualizações seguras desses suportes. |
Alteração 178 Proposta de regulamento Artigo 45 – parágrafo 1 – alínea g-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
g-A) A minimização de outros riscos associados a ciberincidentes, como os riscos para a vida, a saúde, o ambiente e outros interesses jurídicos importantes. |
Alteração 179 Proposta de regulamento Artigo 46 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. Um sistema europeu de certificação da cibersegurança pode especificar um ou mais dos seguintes níveis de garantia: básico, substancial e/ou elevado, para produtos e serviços de TIC certificados por esse sistema. |
1. Um sistema europeu de certificação da cibersegurança pode especificar um ou mais dos seguintes níveis de garantia baseados no risco em função do contexto e da utilização prevista dos produtos, processos e serviços de TIC: básico, substancial e/ou elevado, para produtos, processos e serviços de TIC certificados por esse sistema. |
Alteração 180 Proposta de regulamento Artigo 46 – n.º 2 – alínea a) | |
|
Texto da Comissão |
Alteração |
|
a) O nível de garantia básico corresponde a um certificado, emitido no âmbito de um sistema europeu de certificação da cibersegurança, que confere um nível de confiança limitado relativamente às propriedades de cibersegurança declaradas ou reivindicadas por determinado produto ou serviço de TIC, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir o risco de incidentes de cibersegurança; |
a) O nível de garantia básico corresponde a um risco baixo, em termos de probabilidade e danos combinados, associado a um produto, processo e serviço de TIC, tendo em conta o contexto e a utilização prevista. O nível de garantia básico confere a confiança de que é possível resistir aos riscos básicos conhecidos de ciberincidentes. |
Alteração 181 Proposta de regulamento Artigo 46 – n.º 2 – alínea b) | |
|
Texto da Comissão |
Alteração |
|
b) O nível de garantia substancial corresponde a um certificado, emitido no âmbito de um sistema europeu de certificação da cibersegurança, que confere um nível de confiança substancial relativamente às propriedades de cibersegurança declaradas ou reivindicadas por determinado produto ou serviço de TIC, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir substancialmente o risco de incidentes de cibersegurança; |
b) O nível de garantia substancial corresponde a um risco mais elevado, em termos de probabilidade e danos combinados, associado a um produto, processo e serviço de TIC. O nível de garantia substancial confere a confiança de que os riscos conhecidos de ciberincidentes podem ser evitados e de que também existe capacidade para resistir a ciberataques com recursos limitados. |
Alteração 182 Proposta de regulamento Artigo 46 – n.º 2 – alínea c) | |
|
Texto da Comissão |
Alteração |
|
c) O nível de garantia elevado corresponde a um certificado, emitido no âmbito de um sistema europeu de certificação da cibersegurança, que confere um nível de confiança mais elevado relativamente às propriedades de cibersegurança declaradas ou reivindicadas por determinado produto ou serviço de TIC que um certificado de nível de garantia substancial, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é prevenir incidentes de cibersegurança; |
c) O nível de garantia elevado corresponde a um risco elevado, em termos de danos, associado a um produto, processo e serviço de TIC. O nível de garantia elevado confere a confiança de que os riscos de ciberincidentes podem ser evitados e de que também existe capacidade para resistir a ciberataques com base em tecnologias de ponta, utilizando recursos importantes. |
Alteração 183 Proposta de regulamento Artigo 46-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
Artigo 46.º-A |
|
|
Avaliação dos níveis de garantia dos sistemas europeus de certificação da cibersegurança |
|
|
1. No caso do nível de garantia básico, o fabricante ou o fornecedor de produtos, processos e serviços de TIC pode, sob a sua exclusiva responsabilidade, efetuar uma autoavaliação da conformidade. |
|
|
2. No caso do nível de garantia substancial, a avaliação é orientada, pelo menos, pela verificação da conformidade das funcionalidades de segurança do produto, processo ou serviço com a respetiva documentação técnica; |
|
|
3. No caso do nível de garantia elevado, a metodologia de avaliação é orientada, pelo menos, por um teste de eficiência que avalia a resistência das funcionalidades de segurança a ataques com recursos importantes. |
Alteração 184 Proposta de regulamento Artigo 47 – n.º 1 – alínea a) | |
|
Texto da Comissão |
Alteração |
|
a) Objeto e âmbito da certificação, nomeadamente os tipos ou categorias de produtos e serviços de TIC abrangidos; |
a) Objeto e âmbito da certificação, nomeadamente os tipos ou categorias de produtos, processos e serviços de TIC abrangidos; |
Alteração 185 Proposta de regulamento Artigo 47 – n.º 1 – alínea a-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
a-A) Âmbito de aplicação e requisitos de cibersegurança e, quando aplicável, o âmbito de aplicação e os requisitos devem refletir os das certificações nacionais de cibersegurança que substituem ou que estão previstos em atos jurídicos; |
Alteração 186 Proposta de regulamento Artigo 47 – n.º 1 – alínea a-B) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
a-B) Período de validade do sistema de certificação; |
Alteração 187 Proposta de regulamento Artigo 47 – n.º 1 – alínea b) | |
|
Texto da Comissão |
Alteração |
|
b) Especificação pormenorizada dos requisitos de cibersegurança em relação aos quais os produtos e serviços de TIC específicos são avaliados, por exemplo, por referência a normas ou especificações técnicas da União ou internacionais; |
b) Especificação pormenorizada dos requisitos de cibersegurança em relação aos quais os produtos, processos e serviços de TIC específicos são avaliados, por exemplo, por referência a normas, especificações técnicas ou especificações técnicas no domínio das TIC europeias ou internacionais, definidos de forma a que a certificação possa ser incorporada ou baseada nos processos sistemáticos de segurança seguidos pelo produtor durante o desenvolvimento e o ciclo de vida do produto ou serviço em questão; |
Alteração 188 Proposta de regulamento Artigo 47 – n.º 1 – alínea b-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
b-A) Informações sobre ciberameaças conhecidas que não estejam abrangidas pela certificação e orientações para lhes dar resposta; |
Alteração 189 Proposta de regulamento Artigo 47 – n.º 1 – alínea c) | |
|
Texto da Comissão |
Alteração |
|
c) Um ou mais níveis de garantia, se aplicável; |
c) Um ou mais níveis de garantia, se aplicável, tendo em conta, nomeadamente, uma abordagem baseada no risco; |
Alteração 190 Proposta de regulamento Artigo 47 – n.º 1 – alínea c-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
c-A) Indicação precisando se a autoavaliação da conformidade é autorizada no âmbito do sistema, e o procedimento aplicável à avaliação da conformidade ou à autodeclaração de conformidade, ou a ambas; |
Alteração 191 Proposta de regulamento Artigo 47 – n.º 1 – alínea d) | |
|
Texto da Comissão |
Alteração |
|
d) Critérios e métodos de avaliação específicos, nomeadamente os tipos de avaliação, utilizados para demonstrar que os objetivos específicos referidos no artigo 45.º são alcançados; |
d) Critérios de avaliação específicos, tipos de avaliação da conformidade e métodos utilizados para demonstrar que os objetivos específicos referidos no artigo 45.º são alcançados; |
Alteração 192 Proposta de regulamento Artigo 47 – n.º 1 – alínea e) | |
|
Texto da Comissão |
Alteração |
|
e) Informações necessárias para a certificação que os requerentes devem fornecer aos organismos de avaliação da conformidade; |
(Não se aplica à versão portuguesa.) |
Alteração 193 Proposta de regulamento Artigo 47 – n.º 1 – alínea f) | |
|
Texto da Comissão |
Alteração |
|
f) Condições de utilização de marcas ou rótulos, caso estes estejam previstos pelo sistema; |
f) Informações sobre cibersegurança, nos termos do artigo 47.º-A do presente regulamento; |
Alteração 194 Proposta de regulamento Artigo 47 – n.º 1 – alínea g) | |
|
Texto da Comissão |
Alteração |
|
g) Regras para o controlo da conformidade com os requisitos dos certificados, incluindo mecanismos para demonstrar a conformidade permanente com os requisitos de cibersegurança especificados, caso o sistema inclua a vertente de acompanhamento; |
g) Regras para o controlo da conformidade com os requisitos dos certificados, incluindo mecanismos para demonstrar a conformidade permanente com os requisitos de cibersegurança especificados; |
Alteração 195 Proposta de regulamento Artigo 47 – n.º 1 – alínea h) | |
|
Texto da Comissão |
Alteração |
|
h) Condições para a concessão, manutenção, continuação, alargamento e redução do âmbito da certificação; |
h) Condições para a concessão, manutenção, continuação, avaliação, alargamento e redução do âmbito e do período de validade do certificado; |
Alteração 196 Proposta de regulamento Artigo 47 – n.º 1 – alínea h-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
h-A) Regras que permitam superar vulnerabilidades que possam surgir após a emissão da certificação, através da criação de um processo organizacional contínuo e dinâmico, a que sejam associados os prestadores e os utilizadores; |
Alteração 197 Proposta de regulamento Artigo 47 – n.º 1 – alínea i) | |
|
Texto da Comissão |
Alteração |
|
i) Regras relativas às consequências da não conformidade de produtos e serviços de TIC certificados com os requisitos de certificação; |
i) Regras relativas às consequências da não conformidade de produtos e serviços de TIC certificados e objeto de autoavaliação com os requisitos de certificação; |
Alteração 198 Proposta de regulamento Artigo 47 – n.º 1 – alínea j) | |
|
Texto da Comissão |
Alteração |
|
j) Regras relativas ao modo como devem ser comunicadas e tratadas vulnerabilidades de cibersegurança em produtos e serviços de TIC não detetadas anteriormente; |
j) Regras relativas ao modo como devem ser comunicadas e tratadas, uma vez detetadas, vulnerabilidades de cibersegurança em produtos e serviços de TIC que não sejam do domínio público; |
Alteração 199 Proposta de regulamento Artigo 47 – n.º 1 – alínea l) | |
|
Texto da Comissão |
Alteração |
|
l) Identificação dos sistemas nacionais de certificação da cibersegurança que abranjam os mesmos tipos ou categorias de produtos e serviços de TIC; |
l) Identificação dos sistemas nacionais ou internacionais de certificação da cibersegurança que abranjam os mesmos tipos ou categorias de produtos, processos e serviços de TIC, requisitos de segurança e critérios e métodos de avaliação; |
Alteração 200 Proposta de regulamento Artigo 47 – n.º 1 – alínea m-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
m-A) Condições para o reconhecimento mútuo de sistemas de certificação com países terceiros. |
Alteração 201 Proposta de regulamento Artigo 47 – n.º 1-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
1-A. Os processos de manutenção com atualizações não devem invalidar a certificação, a menos que essas atualizações tenham um efeito adverso substancial na segurança do produto, processo ou serviço de TIC. |
Alteração 202 Proposta de regulamento Artigo 47-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
Artigo 47.º-A |
|
|
Informações sobre cibersegurança para produtos, processos e serviços certificados |
|
|
1. O fabricante ou o fornecedor de produtos, processos e serviços de TIC abrangidos por um sistema de certificação nos termos do presente regulamento deve entregar ao utilizador final um documento, em formato eletrónico ou em papel, que contenha, pelo menos, as seguintes informações: o nível de garantia do certificado no que se refere à utilização prevista do produto, processo ou serviço de TIC; uma descrição dos riscos em relação aos quais a certificação se destina a proporcionar confiança de que haverá capacidade de resistência; recomendações sobre o modo como os utilizadores podem contribuir para a cibersegurança do produto, processo ou serviço e sobre a regularidade e o período de apoio subsequente a eventuais atualizações; se for caso disso, informações sobre o modo como os utilizadores podem preservar as principais características do produto, processo ou serviço em caso de ataque. |
|
|
2. O documento referido no n.º 1 do presente artigo deve estar disponível durante todo o ciclo de vida do produto, processo ou serviço até à sua retirada do mercado e por um período mínimo de cinco anos. |
|
|
3. A Comissão adota atos de execução para estabelecer um modelo para o documento. A Comissão pode solicitar à Agência que proponha um modelo. O referido ato de execução é adotado pelo procedimento de exame a que se refere o artigo 55.º do presente regulamento. |
Alteração 203 Proposta de regulamento Artigo 48 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. Os produtos e serviços de TIC que tenham sido certificados ao abrigo de um sistema europeu de certificação da cibersegurança adotado nos termos do artigo 44.º são considerados conformes com os requisitos desse sistema. |
1. Os produtos, processos e serviços de TIC que tenham sido certificados ao abrigo de um sistema europeu de certificação da cibersegurança adotado nos termos do artigo 44.º são considerados conformes com os requisitos desse sistema. |
Alteração 204 Proposta de regulamento Artigo 48 – n.º 4 – parte introdutória | |
|
Texto da Comissão |
Alteração |
|
4. Em derrogação do n.º 3, em casos devidamente justificados, um determinado sistema europeu de certificação da cibersegurança pode prever que o certificado europeu de cibersegurança resultante desse sistema apenas possa ser emitido por um organismo público. Esse organismo público será um dos seguintes: |
4. Em derrogação do n.º 3, e apenas em casos devidamente justificados, como, por exemplo, por razões de segurança nacional, um determinado sistema europeu de certificação da cibersegurança pode prever que o certificado europeu de cibersegurança resultante desse sistema apenas possa ser emitido por um organismo público. Esse organismo público será um organismo acreditado como organismo de avaliação da conformidade nos termos do artigo 51.º, n.º 1, do presente regulamento. As pessoas singulares ou coletivas que submetem os seus produtos ou serviços de TIC ao processo de certificação colocam à disposição do organismo de avaliação da conformidade a que se refere o artigo 51.º todas as informações necessárias para efetuar o procedimento de certificação. |
Alteração 205 Proposta de regulamento Artigo 48 – n.º 5 | |
|
Texto da Comissão |
Alteração |
|
5. As pessoas singulares ou coletivas que submetem os seus produtos ou serviços de TIC ao processo de certificação fornecem ao organismo de avaliação da conformidade a que se refere o artigo 51.º todas as informações necessárias para efetuar o procedimento de certificação. |
5. As pessoas singulares ou coletivas que submetem os seus produtos, serviços ou processos de TIC ao processo de certificação fornecem ao organismo de avaliação da conformidade a que se refere o artigo 51.º todas as informações necessárias para efetuar o procedimento de certificação, incluindo informações sobre eventuais vulnerabilidades de segurança conhecidas. O pedido pode ser efetuado junto de qualquer organismo de avaliação da conformidade referido no artigo 51.º. |
Alteração 206 Proposta de regulamento Artigo 48 – n.º 6 | |
|
Texto da Comissão |
Alteração |
|
6. Os certificados são emitidos por um período máximo de três anos e podem ser renovados nas mesmas condições, desde que continuem a ser cumpridos os requisitos pertinentes. |
6. Os certificados são emitidos por um período máximo de tempo determinado caso a caso por cada sistema, tendo em conta um ciclo de vida razoável que não exceda, em caso algum, cinco anos, e podem ser renovados nas mesmas condições, desde que continuem a ser cumpridos os requisitos pertinentes. |
Justificação | |
Tal garante flexibilidade para adaptar o período de validade à utilização prevista. | |
Alteração 207 Proposta de regulamento Artigo 48 – n.º 7 | |
|
Texto da Comissão |
Alteração |
|
7. Os certificados europeus de cibersegurança emitidos ao abrigo do presente artigo são reconhecidos em todos os Estados-Membros. |
7. Os certificados europeus de cibersegurança emitidos ao abrigo do presente artigo são reconhecidos em todos os Estados-Membros como conformes com os requisitos de cibersegurança locais relativos aos produtos e processos de TIC e aos dispositivos de eletrónica de consumo abrangidos por cada certificado, tendo em conta o nível de garantia referido no artigo 46.º, não podendo ser exercida qualquer discriminação entre estes certificados, seja em função do Estado-Membro de origem seja em função do organismo de avaliação da conformidade emissor referido no artigo 51.º. |
Justificação | |
Para evitar uma fragmentação no reconhecimento e/ou na conformidade dos sistemas de certificação da União em matéria de cibersegurança, este artigo deve salientar que nenhum local de emissão de um certificado pode ser objeto de discriminação. | |
Alteração 208 Proposta de regulamento Artigo 48-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
Artigo 48.º-A |
|
|
Sistemas de certificação dos operadores de serviços essenciais |
|
|
1. Quando tiverem sido adotados sistemas europeus de certificação da cibersegurança nos termos do n.º 2 do presente artigo, os operadores de serviços essenciais utilizam os produtos, processos e serviços abrangidos por esses sistemas de certificação, a fim de cumprir os requisitos de segurança previstos no artigo 14.º da Diretiva (UE) 2016/1148. |
|
|
2. Até [um ano após a data de entrada em vigor do presente regulamento], a Comissão, após consulta do grupo de cooperação referido no artigo 11.º da Diretiva (UE) 2016/1148, adota atos delegados, nos termos do artigo 55.º-A, a fim de completar o presente regulamento por meio da enumeração das categorias de produtos, processos e serviços que preenchem os dois critérios seguintes: |
|
|
a) Destinam-se a ser utilizados por operadores de serviços essenciais; e |
|
|
b) O seu funcionamento deficiente teria um efeito perturbador importante na prestação do serviço essencial. |
|
|
3. A Comissão adota atos delegados, nos termos do artigo 55.º-A, a fim de alterar o presente regulamento, atualizando, sempre que necessário, a lista das categorias de produtos, processos e serviços referidas no n.º 3 do presente artigo. |
|
|
4. A Comissão solicita à Agência que elabore uma proposta de sistemas europeus de certificação da cibersegurança, nos termos do artigo 44.º, n.º -1, do presente regulamento para a lista de categorias de produtos, processos e serviços referidos nos n.ºs 2 e 3 do presente artigo, assim que a lista for adotada ou atualizada. Os certificados emitidos nos termos desses sistemas europeus de certificação da cibersegurança têm um nível de garantia elevado. |
Alteração 209 Proposta de regulamento Artigo 48-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
Artigo 48.º-B |
|
|
Objeções formais a sistemas europeus de certificação da cibersegurança |
|
|
1. Caso um Estado-Membro considere que um sistema europeu de certificação da cibersegurança não satisfaz inteiramente os requisitos que visa cumprir, previstos na legislação pertinente da União em matéria de harmonização, informa desse facto a Comissão, fornecendo uma explicação pormenorizada. A Comissão, após consulta do comité instituído em conformidade com a legislação pertinente da União em matéria de harmonização, se for caso disso, ou depois de realizar outras formas de consulta de peritos do setor, decide: |
|
|
a) Publicar, não publicar ou publicar com restrições as referências ao sistema europeu de certificação da cibersegurança em causa no Jornal Oficial da União Europeia; |
|
|
b) Manter, manter com restrições no Jornal Oficial da União Europeia ou retirar desta publicação as referências ao sistema europeu de certificação da cibersegurança em causa. |
|
|
2. A Comissão publica no seu sítio Web informações sobre os sistemas europeus de certificação da cibersegurança que tenham sido objeto da decisão referida no n.º 1 do presente artigo. |
|
|
3. A Comissão informa a Agência da decisão referida no n.º 1 do presente artigo e, se necessário, solicita a revisão do sistema europeu de certificação da cibersegurança em causa. |
|
|
4. A decisão referida no n.º 1, alínea a), do presente artigo é adotada pelo procedimento consultivo a que se refere o artigo 55.º, n.º 2, do presente regulamento. |
|
|
5. A decisão referida no n.º 1, alínea b), do presente artigo é adotada pelo procedimento de exame a que se refere o artigo 55.º, n.º 2-A, do presente regulamento. |
Alteração 210 Proposta de regulamento Artigo 49 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. Sem prejuízo do disposto no n.º 3, os sistemas nacionais de certificação de cibersegurança e os procedimentos conexos relativos a produtos e serviços de TIC abrangidos por um sistema europeu de certificação da cibersegurança deixam de produzir efeitos a partir da data estabelecida no ato de execução adotado ao abrigo do artigo 44.º, n.º 4. Os sistemas nacionais de certificação da cibersegurança e os procedimentos conexos em vigor relativos a produtos e serviços de TIC não abrangidos por um sistema europeu de certificação da cibersegurança continuam a produzir efeitos. |
1. Sem prejuízo do disposto no n.º 3, os sistemas nacionais de certificação de cibersegurança e os procedimentos conexos relativos a produtos, processos e serviços de TIC abrangidos por um sistema europeu de certificação da cibersegurança deixam de produzir efeitos a partir da data estabelecida no ato de execução adotado ao abrigo do artigo 44.º, n.º 4. Os sistemas nacionais de certificação da cibersegurança e os procedimentos conexos em vigor relativos a produtos, processos e serviços de TIC não abrangidos por um sistema europeu de certificação da cibersegurança continuam a produzir efeitos. |
Alteração 211 Proposta de regulamento Artigo 49 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. Os Estados-Membros não podem introduzir novos sistemas nacionais de certificação da cibersegurança relativos a produtos e serviços de TIC abrangidos por um sistema europeu de certificação da cibersegurança em vigor. |
2. Os Estados-Membros não podem introduzir novos sistemas nacionais de certificação da cibersegurança relativos a produtos, processos e serviços de TIC abrangidos por um sistema europeu de certificação da cibersegurança em vigor. |
Alteração 212 Proposta de regulamento Artigo 49 – n.º 3-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
3-A. Os Estados-Membros comunicam à Comissão todos os pedidos de elaboração de sistemas nacionais de certificação da cibersegurança e indicam os motivos que justificam a sua aprovação. |
Alteração 213 Proposta de regulamento Artigo 49 – n.º 3-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
3-B. Os Estados-Membros enviam, mediante pedido, projetos nacionais de sistemas nacionais de certificação da cibersegurança a outros Estados-Membros, à Agência ou à Comissão, pelo menos em formato eletrónico. |
Alteração 214 Proposta de regulamento Artigo 49 – n.º 3-C (novo) | |
|
Texto da Comissão |
Alteração |
|
|
3-C. Sem prejuízo do disposto na Diretiva (UE) 2015/1535, os Estados-Membros dispõem de três meses para ter em devida conta e responder a todas as observações recebidas de qualquer outro Estado‑Membro, da Agência ou da Comissão respeitantes a qualquer projeto referido no n.º 3-B do presente artigo. |
Alteração 215 Proposta de regulamento Artigo 49 – n.º 3-D (novo) | |
|
Texto da Comissão |
Alteração |
|
|
3-D. Quando as observações recebidas nos termos do n.º 3-C do presente artigo indicarem que um projeto de sistema nacional de certificação da cibersegurança pode ter um impacto negativo no correto funcionamento do mercado interno, o Estado-Membro destinatário deve consultar a Agência e a Comissão e ter na máxima conta as observações antes de aprovar o projeto de sistema. |
Alteração 216 Proposta de regulamento Artigo 50 – n.º 5 | |
|
Texto da Comissão |
Alteração |
|
5. A fim de permitir a execução efetiva do presente regulamento, é conveniente que estas autoridades participem no grupo europeu para a certificação da cibersegurança instituído nos termos do artigo 53.º, de uma forma ativa, eficaz, eficiente e segura. |
5. A fim de permitir a execução efetiva do presente regulamento, é conveniente que estas autoridades participem no grupo dos Estados-Membros para a certificação da cibersegurança instituído nos termos do artigo 53.º, de uma forma ativa, eficaz, eficiente e segura. |
Alteração 217 Proposta de regulamento Artigo 50 – n.º 6 – alínea a) | |
|
Texto da Comissão |
Alteração |
|
a) Controlar e garantir a aplicação das disposições do presente título a nível nacional e supervisionar a conformidade dos certificados que tenham sido emitidos por organismos de avaliação da conformidade estabelecidos nos respetivos territórios com os requisitos estabelecidos no presente título e no correspondente sistema europeu de certificação da cibersegurança; |
a) Controlar e garantir a aplicação das disposições do presente título a nível nacional e verificar a conformidade segundo as regras adotadas pelo grupo europeu para a certificação da cibersegurança, nos termos do artigo 53.º, n.º 3, alínea d-A): |
|
|
i) Dos certificados que tenham sido emitidos por organismos de avaliação da conformidade estabelecidos nos respetivos territórios com os requisitos estabelecidos no presente título e no correspondente sistema europeu de certificação da cibersegurança; e |
|
|
ii) Das autodeclarações de conformidade emitidas ao abrigo de um sistema para um processo, produto ou serviço de TIC; |
Alteração 218 Proposta de regulamento Artigo 50 – n.º 6 – alínea b) | |
|
Texto da Comissão |
Alteração |
|
b) Controlar e supervisionar as atividades dos organismos de avaliação da conformidade para efeitos do presente regulamento, nomeadamente no que respeita à notificação dos organismos de avaliação da conformidade e às tarefas conexas estabelecidas no artigo 52.º do presente regulamento; |
b) Controlar, supervisionar e, pelo menos de dois em dois anos, avaliar as atividades dos organismos de avaliação da conformidade para efeitos do presente regulamento, nomeadamente no que respeita à notificação dos organismos de avaliação da conformidade e às tarefas conexas estabelecidas no artigo 52.º do presente regulamento; |
Alteração 219 Proposta de regulamento Artigo 50 – n.º 6 – alínea b-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
b-A) Realizar auditorias para garantir a aplicação de normas equivalentes na União e comunicar os resultados à Agência e ao Grupo; |
Justificação | |
Esta medida contribui para garantir um nível uniforme de serviços e de qualidade em toda a UE e para impedir a possibilidade de seleção da certificação mais favorável («certification shopping»). | |
Alteração 220 Proposta de regulamento Artigo 50 – n.º 6 – alínea c) | |
|
Texto da Comissão |
Alteração |
|
c) Tratar as reclamações apresentadas por pessoas singulares ou coletivas relativamente a certificados emitidos por organismos de avaliação da conformidade estabelecidos nos respetivos territórios, investigar, tanto quanto for necessário, o conteúdo das reclamações e informar os respetivos autores do andamento e do resultado da investigação num prazo razoável; |
c) Tratar as reclamações apresentadas por pessoas singulares ou coletivas relativamente a certificados emitidos por organismos de avaliação da conformidade estabelecidos nos respetivos territórios ou a autoavaliações da conformidade efetuadas, investigar, tanto quanto for necessário, o conteúdo das reclamações e informar os respetivos autores do andamento e do resultado da investigação num prazo razoável; |
Alteração 221 Proposta de regulamento Artigo 50 – n.º 6 – alínea c-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
c-A) Comunicar os resultados das verificações efetuadas ao abrigo da alínea a) e das avaliações efetuadas ao abrigo da alínea b) à Agência e ao grupo europeu para a certificação da cibersegurança; |
Alteração 222 Proposta de regulamento Artigo 50 – n.º 6 – alínea d) | |
|
Texto da Comissão |
Alteração |
|
d) Cooperar com outras autoridades nacionais supervisoras da certificação ou outras autoridades públicas, incluindo pela partilha de informações sobre a eventual não conformidade de produtos e serviços de TIC com os requisitos do presente regulamento ou de sistemas europeus de certificação da cibersegurança específicos; |
d) Cooperar com outras autoridades nacionais supervisoras da certificação ou outras autoridades públicas, tais como as autoridades de supervisão nacionais responsáveis pela proteção dos dados, incluindo pela partilha de informações sobre a eventual não conformidade de produtos, processos e serviços de TIC com os requisitos do presente regulamento ou de sistemas europeus de certificação da cibersegurança específicos; |
Alteração 223 Proposta de regulamento Artigo 50 – n.º 6 – alínea d) | |
|
Texto da Comissão |
Alteração |
|
d) Cooperar com outras autoridades nacionais supervisoras da certificação ou outras autoridades públicas, incluindo pela partilha de informações sobre a eventual não conformidade de produtos e serviços de TIC com os requisitos do presente regulamento ou de sistemas europeus de certificação da cibersegurança específicos; |
d) Cooperar com outras autoridades nacionais supervisoras da certificação ou outras autoridades públicas, tais como as autoridades de supervisão nacionais responsáveis pela proteção dos dados, incluindo pela partilha de informações sobre a eventual não conformidade de produtos e serviços de TIC com os requisitos do presente regulamento ou de sistemas europeus de certificação da segurança informática específicos; |
Justificação | |
A presente alteração decorre do parecer da AEPD. | |
Alteração 224 Proposta de regulamento Artigo 50 – n.º 7 – alínea c-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
c-A) Revogar a acreditação dos organismos de avaliação da conformidade que não respeitem o presente regulamento; |
Alteração 225 Proposta de regulamento Artigo 50 – n.º 7 – alínea e) | |
|
Texto da Comissão |
Alteração |
|
e) Retirar, em conformidade com o direito nacional, os certificados que não estejam em conformidade com o presente regulamento ou um sistema europeu de certificação da cibersegurança; |
e) Retirar, em conformidade com o direito nacional, os certificados que não estejam em conformidade com o presente regulamento ou um sistema europeu de certificação da cibersegurança e informar do facto os organismos nacionais de acreditação; |
Alteração 226 Proposta de regulamento Artigo 50 – n.º 8 | |
|
Texto da Comissão |
Alteração |
|
8. As autoridades nacionais supervisoras da certificação cooperam entre si e com a Comissão e, em particular, partilham informações, experiências e boas práticas em matéria de certificação da cibersegurança e de questões técnicas relacionadas com a cibersegurança de produtos e serviços de TIC. |
8. As autoridades nacionais supervisoras da certificação cooperam entre si e com a Comissão e, em particular, partilham informações, experiências e boas práticas em matéria de certificação da cibersegurança e de questões técnicas relacionadas com a cibersegurança de produtos, processos e serviços de TIC. |
Alteração 227 Proposta de regulamento Artigo 50 – n.º 8 (novo) | |
|
Texto da Comissão |
Alteração |
|
|
8-A. As autoridades nacionais supervisoras da certificação e os membros e o pessoal de cada autoridade nacional supervisora da certificação ficam sujeitos, nos termos do direito da União ou dos Estados-Membros, à obrigação de sigilo profissional, tanto durante o mandato como após o seu termo, relativamente a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções ou no exercício das suas competências. |
Alteração 228 Proposta de regulamento Artigo 50-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
Artigo 50.º-A |
|
|
Análise pelos pares |
|
|
1. As autoridades nacionais supervisoras da certificação são objeto de uma análise pelos pares relativamente a qualquer atividade que realizarem, em conformidade com o artigo 50.º, organizada pela Agência. |
|
|
2. A avaliação pelos pares deve funcionar com base em critérios e procedimentos de avaliação sólidos e transparentes, especialmente no que se refere aos requisitos estruturais, de recursos humanos e processuais, à confidencialidade e às reclamações. Devem prever-se procedimentos adequados para o recurso de decisões tomadas na sequência da avaliação. |
|
|
3. A análise pelos pares contemplará as avaliações dos procedimentos implementados pelas autoridades nacionais supervisoras da certificação, nomeadamente os procedimentos de verificação da conformidade dos certificados, os procedimentos para controlar e supervisionar as atividades dos organismos de avaliação da conformidade, a competência do pessoal, a exatidão das verificações e a metodologia de inspeção, bem como a exatidão dos resultados. A análise pelos pares avalia igualmente se as autoridades nacionais supervisoras da certificação em questão dispõem de recursos suficientes para o bom desempenho das suas funções, conforme exigido pelo artigo 50.º, n.º 4. |
|
|
4. A análise pelos pares de uma autoridade nacional supervisora da certificação é efetuada por duas autoridades nacionais supervisoras da certificação de outros Estados-Membros e pela Comissão, pelo menos, uma vez em cada cinco anos. A Agência pode participar na análise pelos pares e decide sobre a sua participação com base numa análise da avaliação dos riscos. |
|
|
5. A Comissão pode adotar atos delegados, nos termos do artigo 55.º-A, a fim de completar o presente regulamento por meio da definição de um plano para as análises pelos pares relativas a um período de pelo menos cinco anos, estabelecendo critérios referentes à composição da equipa de análise pelos pares, à metodologia utilizada para a análise, ao calendário, à periodicidade e a outras tarefas relacionadas com a análise. Ao adotar esses atos delegados, a Comissão tem devidamente em conta as considerações do grupo dos Estados-Membros para a certificação. |
|
|
6. Os resultados da análise pelos pares são examinados pelo grupo dos Estados-Membros para a certificação. A Agência elabora um resumo dos resultados e, se necessário, fornece documentos de orientação e sobre melhores práticas e publica-os. |
Alteração 229 Proposta de regulamento Artigo 51 – n.º 1-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
1-A. No que diz respeito ao nível de garantia elevado, o organismo de avaliação da conformidade deve, para além da sua acreditação, ser notificado pela autoridade nacional supervisora da certificação relativamente à sua competência e aos seus conhecimentos especializados em matéria de avaliação da cibersegurança. A autoridade nacional supervisora da certificação realiza auditorias regulares aos conhecimentos especializados e às competências dos organismos de avaliação da conformidade notificados. |
Justificação | |
A atribuição de um nível de garantia elevado requer a realização de testes de eficácia. Os conhecimentos especializados e as competências dos organismos de avaliação da conformidade que realizam testes de eficácia devem ser regularmente auditados, a fim de garantir, em particular, a qualidade dos testes. | |
Alteração 230 Proposta de regulamento Artigo 51 – n.º 2-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-A. São realizadas auditorias para garantir a aplicação de normas equivalentes na União, cujos resultados são comunicados à Agência e ao Grupo. |
Alteração 231 Proposta de regulamento Artigo 51 – n.º 2-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-B. Sempre que os fabricantes optem pela «autodeclaração de conformidade», prevista no artigo 48.º, n.º 3, os organismos de avaliação da conformidade tomam medidas adicionais para verificar os procedimentos internos implementados pelo fabricante para garantir que os seus produtos e/ou serviços estejam em conformidade com os requisitos do sistema europeu de certificação da cibersegurança. |
Alteração 232 Proposta de regulamento Artigo 52 – n.º 5 | |
|
Texto da Comissão |
Alteração |
|
5. A Comissão pode, por intermédio de atos de execução, definir as circunstâncias, os formatos e os procedimentos da notificação referida no n.º 1 do presente artigo. Esses atos de execução são adotados em conformidade com o procedimento de exame a que se refere o artigo 55.º, n.º 2. |
5. A Comissão pode, por intermédio de atos delegados, definir as circunstâncias, os formatos e os procedimentos da notificação referida no n.º 1 do presente artigo. Esses atos delegados são adotados em conformidade com o procedimento de exame a que se refere o artigo 55.º, n.º 2. |
Alteração 233 Proposta de regulamento Artigo 53 – título | |
|
Texto da Comissão |
Alteração |
|
Grupo europeu para a certificação da cibersegurança |
Grupo dos Estados-Membros para a certificação |
|
|
(Esta modificação aplica-se à integralidade do texto em apreço; a sua aprovação impõe adaptações técnicas em todo o texto). |
Alteração 234 Proposta de regulamento Artigo 53 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. É criado o grupo europeu para a certificação da cibersegurança (a seguir designado por «Grupo»). |
1. É criado o grupo dos Estados-Membros para a certificação. |
Alteração 235 Proposta de regulamento Artigo 53 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. O Grupo é composto por autoridades nacionais supervisoras da certificação. As autoridades nacionais supervisoras da certificação são representadas pelos seus presidentes ou por outros representantes de alto nível. |
2. O grupo dos Estados-Membros para a certificação é composto pelas autoridades nacionais supervisoras da certificação de cada Estado-Membro. As autoridades nacionais supervisoras da certificação são representadas pelos seus presidentes ou por outros representantes de alto nível. Os membros do grupo das partes interessadas para a certificação podem ser convidados a assistir a reuniões do grupo e a participar nos seus trabalhos. |
Alteração 236 Proposta de regulamento Artigo 53 – n.º 3 – parte introdutória | |
|
Texto da Comissão |
Alteração |
|
3. O grupo tem as seguintes atribuições: |
3. O grupo dos Estados-Membros para a certificação tem as seguintes atribuições: |
Alteração 237 Proposta de regulamento Artigo 53 – n.º 3 – alínea b) | |
|
Texto da Comissão |
Alteração |
|
b) Assistir, aconselhar e cooperar com a ENISA no que se refere à elaboração de propostas de sistemas, em conformidade com o artigo 44.º do presente regulamento; |
b) Assistir, aconselhar e cooperar com a Agência no que se refere à elaboração de propostas de sistemas, em conformidade com o artigo 44.º do presente regulamento; |
Alteração 238 Proposta de regulamento Artigo 53 – n.º 3 – alínea d-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
d-A) Adotar recomendações que determinem os intervalos a que as autoridades nacionais supervisoras da certificação devem efetuar verificações de certificados e autoavaliações da conformidade, bem como os critérios, a escala e o âmbito dessas verificações, e adotar regras e normas comuns para a comunicação, em conformidade com o artigo 50.º, n.º 6; |
Alteração 239 Proposta de regulamento Artigo 53 – n.º 3 – alínea e) | |
|
Texto da Comissão |
Alteração |
|
e) Analisar os desenvolvimentos relevantes no domínio da certificação da cibersegurança e proceder ao intercâmbio de boas práticas em matéria de sistemas de certificação da cibersegurança; |
e) Analisar os desenvolvimentos relevantes no domínio da certificação da cibersegurança e proceder ao intercâmbio de informações e de boas práticas em matéria de sistemas de certificação da cibersegurança; |
Alteração 240 Proposta de regulamento Artigo 53 – n.º 3 – alínea f-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
f-A) Facilitar o alinhamento dos sistemas europeus de certificação da cibersegurança pelas normas reconhecidas a nível internacional, nomeadamente avaliando os sistemas europeus de certificação da cibersegurança existentes e, se for caso disso, formulando recomendações à Agência para que colabore com as organizações internacionais de normalização pertinentes a fim de sanar insuficiências ou lacunas existentes nas normas reconhecidas internacionalmente; |
Alteração 241 Proposta de regulamento Artigo 53 – n.º 3 – alínea f-B) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
f-B) Definir um processo de análise pelos pares. Este processo tem em conta, nomeadamente, os conhecimentos técnicos exigidos às autoridades nacionais supervisoras da certificação para o desempenho das suas funções, conforme descrito nos artigos 48.º e 50.º, e inclui, sempre que necessário, a elaboração de documentos de orientação e sobre as melhores práticas, a fim de melhorar o respeito pelo presente regulamento por parte das autoridades nacionais supervisoras da certificação; |
Alteração 242 Proposta de regulamento Artigo 53 – n.º 3 – alínea f-C) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
f-C) Supervisionar o controlo e a manutenção de certificados; |
Alteração 243 Proposta de regulamento Artigo 53 – n.º 3 – alínea f-D) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
f-D) Ter em conta os resultados da consulta às partes interessadas realizada aquando da elaboração de propostas de sistemas, em conformidade com o artigo 44.º . |
Alteração 244 Proposta de regulamento Artigo 53 – n.º 4 | |
|
Texto da Comissão |
Alteração |
|
4. A Comissão preside ao Grupo e assegura os seus serviços de secretariado, com a assistência da ENISA, tal como previsto no artigo 8.º, alínea a). |
4. A Comissão preside ao grupo dos Estados-Membros para a certificação e assegura os seus serviços de secretariado, com a assistência da Agência, tal como previsto no artigo 8.º, alínea a). |
Alteração 245 Proposta de regulamento Artigo 53-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
Artigo 53.º-A |
|
|
Direito à ação judicial contra uma autoridade de supervisão ou um organismo de avaliação da conformidade |
|
|
1. Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, todas as pessoas singulares ou coletivas têm direito à ação judicial: |
|
|
a) Contra uma decisão de um organismo de avaliação da conformidade ou de uma autoridade nacional supervisora da certificação que lhes diga respeito, incluindo, se for caso disso, no que respeita à emissão, à não emissão ou ao reconhecimento de um certificado europeu de cibersegurança que essas pessoas possuam; e |
|
|
b) Nos casos em que a autoridade nacional supervisora da certificação não trate uma reclamação relativamente à qual seja competente. |
|
|
2. Os recursos contra um organismo de avaliação da conformidade ou uma autoridade nacional supervisora da certificação são interpostos nos tribunais do Estado-Membro em cujo território esse organismo de avaliação da conformidade ou essa autoridade nacional supervisora da certificação se encontrem estabelecidos. |
Alteração 246 Proposta de regulamento Artigo 55 – n.º 2-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-A. Sempre que se remeta para o presente número, aplica-se o artigo 5.º do Regulamento (UE) n.º 182/2011. |
Alteração 247 Proposta de regulamento Artigo 55-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
Artigo 55.º-A |
|
|
Exercício da delegação |
|
|
1. O poder de adotar atos delegados é conferido à Comissão nas condições estabelecidas no presente artigo. |
|
|
2. O poder de adotar atos delegados referido nos artigos 44.º e 48.º-A é conferido à Comissão por tempo indeterminado a contar de ... [data de entrada em vigor do ato legislativo de base]. |
|
|
3. A delegação de poderes referida nos artigos 44.º e 48.º-A pode ser revogada em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afeta os atos delegados já em vigor. |
|
|
4. Antes de adotar um ato delegado, a Comissão consulta os peritos designados por cada Estado-Membro de acordo com os princípios estabelecidos no Acordo Interinstitucional «Legislar melhor» de 13 de abril de 2016. |
|
|
5. Assim que adotar um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho. |
|
|
6. Os atos delegados adotados nos termos dos artigos 44.º e 48.º-A só entram em vigor se não tiverem sido formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de dois meses a contar da notificação desse ato ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objeções a formular. O referido prazo é prorrogado por dois meses por iniciativa do Parlamento Europeu ou do Conselho. |
Alteração 248 Proposta de regulamento Artigo 56 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. O mais tardar cinco anos após a data referida no artigo 58.º, e posteriormente de cinco em cinco anos, a Comissão avalia o impacto, a eficácia e a eficiência da Agência e dos seus métodos de trabalho, bem como a eventual necessidade de alterar o mandato da Agência e as consequências financeiras dessa alteração. Essa avaliação tem em conta todas as informações comunicadas à Agência em resposta às suas atividades. Se entender que a manutenção da Agência, tendo em conta os seus objetivos, mandato e atribuições, deixou de se justificar, a Comissão pode propor que o presente regulamento seja alterado no que concerne as disposições relativas à Agência. |
1. O mais tardar dois anos após a data referida no artigo 58.º, e posteriormente de dois em dois anos, a Comissão avalia o impacto, a eficácia e a eficiência da Agência e dos seus métodos de trabalho, bem como a eventual necessidade de alterar o mandato da Agência e as consequências financeiras dessa alteração. Essa avaliação tem em conta todas as informações comunicadas à Agência em resposta às suas atividades. Se entender que a manutenção da Agência, tendo em conta os seus objetivos, mandato e atribuições, deixou de se justificar, a Comissão pode propor que o presente regulamento seja alterado no que concerne as disposições relativas à Agência. |
Alteração 249 Proposta de regulamento Artigo 56 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. A avaliação visa igualmente o impacto, a eficácia e a eficiência das disposições do título III, no que respeita aos objetivos de assegurar um nível adequado de cibersegurança de produtos e serviços de TIC na União e de melhorar o funcionamento do mercado interno. |
2. A avaliação visa igualmente o impacto, a eficácia e a eficiência das disposições do título III, no que respeita aos objetivos de assegurar um nível adequado de cibersegurança de produtos, processos e serviços de TIC na União e de melhorar o funcionamento do mercado interno. |
Alteração 250 Proposta de regulamento Artigo 56 – n.º 2-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-A. A avaliação deve examinar se são necessários requisitos essenciais de cibersegurança para o acesso ao mercado interno, a fim de impedir que entrem no mercado da União produtos, serviços e processos que não cumprem os requisitos básicos de cibersegurança. |
Alteração 251 Proposta de regulamento Anexo -I (novo) | |
|
Texto da Comissão |
Alteração |
|
|
ANEXO -I |
|
|
Aquando do lançamento do quadro de certificação da cibersegurança da UE, é provável que a atenção se centre em domínios de interesse imediato para superar o desafio colocado pelas tecnologias emergentes. A Internet das Coisas reveste-se de particular interesse, uma vez que é transversal às exigências dos consumidores e do setor. Propõe-se a adoção da seguinte lista de prioridades para integração no quadro de certificação: |
|
|
1) Certificação da prestação de serviços de computação em nuvem. |
|
|
2) Certificação de dispositivos da Internet das Coisas, incluindo: |
|
|
a. dispositivos a nível individual, como tecnologias usáveis («wearables») inteligentes; |
|
|
b. dispositivos a nível comunitário, como automóveis inteligentes, casas inteligentes, dispositivos de saúde; |
|
|
c. dispositivos a nível da sociedade, como cidades inteligentes e redes inteligentes. |
|
|
3) Indústria 4.0, que envolve sistemas ciberfísicos inteligentes e interligados que automatizam todas as etapas das operações industriais, desde a conceção e o fabrico ao funcionamento, à cadeia de abastecimento e à manutenção do serviço. |
|
|
4) Certificação de tecnologias e produtos utilizados na vida quotidiana, nomeadamente dispositivos de ligação em rede, como «routers» de Internet no domicílio. |
Alteração 252 Proposta de regulamento Anexo I – parágrafo 1 – ponto 5-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
5-A. Se um organismo de avaliação da conformidade for propriedade de uma entidade ou instituição pública, ou gerido por essa entidade e instituição, devem ser garantidas e documentadas a independência e a inexistência de conflitos de interesses entre, por um lado, a autoridade supervisora da certificação e, por outro, o organismo de avaliação da conformidade. |
Alteração 253 Proposta de regulamento Anexo I – parágrafo 1 – ponto 8 | |
|
Texto da Comissão |
Alteração |
|
8. Os organismos de avaliação da conformidade devem ter capacidade para executar todas as tarefas de avaliação de conformidade que lhes sejam atribuídas ao abrigo do presente regulamento, quer essas tarefas sejam executadas por eles mesmos ou em seu nome e sob a sua responsabilidade. |
8. Os organismos de avaliação da conformidade devem ter capacidade para executar todas as tarefas de avaliação de conformidade que lhes sejam atribuídas ao abrigo do presente regulamento, quer essas tarefas sejam executadas por eles mesmos ou em seu nome e sob a sua responsabilidade. Qualquer subcontratação ou consulta de pessoal externo deve ser devidamente documentada, não deve envolver intermediários e deve ser submetida a um acordo escrito que abranja, entre outros aspetos, a confidencialidade e os conflitos de interesses. O organismo de avaliação da conformidade em causa deve assumir plena responsabilidade pelas tarefas executadas. |
Alteração 254 Proposta de regulamento Anexo I – parágrafo 1 – ponto 12 | |
|
Texto da Comissão |
Alteração |
|
12. Deve ser garantida a imparcialidade dos organismos de avaliação da conformidade, dos seus quadros superiores e do pessoal avaliador. |
12. Deve ser garantida a imparcialidade dos organismos de avaliação da conformidade, dos seus quadros superiores, do pessoal avaliador e dos subcontratantes. |
Alteração 255 Proposta de regulamento Anexo I – parágrafo 1 – ponto 15 | |
|
Texto da Comissão |
Alteração |
|
15. O pessoal dos organismos de avaliação da conformidade deve estar sujeito a sigilo profissional no que se refere a todas as informações obtidas no cumprimento das suas tarefas no âmbito do presente regulamento ou de qualquer disposição do direito nacional que lhe dê aplicação, exceto em relação às autoridades competentes do Estado-Membro em que exerce as suas atividades. |
15. Os organismos de avaliação da conformidade e o seu pessoal, os seus comités, as suas subsidiárias, os seus subcontratantes, bem como qualquer outro organismo associado ou o pessoal de organismos externos dos organismos de avaliação da conformidade, devem manter a confidencialidade e estar sujeitos a sigilo profissional no que se refere a todas as informações obtidas no cumprimento das suas tarefas no âmbito do presente regulamento ou de qualquer disposição do direito nacional que lhe dê aplicação, salvo nos casos em que a divulgação seja exigida pelo direito da União ou do Estado-Membro ao qual essas pessoas estão sujeitas, exceto em relação às autoridades competentes do Estado-Membro em que exercem as suas atividades. Os direitos de propriedade devem ser protegidos. Os organismos de avaliação da conformidade devem dispor de procedimentos documentados referentes aos requisitos do presente ponto 15. |
Alteração 256 Proposta de regulamento Anexo I – parágrafo 1 – ponto 15-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
15-A. Com exceção do ponto 15, os requisitos estabelecidos no presente anexo em nada obstam ao intercâmbio de informações técnicas e de orientações regulamentares entre um organismo de avaliação da conformidade e uma pessoa que apresente, ou pondere apresentar, um pedido de certificação. |
Alteração 257 Proposta de regulamento Anexo I – parágrafo 1 – ponto 15-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
15-B. Os organismos de avaliação da conformidade devem funcionar de acordo com um conjunto de modalidades e condições coerentes, justas e razoáveis, tendo em conta os interesses das pequenas e médias empresas, na aceção da Recomendação 2003/361/CE no que respeita a taxas. |
- [1] JO C 227 de 28.6.2018, p. 86.
EXPOSIÇÃO DE MOTIVOS
É um facto que a revolução digital global se enraíza e prolifera nas nossas economias, sociedades e governos – todos os nossos dados estão vulneráveis. Os consumidores, as indústrias, as instituições e as democracias a nível local, nacional, europeu e global têm sido vítimas de ataques informáticos, ciberespionagem e sabotagem informática, e todos estamos conscientes de que tais situações aumentarão significativamente nos próximos anos.
Milhares de milhões de dispositivos estão ligados à Internet e a interagir num novo nível e numa nova escala. Esses dispositivos e os serviços conexos podem melhorar a vida dos cidadãos e as nossas economias. No entanto, as pessoas e organizações só farão ou se tornarão plenamente parte do mundo digital se confiarem nas tecnologias digitais. A confiança exige que os dispositivos, processos e serviços da IdC (Internet das coisas) sejam seguros e estejam protegidos.
Para alcançar estes objetivos, a Comissão propôs o «Regulamento Cibersegurança». Este regulamento é uma parte importante e um instrumento da nova estratégia da União Europeia para a cibersegurança, que visa proporcionar à Europa uma visão a longo prazo da cibersegurança e garantir a confiança nas tecnologias digitais. Tem de ser visto no contexto da legislação já em vigor: a UE já criou uma Agência da União Europeia para a Segurança das Redes e da Informação (ENISA) e adotou uma diretiva relativa à segurança das redes e da informação («Diretiva SRI»), atualmente transposta pelos Estados-Membros.
O Regulamento Cibersegurança é constituído por duas partes: na primeira parte, são especificados o papel e o mandato da ENISA com o objetivo de reforçar a capacidade da Agência. Na segunda parte, é introduzido um sistema europeu de certificação da cibersegurança sob a forma de um quadro voluntário para reforçar a segurança de dispositivos ligados e produtos e serviços digitais.
De um modo geral, a relatora congratula-se com a proposta da Comissão relativa ao Regulamento Cibersegurança, uma vez que é crucial minimizar os riscos e as ameaças para a segurança da informação e os sistemas de rede e permitir que os consumidores tenham confiança nas soluções de TI, em especial no que diz respeito à Internet das coisas. A relatora acredita firmemente que a Europa pode assumir um papel de liderança no domínio da cibersegurança. A Europa tem uma base industrial forte, pelo que trabalhar para melhorar a cibersegurança no que se refere a bens de consumo, aplicações industriais e infraestruturas críticas é do interesse tanto dos consumidores como da indústria.
A proposta da Comissão deve ser alterada, tanto no que diz respeito à parte relativa à ENISA como à parte relativa à certificação:
No que diz respeito à ENISA, a relatora considera que é crucial estabelecer o enquadramento adequado se queremos uma Agência forte e que funcione bem. A relatora congratula-se com um papel reforçado da ENISA, que inclui o seu mandato permanente e um aumento do seu orçamento e pessoal, sendo igualmente necessária uma abordagem realista, tendo em consideração o número ainda reduzido de peritos empregados pela ENISA em comparação com o número de efetivos de algumas autoridades nacionais supervisoras da certificação. A missão da ENISA deve continuar a ser a de promover a cooperação operacional, tendo em consideração os conhecimentos especializados adquiridos nos termos da Diretiva SRI, continuar a apoiar o reforço de capacidades nos Estados-Membros e ser uma fonte de informação. Além disso, é necessário que a ENISA desempenhe um papel importante na criação de sistemas europeus de cibersegurança em conjunto com os Estados-Membros e as partes interessadas pertinentes.
No que diz respeito à certificação, a relatora é a favor de um âmbito de aplicação mais claro da proposta. Em primeiro lugar, o presente regulamento não deve abranger apenas produtos e serviços, mas todo o ciclo de vida. Assim, os processos também têm de ser incluídos no âmbito de aplicação. Por outro lado, os domínios de competência dos Estados-Membros devem ser claramente excluídos, nomeadamente no que se refere à segurança pública, à defesa, à segurança nacional e ao domínio do direito penal.
No que diz respeito ao sistema europeu de certificação da cibersegurança, a relatora propõe especificar mais pormenorizadamente uma abordagem baseada no risco e não um sistema de certificação «de solução única». Além disso, a relatora é a favor de um sistema voluntário – mas apenas para os níveis de garantia básico e substancial. Para produtos, processos ou serviços abrangidos pelo nível de garantia mais elevado, é preferível um sistema obrigatório, segundo a relatora. No que diz respeito à avaliação de tecnologias digitais abrangidas pelo nível de garantia básico, a relatora sugere ainda uma ligação com o novo quadro legislativo. Tal permitirá a autoavaliação, um sistema mais barato e menos oneroso que demonstrou funcionar bem em domínios específicos diferentes.
A relatora acredita que o fabricante ou fornecedor de produtos, processos e serviços de TIC deve ser obrigado a emitir uma declaração de produto obrigatória com informações estruturadas sobre a certificação, indicando, por exemplo, a disponibilidade de atualizações ou a interoperabilidade dos produtos, processos ou serviços certificados. Tal forneceria ao consumidor informações úteis ao escolher um dispositivo. A relatora prefere essa declaração de produto a um rótulo ou marca passíveis de induzir os consumidores em erro.
A relatora está firmemente convicta de que a estrutura de governação proposta pela Comissão necessita de ser melhorada para ser mais transparente para todas as partes interessadas envolvidas. Por conseguinte, a relatora sugere a adoção de um programa de trabalho plurianual da União que identifique ações comuns a empreender a nível da União e indique os domínios em que os sistemas europeus de certificação devem ser estabelecidos com prioridade, bem como o nível de equivalência de saber-fazer e conhecimentos especializados das entidades supervisoras e dos organismos de avaliação nos Estados-Membros. Uma governação reforçada significa igualmente uma participação mais forte dos Estados-Membros e da indústria no processo de certificação: o papel dos Estados-Membros pode ser reforçado quando o «Grupo», criado nos termos do artigo 53.º da proposta e composto por autoridades nacionais supervisoras da certificação, for colocado em pé de igualdade com a Comissão no processo de elaboração de um sistema de certificação. O Grupo terá igualmente de aprovar uma proposta de sistema europeu. Em terceiro lugar, também a participação da indústria no processo de certificação deve ser reforçada. Tal pode ser conseguido através da clarificação da composição do grupo permanente de partes interessadas e da criação, pela ENISA, de grupos consultivos ad hoc, para que a indústria e outras partes interessadas pertinentes possam contribuir com mais conhecimentos especializados e saber-fazer no âmbito de processos de certificação. A relatora considera que todas estas medidas ajudarão as PME a estarem muito mais presentes no processo.
Por último, um sistema de certificação europeu necessita de um maior envolvimento das organizações europeias de normalização, como o CEN e o CENELEC, aquando do desenvolvimento de novos sistemas. Tal permitiria que as normas internacionais existentes e globalmente aceites prevalecessem.
PARECER DA COMISSÃO DO MERCADO INTERNO E DA PROTEÇÃO DOS CONSUMIDORES (22.5.2018)
dirigido à Comissão da Indústria, da Investigação e da Energia
sobre a proposta de regulamento do Parlamento Europeu e do Conselho relativo à ENISA, a «Agência da União Europeia para a Cibersegurança», e à certificação da cibersegurança das tecnologias da informação e comunicação, e que revoga o Regulamento (UE) n.º 526/2013 («Regulamento Cibersegurança»)
(COM(2017)0477 – C8-0310-2017 – 2017/0225(COD))
Relator de parecer: (*) Nicola Danti
(*) Comissão associada – artigo 54.º do Regimento
JUSTIFICAÇÃO SUCINTA
Na era digital, a Cibersegurança é um elemento fundamental para a competitividade económica e a segurança da União Europeia, bem como para a integridade das nossas sociedades livres e democráticas e dos processos que lhes subjazem. Garantir um elevado nível de resiliência cibernética em toda a UE é extremamente relevante para conseguir a confiança dos consumidores no Mercado Único Digital e para um maior desenvolvimento de uma Europa mais inovadora e competitiva.
Sem qualquer dúvida, as ameaças cibernéticas e os ciberataques de nível mundial - como o «Wannacry» e o «Meltdown» - são problemas cada vez mais significativos na nossa sociedade de digitalização crescente. De acordo com um inquérito do Eurobarómetro publicado em julho de 2017, 87% dos inquiridos consideram o cibercrime «um importante problema para a segurança interna da UE» e a maior parte destes têm «receio de serem vítimas de várias formas de cibercrime». Além disso, desde o início de 2016, ocorreram em todo o mundo mais de 4 000 ataques aleatórios por dia, com um aumento de 300% desde 2015, afetando 80% das sociedades da UE. Estes factos e conclusões revelam claramente uma necessidade de a UE ser mais resiliente e eficaz no combate aos ciberataques e de aumentar as suas capacidades para proteger melhor os cidadãos, empresas e instituições púbicas europeias.
Um ano após a entrada em vigor da Diretiva SRI, a Comissão Europeia, no quadro mais abrangente a estratégia europeia para a cibersegurança, apresentou um regulamento que visa reforçar a resiliência, a dissuasão e a defesa da cibersegurança na UE. Em 13 de setembro de 2017, a Comissão apresentou o «Regulamento Cibersegurança», assente em dois pilares:
1) um mandato mais forte e permanente para a Agência Europeia para a Segurança das Redes e da Informação (ENISA) para apoiar os Estados-Membros numa prevenção e reação eficaz aos ciberataques e 2) a criação de um quadro europeu de certificação da cibersegurança para garantir a segurança cibernética de produtos e serviços de tecnologias da informação e comunicação.
De um modo geral, o relator acolhe com agrado a abordagem proposta pela Comissão Europeia e está particularmente a favor da criação de sistemas europeus de certificação da cibersegurança que visem aumentar a segurança dos produtos e serviços de tecnologias da informação e comunicação e evitar a onerosa fragmentação do mercado único neste domínio crucial. Muito embora inicialmente deva manter-se como uma ferramenta voluntária, o relator espera que um quadro europeu de certificação da cibersegurança e os procedimentos conexos se torne um instrumento necessário para reforçar a confiança dos nossos cidadãos e utilizadores e aumentar a segurança nos produtos e serviços em circulação no mercado único.
De facto, está igualmente convicto de que vários pontos da proposta devem ser objeto de esclarecimento e melhoria:
• Em primeiro lugar, aumentar o envolvimento de partes interessadas relevantes nas diferentes fases do sistema de governação para a elaboração de propostas de sistemas de certificação pela ENISA: Na opinião do relator, é essencial envolver formalmente as partes interessadas mais pertinentes, tais como as empresas de TIC, as organizações de consumidores, as PME, os órgãos de organizações europeias de normalização e as agências setoriais europeias, etc., e conceder-lhes a possibilidade de propor novas propostas de sistemas, aconselhar a ENISA tendo em conta a sua experiência, ou colaborar com a ENISA na elaboração de uma proposta de sistema.
• Em segundo lugar, existe a necessidade de reforçar a coordenação do grupo europeu para a certificação da cibersegurança (composto pelas autoridades nacionais, apoiado pela Comissão e pela ENISA) com funções adicionais para fornecer orientações estratégicas e criar um programa de trabalho relativo a medidas comuns a adotar ao nível da União no domínio da certificação, bem como criar e atualizar periodicamente uma lista de prioridades de produtos e serviços de TIC para os quais considera necessário um sistema europeu de certificação da cibersegurança.
• O relator tem a firme convicção de que devemos evitar a prática de «compra» de certificação europeia, tal como já aconteceu noutros setores. As disposições em matéria de controlo e fiscalização da ENISA e autoridades nacionais supervisoras da certificação devem ser objeto de um reforço firme, a fim de garantir que um certificado europeu emitido num Estado-Membro obedecerá às mesmas normas e requisitos de um emitido noutro Estado-Membro. Por conseguinte, o relator propõe:
1) O reforço dos poderes de fiscalização da ENISA: em conjunto com o grupo de certificação, a ANISA deve efetuar avaliações dos procedimentos implementados pelas autoridades responsáveis pela emissão de certificados europeus;
2) Que as autoridades nacionais supervisoras da certificação devam efetuar avaliações periódicas (no mínimo, de dois em dois anos) dos certificados europeus emitidos por organismos de avaliação da conformidade;
3) A apresentação de critérios vinculativos comuns a definir pelo grupo para estabelecer a escala, o âmbito e a frequência com que as autoridades nacionais supervisoras da certificação devem efetuar as avaliações mencionadas no ponto 2.
• O relator tem a firme convicção de que deve ser introduzida uma marcação de confiança UE obrigatória para produtos e serviços de ITC certificados destinados a utilizadores finais. Esta marcação poderia ajudar a aumentar a sensibilização em cibersegurança, bem como atribuir uma vantagem competitiva às empresas com boas credenciais de cibersegurança.
• O relator concorda com a abordagem uniforme e harmonizada adotada pela Comissão, mas está convicto de que deve ser mais flexível e passível de adaptação às características e vulnerabilidades específicas de cada produto ou serviço - afastamento do princípio de uma solução única. Por conseguinte, o relator considera que os níveis de garantia devem ser redenominados, devendo ser utilizados também tendo em conta a utilização pretendida dos produtos e serviços de TIC. De igual forma, o prazo de validade do certificado deve ser definido com base nos sistemas individuais.
• Cada sistema de certificação deve ser concebido de modo a estimular e incentivar todos os intervenientes envolvidos no setor em causa para criar e adotar regras, normas técnicas e princípios de segurança desde a conceção e de privacidade desde a conceção, em todas as fases do ciclo do produto ou serviço.
ALTERAÇÕES
A Comissão do Mercado Interno e da Proteção dos Consumidores insta a Comissão da Indústria, da Investigação e da Energia, competente quanto à matéria de fundo, a ter em conta as seguintes alterações:
Alteração 1 Proposta de regulamento Considerando 1 | |
|
Texto da Comissão |
Alteração |
|
(1) As redes e sistemas de informação e as redes e serviços de telecomunicações desempenham um papel crucial para a sociedade e tornaram-se a espinha dorsal do crescimento económico. As tecnologias da informação e comunicação estão na base de sistemas complexos que apoiam as atividades sociais, mantêm as nossas economias a funcionar em setores determinantes como a saúde, a energia, as finanças e os transportes e apoiam, em especial, o funcionamento do mercado interno. |
(1) As redes e sistemas de informação e as redes e serviços de telecomunicações desempenham um papel crucial para a sociedade e tornaram-se a espinha dorsal do crescimento económico. As Tecnologias da Informação e Comunicação (TIC) estão na base de sistemas complexos que apoiam as atividades sociais quotidianas, mantêm as nossas economias a funcionar em setores determinantes como a saúde, a energia, as finanças e os transportes e apoiam, em especial, o funcionamento do mercado interno. |
Alteração 2 Proposta de regulamento Considerando 2 | |
|
Texto da Comissão |
Alteração |
|
(2) A utilização de redes e sistemas de informação por parte dos cidadãos, das empresas e dos governos da União é agora generalizada. A digitalização e a conectividade estão a tornar-se características centrais num número cada vez maior de produtos e serviços e, com o surgimento da Internet das coisas (IdC), espera-se que milhões, se não mesmo milhares de milhões, de dispositivos digitais conectados sejam implantados em toda a UE durante a próxima década. Embora cada vez mais dispositivos estejam conectados à Internet, a segurança e a resiliência não são suficientemente integradas desde a conceção, conduzindo a uma insuficiência de cibersegurança. Neste contexto, a utilização reduzida da certificação leva a que haja informação insuficiente para os utilizadores empresariais e individuais sobre as características de cibersegurança de produtos e serviços de TIC, prejudicando a confiança nas soluções digitais. |
(2) A utilização de redes e sistemas de informação por parte dos cidadãos, das empresas e dos governos da União é agora generalizada. A digitalização e a conectividade estão a tornar-se características centrais num número cada vez maior de produtos e serviços e, com o surgimento da Internet das coisas (IdC), espera-se que milhões, se não mesmo milhares de milhões, de dispositivos digitais conectados sejam implantados em toda a UE durante a próxima década. Embora cada vez mais dispositivos estejam conectados à Internet, a segurança e a resiliência não são suficientemente integradas desde a conceção, conduzindo a uma insuficiência de cibersegurança. Neste contexto, a utilização reduzida da certificação leva a que haja informação insuficiente para os utilizadores empresariais e individuais sobre as características de cibersegurança de produtos e serviços de TIC, prejudicando a confiança nas soluções digitais, essencial para a concretização do mercado único digital. |
Alteração 3 Proposta de regulamento Considerando 3 | |
|
Texto da Comissão |
Alteração |
|
(3) A digitalização e conectividade crescentes conduzem a maiores riscos de cibersegurança, tornando, assim, a sociedade em geral mais vulnerável a ciberameaças e agravando os perigos que as pessoas enfrentam, nomeadamente as pessoas vulneráveis como as crianças. A fim de mitigar o risco para a sociedade, têm de ser adotadas todas as ações necessárias para melhorar a cibersegurança na UE de modo a proteger melhor das ciberameaças as redes e sistemas de informação, as redes de telecomunicações, os produtos digitais, os serviços e dispositivos utilizados pelos cidadãos, os governos e as empresas — desde PME a operadores de infraestruturas críticas. |
(3) A digitalização e conectividade crescentes conduzem a maiores riscos graves de cibersegurança, tornando, assim, a sociedade em geral mais vulnerável a ciberameaças e agravando os perigos que as pessoas enfrentam, nomeadamente as pessoas vulneráveis como as crianças. Como a sociedade em geral, os cibercriminosos explorarão também o poder transformador da Inteligência Artificial e da aprendizagem automática. A fim de mitigar estes riscos para a sociedade, têm de ser adotadas todas as ações necessárias para melhorar a segurança contra ciberataques na UE de modo a proteger melhor das ciberameaças as redes e sistemas de informação, as redes de telecomunicações, os produtos digitais, os serviços e dispositivos utilizados pelos cidadãos, os governos e as empresas — desde PME a operadores de infraestruturas críticas. |
Alteração 4 Proposta de regulamento Considerando 4 | |
|
Texto da Comissão |
Alteração |
|
(4) Os ciberataques estão a aumentar e uma economia e sociedade conectadas, mais vulneráveis a ciberameaças e ciberataques, exigem defesas mais fortes. No entanto, apesar de os ciberataques terem amiúde uma natureza transfronteiriça, as respostas políticas por parte das autoridades responsáveis pela cibersegurança e as competências de aplicação da lei são predominantemente nacionais. Os ciberincidentes em grande escala são suscetíveis de perturbar a prestação de serviços essenciais na UE. Esta realidade exige uma resposta e uma gestão de crises a nível da UE, criando políticas específicas e desenvolvendo instrumentos mais abrangentes que permitam mostrar a solidariedade europeia e prestar assistência mútua. Além disso, é importante para os decisores políticos, para as empresas e para os utilizadores que se proceda a uma avaliação regular da situação da cibersegurança e da resiliência na União, com base em dados fiáveis da União, bem como a uma previsão sistemática da evolução, dos desafios e das ameaças futuras, tanto a nível da União como a nível global. |
(4) Os ciberataques estão a aumentar e uma economia e sociedade conectadas, mais vulneráveis a ciberameaças e ciberataques, exigem defesas mais fortes e mais seguras. No entanto, apesar de os ciberataques terem amiúde uma natureza transfronteiriça, as respostas políticas por parte das autoridades responsáveis pela cibersegurança e as competências de aplicação da lei são predominantemente nacionais. Os ciberincidentes em grande escala são suscetíveis de perturbar a prestação de serviços essenciais na UE. Esta realidade exige uma resposta e uma gestão de crises a nível da UE, criando políticas específicas e desenvolvendo instrumentos mais abrangentes que permitam mostrar a solidariedade europeia e prestar assistência mútua. Além disso, é importante para os decisores políticos, para as empresas e para os utilizadores que se proceda a uma avaliação regular da situação da cibersegurança e da resiliência na União, com base em dados fiáveis da União, bem como a uma previsão sistemática da evolução, dos desafios e das ameaças futuras, tanto a nível da União como a nível global. |
Alteração 5 Proposta de regulamento Considerando 5 | |
|
Texto da Comissão |
Alteração |
|
(5) Atendendo aos desafios de cibersegurança cada vez maiores que a União enfrenta, afigura-se necessário um conjunto abrangente de medidas que tenha por base ações anteriores da União e que promova objetivos que se reforcem mutuamente. Os mesmos incluem a necessidade de reforçar as capacidades e o grau de preparação dos Estados-Membros e das empresas, bem como de melhorar a cooperação e coordenação entre Estados‑Membros e instituições, agências e organismos da UE. Além disso, atendendo à natureza sem fronteiras das ciberameaças, é necessário aumentar as capacidades a nível da União suscetíveis de complementar a ação dos Estados‑Membros, designadamente no caso de ciberincidentes em grande escala e cibercrises transfronteiriças. São também necessários esforços adicionais para aumentar a sensibilização dos cidadãos e das empresas para as questões de cibersegurança. Além disso, a confiança no mercado único digital deve continuar a ser melhorada mediante a disponibilização de informação transparente sobre o nível de segurança de produtos e serviços de TIC. Tal pode ser facilitado por uma certificação a nível da UE que preveja requisitos de cibersegurança e critérios de avaliação comuns nos mercados e setores nacionais. |
(5) Atendendo aos desafios de cibersegurança cada vez maiores que a União enfrenta, afigura-se necessário um conjunto abrangente de medidas que tenha por base ações anteriores da União e que promova objetivos que se reforcem mutuamente. Os mesmos incluem a necessidade de reforçar as capacidades e o grau de preparação dos Estados-Membros e das empresas, bem como de melhorar a cooperação e coordenação entre Estados‑Membros e instituições, agências e organismos da UE. Além disso, atendendo à natureza sem fronteiras das ciberameaças, é necessário aumentar as capacidades a nível da União suscetíveis de complementar a ação dos Estados‑Membros, designadamente no caso de ciberincidentes em grande escala e cibercrises transfronteiriças. São também necessários esforços adicionais para aumentar a sensibilização dos cidadãos e das empresas para as questões de cibersegurança. Além disso, dado que os ciberincidentes abalam a confiança nos prestadores de serviços digitais e no próprio mercado único digital, nomeadamente entre os consumidores, a confiança deve continuar a ser melhorada mediante a disponibilização de informação transparente sobre o nível de segurança de produtos e serviços de TIC. Tal pode ser facilitado por uma certificação homogénea a nível da UE, baseada nas normas europeias ou internacionais, que preveja requisitos de cibersegurança e critérios de avaliação comuns nos mercados e setores nacionais. A par da certificação ao nível da União, existe uma diversidade de medidas voluntárias que o próprio setor privado deve tomar para reforçar a confiança na segurança dos produtos e serviços de TIC, nomeadamente tendo em conta a disponibilidade crescente de dispositivos de IdC. Nomeadamente, deveria fazer-se uma utilização mais eficaz da cifragem e de outras tecnologias, assim como de tecnologias destinadas a prevenir com êxito ciberataques como as cadeias de blocos, a fim de melhorar a segurança dos dados e das comunicações dos utilizadores finais e a segurança global das redes e dos sistemas de informação na União. |
Alteração 6 Proposta de regulamento Considerando 5-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(5-A) Ainda que a certificação e outras formas de avaliação da conformidade dos processos, produtos e serviços de TIC desempenhem um papel importante, a melhoria da cibersegurança requer uma abordagem multifacetada que inclua as pessoas, os processos e as tecnologias. A UE deve igualmente continuar a valorizar e promover intensamente outros esforços, incluindo a literacia, a formação e o desenvolvimento de competências em matéria de cibersegurança; a sensibilização ao nível dos conselhos executivos e de administração das sociedades; a promoção da partilha voluntária de informação sobre ciberameaças; e a adoção pela UE de uma abordagem proativa, em vez de meramente reativa, na resposta a ameaças, colocando a ênfase na prevenção bem-sucedida de ciberataques. |
Alteração 7 Proposta de regulamento Considerando 7 | |
|
Texto da Comissão |
Alteração |
|
(7) A União já deu passos importantes para garantir a cibersegurança e reforçar a confiança nas tecnologias digitais. Em 2013, a Estratégia da UE para Cibersegurança foi adotada para orientar a resposta política da União às ameaças e riscos de cibersegurança. No seu esforço de proteger melhor os europeus em linha, a União adotou em 2016 o primeiro ato legislativo no domínio da cibersegurança, a Diretiva (UE) 2016/1148, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União («Diretiva SRI»). A Diretiva SRI instituiu requisitos relativos às capacidades nacionais no domínio da cibersegurança, criou os primeiros mecanismos para reforçar a cooperação estratégica e operacional entre Estados-Membros e introduziu obrigações relativas às medidas de segurança e notificações de incidentes nos setores que são vitais para a economia e a sociedade, tais como a energia, os transportes, a água, a banca, as infraestruturas do mercado financeiro, os cuidados de saúde, as infraestruturas digitais, bem como os prestadores de serviços digitais essenciais (motores de pesquisa, serviços de computação em nuvem e mercados em linha). Foi atribuído à ENISA um papel importante de apoio à execução desta diretiva. Além disso, a luta eficaz contra a cibercriminalidade constitui uma prioridade importante da Agenda Europeia para a Segurança, contribuindo para o objetivo geral de alcançar um elevado nível de cibersegurança. |
(7) A União já deu passos importantes para garantir a cibersegurança e reforçar a confiança nas tecnologias digitais. Em 2013, a Estratégia da UE para Cibersegurança foi adotada para orientar a resposta política da União às ameaças e riscos de cibersegurança. No seu esforço de proteger melhor os europeus em linha, a União adotou em 2016 o primeiro ato legislativo no domínio da cibersegurança, a Diretiva (UE) 2016/1148, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União («Diretiva SRI»). A Diretiva SRI, cujo êxito dependerá fortemente da sua aplicação efetiva pelos Estados-Membros, instituiu requisitos relativos às capacidades nacionais no domínio da cibersegurança, criou os primeiros mecanismos para reforçar a cooperação estratégica e operacional entre Estados-Membros e introduziu obrigações relativas às medidas de segurança e notificações de incidentes nos setores que são vitais para a economia e a sociedade, tais como a energia, os transportes, a água, a banca, as infraestruturas do mercado financeiro, os cuidados de saúde, as infraestruturas digitais, bem como os prestadores de serviços digitais essenciais (motores de pesquisa, serviços de computação em nuvem e mercados em linha). Foi atribuído à ENISA um papel importante de apoio à execução desta diretiva. Além disso, a luta eficaz contra a cibercriminalidade constitui uma prioridade importante da Agenda Europeia para a Segurança, contribuindo para o objetivo geral de alcançar um elevado nível de cibersegurança. |
Alteração 8 Proposta de regulamento Considerando 11 | |
|
Texto da Comissão |
Alteração |
|
(11) Atendendo aos desafios crescentes de cibersegurança que a União está a enfrentar, os recursos financeiros e humanos atribuídos à Agência devem ser aumentados para refletir o reforço do seu papel e atribuições e a sua posição crucial no ecossistema de organizações que defendem o ecossistema digital europeu. |
(11) Atendendo aos desafios e ameaças crescentes de cibersegurança que a União está a enfrentar, os recursos financeiros e humanos atribuídos à Agência devem ser aumentados para refletir o reforço do seu papel e atribuições e a sua posição crucial no ecossistema de organizações que defendem o ecossistema digital europeu. |
Alteração 9 Proposta de regulamento Considerando 28 | |
|
Texto da Comissão |
Alteração |
|
(28) A Agência deve contribuir para a sensibilização do público sobre os riscos relacionados com a cibersegurança e fornecer orientações sobre boas práticas para utilizadores individuais destinadas aos cidadãos e às organizações. A Agência deve também contribuir para promover boas práticas e soluções a nível das pessoas e organizações, recolhendo e analisando informações publicamente disponíveis relativas a incidentes importantes e coligindo relatórios destinados a prestar orientação às empresas e aos cidadãos e a melhorar o nível geral de preparação e resiliência. Além disso, a Agência deve organizar, em cooperação com os Estados-Membros e as instituições, organismos, órgãos e agências da União, ações de sensibilização e campanhas públicas de informação destinadas aos utilizadores finais, a fim de promover comportamentos individuais em linha mais seguros e de sensibilizar para as ameaças potenciais no ciberespaço, incluindo cibercrimes como os ataques de mistificação da interface, as redes de computadores zombies ou botnets e as fraudes financeiras e bancárias, bem como prestar aconselhamento sobre a autenticação de base e a proteção de dados. A Agência deve desempenhar um papel central na intensificação da sensibilização dos utilizadores finais para a segurança dos dispositivos. |
(28) A Agência deve contribuir para a sensibilização do público sobre os riscos relacionados com a cibersegurança e fornecer orientações sobre boas práticas para utilizadores individuais destinadas aos cidadãos e às organizações. A Agência deve igualmente contribuir para promover as melhores práticas e soluções em matéria de ciberhigiene, isto é, medidas de rotina simples que as pessoas e as organizações podem tomar para minimizar os riscos de ciberameaças, como a autenticação de vários fatores, o patching, a cifragem e a gestão do acesso. A Agência deve também contribuir para promover boas práticas e soluções a nível das pessoas e organizações, recolhendo e analisando informações publicamente disponíveis relativas a incidentes importantes e coligindo e publicando relatórios e guias destinados a prestar orientação às empresas e aos cidadãos e a melhorar o nível geral de preparação e resiliência. Além disso, a Agência deve organizar, em cooperação com os Estados-Membros e as instituições, organismos, órgãos e agências da União, ações de sensibilização e campanhas públicas de informação destinadas aos utilizadores finais, a fim de promover comportamentos individuais em linha mais seguros e de sensibilizar para medidas de proteção que podem ser adotadas contra ameaças potenciais no ciberespaço, incluindo cibercrimes como os ataques de mistificação da interface, os ataques de ransomware, os sequestros, as redes de computadores zombies ou botnets e as fraudes financeiras e bancárias, bem como promover o aconselhamento sobre a autenticação de base de vários fatores, a cifragem, o patching, os princípios de gestão do acesso, a proteção de dados e outras tecnologias de reforço da privacidade e ferramentas de anonimização. A Agência deve desempenhar um papel central na intensificação da sensibilização dos utilizadores finais para a segurança dos dispositivos e para uma utilização segura dos serviços, promover a segurança desde a conceção a nível da União, que é fundamental para melhorar a segurança dos dispositivos conectados, em especial para os utilizadores finais mais vulneráveis incluindo as crianças, e a proteção da privacidade desde a conceção. A Agência deve encorajar todos os utilizadores finais a tomar medidas adequadas para prevenir e minimizar o impacto de incidentes suscetíveis de afetar a segurança dos respetivos sistemas e redes informáticos. Importa, por outro lado, estabelecer parcerias com instituições académicas que tenham iniciativas de investigação nos domínios relevantes da cibersegurança. |
Alteração 10 Proposta de regulamento Considerando 35 | |
|
Texto da Comissão |
Alteração |
|
(35) A Agência deve incentivar os Estados-Membros e os prestadores de serviços a reforçarem as suas normas gerais de segurança, para que todos os utilizadores da Internet possam tomar as medidas necessárias para assegurarem a sua própria cibersegurança. Concretamente, os prestadores de serviços e os fabricantes de produtos devem retirar ou reciclar produtos e serviços que não cumpram as normas de cibersegurança. Em cooperação com as autoridades competentes, a ENISA poderá divulgar informações relativas ao nível de cibersegurança dos produtos e serviços disponibilizados no mercado interno e emitir alertas que visem os prestadores e fabricantes e solicitar-lhes que reforcem a segurança, nomeadamente a cibersegurança, dos seus produtos e serviços. |
35. A Agência deve incentivar os Estados-Membros e os prestadores de serviços a reforçarem as suas normas gerais de segurança, para que todos os utilizadores da Internet possam tomar as medidas necessárias para assegurarem a sua própria cibersegurança. Em cooperação com as autoridades competentes, a ENISA poderá divulgar informações relativas ao nível de cibersegurança dos produtos e serviços disponibilizados no mercado interno e emitir alertas que visem os prestadores e fabricantes e solicitar-lhes que reforcem a segurança, nomeadamente a cibersegurança, dos seus produtos e serviços. A ENISA deve publicar tais alertas no sítio Web previsto para a divulgação de informações sobre sistemas de certificação. A Agência deve elaborar orientações sobre os requisitos mínimos de segurança para os dispositivos informáticos vendidos na União ou exportados a partir da União. Essas orientações podem pedir aos fabricantes que proporcionem uma declaração escrita confirmando que o dispositivo não contém nenhum componente de hardware, software ou firmware que contenha alguma vulnerabilidade de segurança conhecida e explorável nem nenhuma senha ou código de acesso inalterável ou não encriptado, que é capaz de aceitar atualizações de segurança adequadamente autenticadas e fiáveis, que a resposta do vendedor a um dispositivo afetado inclui uma hierarquia adequada das medidas corretoras e que os vendedores comuniquem aos utilizadores finais a data em que expira o suporte de segurança para o dispositivo em questão. |
Alteração 11 Proposta de regulamento Considerando 36-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(36-A) As normas são uma ferramenta voluntária orientada pelo mercado, que fornece orientações e requisitos técnicos, e que resulta de um processo aberto, transparente e inclusivo. O recurso a normas facilita a conformidade dos bens e serviços com o direito da União e apoia as políticas europeias em consonância com o Regulamento (UE) n.º 1025/2012 relativo à normalização europeia. A Agência deve consultar e trabalhar de forma regular em cooperação com as organizações europeias de normalização, nomeadamente no atinente à criação de sistemas europeus de certificação da cibersegurança. |
Alteração 12 Proposta de regulamento Considerando 44 | |
|
Texto da Comissão |
Alteração |
|
(44) A Agência deve dispor, a título de órgão consultivo, de um grupo permanente de partes interessadas para assegurar o diálogo regular com o setor privado, com as associações de consumidores e com outras partes interessadas pertinentes. Esse grupo permanente de partes interessadas, criado pelo conselho de administração sob proposta do diretor executivo, deve concentrar-se em questões pertinentes para as partes interessadas e submetê-las à atenção da Agência. A composição do grupo permanente de partes interessadas, que deverá ser consultado particularmente no que diz respeito ao projeto de programa de trabalho, e as atribuições que lhe são conferidas devem assegurar uma representação suficiente das partes interessadas no trabalho da Agência. |
(44) A Agência deve dispor, a título de órgão consultivo, de um grupo permanente de partes interessadas para assegurar o diálogo regular com o setor privado, com as associações de consumidores e o mundo académico e com outras partes interessadas pertinentes. Esse grupo permanente de partes interessadas, criado pelo conselho de administração sob proposta do diretor executivo, deve concentrar-se em questões pertinentes para as partes interessadas e submetê-las à atenção da Agência. A fim de assegurar uma participação adequada das partes interessadas no quadro da certificação da cibersegurança, o grupo permanente das partes interessadas deve igualmente prestar aconselhamento relativamente aos produtos e serviços de TIC que devem ser abrangidos pelos futuros sistemas europeus de certificação da cibersegurança, devendo igualmente apresentar propostas à Comissão a solicitar que a Agência elabore propostas de sistemas relativamente aos referidos produtos e serviços de TIC, por sua própria iniciativa ou na sequência da apresentação de propostas das partes interessadas pertinentes. A composição do grupo permanente de partes interessadas, que deverá ser consultado particularmente no que diz respeito ao projeto de programa de trabalho, e as atribuições que lhe são conferidas devem assegurar uma representação eficiente e equitativa das partes interessadas no trabalho da Agência. |
Alteração 13 Proposta de regulamento Considerando 46 | |
|
Texto da Comissão |
Alteração |
|
(46) A fim de assegurar a plena autonomia e independência da Agência, e de lhe permitir exercer atribuições novas ou adicionais, incluindo atribuições de emergência imprevistas, a Agência deve ser dotada de um orçamento autónomo suficiente cujas receitas provenham essencialmente de uma contribuição da União e de contribuições dos países terceiros que participam nos trabalhos da Agência. A maior parte do pessoal da Agência deve estar diretamente implicada na execução operacional do mandato da Agência. O Estado-Membro de acolhimento, ou qualquer outro Estado-Membro, deve poder contribuir voluntariamente para as receitas da Agência. O procedimento orçamental da União deve permanecer aplicável no que diz respeito a todas as subvenções imputadas ao orçamento geral da União. Além disso, o Tribunal de Contas deve proceder à auditoria das contas da Agência, a fim de assegurar a transparência e a responsabilização. |
(46) A fim de assegurar a plena autonomia e independência da Agência, e de lhe permitir exercer atribuições novas ou adicionais, incluindo atribuições de emergência imprevistas, a Agência deve ser dotada de um orçamento autónomo suficiente cujas receitas provenham essencialmente de uma contribuição da União e de contribuições dos países terceiros que participam nos trabalhos da Agência. A maior parte do pessoal da Agência deve estar diretamente implicada na execução operacional do mandato da Agência. O Estado-Membro de acolhimento, ou qualquer outro Estado-Membro, deve poder contribuir voluntariamente para as receitas da Agência. O procedimento orçamental da União deve permanecer aplicável no que diz respeito a todas as subvenções imputadas ao orçamento geral da União. Além disso, o Tribunal de Contas deve proceder à auditoria das contas da Agência, a fim de assegurar a transparência, a responsabilização, a eficiência e a eficácia das despesas. |
Alteração 14 Proposta de regulamento Considerando 47 | |
|
Texto da Comissão |
Alteração |
|
(47) A avaliação da conformidade é o processo pelo qual se demonstra que um produto, processo, serviço, sistema, pessoa ou organismo satisfaz os requisitos específicos que lhe são aplicáveis. Para efeitos do presente regulamento, a certificação deve ser considerada um tipo de avaliação da conformidade respeitante às características de cibersegurança de um produto, processo, serviço, sistema ou combinação dos mesmos («produtos e serviços de TIC») realizada por um terceiro independente, que não o fabricante do produto ou o prestador do serviço. A certificação, por si só, não pode garantir que os produtos e serviços de TIC certificados são ciberseguros. Trata-se antes de um procedimento e de uma metodologia técnica para atestar que os produtos e serviços de TIC foram ensaiados e que cumprem determinados requisitos de cibersegurança estabelecidos noutros diplomas, por exemplo, conforme especificado em normas técnicas. |
(47) A avaliação da conformidade é o processo pelo qual se demonstra que um produto, processo, serviço, sistema, pessoa ou organismo satisfaz os requisitos específicos que lhe são aplicáveis. Para efeitos do presente regulamento, a certificação deve ser considerada um tipo de avaliação da conformidade respeitante às características e práticas de cibersegurança próprias de um produto, processo, serviço, sistema ou combinação dos mesmos («produtos e serviços de TIC») realizada por um terceiro independente ou através de um procedimento de autodeclaração de conformidade. A certificação, por si só, não pode garantir que os produtos e serviços de TIC certificados são ciberseguros e o utilizador final deve ser alertado para esse facto. Trata-se antes de um procedimento e de uma metodologia técnica para atestar que os produtos e serviços de TIC, bem como os processos e sistemas que lhes estão subjacentes, foram ensaiados e que cumprem determinados requisitos de cibersegurança estabelecidos noutros diplomas, por exemplo, conforme especificado em normas técnicas. |
Alteração 15 Proposta de regulamento Considerando 48 | |
|
Texto da Comissão |
Alteração |
|
(48) A certificação da cibersegurança desempenha um papel importante no aumento da confiança e segurança dos produtos e serviços de TIC. O mercado único digital, e em especial a economia dos dados e a Internet das coisas, apenas pode prosperar se houver uma confiança pública generalizada de que esses produtos e serviços fornecem um determinado nível de garantia da cibersegurança. Os automóveis conectados, os dispositivos médicos eletrónicos, os sistemas industriais de automatização e controlo ou as redes inteligentes são apenas alguns exemplos de setores nos quais a certificação é já amplamente utilizada ou suscetível de vir a ser utilizada no futuro próximo. Os setores regulados pela Diretiva SRI são também setores nos quais a certificação da cibersegurança é crucial. |
(48) A certificação europeia da cibersegurança desempenha um papel essencial no aumento da confiança e segurança dos produtos e serviços de TIC. O mercado único digital, e em especial a economia dos dados e a Internet das coisas, apenas pode prosperar se houver uma confiança pública generalizada de que esses produtos e serviços fornecem um elevado nível de garantia da cibersegurança. Os automóveis conectados, os dispositivos médicos eletrónicos, os sistemas industriais de automatização e controlo ou as redes inteligentes são apenas alguns exemplos de setores nos quais a certificação é já amplamente utilizada ou suscetível de vir a ser utilizada no futuro próximo. Os setores regulados pela Diretiva SRI são também setores nos quais a certificação da cibersegurança é crucial. |
Alteração 16 Proposta de regulamento Considerando 50 | |
|
Texto da Comissão |
Alteração |
|
(50) Atualmente, a certificação da cibersegurança de produtos e serviços de TIC é utilizada apenas de forma limitada. Quando existe, verifica-se na sua maioria a nível do Estado-Membro ou no quadro de sistemas impulsionados pela indústria. Neste contexto, um certificado emitido por uma autoridade nacional de cibersegurança não é, em princípio, reconhecido por outros Estados-Membros. Por conseguinte, as empresas têm de certificar os seus produtos e serviços nos vários Estados-Membros onde operam, nomeadamente com vista a participar em procedimentos nacionais de adjudicação de contratos. Acresce que, embora estejam a surgir novos sistemas, parece não existir uma abordagem coerente e holística no tocante a questões horizontais de cibersegurança, designadamente no domínio da Internet das coisas. Os sistemas existentes apresentam insuficiências e diferenças consideráveis em termos de cobertura de produtos, níveis de garantia, critérios substantivos e utilização efetiva. |
(50) Atualmente, a certificação da cibersegurança de produtos e serviços de TIC é utilizada apenas de forma limitada. Quando existe, verifica-se na sua maioria a nível do Estado-Membro ou no quadro de sistemas impulsionados pela indústria. Neste contexto, um certificado emitido por uma autoridade nacional de cibersegurança não é, em princípio, reconhecido por outros Estados-Membros. Por conseguinte, as empresas têm de certificar os seus produtos e serviços nos vários Estados-Membros onde operam, nomeadamente com vista a participar em procedimentos nacionais de adjudicação de contratos, o que conduz a custos suplementares para as empresas. Acresce que, embora estejam a surgir novos sistemas, parece não existir uma abordagem coerente e holística no tocante a questões horizontais de cibersegurança, designadamente no domínio da Internet das coisas. Os sistemas existentes apresentam insuficiências e diferenças consideráveis em termos de cobertura de produtos, níveis de garantia em função do risco, critérios substantivos e utilização efetiva. |
Alteração 17 Proposta de regulamento Considerando 52 | |
|
Texto da Comissão |
Alteração |
|
(52) Atendendo ao que precede, afigura-se necessário criar um quadro europeu de certificação da cibersegurança que estabeleça os principais requisitos horizontais para os sistemas europeus de certificação da cibersegurança a desenvolver e que permita que os certificados dos produtos e serviços de TIC sejam reconhecidos e utilizados em todos os Estados-Membros. O quadro europeu deve ter uma dupla finalidade: por um lado, deve ajudar a aumentar a confiança nos produtos e serviços de TIC que foram certificados em conformidade com os referidos sistemas; por outro lado, deve evitar a multiplicação de certificações nacionais da cibersegurança que entrem em conflito ou que se sobreponham e, desta forma, reduzir os custos para as empresas que operam no mercado único digital. Os sistemas devem ser não discriminatórios e assentes em normas internacionais e/ou da UE, salvo se tais normas forem ineficazes ou inadequadas para satisfazer os objetivos legítimos da União a este respeito. |
(52) Atendendo ao que precede, afigura-se necessário adotar uma abordagem comum e criar um quadro europeu de certificação da cibersegurança que estabeleça os principais requisitos horizontais para os sistemas europeus de certificação da cibersegurança a desenvolver e que permita que os certificados dos produtos e serviços de TIC sejam reconhecidos e utilizados em todos os Estados-Membros. Para tal, é crucial ter por base sistemas nacionais e internacionais, bem como sistemas de reconhecimento mútuo, nomeadamente o SOG-IS, bem como possibilitar uma transição harmoniosa dos sistemas existentes para os sistemas no novo quadro europeu. O quadro europeu deve ter uma dupla finalidade: por um lado, deve ajudar a aumentar a confiança nos produtos e serviços de TIC que foram certificados em conformidade com os referidos sistemas; por outro lado, deve evitar a multiplicação de certificações nacionais da cibersegurança que entrem em conflito ou que se sobreponham e, desta forma, reduzir os custos para as empresas que operam no mercado único digital. Nos casos em que um sistema europeu de certificação da cibersegurança é substituído por um sistema nacional, os certificados emitidos ao abrigo do sistema europeu devem ser aceites como válidos nos casos em que seja exigida a certificação ao abrigo de um sistema nacional. Os sistemas devem guiar-se pelos princípios da segurança a partir da sua conceção e pelos princípios referidos no Regulamento (UE) 2016/679. Devem ainda ser não discriminatórios e assentes em normas internacionais e/ou da UE, salvo se tais normas forem ineficazes ou inadequadas para satisfazer os objetivos legítimos da União a este respeito. |
Alteração 18 Proposta de regulamento Considerando 52-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(52-A) Esse quadro europeu de certificação da cibersegurança deve ser estabelecido de forma homogénea em todos os Estados-Membros para evitar a prática do «shopping de certificações» facilitada por custos ou níveis de exigência diferentes entre os Estados‑Membros. |
Alteração 19 Proposta de regulamento Considerando 55 | |
|
Texto da Comissão |
Alteração |
|
(55) O objetivo dos sistemas europeus de certificação da cibersegurança deve ser garantir que os produtos e serviços de TIC certificados ao abrigo desses sistemas cumprem os requisitos especificados. Esses requisitos dizem respeito à capacidade de resistir, com um determinado nível de garantia, a ações que se visem comprometer a disponibilidade, autenticidade, integridade e confidencialidade de dados armazenados, transmitidos ou tratados, as funções conexas ou serviços oferecidos por esses produtos, processos, serviços e sistemas ou acessíveis por via deles, na aceção do presente regulamento. É impossível definir pormenorizadamente no presente regulamento os requisitos de cibersegurança relativos a todos os produtos e serviços de TIC. Os produtos e serviços de TIC e necessidades de cibersegurança conexas são de tal forma diversos que é muito difícil apresentar requisitos de cibersegurança globais que sejam genericamente aplicáveis. Por conseguinte, é necessário adotar uma noção lata e geral de cibersegurança para efeitos de certificação, complementada por um conjunto de objetivos de cibersegurança específicos que devem ser tidos em conta durante a conceção dos sistemas europeus de certificação da cibersegurança. As modalidades com as quais esses objetivos serão alcançados em produtos e serviços de TIC específicos devem depois ser estabelecidas em pormenor a nível do sistema de certificação individual adotado pela Comissão, nomeadamente mediante referência a normas ou especificações técnicas. |
(55) O objetivo dos sistemas europeus de certificação da cibersegurança deve ser contribuir para um elevado nível de proteção dos utilizadores finais e para a competitividade europeia, assim como para reforçar o nível de segurança no interior do mercado único digital e, mais especificamente, garantir que os produtos e serviços TIC certificados ao abrigo desses sistemas cumprem os requisitos especificados. Esses requisitos dizem respeito à capacidade de resistir, com um determinado nível de garantia, a ações que se visem comprometer a disponibilidade, autenticidade, integridade e confidencialidade de dados armazenados, transmitidos ou tratados, as funções conexas ou serviços oferecidos por esses processos, produtos, serviços e sistemas ou acessíveis por via deles, na aceção do presente regulamento. É impossível definir pormenorizadamente no presente regulamento os requisitos de cibersegurança relativos a todos os produtos e serviços de TIC. Os produtos e serviços de TIC e necessidades de cibersegurança conexas são de tal forma diversos que é muito difícil apresentar requisitos de cibersegurança globais que sejam genericamente aplicáveis. Por conseguinte, é necessário adotar uma noção lata e geral de cibersegurança para efeitos de certificação, complementada por um conjunto de objetivos de cibersegurança específicos que devem ser tidos em conta durante a conceção dos sistemas europeus de certificação da cibersegurança. As modalidades com as quais esses objetivos serão alcançados em produtos e serviços de TIC específicos devem depois ser estabelecidas em pormenor a nível do sistema de certificação individual adotado pela Comissão, nomeadamente mediante referência a normas ou especificações técnicas. Reveste-se de importância primordial que cada sistema de certificação da cibersegurança seja concebido de modo a estimular e a encorajar todos os intervenientes no setor em questão, a fim de elaborar e adotar normas de segurança, normas técnicas e princípios de segurança desde a conceção, em todas as fases do ciclo de vida do produto ou do serviço. Quando o sistema de certificação previr marcas ou rótulos, há que precisar as condições segundo as quais essas marcas ou rótulos podem ser utilizados. Esta marcação, que pode assumir a forma de um logótipo digital ou de um código QR, indicaria os riscos associados ao funcionamento e à utilização de produtos e serviços de TIC e deve ser clara e de fácil compreensão para o utilizador final. |
Alteração 20 Proposta de regulamento Considerando 55-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(55-A) Dadas as tendências de inovação, a crescente acessibilidade e o aumento permanente do número de dispositivos de IdC em todos os setores da sociedade, urge dar particular atenção à segurança de todos os produtos de IdC, incluindo os mais simples. Como tal, tendo em conta que a certificação é um meio fundamental para reforçar a confiança no mercado e aumentar a segurança e a resiliência, há que, no âmbito do novo quadro de certificação da cibersegurança da UE, colocar a tónica nos produtos e serviços de IdC, de molde a torná-los menos vulneráveis e mais seguros tanto para os consumidores como para as empresas. |
Alteração 21 Proposta de regulamento Considerando 56 | |
|
Texto da Comissão |
Alteração |
|
(56) Devem ser atribuídas competências à Comissão para pedir à ENISA que prepare propostas de sistemas destinados a produtos ou serviços de TIC específicos. Devem ser atribuídas competências à Comissão para adotar, com base na proposta de sistema apresentada pela ENISA, o sistema europeu de certificação da cibersegurança por meio de atos de execução. Tendo em conta a finalidade geral e os objetivos de segurança identificados no presente regulamento, os sistemas europeus de certificação da cibersegurança adotados pela Comissão devem especificar um conjunto mínimo de elementos relativos ao objeto, âmbito de aplicação e funcionamento do sistema individual. Os mesmos devem incluir, entre outros, o âmbito de aplicação e objeto da certificação da cibersegurança, designadamente as categorias de produtos e serviços de TIC abrangidos, a especificação pormenorizada dos requisitos de cibersegurança, por exemplo mediante referência a normas ou especificações técnicas, os critérios específicos de avaliação e métodos de avaliação, bem como o nível previsto de garantia: básico, substancial e/ou elevado. |
(56) A ENISA deve manter um sítio Web específico com uma ferramenta em de fácil utilização que recolha informação sobre os sistemas adotados, as propostas de sistemas e os sistemas solicitados pela Comissão. Tendo em conta a finalidade geral e os objetivos de segurança identificados no presente regulamento, os sistemas europeus de certificação da cibersegurança adotados pela Comissão devem especificar um conjunto mínimo de elementos relativos ao objeto, âmbito de aplicação e funcionamento do sistema individual. Os mesmos devem incluir, entre outros, o âmbito de aplicação e objeto da certificação da cibersegurança, designadamente as categorias de produtos e serviços de TIC abrangidos, a especificação pormenorizada dos requisitos de cibersegurança, por exemplo mediante referência a normas ou especificações técnicas, os critérios específicos de avaliação e métodos de avaliação associados ao funcionamento e à utilização de um serviço, processo ou produto de TIC, bem como o nível previsto de garantia: funcionalmente seguros, isto é, níveis de segurança com um grau de segurança funcional, substancialmente seguros, altamente seguros, ou qualquer uma das suas combinações. Os níveis de garantia não devem pressupor uma segurança absoluta, de modo a não induzir em erro o utilizador final. Há também que ter em consideração o ciclo de vida completo do produto. Para esclarecer quais são os riscos que um determinado produto ou serviço está concebido para ser capaz de suportar, a ENISA deve coordenar a elaboração de uma lista de controlo dos riscos que se espera que o processo, produto ou serviço TIC venha ter de enfrentar por parte de uma determinada categoria de utilizadores num ambiente específico. |
Alteração 22 Proposta de regulamento Considerando 56-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(56-A) Devem ser atribuídas competências à Comissão para pedir à ENISA que prepare propostas de sistemas destinados a produtos ou serviços de TIC específicos. O poder de adotar atos em conformidade com o artigo 290.º do Tratado sobre o Funcionamento da União Europeia deve ser delegado na Comissão no que diz respeito à criação de sistemas europeus de certificação da cibersegurança de produtos e serviços de TIC. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível dos peritos, e que essas consultas sejam conduzidas de acordo com os princípios estabelecidos no Acordo Interinstitucional, de 13 de abril de 2016, sobre legislar melhor. Em particular, e a fim de garantir uma participação equitativa aquando da preparação dos atos delegados, o Parlamento Europeu e o Conselho devem receber todos os documentos ao mesmo tempo que os peritos dos Estados-Membros, e os seus peritos devem ter sistematicamente acesso às reuniões dos grupos de peritos da Comissão que se ocupam da preparação de atos delegados. Ao adotar os referidos atos delegados, a Comissão deve basear os sistemas de certificação da cibersegurança de produtos e serviços de TIC nas propostas pertinentes de sistemas que a ENISA tenha eventualmente apresentado, a fim de reforçar a confiança e a previsibilidade, assim como sensibilizar o público para o quadro de certificação da cibersegurança. |
Alteração 23 Proposta de regulamento Considerando 56-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(56-B) Entre os métodos e processos de avaliação associados a cada sistema europeu de certificação da cibersegurança, importa promover, ao nível da União, a pirataria informática ética, cujo objetivo consiste em detetar as deficiências e vulnerabilidades dos dispositivos e sistemas de informação antecipando as ações e competências previstas de piratas informáticos malévolos. |
Alteração 24 Proposta de regulamento Considerando 58 | |
|
Texto da Comissão |
Alteração |
|
(58) Assim que um sistema europeu de certificação da cibersegurança for adotado, os fabricantes de produtos de TIC ou os prestadores de serviços de TIC devem poder apresentar uma candidatura para a certificação dos seus produtos ou serviços a um organismo de avaliação da conformidade da sua escolha. Os organismos de avaliação da conformidade devem ser acreditados por um organismo de acreditação se cumprirem determinados requisitos estabelecidos no presente regulamento. A acreditação deve ser emitida por um período máximo de cinco anos e pode ser renovada nas mesmas condições, desde que o organismo de avaliação da conformidade cumpra os requisitos. Os organismos de acreditação devem revogar a acreditação de um organismo de avaliação da conformidade se as condições para a acreditação não forem cumpridas ou deixarem de ser cumpridas, ou se o organismo de avaliação da conformidade tomar medidas que violem o presente regulamento. |
(58) Assim que um sistema europeu de certificação da cibersegurança for adotado, os fabricantes de produtos de TIC ou os prestadores de serviços de TIC devem poder apresentar uma candidatura para a certificação dos seus processos, produtos ou serviços a um organismo de avaliação da conformidade da sua escolha ou declarar eles próprios que os seus produtos ou serviços são conformes com o sistema europeu de certificação da cibersegurança relevante. Os organismos de avaliação da conformidade devem ser acreditados por um organismo de acreditação se cumprirem determinados requisitos estabelecidos no presente regulamento. A acreditação deve ser emitida por um período máximo de cinco anos e pode ser renovada nas mesmas condições, desde que o organismo de avaliação da conformidade cumpra os requisitos. Os organismos de acreditação devem revogar a acreditação de um organismo de avaliação da conformidade se as condições para a acreditação não forem cumpridas ou deixarem de ser cumpridas, ou se o organismo de avaliação da conformidade tomar medidas que violem o presente regulamento. Para assegurar que a acreditação é efetuada de modo uniforme em toda a União Europeia, as autoridades supervisoras nacionais da certificação devem ser objeto de uma análise pelos pares dos procedimentos de verificação da conformidade dos produtos que são objeto de certificação em matéria de cibersegurança. |
Alteração 25 Proposta de regulamento Considerando 59 | |
|
Texto da Comissão |
Alteração |
|
(59) É necessário exigir que todos os Estados-Membros designem uma autoridade supervisora da certificação da cibersegurança para supervisionar a conformidade dos organismos de avaliação da conformidade e dos certificados emitidos pelos organismos de avaliação da conformidade estabelecidos no seu território com os requisitos do presente regulamento e dos sistemas de certificação da cibersegurança pertinentes. As autoridades nacionais supervisoras da certificação devem tratar das reclamações apresentadas por pessoas singulares ou coletivas relativamente a certificados emitidos por organismos de avaliação da conformidade estabelecidos nos respetivos territórios, investigar, tanto quanto for necessário, o conteúdo das reclamações e informar os respetivos autores do andamento e do resultado da investigação num prazo razoável. Além disso, deverão cooperar com outras autoridades nacionais supervisoras da certificação ou outras autoridades públicas, incluindo pela partilha de informações sobre a eventual não conformidade de produtos e serviços de TIC com os requisitos do presente regulamento ou de sistemas de certificação da cibersegurança específicos. |
(59) É necessário exigir que todos os Estados-Membros designem uma autoridade supervisora da certificação da cibersegurança para supervisionar a conformidade dos organismos de avaliação da conformidade e dos certificados emitidos pelos organismos de avaliação da conformidade estabelecidos no seu território com os requisitos do presente regulamento e dos sistemas de certificação da cibersegurança pertinentes. As autoridades nacionais supervisoras da certificação devem tratar das reclamações apresentadas por pessoas singulares ou coletivas relativamente a certificados emitidos por organismos de avaliação da conformidade estabelecidos nos respetivos territórios, investigar, tanto quanto for necessário, o conteúdo das reclamações e informar os respetivos autores do andamento e do resultado da investigação num prazo razoável. Além disso, deverão cooperar com outras autoridades nacionais supervisoras da certificação ou outras autoridades públicas, incluindo pela partilha de informações sobre a eventual não conformidade de produtos e serviços de TIC com os requisitos do presente regulamento ou de sistemas de certificação da cibersegurança específicos. Cabe-lhes ainda supervisionar e verificar a regularidade das autodeclarações de conformidade e se os certificados da cibersegurança europeus foram emitidos por organismos de avaliação da conformidade que preenchem os requisitos previstos no presente regulamento, incluindo as normas adotadas pelo grupo europeu para a certificação da cibersegurança e os requisitos estabelecidos no sistema de certificação da cibersegurança aplicável. Uma cooperação efetiva entre autoridades nacionais supervisoras da certificação é fundamental para a aplicação adequada dos sistemas europeus de certificação da cibersegurança e das questões técnicas relativas à cibersegurança de produtos e serviços de TIC. A Comissão deve facilitar o intercâmbio de informações através da disponibilização de um sistema geral de apoio a informações eletrónicas, por exemplo o Sistema de Fiscalização do Mercado e de Intercâmbio de Informações (ICSMS) e o sistema de alerta rápido para produtos de consumo não alimentares (RAPEX), já utilizados pelas autoridades de fiscalização do mercado de acordo com o Regulamento (CE) n.º 765/2008. |
Alteração 26 Proposta de regulamento Considerando 63 | |
|
Texto da Comissão |
Alteração |
|
(63) Com vista a especificar mais pormenorizadamente os critérios para a acreditação de organismos de avaliação da conformidade, o poder de adotar atos, nos termos do artigo 290.º do Tratado sobre o Funcionamento da União Europeia, deve ser delegado na Comissão. A Comissão deve efetuar consultas adequadas durante os seus trabalhos preparatórios, nomeadamente a nível de peritos. As consultas devem ser realizadas na observância dos princípios estabelecidos no Acordo Interinstitucional «Legislar Melhor», de 13 de abril de 2016. Em particular, a fim de assegurar a igualdade de participação na preparação de atos delegados, o Parlamento Europeu e o Conselho devem receber todos os documentos ao mesmo tempo que os peritos dos Estados-Membros, e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados. |
Suprimido |
Alteração 27 Proposta de regulamento Considerando 65 | |
|
Texto da Comissão |
Alteração |
|
(65) O procedimento de exame deve ser seguido no que concerne a adoção de atos de execução relativos: aos sistemas europeus de certificação da cibersegurança de produtos e serviços de TIC; às modalidades para realização de inquéritos por parte da Agência; às circunstâncias, aos formatos e aos procedimentos de notificação de organismos de avaliação da conformidade acreditados pelas autoridades nacionais supervisoras da certificação à Comissão. |
(65) O procedimento de exame deve ser seguido no que concerne a adoção de atos de execução relativos aos: sistemas europeus de certificação da cibersegurança de processos, produtos e serviços de TIC; às modalidades para realização de inquéritos por parte da Agência; às circunstâncias, aos formatos e aos procedimentos de notificação de organismos de avaliação da conformidade acreditados pelas autoridades nacionais supervisoras da certificação à Comissão, tendo em conta a eficácia comprovada da ferramenta de notificação eletrónica «Nova Abordagem de Organizações Notificadas e Designadas» (NANDO). |
Alteração 28 Proposta de regulamento Considerando 66 | |
|
Texto da Comissão |
Alteração |
|
(66) As atividades da Agência devem ser avaliadas de forma independente. A avaliação deve ter em consideração a consecução dos objetivos por parte da Agência, os seus métodos de trabalho e a pertinência das suas atribuições. A avaliação deve também avaliar o impacto, a eficácia e a eficiência do quadro europeu de certificação da cibersegurança. |
(66) As atividades da Agência devem ser avaliadas de forma independente. A avaliação deve incluir a legitimidade e a eficácia da despesa da agência, a sua eficiência na consecução dos seus objetivos e a descrição dos seus métodos de trabalho e a pertinência das suas atribuições. A avaliação deve também avaliar o impacto, a eficácia e a eficiência do quadro europeu de certificação da cibersegurança. |
Alteração 29 Proposta de regulamento Artigo 2 – n.º 1 – ponto 11 | |
|
Texto da Comissão |
Alteração |
|
11) «Produto e serviço de TIC»: um elemento ou grupo de elementos de redes e sistemas de informação; |
11) «Processo, produto e serviço de TIC»: um produto, serviço, processo, sistema ou combinação destes, que seja um elemento de redes e sistemas de informação; |
|
|
(Esta modificação aplica-se à totalidade do texto legislativo em causa; a sua adoção impõe adaptações técnicas em todo o texto). |
Alteração 30 Proposta de regulamento Artigo 2 – n.º 1 – ponto 11-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
11-A) «Autoridades nacionais supervisoras da certificação»: uma autoridade de um Estado-Membro responsável pela execução de funções de controlo, aplicação e fiscalização da certificação da cibersegurança no seu território; |
Alteração 31 Proposta de regulamento Artigo 2 – n.º 1 – ponto 16-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
16-A) «Autodeclaração de conformidade»: declaração mediante a qual o fabricante atesta que o seu processo, produto ou serviço de TIC está em conformidade com os sistemas europeus de certificação da cibersegurança. |
Alteração 32 Proposta de regulamento Artigo 3 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. A Agência exerce as atribuições que lhe são conferidas pelo presente regulamento com o objetivo de contribuir para um elevado nível de cibersegurança na União. |
1. A Agência exerce as atribuições que lhe são conferidas pelo presente regulamento com o objetivo de contribuir para atingir um elevado nível comum de cibersegurança, a fim de evitar os ciberataques na União, para reduzir a fragmentação no mercado interno e melhorar o seu funcionamento. |
Alteração 33 Proposta de regulamento Artigo 4 – n.º 5 | |
|
Texto da Comissão |
Alteração |
|
5. A Agência aumenta as capacidades em matéria de cibersegurança a nível da União a fim de complementar a ação dos Estados-Membros na prevenção e resposta a ciberameaças, nomeadamente em caso de incidentes transfronteiriços. |
5. A Agência contribui para aumentar as capacidades em matéria de cibersegurança a nível da União a fim de complementar e reforçar a ação dos Estados-Membros na prevenção e resposta a ciberameaças, nomeadamente em caso de incidentes transfronteiriços. |
Alteração 34 Proposta de regulamento Artigo 4 – n.º 6 | |
|
Texto da Comissão |
Alteração |
|
6. A Agência promove o recurso à certificação, nomeadamente contribuindo para a criação e a manutenção de um quadro de certificação da cibersegurança a nível da União em conformidade com o título III do presente regulamento, com vista a aumentar a transparência da garantia de cibersegurança de produtos e serviços de TIC e, por conseguinte, reforçar a confiança no mercado interno digital. |
6. A Agência promove o recurso à certificação, ao mesmo tempo que evita a fragmentação provocada pela ausência de coordenação entre os sistemas de certificação existentes na União. A Agência contribui para a criação e a manutenção de um quadro de certificação da cibersegurança a nível da União em conformidade com os artigos 43.º a 54.º [título III] do presente regulamento, com vista a aumentar a transparência da garantia de cibersegurança de produtos e serviços de TIC e, por conseguinte, reforçar a confiança no mercado único digital. |
Alteração 35 Proposta de regulamento Artigo 4 – n.º 7 | |
|
Texto da Comissão |
Alteração |
|
7. A Agência promove um elevado nível de sensibilização dos cidadãos e das empresas para as questões relacionadas com a cibersegurança. |
7. A Agência promove um elevado nível de sensibilização dos cidadãos, das autoridades e das empresas para as questões relacionadas com a cibersegurança. |
Alteração 36 Proposta de regulamento Artigo 5 – parágrafo 1 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. Prestando assistência e aconselhamento, nomeadamente emitindo pareceres independentes e realizando trabalhos preparatórios relativos à elaboração e à revisão da política e do direito da União no domínio da cibersegurança, bem como de iniciativas legislativas e políticas setoriais que envolvam questões relacionadas com a cibersegurança; |
1. Prestando assistência e aconselhamento relativos à elaboração e à revisão da política e do direito da União no domínio da cibersegurança, bem como de iniciativas legislativas e políticas setoriais que envolvam questões relacionadas com a cibersegurança; |
Justificação | |
A agência deve ser livre de escolher os instrumentos a utilizar no exercício da sua função. | |
Alteração 37 Proposta de regulamento Artigo 5 – parágrafo 1 – n.º 2-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-A. Prestando assistência ao Comité Europeu para a Proteção de Dados, estabelecido pelo Regulamento (UE) 2016/679, na elaboração de orientações relativas à especificação, a nível técnico, das condições para uma utilização lícita de dados pessoais pelos responsáveis pelo tratamento de dados para efeitos de segurança informática, com o objetivo de proteger as suas infraestruturas através da deteção e do bloqueio de ataques contra os seus sistemas de informação no contexto: (i) do Regulamento (UE) 2016/6791a; (ii) da Diretiva (UE) 2016/11481b; e, iii) da Diretiva 2002/58/CE1c; |
|
|
_________________ |
|
|
1a Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1). |
|
|
1b (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1). |
|
|
1c Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (JO L 194 de 19.7.2016, p. 1). |
Justificação | |
Estabelecer mecanismos de cooperação adequados. | |
Alteração 38 Proposta de regulamento Artigo 5 – parágrafo 1 – n.º 4 – ponto 2 | |
|
Texto da Comissão |
Alteração |
|
2) A promoção de um reforço do nível de segurança das comunicações eletrónicas, nomeadamente disponibilizando conhecimentos especializados e aconselhamento, bem como facilitando o intercâmbio de boas práticas entre as autoridades competentes; |
2) A promoção de um reforço do nível de segurança das comunicações eletrónicas, do armazenamento de dados e do tratamento de dados, nomeadamente disponibilizando conhecimentos especializados e aconselhamento, bem como facilitando o intercâmbio de boas práticas entre as autoridades competentes; |
Alteração 39 Proposta de regulamento Artigo 6 – n.º 2-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-A. A Agência deve promover o estabelecimento e o lançamento de um projeto europeu a longo prazo de cibersegurança para apoiar o desenvolvimento de uma indústria de cibersegurança da UE independente e para integrar a segurança informática em todos os desenvolvimentos em matéria de TIC na UE. |
Justificação | |
A ENISA deverá aconselhar os legisladores no que respeita à elaboração de políticas que permitam à UE recuperar terreno perdido em relação às indústrias de segurança informática de países terceiros. Este projeto deve ter uma dimensão comparável ao anteriormente levado a cabo na indústria da aviação (exemplo da Airbus). Tal é necessário para o desenvolvimento de uma indústria de TIC da UE mais forte, soberana e de confiança (ver o estudo PE 614.531 da Unidade de Avaliação das Opções Científicas e Tecnológicas). | |
Alteração 40 Proposta de regulamento Artigo 7 – n.º 5 – parágrafo 1 | |
|
Texto da Comissão |
Alteração |
|
Na sequência de pedidos apresentados por dois ou mais Estados-Membros afetados, e com o único objetivo de prestar aconselhamento para a prevenção de incidentes futuros, a Agência presta apoio a inquéritos técnicos ex post, ou procede aos mesmos, relativos a incidentes com um impacto significativo ou substancial que as empresas afetadas tenham notificado, em conformidade com a Diretiva (UE) 2016/1148. A Agência procede igualmente a tais inquéritos mediante pedido devidamente justificado da Comissão, com o acordo dos Estados-Membros em causa, em caso de incidentes similares que afetem mais de dois Estados-Membros. |
Na sequência de pedidos apresentados por um ou mais Estados-Membros afetados, e com o único objetivo de prestar aconselhamento para a prevenção de incidentes futuros, a Agência presta apoio a inquéritos técnicos ex post, ou procede aos mesmos, relativos a incidentes com um impacto significativo ou substancial que as empresas afetadas tenham notificado, em conformidade com a Diretiva (UE) 2016/1148. A Agência procede igualmente a tais inquéritos mediante pedido devidamente justificado da Comissão, com o acordo dos Estados-Membros em causa, em caso de incidentes similares que afetem mais de dois Estados-Membros. |
Alteração 41 Proposta de regulamento Artigo 7 – parágrafo 8 – alínea a) | |
|
Texto da Comissão |
Alteração |
|
a) Agregando relatórios provenientes de fontes nacionais, com vista a estabelecer um conhecimento comum da situação; |
a) Agregando relatórios provenientes de fontes nacionais ou internacionais, com vista a estabelecer um conhecimento comum da situação; |
Alteração 42 Proposta de regulamento Artigo 8 – parágrafo 1 – alínea a) – ponto 1-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
1-A) Realizando, em colaboração com o grupo europeu para a certificação da cibersegurança, avaliações dos procedimentos para a emissão de certificados europeus de cibersegurança implementados pelos organismos de avaliação da conformidade mencionados no artigo 51.º, que visam assegurar a aplicação uniforme do presente regulamento por parte dos organismos de avaliação da conformidade aquando da emissão dos certificados; |
Alteração 43 Proposta de regulamento Artigo 8 – parágrafo 1 – alínea a) – ponto 1-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
1-B) Efetuando verificações periódicas independentes ex post da conformidade dos produtos e serviços de TIC com os sistemas europeus de certificação da cibersegurança; |
Alteração 44 Proposta de regulamento Artigo 8 – parágrafo 1 – alínea a) – ponto 3 | |
|
Texto da Comissão |
Alteração |
|
3) Compilando e publicando orientações e desenvolvendo boas práticas em matéria de requisitos de cibersegurança de produtos e serviços de TIC, em cooperação com as autoridades nacionais supervisoras da certificação e a indústria; |
3) Compilando e publicando orientações e desenvolvendo boas práticas, nomeadamente em matéria de princípios de ciberhigiene e de dissuasão das portas traseiras secretas, em matéria de requisitos de cibersegurança de produtos e serviços de TIC, em cooperação com as autoridades nacionais supervisoras da certificação e a indústria, no quadro de um processo formal, normalizado e transparente; |
Alteração 45 Proposta de regulamento Artigo 8 – parágrafo 1 – alínea b) | |
|
Texto da Comissão |
Alteração |
|
b) Facilita o estabelecimento e a adoção de normas europeias e internacionais para a gestão dos riscos e para a segurança de produtos e serviços de TIC, e elabora, em colaboração com os Estados-Membros, recomendações e orientações relativas aos domínios técnicos relacionados com os requisitos de segurança para os operadores de serviços essenciais e os prestadores de serviços digitais, bem como relativas a normas já existentes, incluindo normas nacionais dos Estados-Membros, em conformidade com o artigo 19.º, n.º 2, da Diretiva (UE) 2016/1148; |
b) Consulta as organizações internacionais de normalização e as organizações europeias de normalização sobre o desenvolvimento de normas, para garantir a adequação das normas utilizadas nos sistemas europeus de certificação de cibersegurança e facilita o estabelecimento e a adoção das normas europeias e internacionais relevantes para a gestão dos riscos e para a segurança de produtos e serviços de TIC, e elabora, em colaboração com os Estados-Membros, recomendações e orientações relativas aos domínios técnicos relacionados com os requisitos de segurança para os operadores de serviços essenciais e os prestadores de serviços digitais, bem como relativas a normas já existentes, incluindo normas nacionais dos Estados-Membros, em conformidade com o artigo 19.º, n.º 2, da Diretiva (UE) 2016/1148; |
Alteração 46 Proposta de regulamento Artigo 8 – parágrafo 1 – alínea b-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
b-A) Elabora orientações sobre como e quando os Estados-Membros se devem informar mutuamente quando tomam conhecimento de uma vulnerabilidade que não é conhecida publicamente num processo, produto ou serviço de TIC certificado em conformidade com o Título III do presente regulamento, incluindo orientações sobre a coordenação das políticas de divulgação de vulnerabilidades; |
Alteração 47 Proposta de regulamento Artigo 8 – parágrafo 1 – alínea b-B) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
b-B) Elabora orientações sobre os requisitos mínimos de segurança para os dispositivos informáticos comercializados na União ou exportados a partir da União; |
Alteração 48 Proposta de regulamento Artigo 9 – parágrafo 1 – alínea d) | |
|
Texto da Comissão |
Alteração |
|
d) Reúne, organiza e disponibiliza ao público, por intermédio de um portal dedicado, informações sobre cibersegurança fornecidas pelas instituições, agências e organismos da União; |
d) Reúne, organiza e disponibiliza ao público, por intermédio de um portal dedicado, informações sobre cibersegurança, nomeadamente informações sobre incidentes de cibersegurança significativos e violações importantes de dados, fornecidas pelas instituições, agências e organismos da União; |
Alteração 49 Proposta de regulamento Artigo 9 – parágrafo 1 – alínea e) | |
|
Texto da Comissão |
Alteração |
|
e) Sensibiliza o público para os riscos de cibersegurança, e fornece orientações sobre boas práticas para utilizadores individuais destinadas aos cidadãos e às organizações; |
e) Sensibiliza o público para os riscos de cibersegurança, fornece orientações sobre boas práticas para utilizadores individuais destinadas aos cidadãos e às organizações e promove a adoção de sólidas medidas preventivas de segurança informática e uma proteção fiável dos dados e da privacidade; |
Alteração 50 Proposta de regulamento Artigo 9 – parágrafo 1 – alínea g-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
g-A) Promove uma coordenação mais estreita e o intercâmbio das melhores práticas entre os Estados-Membros na literacia e sensibilização em matéria de cibersegurança e ciberhigiene. |
Alteração 51 Proposta de regulamento Artigo 10 – parágrafo 1 – alínea a) | |
|
Texto da Comissão |
Alteração |
|
a) Presta aconselhamento à União e aos Estados-Membros sobre as necessidades e prioridades de investigação no domínio da cibersegurança, a fim de lhes permitir responder eficazmente aos riscos e ameaças atuais e emergentes, nomeadamente no que respeita às tecnologias de informação e comunicação novas e emergentes, e utilizar de forma eficaz as tecnologias de prevenção dos riscos; |
a) Assegura uma consulta prévia com os grupos de utilizadores pertinentes e presta aconselhamento à União e aos Estados-Membros sobre as necessidades e prioridades de investigação no domínio da cibersegurança, a fim de lhes permitir responder eficazmente aos riscos e ameaças atuais e emergentes, nomeadamente no que respeita às tecnologias de informação e comunicação novas e emergentes, e utilizar de forma eficaz as tecnologias de prevenção dos riscos; |
Alteração 52 Proposta de regulamento Artigo 13 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. O conselho de administração é composto por um representante de cada Estado-Membro e dois representantes nomeados pela Comissão. Todos os representantes têm direito de voto. |
1. O conselho de administração é composto por um representante de cada Estado-Membro e dois representantes nomeados pela Comissão e pelo Parlamento Europeu. Todos os representantes têm direito de voto. |
Alteração 53 Proposta de regulamento Artigo 14 – n.º 1 – alínea e) | |
|
Texto da Comissão |
Alteração |
|
e) Avaliar e adotar o relatório anual consolidado sobre as atividades da Agência e enviar esse relatório e respetiva avaliação, até 1 de julho do ano seguinte, ao Parlamento Europeu, ao Conselho, à Comissão e ao Tribunal de Contas. O relatório anual inclui as contas e descreve como a Agência cumpriu os seus indicadores de desempenho. O relatório é tornado público; |
e) Avaliar e adotar o relatório anual consolidado sobre as atividades da Agência e enviar esse relatório e respetiva avaliação, até 1 de julho do ano seguinte, ao Parlamento Europeu, ao Conselho, à Comissão e ao Tribunal de Contas. O relatório anual inclui as contas, descreve a eficácia das despesas e avalia como a Agência foi eficiente e até que ponto cumpriu os seus indicadores de desempenho. O relatório é tornado público; |
Alteração 54 Proposta de regulamento Artigo 14 – n.º 1 – alínea m) | |
|
Texto da Comissão |
Alteração |
|
m) Nomear o diretor executivo e, sendo caso disso, prorrogar o seu mandato ou exonerá-lo, em conformidade com o artigo 33.º do presente regulamento; |
m) Nomear o diretor executivo mediante uma seleção baseada em critérios profissionais e, sendo caso disso, prorrogar o seu mandato ou exonerá-lo, em conformidade com o artigo 33.º do presente regulamento; |
Alteração 55 Proposta de regulamento Artigo 14 – n.º 1 – alínea o) | |
|
Texto da Comissão |
Alteração |
|
o) Tomar todas as decisões relativas à criação e, sempre que necessário, alteração das estruturas internas da Agência, tendo em consideração as necessidades decorrentes das atividades da mesma e uma boa gestão orçamental; |
o) Tomar todas as decisões relativas à criação e, sempre que necessário, alteração das estruturas internas da Agência, tendo em consideração as necessidades decorrentes das atividades da mesma, referidas no presente regulamento, e uma boa gestão orçamental; |
Alteração 56 Proposta de regulamento Artigo 19 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. O diretor executivo apresenta relatórios ao Parlamento Europeu sobre o desempenho das suas funções, sempre que for convidado a fazê-lo. O Conselho pode convidar o diretor executivo a apresentar relatórios sobre o desempenho das suas funções. |
2. O diretor executivo apresenta relatórios ao Parlamento Europeu sobre o desempenho das suas funções anualmente ou sempre que for convidado a fazê-lo. O Conselho pode convidar o diretor executivo a apresentar relatórios sobre o desempenho das suas funções. |
Alteração 57 Proposta de regulamento Artigo 20 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. O conselho de administração, agindo sob proposta do diretor executivo, cria um grupo permanente de partes interessadas composto por peritos reconhecidos que representam as partes interessadas, nomeadamente empresas de TIC, fornecedores de redes ou serviços de comunicações eletrónicas disponibilizados ao público, associações de consumidores, peritos académicos no domínio da cibersegurança e representantes das autoridades competentes nacionais notificadas nos termos da [diretiva que estabelece o Código Europeu das Comunicações Eletrónicas] e das autoridades supervisoras responsáveis pela aplicação da lei e pela proteção dos dados. |
1. O conselho de administração, agindo sob proposta do diretor executivo, cria um grupo permanente de partes interessadas composto por peritos reconhecidos que representam as partes interessadas, nomeadamente empresas de TIC e fornecedores de redes ou serviços de comunicações eletrónicas disponibilizados ao público, em particular empresas de TIC europeias e fornecedores, associações de pequenas e médias empresas, grupos e associações de consumidores, peritos académicos no domínio da cibersegurança, organizações europeias de normalização, na aceção do artigo 2.º, ponto 8, do Regulamento (UE) n.º 1025/2012, agências e organismos setoriais pertinentes da União e representantes das autoridades competentes nacionais notificadas nos termos da [diretiva que estabelece o Código Europeu das Comunicações Eletrónicas] e das autoridades supervisoras responsáveis pela aplicação da lei e pela proteção dos dados. |
Alteração 58 Proposta de regulamento Artigo 20 – n.º 4 | |
|
Texto da Comissão |
Alteração |
|
4. O mandato dos membros do grupo permanente de partes interessadas tem a duração de dois anos e meio. Os membros do conselho de administração não podem ser membros do grupo permanente de partes interessadas. Podem assistir às reuniões do grupo permanente de partes interessadas, e participar nos seus trabalhos, peritos da Comissão e dos Estados-Membros. Podem ser convidados a assistir às reuniões do grupo permanente de partes interessadas, e a participar nos seus trabalhos, representantes de outros organismos que o diretor executivo considere relevantes e que não sejam membros do grupo permanente de partes interessadas. |
4. O mandato dos membros do grupo permanente de partes interessadas tem a duração de dois anos e meio. Os membros do conselho de administração e da comissão executiva, com exceção do diretor executivo, não podem ser membros do grupo permanente de partes interessadas. Podem assistir às reuniões do grupo permanente de partes interessadas, e participar nos seus trabalhos, peritos da Comissão e dos Estados-Membros. Podem ser convidados a assistir às reuniões do grupo permanente de partes interessadas, e a participar nos seus trabalhos, representantes de outros organismos que o diretor executivo considere relevantes e que não sejam membros do grupo permanente de partes interessadas. |
Alteração 59 Proposta de regulamento Artigo 20 – n.º 5 | |
|
Texto da Comissão |
Alteração |
|
5. O grupo permanente de partes interessadas aconselha a Agência no exercício das suas atividades. O grupo aconselha, em particular, o diretor executivo na elaboração da proposta de programa de trabalho da Agência, e no que respeita à comunicação com as partes interessadas sobre todas as questões ligadas ao programa de trabalho. |
5. O grupo permanente de partes interessadas aconselha a Agência no exercício das suas atividades. O grupo aconselha, em particular, o diretor executivo na elaboração da proposta de programa de trabalho da Agência, e no que respeita à comunicação com as partes interessadas sobre todas as questões ligadas ao programa de trabalho. O grupo pode igualmente propor que a Comissão solicite à Agência a elaboração de uma proposta de sistema europeu de certificação da cibersegurança, em conformidade com o artigo 44.º, por sua própria iniciativa ou na sequência da apresentação de propostas das partes interessadas pertinentes. |
Alteração 60 Proposta de regulamento Artigo 20 – n.º 5-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
5-A. O grupo permanente de partes interessadas aconselha a Agência na elaboração de propostas de sistema europeu de certificação da cibersegurança. |
Alteração 61 Proposta de regulamento Artigo 23 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. A Agência assegura que o público e as partes interessadas recebam informações adequadas, objetivas, fiáveis e facilmente acessíveis, nomeadamente no que respeita aos resultados do seu trabalho. A Agência publica as declarações de interesses feitas nos termos do artigo 22.º. |
2. A Agência assegura que o público e as partes interessadas recebam informações adequadas, objetivas, fiáveis e facilmente acessíveis, nomeadamente no que respeita aos debates e aos resultados do seu trabalho. A Agência publica as declarações de interesses feitas nos termos do artigo 22.º. |
Justificação | |
É necessário assegurar a transparência, tendo em conta a aplicação do artigo 24.º. | |
Alteração 62 Proposta de regulamento Artigo 43 – parágrafo 1 | |
|
Texto da Comissão |
Alteração |
|
Um sistema europeu de certificação da cibersegurança atesta que os produtos e serviços de TIC que foram certificados em conformidade com esse sistema cumprem os requisitos especificados no que respeita à sua capacidade de resistir, com um determinado nível de garantia, a ações que visem comprometer a disponibilidade, autenticidade, integridade ou confidencialidade de dados armazenados, transmitidos ou tratados, ou as funções ou serviços oferecidos por esses produtos, processos, serviços e sistemas ou acessíveis por via deles. |
É instituído um sistema europeu de certificação da cibersegurança, a fim de reforçar o nível de segurança no mercado único digital e de adotar uma abordagem harmonizada, a nível da UE, relativa à certificação europeia, visando garantir produtos, serviços e sistemas de TIC resistentes aos ciberataques. Esse sistema atesta que os processos, produtos e serviços de TIC que foram certificados em conformidade com esse sistema cumprem os requisitos e as propriedades comuns especificadas no que respeita à sua capacidade de resistir, com um determinado nível de garantia, a ações que visem comprometer a disponibilidade, autenticidade, integridade ou confidencialidade de dados armazenados, transmitidos ou tratados, ou as funções ou serviços oferecidos por esses processos, produtos, serviços e sistemas ou acessíveis por via deles. |
Alteração 63 Proposta de regulamento Artigo 43-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
Artigo 43.º-A (novo) |
|
|
Programa de trabalho |
|
|
Após consulta do grupo europeu para a certificação da cibersegurança e do grupo permanente de partes interessadas e após aprovação pela Comissão, a ENISA estabelece um programa de trabalho que especifica as ações comuns a empreender a nível da União, a fim de assegurar uma aplicação coerente do presente título, e contém uma lista prioritária dos produtos e serviços de TIC para os quais considere ser necessário um sistema europeu de certificação da cibersegurança. |
|
|
O programa de trabalho deve ser estabelecido o mais tardar [seis meses após a entrada em vigor do presente regulamento], devendo ser estabelecido um novo programa de trabalho de dois em dois anos. O programa de trabalho é disponibilizado ao público. |
Alteração 64 Proposta de regulamento Artigo 44 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. Na sequência de um pedido da Comissão, a ENISA elabora uma proposta de sistema europeu de certificação da cibersegurança que cumpra os requisitos estabelecidos nos artigos 45.º, 46.º e 47.º do presente regulamento. Os Estados-Membros ou o grupo europeu para a certificação da cibersegurança (a seguir designado por «Grupo») criado nos termos do artigo 53.º podem propor à Comissão que se elabore uma proposta de sistema europeu de certificação da cibersegurança. |
1. Na sequência de um pedido da Comissão, a ENISA elabora uma proposta de sistema europeu de certificação da cibersegurança que cumpra os requisitos estabelecidos nos artigos 45.º, 46.º e 47.º do presente regulamento. Os Estados-Membros, o grupo europeu para a certificação da cibersegurança (a seguir designado por «Grupo») criado nos termos do artigo 53.º ou o grupo permanente de partes interessadas criado nos termos do artigo 20.º podem propor à Comissão que se elabore uma proposta de sistema europeu de certificação da cibersegurança. |
Alteração 65 Proposta de regulamento Artigo 44 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. Durante a elaboração das propostas de sistema a que se refere o n.º 1 do presente artigo, a Agência consulta todas as partes interessadas pertinentes e coopera estreitamente com o Grupo. O Grupo presta à ENISA a assistência e o aconselhamento especializado de que esta necessite, no que concerne a elaboração da proposta de sistema, nomeadamente fornecendo pareceres sempre que necessário. |
2. Durante a elaboração das propostas de sistema a que se refere o n.º 1 do presente artigo, a Agência consulta o grupo permanente de partes interessadas, nomeadamente as organizações europeias de normalização, bem como todas as outras partes interessadas pertinentes, incluindo as organizações de consumidores, no quadro de um processo formal, normalizado e transparente, e coopera estreitamente com o Grupo, tendo em conta as normas nacionais e internacionais já existentes. Aquando da elaboração de cada proposta de sistema, a ENISA deve criar uma lista de controlo dos riscos e das correspondentes características de cibersegurança. |
|
|
O Grupo presta à ENISA a assistência e o aconselhamento especializado de que esta necessite, no que concerne a elaboração da proposta de sistema, nomeadamente fornecendo pareceres sempre que necessário. |
|
|
Se necessário, a ENISA pode igualmente constituir um grupo de peritos para consulta das partes interessadas, composto por membros do grupo permanente de partes interessadas e por quaisquer outras partes interessadas pertinentes com conhecimentos especializados específicos no domínio de uma determinada proposta de sistema, a fim de prestar assistência e aconselhamento adicionais. |
Alteração 66 Proposta de regulamento Artigo 44 – n.º 3 | |
|
Texto da Comissão |
Alteração |
|
3. A ENISA transmite à Comissão a proposta de sistema europeu de certificação da cibersegurança elaborada em conformidade com o n.º 2 do presente artigo. |
3. A ENISA transmite à Comissão a proposta de sistema europeu de certificação da cibersegurança elaborada em conformidade com o n.º 2 do presente artigo, a qual deve avaliar se o sistema permite atingir os objetivos do pedido a que se refere o n.º 1. |
Alteração 67 Proposta de regulamento Artigo 44 – n.º 3-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
3-A. A ENISA respeita o segredo profissional relativamente a todas as informações obtidas no desempenho das suas funções ao abrigo do presente regulamento. |
Alteração 68 Proposta de regulamento Artigo 44 – n.º 4 | |
|
Texto da Comissão |
Alteração |
|
4. A Comissão, com base na proposta de sistema apresentada pela ENISA, pode adotar atos de execução, em conformidade com o artigo 55.º, n.º 1, que estabeleçam sistemas europeus de certificação da cibersegurança de produtos e serviços de TIC que cumpram os requisitos estabelecidos nos artigos 45.º, 46.º e 47.º do presente regulamento. |
4. A Comissão fica habilitada a adotar atos delegados, em conformidade com o artigo 55.º-A, no que respeita ao estabelecimento de sistemas europeus de certificação da cibersegurança de produtos e serviços de TIC que cumpram os requisitos estabelecidos nos artigos 45.º, 46.º e 47.º do presente regulamento. Ao adotar esses atos delegados, a Comissão baseia os sistemas de certificação da cibersegurança de produtos e serviços de TIC em qualquer proposta de sistema pertinentes proposto pela ENISA. A Comissão pode consultar o Comité Europeu para a Proteção de Dados e ter em conta a sua opinião antes de adotar os referidos atos delegados. |
Alteração 69 Proposta de regulamento Artigo 44 – n.º 5 | |
|
Texto da Comissão |
Alteração |
|
5. A ENISA mantém um sítio onde disponibiliza informações sobre os sistemas europeus de certificação da cibersegurança, bem como ações de divulgação dos mesmos. |
5. A ENISA mantém um sítio onde disponibiliza informações sobre os sistemas europeus de certificação da cibersegurança, bem como ações de divulgação dos mesmos, incluindo informações relativas a todas as propostas de sistema que a Comissão tenha solicitado que a ENISA elabore. |
Alteração 70 Proposta de regulamento Artigo 45 – parágrafo 1 – parte introdutória | |
|
Texto da Comissão |
Alteração |
|
Um sistema europeu de certificação da cibersegurança é concebido de modo a ter em conta, conforme aplicável, os seguintes objetivos de segurança: |
Cada sistema europeu de certificação da cibersegurança é concebido de modo a ter em conta, pelo menos, os seguintes objetivos de segurança, na medida em que sejam pertinentes: |
Alteração 71 Proposta de regulamento Artigo 45 – parágrafo 1 – alínea g) | |
|
Texto da Comissão |
Alteração |
|
g) Assegurar que os produtos e serviços de TIC são equipados com suportes lógicos atualizados que não contêm vulnerabilidades conhecidas e que incluem mecanismos que permitam atualizações seguras desses suportes. |
g) Assegurar que os produtos e serviços de TIC são equipados com suportes lógicos e material informático atualizados que não contêm vulnerabilidades conhecidas; assegurar que foram concebidos e executados de forma a limitar eficazmente a sua suscetibilidade às vulnerabilidades e que incluem mecanismos que permitam atualizações seguras desses suportes, incluindo melhorias do material informático e atualizações automáticas de segurança; |
Alteração 72 Proposta de regulamento Artigo 45 – parágrafo 1 – alínea g-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
g-A) Garantir que os produtos e serviços de TIC sejam desenvolvidos e executados para que esteja predefinido um nível elevado de cibersegurança e proteção de dados, em conformidade com o princípio de «segurança desde a conceção». |
Alteração 73 Proposta de regulamento Artigo 46 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. Um sistema europeu de certificação da cibersegurança pode especificar um ou mais dos seguintes níveis de garantia: básico, substancial e/ou elevado, para produtos e serviços de TIC certificados por esse sistema. |
1. Cada sistema europeu de certificação da cibersegurança pode especificar um ou mais dos seguintes níveis de garantia baseados no risco: «funcionalmente seguro», «substancialmente seguro» e/ou «extremamente seguro», para produtos e serviços de TIC certificados por esse sistema. |
|
|
Os níveis de garantia para cada proposta de sistema europeu de certificação da cibersegurança devem ser determinados em função dos riscos identificados na lista de controlo prevista no artigo 44.º, n.º 2, e com base na disponibilidade de características de cibersegurança destinadas a fazer face a esses riscos nos produtos e serviços de TIC aos quais se aplique o sistema de certificação. |
Alteração 74 Proposta de regulamento Artigo 46 – n.º 1-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
1-A. Todo e qualquer sistema deve indicar a metodologia ou o processo de avaliação a seguir para a emissão dos certificados relativos a cada nível de garantia, em função da utilização prevista e do risco inerente aos produtos e serviços de TIC abrangidos por esse sistema. |
Alteração 75 Proposta de regulamento Artigo 46 – n.º 2 – parte introdutória | |
|
Texto da Comissão |
Alteração |
|
2. Os níveis de garantia básico, substancial e elevado satisfazem, respetivamente, os seguintes critérios: |
2. Os níveis de garantia «funcionalmente seguro», «substancialmente seguro» e «extremamente seguro» satisfazem, respetivamente, os seguintes critérios: |
Alteração 76 Proposta de regulamento Artigo 46 – n.º 2 – alínea a) | |
|
Texto da Comissão |
Alteração |
|
a) O nível de garantia básico corresponde a um certificado, emitido no âmbito de um sistema europeu de certificação da cibersegurança, que confere um nível de confiança limitado relativamente às propriedades de cibersegurança declaradas ou reivindicadas por determinado produto ou serviço de TIC, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir o risco de incidentes de cibersegurança; |
a) O nível de garantia «funcionalmente seguro» corresponde a um certificado, emitido no âmbito de um sistema europeu de certificação da cibersegurança, que confere um nível de confiança adequado relativamente às propriedades de cibersegurança declaradas ou reivindicadas por determinado processo, produto ou serviço de TIC, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir o risco de incidentes de cibersegurança; |
Alteração 77 Proposta de regulamento Artigo 46 – n.º 2 – alínea b) | |
|
Texto da Comissão |
Alteração |
|
b) O nível de garantia substancial corresponde a um certificado, emitido no âmbito de um sistema europeu de certificação da cibersegurança, que confere um nível de confiança substancial relativamente às propriedades de cibersegurança declaradas ou reivindicadas por determinado produto ou serviço de TIC, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir substancialmente o risco de incidentes de cibersegurança; |
b) O nível de garantia «substancialmente seguro» corresponde a um certificado, emitido no âmbito de um sistema europeu de certificação da cibersegurança, que confere um nível de confiança substancial relativamente às propriedades de cibersegurança declaradas ou reivindicadas por determinado processo, produto ou serviço de TIC, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir substancialmente o risco de incidentes de cibersegurança; |
Alteração 78 Proposta de regulamento Artigo 46 – n.º 2 – alínea c) | |
|
Texto da Comissão |
Alteração |
|
c) O nível de garantia elevado corresponde a um certificado, emitido no âmbito de um sistema europeu de certificação da cibersegurança, que confere um nível de confiança mais elevado relativamente às propriedades de cibersegurança declaradas ou reivindicadas por determinado produto ou serviço de TIC que um certificado de nível de garantia substancial, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é prevenir incidentes de cibersegurança; |
c) O nível de garantia «extremamente seguro» corresponde a um certificado, emitido no âmbito de um sistema europeu de certificação da cibersegurança, que confere um nível de confiança mais elevado relativamente às propriedades de cibersegurança declaradas ou reivindicadas por determinado processo, produto ou serviço de TIC que um certificado de nível de garantia «substancialmente seguro», e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é prevenir incidentes de cibersegurança; Tal aplica-se, em particular, aos produtos e serviços destinados a serem utilizados por operadores de serviços essenciais, tal como definido no artigo 4.º, n.º 4, da Diretiva 2016/1148/UE. |
Alteração 79 Proposta de regulamento Artigo 47 – n.º 1 – parte introdutória | |
|
Texto da Comissão |
Alteração |
|
1. Um sistema europeu de certificação da cibersegurança inclui os seguintes elementos: |
1. Cada sistema europeu de certificação da cibersegurança inclui, pelo menos, os seguintes elementos, se for caso disso: |
Alteração 80 Proposta de regulamento Artigo 47 – n.º 1 – alínea a) | |
|
Texto da Comissão |
Alteração |
|
a) Objeto e âmbito da certificação, nomeadamente os tipos ou categorias de produtos e serviços de TIC abrangidos; |
a) Objeto e âmbito do sistema de certificação, nomeadamente todos os setores específicos abrangidos e os tipos ou categorias de produtos e serviços de TIC abrangidos; |
Alteração 81 Proposta de regulamento Artigo 47 – n.º 1 – alínea b) | |
|
Texto da Comissão |
Alteração |
|
b) Especificação pormenorizada dos requisitos de cibersegurança em relação aos quais os produtos e serviços de TIC específicos são avaliados, por exemplo, por referência a normas ou especificações técnicas da União ou internacionais; |
b) Especificação pormenorizada dos requisitos de cibersegurança em relação aos quais os produtos e serviços de TIC específicos são avaliados, em particular por referência a normas ou especificações técnicas internacionais, europeias ou nacionais; |
Alteração 82 Proposta de regulamento Artigo 47 – n.º 1 – alínea b-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
b-A) Especificação pormenorizada, se uma certificação concedida só puder aplicar-se a um produto individual ou a uma gama de produtos, por exemplo, diferentes versões ou modelos da mesma estrutura de produto de base; |
Alteração 83 Proposta de regulamento Artigo 47 – n.º 1 – alínea c-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
c-A) Indicação que determina se a autodeclaração de conformidade é autorizada ao abrigo do sistema e do procedimento aplicável à avaliação de conformidade ou à autodeclaração de conformidade, ou a ambas; |
Alteração 84 Proposta de regulamento Artigo 47 – n.º 1 – alínea c-B) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
c-B) Requisitos de certificação definidos para que a certificação possa ser incorporada ou baseada nos processos sistemáticos de segurança seguidos pelo produtor durante a conceção, o desenvolvimento e o ciclo de vida do processo, produto ou serviço de TIC; |
Alteração 85 Proposta de regulamento Artigo 47 – n.º 1 – alínea f) | |
|
Texto da Comissão |
Alteração |
|
f) Condições de utilização de marcas ou rótulos, caso estes estejam previstos pelo sistema; |
f) Condições de utilização de marcas ou rótulos, caso estes estejam previstos pelo sistema, tais como um rótulo de conformidade com os requisitos de cibersegurança da UE que indique que um processo, produto ou serviço de TIC está em conformidade com os critérios de um sistema; |
Alteração 86 Proposta de regulamento Artigo 47 – n.º 1 – alínea g) | |
|
Texto da Comissão |
Alteração |
|
g) Regras para o controlo da conformidade com os requisitos dos certificados, incluindo mecanismos para demonstrar a conformidade permanente com os requisitos de cibersegurança especificados, caso o sistema inclua a vertente de acompanhamento; |
g) Regras para o controlo da conformidade com os requisitos dos certificados, incluindo mecanismos para demonstrar a conformidade permanente com os requisitos de cibersegurança especificados, tais como, sempre que pertinente e possível, atualizações, novas versões ou correções obrigatórias do processo, produto ou serviço de TIC em questão; |
Alteração 87 Proposta de regulamento Artigo 47 – n.º 1 – alínea h) | |
|
Texto da Comissão |
Alteração |
|
h) Condições para a concessão, manutenção, continuação, alargamento e redução do âmbito da certificação; |
h) Condições para a concessão, manutenção, continuação, renovação, alargamento e redução do âmbito da certificação; |
Alteração 88 Proposta de regulamento Artigo 47 – n.º 1 – alínea i) | |
|
Texto da Comissão |
Alteração |
|
i) Regras relativas às consequências da não conformidade de produtos e serviços de TIC certificados com os requisitos de certificação; |
i) Regras relativas às consequências da não conformidade de produtos e serviços de TIC certificados com os requisitos de certificação e informações gerais sobre sanções, em conformidade com o disposto no artigo 54.º do presente regulamento; |
Alteração 89 Proposta de regulamento Artigo 47 – n.º 1 – alínea j) | |
|
Texto da Comissão |
Alteração |
|
j) Regras relativas ao modo como devem ser comunicadas e tratadas vulnerabilidades de cibersegurança em produtos e serviços de TIC não detetadas anteriormente; |
j) Regras relativas ao modo como devem ser comunicadas e tratadas vulnerabilidades de cibersegurança em produtos e serviços de TIC não detetadas anteriormente, inclusive através de processos de divulgação coordenada de vulnerabilidades; |
Alteração 90 Proposta de regulamento Artigo 47 – n.º 1 – alínea l) | |
|
Texto da Comissão |
Alteração |
|
l) Identificação dos sistemas nacionais de certificação da cibersegurança que abranjam os mesmos tipos ou categorias de produtos e serviços de TIC; |
l) Identificação dos sistemas nacionais ou internacionais de certificação da cibersegurança ou dos acordos internacionais de reconhecimento mútuo existentes, que abrangem os mesmos tipos ou categorias de produtos e serviços de TIC; |
Alteração 91 Proposta de regulamento Artigo 47 – n.º 1 – alínea m-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
m-A) Prazo máximo de validade dos certificados; |
Alteração 92 Proposta de regulamento Artigo 47 – n.º 1 – alínea m-B) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
m-B) Regras relativas aos testes de resistência e resiliência para o nível de garantia «extremamente seguro». |
Alteração 93 Proposta de regulamento Artigo 47 – n.º 3 | |
|
Texto da Comissão |
Alteração |
|
3. Se um ato específico da União assim o previr, a certificação ao abrigo de um sistema europeu de certificação da cibersegurança pode ser utilizada para demonstrar a presunção de conformidade com os requisitos do ato em questão. |
3. Se um futuro ato específico da União assim o previr, a certificação ao abrigo de um sistema europeu de certificação da cibersegurança pode ser utilizada para demonstrar a presunção de conformidade com os requisitos do ato em questão. |
Alteração 94 Proposta de regulamento Artigo 48 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. A certificação é voluntária, salvo se especificado em contrário no direito da União. |
2. A certificação ao abrigo de um sistema europeu de certificação da cibersegurança é obrigatória para os produtos e serviços de TIC com um elevado risco inerente que se destinem especificamente a ser utilizados pelos operadores de serviços essenciais, tal como definido no artigo 4.º, n.º 4, da Diretiva 2016/1148/UE. Para todos os outros produtos e serviços de TIC, a certificação é voluntária, salvo se especificado em contrário no direito da União. |
Alteração 95 Proposta de regulamento Artigo 48 – n.º 3 | |
|
Texto da Comissão |
Alteração |
|
3. Os organismos de avaliação da conformidade a que se refere o artigo 51.º emitem um certificado europeu de cibersegurança nos termos do presente artigo, com base nos critérios incluídos no sistema europeu de certificação da cibersegurança adotado nos termos do artigo 44.º. |
3. Os organismos de avaliação da conformidade a que se refere o artigo 51.º emitem certificados europeus de cibersegurança nos termos do presente artigo, com base nos critérios incluídos no sistema europeu de certificação da cibersegurança adotado nos termos do artigo 44.º. |
|
|
Como alternativa à certificação pelos organismos de avaliação da conformidade, os fabricantes de produtos e os prestadores de serviços podem, sempre que o sistema em questão preveja essa possibilidade, emitir uma autodeclaração de conformidade, na qual declarem que um processo, produto ou serviço está em conformidade com os critérios do sistema de certificação. Nesse caso, o fabricante do produto ou o prestador de serviços fornecem, mediante pedido, a autodeclaração de conformidade à autoridade nacional supervisora da certificação e à ENISA. |
Alteração 96 Proposta de regulamento Artigo 48 – n.º 4 – parte introdutória | |
|
Texto da Comissão |
Alteração |
|
4. Em derrogação do n.º 3, em casos devidamente justificados, um determinado sistema europeu de certificação da cibersegurança pode prever que o certificado europeu de cibersegurança resultante desse sistema apenas possa ser emitido por um organismo público. Esse organismo público será um dos seguintes: |
4. Em derrogação do n.º 3, em casos devidamente justificados, como, por exemplo, por razões de segurança nacional, um determinado sistema europeu de certificação da cibersegurança pode prever que o certificado europeu de cibersegurança resultante desse sistema apenas possa ser emitido por um organismo público. Esse organismo público será um dos seguintes: |
Alteração 97 Proposta de regulamento Artigo 48 – n.º 5 | |
|
Texto da Comissão |
Alteração |
|
5. As pessoas singulares ou coletivas que submetem os seus produtos ou serviços de TIC ao processo de certificação fornecem ao organismo de avaliação da conformidade a que se refere o artigo 51.º todas as informações necessárias para efetuar o procedimento de certificação. |
5. As pessoas singulares ou coletivas que submetem os seus produtos ou serviços de TIC ao processo de certificação fornecem ao organismo de avaliação da conformidade a que se refere o artigo 51.º todas as informações necessárias para efetuar o procedimento de certificação, incluindo informações sobre eventuais vulnerabilidades de segurança conhecidas. |
Alteração 98 Proposta de regulamento Artigo 48 – n.º 6 | |
|
Texto da Comissão |
Alteração |
|
6. Os certificados são emitidos por um período máximo de três anos e podem ser renovados nas mesmas condições, desde que continuem a ser cumpridos os requisitos pertinentes. |
6. Os certificados são emitidos e permanecem válidos pelo período máximo estabelecido em cada sistema de certificação da cibersegurança e podem ser renovados nas mesmas condições, desde que continuem a ser cumpridos os requisitos pertinentes do referido sistema, incluindo os requisitos revistos ou alterados. |
Alteração 99 Proposta de regulamento Artigo 48 – n.º 6-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
6-A. Os certificados permanecem válidos para todas as novas versões de um processo, produto ou serviço, sempre que o principal motivo da criação da nova versão seja corrigir, reparar ou de outro modo solucionar vulnerabilidades ou ameaças de segurança conhecidas ou potenciais. |
Alteração 100 Proposta de regulamento Artigo 49 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. Sem prejuízo do disposto no n.º 3, os sistemas nacionais de certificação de cibersegurança e os procedimentos conexos relativos a produtos e serviços de TIC abrangidos por um sistema europeu de certificação da cibersegurança deixam de produzir efeitos a partir da data estabelecida no ato de execução adotado ao abrigo do artigo 44.º, n.º 4. Os sistemas nacionais de certificação da cibersegurança e os procedimentos conexos em vigor relativos a produtos e serviços de TIC não abrangidos por um sistema europeu de certificação da cibersegurança continuam a produzir efeitos. |
1. Sem prejuízo do disposto no n.º 3, os sistemas nacionais de certificação de cibersegurança e os procedimentos conexos relativos a produtos e serviços de TIC abrangidos por um sistema europeu de certificação da cibersegurança deixam de produzir efeitos a partir da data estabelecida no ato delegado adotado ao abrigo do artigo 44.º, n.º 4. A Comissão monitoriza o cumprimento deste parágrafo, a fim de evitar a existência de sistemas concorrentes. Os sistemas nacionais de certificação da cibersegurança e os procedimentos conexos em vigor relativos a produtos e serviços de TIC não abrangidos por um sistema europeu de certificação da cibersegurança continuam a produzir efeitos. |
Alteração 101 Proposta de regulamento Artigo 49 – n.º 3 | |
|
Texto da Comissão |
Alteração |
|
3. Os certificados em vigor emitidos ao abrigo de sistemas nacionais de certificação da cibersegurança permanecem válidos até à respetiva data de expiração. |
3. Os certificados em vigor emitidos ao abrigo de sistemas nacionais de certificação da cibersegurança que sejam abrangidos por um sistema europeu de certificação da cibersegurança permanecem válidos até à respetiva data de expiração. |
Alteração 102 Proposta de regulamento Artigo 50 – n.º 3 | |
|
Texto da Comissão |
Alteração |
|
3. As autoridades nacionais supervisoras da certificação são independentes das entidades que supervisionam, no que se refere à organização, às decisões de financiamento, à estrutura jurídica e à tomada de decisões. |
3. As autoridades nacionais supervisoras da certificação são independentes das entidades que supervisionam, no que se refere à organização, às decisões de financiamento, à estrutura jurídica e à tomada de decisões, não podendo ser um organismo de avaliação da conformidade nem um organismo nacional de acreditação. |
Alteração 103 Proposta de regulamento Artigo 50 – n.º 6 – alínea a) | |
|
Texto da Comissão |
Alteração |
|
a) Controlar e garantir a aplicação das disposições do presente título a nível nacional e supervisionar a conformidade dos certificados que tenham sido emitidos por organismos de avaliação da conformidade estabelecidos nos respetivos territórios com os requisitos estabelecidos no presente título e no correspondente sistema europeu de certificação da cibersegurança; |
a) Controlar e garantir a aplicação das disposições do presente título a nível nacional e supervisionar a conformidade segundo as regras adotadas pelo grupo europeu para a certificação da cibersegurança, nos termos do artigo 53.º, n.º 3, alínea d-A), no que respeita: |
|
|
i) Aos certificados que tenham sido emitidos por organismos de avaliação da conformidade estabelecidos nos respetivos territórios com os requisitos estabelecidos no presente título e no correspondente sistema europeu de certificação da cibersegurança; e |
|
|
ii) Às autodeclarações de conformidade emitidas ao abrigo de um sistema para um processo, produto ou serviço de TIC; |
Alteração 104 Proposta de regulamento Artigo 50 – n.º 6 – alínea b) | |
|
Texto da Comissão |
Alteração |
|
b) Controlar e supervisionar as atividades dos organismos de avaliação da conformidade para efeitos do presente regulamento, nomeadamente no que respeita à notificação dos organismos de avaliação da conformidade e às tarefas conexas estabelecidas no artigo 52.º do presente regulamento; |
b) Controlar, supervisionar e, pelo menos de dois em dois anos, avaliar as atividades dos organismos de avaliação da conformidade para efeitos do presente regulamento, nomeadamente no que respeita à notificação dos organismos de avaliação da conformidade e às tarefas conexas estabelecidas no artigo 52.º do presente regulamento; |
Alteração 105 Proposta de regulamento Artigo 50 – n.º 6 – alínea c) | |
|
Texto da Comissão |
Alteração |
|
c) Tratar as reclamações apresentadas por pessoas singulares ou coletivas relativamente a certificados emitidos por organismos de avaliação da conformidade estabelecidos nos respetivos territórios, investigar, tanto quanto for necessário, o conteúdo das reclamações e informar os respetivos autores do andamento e do resultado da investigação num prazo razoável; |
c) Tratar as reclamações apresentadas por pessoas singulares ou coletivas relativamente a certificados emitidos por organismos de avaliação da conformidade estabelecidos nos respetivos territórios ou a autodeclarações de conformidade, investigar, tanto quanto for necessário, o conteúdo das reclamações e informar os respetivos autores do andamento e do resultado da investigação num prazo razoável; |
Alteração 106 Proposta de regulamento Artigo 50 – n.º 6 – alínea c-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
c-A) Comunicar os resultados das verificações efetuadas ao abrigo da alínea a) e das avaliações efetuadas ao abrigo da alínea b) à ENISA e ao grupo europeu para a certificação da cibersegurança; |
Alteração 107 Proposta de regulamento Artigo 50 – parágrafo 6 – alínea d) | |
|
Texto da Comissão |
Alteração |
|
d) Cooperar com outras autoridades nacionais supervisoras da certificação ou outras autoridades públicas, incluindo pela partilha de informações sobre a eventual não conformidade de produtos e serviços de TIC com os requisitos do presente regulamento ou de sistemas europeus de certificação da cibersegurança específicos; |
d) Cooperar com outras autoridades nacionais supervisoras da certificação, organismos nacionais de acreditação ou outras autoridades públicas, em particular através da partilha de informações sobre a eventual não conformidade de produtos e serviços de TIC com os requisitos do presente regulamento ou de sistemas europeus de certificação da cibersegurança específicos, incluindo as reclamações de certificação enganosas, falsas ou fraudulentas; |
Alteração 108 Proposta de regulamento Artigo 50 – n.º 7 – alínea c-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
c-A) Revogar a acreditação dos organismos de avaliação da conformidade que não respeitem o presente regulamento; |
Alteração 109 Proposta de regulamento Artigo 50 – n.º 7 – alínea e) | |
|
Texto da Comissão |
Alteração |
|
e) Retirar, em conformidade com o direito nacional, os certificados que não estejam em conformidade com o presente regulamento ou um sistema europeu de certificação da cibersegurança; |
e) Retirar, em conformidade com o direito nacional, os certificados que não estejam em conformidade com o presente regulamento ou um sistema europeu de certificação da cibersegurança e informar em conformidade os organismos nacionais de acreditação; |
Alteração 110 Proposta de regulamento Artigo 50 – n.º 7 – alínea f-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
f-A) Propor à ENISA peritos para integrar o grupo de peritos para consulta das partes interessadas a que se refere o artigo 44.º, n.º 2. |
Alteração 111 Proposta de regulamento Artigo 50 – n.º 8 – parágrafo 1-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
A Comissão disponibiliza um sistema geral de apoio a informações eletrónicas para efeitos do referido intercâmbio. |
Alteração 112 Proposta de regulamento Artigo 50-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
Artigo 50.º-A (novo) |
|
|
Análise pelos pares |
|
|
1. As autoridades nacionais supervisoras da certificação são objeto de análise pelos pares relativamente a qualquer atividade que realizem, em conformidade com o artigo 50.º do presente regulamento. |
|
|
2. A análise pelos pares contempla as avaliações dos procedimentos implementados pelas autoridades nacionais supervisoras da certificação, nomeadamente os procedimentos de verificação da conformidade de produtos que estão sujeitos a certificação da cibersegurança, a competência do pessoal, a exatidão das verificações e a metodologia de inspeção, bem como a exatidão dos resultados. A análise pelos pares avalia igualmente se as autoridades nacionais supervisoras da certificação pertinentes dispõem de recursos suficientes para o bom desempenho das suas funções, conforme exigido pelo artigo 50.º, n.º 4. |
|
|
3. A análise pelos pares de uma autoridade nacional supervisora da certificação deve ser efetuada por duas autoridades nacionais supervisoras da certificação de outros Estados-Membros e pela Comissão, pelo menos, uma vez em cada cinco anos. A ENISA pode participar na análise pelos pares e decide sobre a sua participação com base numa análise da avaliação dos riscos. |
|
|
4. A Comissão fica habilitada, nos termos do artigo 55.º-A, a adotar atos delegados, a fim de definir um plano para as análises pelos pares relativas a um período de pelo menos cinco anos, estabelecendo critérios referentes à composição da equipa de análise pelos pares, à metodologia utilizada para a análise, ao calendário, à periodicidade e a outras tarefas relacionadas com a análise. Ao adotar esses atos delegados, a Comissão deve ter devidamente em conta as considerações do grupo. |
|
|
5. Os resultados das análises pelos pares são examinados pelo grupo. A ENISA elabora um resumo dos resultados e publica-o. |
Alteração 113 Proposta de regulamento Artigo 51 – n.º 2-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-A. Sempre que os fabricantes optem pela «autodeclaração de conformidade», prevista no artigo 48.º, n.º 3, os organismos de avaliação da conformidade tomam medidas adicionais para verificar os procedimentos internos implementados pelo fabricante para garantir que os seus produtos e/ou serviços estejam em conformidade com os requisitos do sistema europeu de certificação da cibersegurança. |
Alteração 114 Proposta de regulamento Artigo 53 – n.º 3 – alínea d-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
d-A) Adotar regras vinculativas que determinem a periodicidade com que as autoridades nacionais supervisoras da certificação devem efetuar verificações de certificados e autodeclarações de conformidade, bem como os critérios, a escala e o âmbito dessas verificações, e adotar regras e normas comuns para a comunicação, em conformidade com o artigo 50.º, n.º 6; |
Alteração 115 Proposta de regulamento Artigo 53 – n.º 3 – alínea e) | |
|
Texto da Comissão |
Alteração |
|
e) Analisar os desenvolvimentos relevantes no domínio da certificação da cibersegurança e proceder ao intercâmbio de boas práticas em matéria de sistemas de certificação da cibersegurança; |
e) Analisar os desenvolvimentos relevantes no domínio da certificação da cibersegurança e proceder ao intercâmbio de informações e de boas práticas em matéria de sistemas de certificação da cibersegurança; |
Alteração 116 Proposta de regulamento Artigo 53 – n.º 3 – alínea f-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
f-A) Proceder ao intercâmbio de práticas de excelência no que respeita às investigações levadas a cabo pelos organismos de avaliação da conformidade, aos titulares de certificados europeus de cibersegurança e aos fabricantes e prestadores de serviços que emitiram autodeclarações de conformidade; |
Alteração 117 Proposta de regulamento Artigo 53 – n.º 3 – alínea f-B) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
f-B) Facilitar o alinhamento dos sistemas europeus de certificação da cibersegurança pelas normas internacionalmente reconhecidas e, se for caso isso, recomendar domínios à ENISA nos quais deveria colaborar com organizações internacionais e europeias de normalização pertinentes para dar resposta às insuficiências ou lacunas detetadas nas normas internacionalmente reconhecidas; |
Alteração 118 Proposta de regulamento Artigo 53 – n.º 3 – alínea f-C) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
f-C) Aconselhar a ENISA, aquando do estabelecimento do programa de trabalho a que se refere o artigo 43.º-A, sobre uma lista de prioridades de produtos e serviços de TIC relativamente aos quais considere ser necessário um sistema europeu de certificação da cibersegurança; |
Alteração 119 Proposta de regulamento Artigo 53 – n.º 4 – parágrafo 1-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
A ENISA assegura que, após cada reunião do grupo, a ordem do dia, a ata e a lista das decisões tomadas fiquem registadas e que as versões publicadas desses documentos sejam disponibilizadas ao público no sítio Web da ENISA. |
Alteração 120 Proposta de regulamento Artigo 55-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
Artigo 55.º-A |
|
|
Exercício da delegação |
|
|
O poder de adotar atos delegados é conferido à Comissão nas condições estabelecidas no presente artigo. |
|
|
O poder de adotar atos delegados a que se refere o artigo 44.º, n.º 4, e o artigo 50.º-A, n.º 4, é conferido à Comissão por um período de cinco anos a contar de [data de entrada em vigor do ato legislativo de base]. A Comissão elabora um relatório sobre a delegação de poderes pelo menos nove meses antes do final do período de cinco anos. A delegação de poderes é tacitamente prorrogada por períodos de igual duração, salvo se o Parlamento Europeu ou o Conselho a tal se opuserem o mais tardar três meses antes do final de cada período. |
|
|
A delegação de poderes a que se refere o artigo 44.º, n.º 4, e o artigo 50.º-A, n.º 4, pode ser revogada a qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação de poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afeta os atos delegados já em vigor. |
|
|
Antes de adotar um ato delegado, a Comissão consulta os peritos designados por cada Estado-Membro de acordo com os princípios estabelecidos no Acordo Interinstitucional, de 13 de abril de 2016, sobre legislar melhor. |
|
|
Assim que adotar um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho. |
|
|
Os atos delegados adotados nos termos do artigo 44.º, n.º 4, ou do artigo 50.º-A, n.º 4, só entram em vigor se não tiverem sido formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de [dois meses] a contar da notificação desse ato ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objeções a formular. O referido prazo é prorrogado por [dois meses] por iniciativa do Parlamento Europeu ou do Conselho. |
PROCESSO DA COMISSÃO ENCARREGADA DE EMITIR PARECER
|
Título |
Regulamento relativo à ENISA, a «Agência da União Europeia para a Cibersegurança», e à certificação da cibersegurança das tecnologias da informação e comunicação, e que revoga o Regulamento (UE) n.º 526/2013 («Regulamento Cibersegurança») |
||||
|
Referências |
COM(2017)0477 – C8-0310/2017 – 2017/0225(COD) |
||||
|
Comissão competente quanto ao fundo Data de comunicação em sessão |
ITRE 23.10.2017 |
|
|
|
|
|
Parecer emitido por Data de comunicação em sessão |
IMCO 23.10.2017 |
||||
|
Comissões associadas – data de comunicação em sessão |
18.1.2018 |
||||
|
Relator(a) de parecer Data de designação |
Nicola Danti 25.9.2017 |
||||
|
Exame em comissão |
21.2.2018 |
21.3.2018 |
|
|
|
|
Data de aprovação |
17.5.2018 |
|
|
|
|
|
Resultado da votação final |
+: –: 0: |
31 2 1 |
|||
|
Deputados presentes no momento da votação final |
John Stuart Agnew, Pascal Arimont, Dita Charanzová, Carlos Coelho, Anna Maria Corazza Bildt, Daniel Dalton, Nicola Danti, Dennis de Jong, Pascal Durand, Evelyne Gebhardt, Robert Jarosław Iwaszkiewicz, Liisa Jaakonsaari, Marlene Mizzi, Nosheena Mobarik, Jiří Pospíšil, Andreas Schwab, Olga Sehnalová, Jasenko Selimovic, Ivan Štefanec, Catherine Stihler, Mylène Troszczynski, Mihai Ţurcanu, Anneleen Van Bossuyt, Marco Zullo |
||||
|
Suplentes presentes no momento da votação final |
Jan Philipp Albrecht, Kaja Kallas, Arndt Kohn, Emma McClarkin, Adam Szejnfeld, Marc Tarabella, Lambert van Nistelrooij, Kerstin Westphal |
||||
|
Suplentes (art. 200.º, n.º 2) presentes no momento da votação final |
Inés Ayala Sender, Flavio Zanonato |
||||
VOTAÇÃO NOMINAL FINAL NA COMISSÃO ENCARREGADA DE EMITIR PARECER
|
31 |
+ |
|
|
ALDE ECR EFDD GUE/NGL PPE
S&D
Verts/ALE |
Dita Charanzová, Kaja Kallas, Jasenko Selimovic Daniel Dalton, Emma McClarkin, Nosheena Mobarik, Anneleen Van Bossuyt Marco Zullo Dennis de Jong Pascal Arimont, Carlos Coelho, Anna Maria Corazza Bildt, Jiří Pospíšil, Andreas Schwab, Ivan Štefanec, Adam Szejnfeld, Mihai Ţurcanu, Lambert van Nistelrooij Inés Ayala Sender, Nicola Danti, Evelyne Gebhardt, Liisa Jaakonsaari, Arndt Kohn, Marlene Mizzi, Olga Sehnalová, Catherine Stihler, Marc Tarabella, Kerstin Westphal, Flavio Zanonato Jan Philipp Albrecht, Pascal Durand |
|
|
2 |
- |
|
|
EFDD |
John Stuart Agnew, Robert Jarosław Iwaszkiewicz |
|
|
1 |
0 |
|
|
ENF |
Mylène Troszczynski |
|
Legenda dos símbolos utilizados:
+ : votos a favor
- : votos contra
0 : abstenções
PARECER DA COMISSÃO DOS ORÇAMENTOS (16.5.2018)
dirigido à Comissão da Indústria, da Investigação e da Energia
sobre a proposta de Regulamento do Parlamento Europeu e do Conselho relativa à ENISA, a «Agência da União Europeia para a Cibersegurança», e à certificação da cibersegurança das tecnologias da informação e comunicação, e que revoga o Regulamento (UE) n.º 526/2013 («Regulamento Cibersegurança»
(COM(2017)0477 – C8-03102017 – 2017/0225(COD))
Relator de parecer: Jens Geier
JUSTIFICAÇÃO SUCINTA
De um modo geral, o relator acolhe com agrado a proposta relativa a um «Regulamento Cibersegurança» destinado a reforçar o papel da Agência Europeia para a Segurança das Redes e da Informação (ENISA), uma vez que a questão da cibersegurança tem um caráter claramente transfronteiriço, pelo que é adequado adotar uma abordagem mais europeia. O relator saúda, em particular, a proposta da Comissão no sentido de atribuir à ENISA um mandato permanente, tendo em conta o seu papel de maior relevo e a garantia da segurança dos membros do pessoal da Agência. A Comissão propõe um aumento do pessoal AD/AST em 41 lugares até 2022[1] e um aumento do orçamento anual da Agência para 23 milhões de euros em 2022[2].
O relator considera que as disposições atuais relativas à sede, nomeadamente as múltiplas instalações da Agência em Heráclion e Atenas, prejudicam o desempenho eficaz do mandato da Agência. O Grupo de Trabalho Interinstitucional sobre os recursos das agências, criado na sequência do acordo sobre o orçamento de 2014, recomenda «à Comissão que efetue uma avaliação das múltiplas localizações das agências (duplas sedes, existência de instalações técnicas para além da sede, gabinetes locais e destacamento de pessoal para fora da sede) com base numa abordagem coerente e com recurso a critérios claros e transparentes, em particular para avaliar o seu valor acrescentado, inclusive à luz dos custos incorridos». Todas as instituições da UE aceitaram esta recomendação, pelo que o relator considera que a referida avaliação deve ser efetuada rapidamente. Após tal avaliação, as instituições devem retirar as necessárias conclusões o mais rapidamente possível.
O relator considera ainda que o mandato da Agência no que respeita à disponibilização de conhecimentos especializados pode ser reforçado, atribuindo à Agência uma dotação financeira que lhe permita encomendar atividades de investigação e desenvolvimento a título do próprio orçamento. Para tal, a Agência deve dispor dos recursos necessários.
ALTERAÇÕES
A Comissão dos Orçamentos insta a Comissão da Indústria, da Investigação e da Energia, competente quanto à matéria de fundo, a ter em conta as seguintes alterações:
Alteração 1 Proposta de regulamento Considerando 3-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(3-A) A ENISA deve dar mais apoio prático e baseado em informações à indústria da cibersegurança da UE, em especial às PME e às empresas em fase de arranque, que são as principais fontes de soluções inovadoras no domínio da ciberdefesa, e deve promover uma cooperação mais estreita com as grandes organizações de investigação universitárias, a fim de reduzir a dependência dos produtos de cibersegurança de fontes externas e de criar uma cadeia de abastecimento estratégica no interior da União. |
Alteração 2 Proposta de regulamento Considerando 4 | |
|
Texto da Comissão |
Alteração |
|
(4) Os ciberataques estão a aumentar e uma economia e sociedade conectadas, mais vulneráveis a ciberameaças e ciberataques, exigem defesas mais fortes. No entanto, apesar de os ciberataques terem amiúde uma natureza transfronteiriça, as respostas políticas por parte das autoridades responsáveis pela cibersegurança e as competências de aplicação da lei são predominantemente nacionais. Os ciberincidentes em grande escala são suscetíveis de perturbar a prestação de serviços essenciais na UE. Esta realidade exige uma resposta e uma gestão de crises a nível da UE, criando políticas específicas e desenvolvendo instrumentos mais abrangentes que permitam mostrar a solidariedade europeia e prestar assistência mútua. Além disso, é importante para os decisores políticos, para as empresas e para os utilizadores que se proceda a uma avaliação regular da situação da cibersegurança e da resiliência na União, com base em dados fiáveis da União, bem como a uma previsão sistemática da evolução, dos desafios e das ameaças futuras, tanto a nível da União como a nível global. |
(4) Os ciberataques estão a aumentar e uma economia e sociedade conectadas, mais vulneráveis a ciberameaças e ciberataques, exigem defesas mais fortes. No entanto, apesar de os ciberataques terem amiúde uma natureza transfronteiriça, as respostas políticas por parte das autoridades responsáveis pela cibersegurança e as competências de aplicação da lei são predominantemente nacionais. Os ciberincidentes em grande escala são suscetíveis de perturbar a prestação de serviços essenciais na UE. Esta realidade exige uma resposta e uma gestão de crises a nível da UE, criando políticas específicas e desenvolvendo instrumentos mais abrangentes que permitam mostrar a solidariedade europeia e prestar assistência mútua. As necessidades de formação no domínio da ciberdefesa são consideráveis e crescentes, pelo que a cooperação a nível da União é a forma mais eficaz de as satisfazer. Além disso, é importante para os decisores políticos, para as empresas e para os utilizadores que se proceda a uma avaliação regular da situação da cibersegurança e da resiliência na União, com base em dados fiáveis da União, bem como a uma previsão sistemática da evolução, dos desafios e das ameaças futuras, tanto a nível da União como a nível global. |
Alteração 3 Proposta de regulamento Considerando 10 | |
|
Texto da Comissão |
Alteração |
|
(10) No quadro da Decisão 2004/97/CE, Euratom, adotada na reunião do Conselho Europeu de 13 de dezembro de 2003, os representantes dos Estados-Membros decidiram que a ENISA teria a sua sede numa cidade da Grécia a determinar pelo Governo grego. O Estado-Membro de acolhimento da Agência deve assegurar as melhores condições possíveis para o funcionamento normal e eficiente da Agência. Para poder exercer correta e eficientemente as suas atribuições, recrutar e fixar o seu pessoal e melhorar a eficiência das suas atividades de rede, é indispensável que a Agência esteja sediada num local adequado, que ofereça, nomeadamente, ligações de transporte e condições adequadas para os cônjuges e os filhos dos membros do pessoal que os acompanhem. As disposições necessárias devem ser estabelecidas num acordo entre a Agência e o Estado-Membro de acolhimento, celebrado após aprovação do conselho de administração da Agência. |
(10) No quadro da Decisão 2004/97/CE, Euratom, adotada na reunião do Conselho Europeu de 13 de dezembro de 2003, os representantes dos Estados-Membros decidiram que a ENISA teria a sua sede numa cidade da Grécia a determinar pelo Governo grego. O Estado-Membro de acolhimento da Agência deve assegurar as melhores condições possíveis para o funcionamento normal e eficiente da Agência. Para poder exercer correta e eficientemente as suas atribuições, recrutar e fixar o seu pessoal e melhorar a eficiência das suas atividades de rede, é indispensável que a Agência esteja sediada num local adequado, que ofereça, nomeadamente, ligações de transporte e condições adequadas para os cônjuges e os filhos dos membros do pessoal que os acompanhem. As disposições necessárias devem ser estabelecidas num acordo entre a Agência e o Estado-Membro de acolhimento, celebrado após aprovação do conselho de administração da Agência. Esse acordo deve ser revisto na sequência da avaliação efetuada pela Comissão, como recomendado pelo Grupo de Trabalho Interinstitucional sobre os recursos das agências, de modo a aumentar a eficiência da Agência, e a localização da Agência deve ser igualmente objeto de revisão. |
Alteração 4 Proposta de regulamento Considerando 12 | |
|
Texto da Comissão |
Alteração |
|
(12) A Agência deve desenvolver e manter um elevado nível de conhecimentos especializados e servir de ponto de referência, instaurando a confiança no mercado único graças à sua independência, à qualidade do aconselhamento prestado e das informações que divulga, à transparência dos seus procedimentos e dos seus métodos de funcionamento e à sua diligência no exercício das suas atribuições. A Agência deve contribuir pró-ativamente para os esforços nacionais e da União, exercendo simultaneamente as suas atribuições em plena cooperação com as instituições, organismos, órgãos e agências da União e com os Estados-Membros. Além disso, a Agência deve tirar proveito da cooperação com o setor privado e outras partes interessadas relevantes e dos seus contributos. Um conjunto de atribuições deve determinar como a Agência deve atingir os seus objetivos, permitindo-lhe ao mesmo tempo uma certa flexibilidade de funcionamento. |
(12) A Agência deve desenvolver e manter um elevado nível de conhecimentos especializados e servir de ponto de referência, instaurando a confiança no mercado único graças à sua independência, à qualidade do aconselhamento prestado e das informações que divulga, à transparência dos seus procedimentos e dos seus métodos de funcionamento e à sua diligência no exercício das suas atribuições. A Agência deve contribuir pró-ativamente para os esforços nacionais e da União, exercendo simultaneamente as suas atribuições em plena cooperação com as instituições, organismos, órgãos e agências da União e com os Estados-Membros, evitando duplicações de esforços, promovendo sinergias e assegurando a complementaridade e, por conseguinte, garantindo a coordenação e poupanças orçamentais. Além disso, a Agência deve tirar proveito da cooperação com o setor privado e outras partes interessadas relevantes e dos seus contributos. Um conjunto de atribuições deve determinar como a Agência deve atingir os seus objetivos, permitindo-lhe ao mesmo tempo uma certa flexibilidade de funcionamento. |
Alteração 5 Proposta de regulamento Considerando 15-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(15-A) O direito internacional é aplicável ao ciberespaço e os relatórios de 2013 e de 2015 do Grupo de Peritos Estais da ONU sobre a Segurança da Informação (UNGGE) fornecem orientações relevantes, em especial no que diz respeito à proibição de os Estados levarem a cabo ou apoiarem deliberadamente atividades cibernéticas contrárias às suas obrigações decorrentes do direito internacional. A importância do Manual de Tallinn 2.0 neste contexto é um excelente ponto de partida para um debate sobre as modalidades de aplicação do direito internacional ao ciberespaço, pelo que é chegado o momento de os Estados‑Membros procederem à análise e aplicação do Manual. |
Alteração 6 Proposta de regulamento Considerando 36 | |
|
Texto da Comissão |
Alteração |
|
(36) A Agência deve ter plenamente em conta as atividades de investigação, desenvolvimento e avaliação tecnológica em curso, em especial as realizadas pelas diversas iniciativas de investigação da União, a fim de aconselhar as instituições, organismos, órgãos e agências da União e, se for caso disso, os Estados-Membros, a seu pedido, sobre as necessidades de investigação em matéria de segurança das redes e da informação, nomeadamente de cibersegurança. |
(36) A Agência deve ter plenamente em conta as atividades de investigação, desenvolvimento e avaliação tecnológica em curso, em especial as realizadas pelas diversas iniciativas de investigação da União, a fim de aconselhar as instituições, organismos, órgãos e agências da União e, se for caso disso, os Estados-Membros, a seu pedido, sobre as necessidades de investigação em matéria de segurança das redes e da informação, nomeadamente de cibersegurança. Deverá ser atribuído à Agência um orçamento adicional para atividades de investigação e desenvolvimento complementares aos programas de investigação existentes na União. |
Alteração 7 Proposta de regulamento Considerando 46-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(46-A) O orçamento da Agência deverá ser elaborado em conformidade com o princípio de uma orçamentação baseada no desempenho, tendo em conta os objetivos da Agência e os resultados esperados das suas funções. |
Alteração 8 Proposta de regulamento Artigo 4 – n.º 4 | |
|
Texto da Comissão |
Alteração |
|
4. A Agência promove a cooperação e a coordenação a nível da União entre os Estados-Membros, as instituições, agências e organismos da União, e as partes interessadas pertinentes, incluindo o setor privado, em questões relacionadas com a cibersegurança. |
4. A Agência promove a cooperação e a coordenação a nível da União entre os Estados-Membros, as instituições, agências e organismos da União, e as partes interessadas pertinentes, incluindo o setor privado, em questões relacionadas com a cibersegurança, a fim de garantir a coordenação e poupanças orçamentais, evitar duplicações e promover sinergias e complementaridade no que respeita às suas atividades. |
Alteração 9 Proposta de regulamento Artigo 9 – parágrafo 1 – alínea g-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
(g-A) Publica e promove as suas atividades e os resultados do seu trabalho, a fim de aumentar a visibilidade e a sensibilização junto dos cidadãos. |
Alteração 10 Proposta de regulamento Artigo 10 – alínea b-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
(b-A) Encomenda as suas próprias atividades de investigação em domínios de interesse que ainda não sejam abrangidos pelos programas de investigação existentes na União, sempre que seja claramente identificado um valor acrescentado europeu. |
Alteração 11 Proposta de regulamento Artigo 13 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. O conselho de administração é composto por um representante de cada Estado-Membro e dois representantes nomeados pela Comissão. Todos os representantes têm direito de voto. |
1. O conselho de administração é composto por um representante de cada Estado-Membro, um representante designado pelo Parlamento Europeu e dois representantes nomeados pela Comissão. Todos os representantes têm direito de voto. |
Alteração 12 Proposta de regulamento Artigo 26 – n.º 1 – parágrafo 1 (novo) | |
|
Texto da Comissão |
Alteração |
|
|
O projeto de mapa previsional deve basear-se nos objetivos e resultados esperados do documento único de programação a que se refere o artigo 21.º, n.º 1, e deve ter em conta os recursos financeiros necessários para atingir esses objetivos e resultados esperados, em conformidade com o princípio de orçamentação baseada no desempenho. |
Alteração 13 Proposta de regulamento Artigo 36 – n.º 5 | |
|
Texto da Comissão |
Alteração |
|
5. A responsabilidade pessoal dos agentes perante a Agência é regulada pelas disposições relevantes do regime aplicável ao pessoal da Agência. |
5. A responsabilidade pessoal dos agentes perante a Agência é regulada pelas disposições relevantes do regime aplicável ao pessoal da Agência. A Agência assegura o recrutamento eficaz do pessoal. |
Alteração 14 Proposta de regulamento Artigo 37 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. Os serviços de tradução necessários ao funcionamento da Agência são assegurados pelo Centro de Tradução dos Organismos da União Europeia. |
2. Os serviços de tradução necessários ao funcionamento da Agência são assegurados pelo Centro de Tradução dos Organismos da União Europeia ou por outros prestadores de serviços de tradução, em conformidade com as regras em matéria de contratos públicos e dentro dos limites estabelecidos pelas disposições financeiras pertinentes. |
Alteração 15 Proposta de regulamento Artigo 41 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. O Estado-Membro de acolhimento da Agência proporciona as melhores condições possíveis para assegurar o bom funcionamento da Agência, incluindo a acessibilidade da localização, condições de ensino apropriadas para os filhos dos membros do pessoal e acesso adequado ao mercado de trabalho, à segurança social e a cuidados médicos para os filhos e cônjuges. |
2. O Estado-Membro de acolhimento da Agência proporciona as melhores condições possíveis para assegurar o bom funcionamento da Agência, incluindo uma sede única para toda a Agência, a acessibilidade da localização, condições de ensino apropriadas para os filhos dos membros do pessoal e acesso adequado ao mercado de trabalho, à segurança social e a cuidados médicos para os filhos e cônjuges. |
Justificação | |
A estrutura atual da Agência, com a sede administrativa em Heráclion e as operações principais em Atenas, revelou-se ineficaz e onerosa. Todo o pessoal da ENISA deve, por conseguinte, trabalhar na mesma cidade. Atendendo aos critérios referidos no presente número, essa cidade deveria ser Atenas. | |
Alteração 16 Proposta de regulamento Artigo 41 – n.º 2-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-A. Na sequência da avaliação da Comissão, como recomendado pelo Grupo de Trabalho Interinstitucional sobre os recursos das agências, o Acordo de Sede da Agência deve ser reexaminado e a localização da Agência deve ser revista em conformidade. |
PROCESSO DA COMISSÃO ENCARREGADA DE EMITIR PARECER
|
Título |
Regulamento relativo à ENISA, «Agência para a Cibersegurança da UE», e que revoga o Regulamento (UE) n.º 526/2013 e relativo à certificação de cibersegurança das TIC («Cybersecurity Act») |
||||
|
Referências |
COM(2017)0477 – C8-0310/2017 – 2017/0225(COD) |
||||
|
Comissão competente quanto ao fundo Data de comunicação em sessão |
ITRE 23.10.2017 |
|
|
|
|
|
Parecer emitido por Data de comunicação em sessão |
BUDG 23.10.2017 |
||||
|
Relator(a) de parecer Data de designação |
Jens Geier 26.9.2017 |
||||
|
Exame em comissão |
21.3.2018 |
|
|
|
|
|
Data de aprovação |
16.5.2018 |
|
|
|
|
|
Resultado da votação final |
+: –: 0: |
22 4 0 |
|||
|
Deputados presentes no momento da votação final |
Nedzhmi Ali, Jean Arthuis, Reimer Böge, Lefteris Christoforou, Gérard Deprez, Manuel dos Santos, André Elissen, José Manuel Fernandes, Eider Gardiazabal Rubial, Jens Geier, Esteban González Pons, Ingeborg Gräßle, Iris Hoffmann, John Howarth, Bernd Kölmel, Vladimír Maňka, Liadh Ní Riada, Jan Olbrycht, Răzvan Popa, Jordi Solé, Isabelle Thomas, Inese Vaidere, Marco Zanni, Stanisław Żółtek |
||||
|
Suplentes presentes no momento da votação final |
Ivana Maletić, Andrey Novakov |
||||
VOTAÇÃO NOMINAL FINAL NA COMISSÃO ENCARREGADA DE EMITIR PARECER
|
22 |
+ |
|
|
ALDE |
Nedzhmi Ali, Jean Arthuis, Gérard Deprez |
|
|
ECR |
Bernd Kölmel |
|
|
PPE |
Reimer Böge, Lefteris Christoforou, José Manuel Fernandes, Esteban González Pons, Ingeborg Gräßle, Ivana Maletić, Andrey Novakov, Jan Olbrycht, Inese Vaidere |
|
|
S&D |
Eider Gardiazabal Rubial, Jens Geier, Iris Hoffmann, John Howarth, Vladimír Maňka, Răzvan Popa, Isabelle Thomas, Manuel dos Santos |
|
|
Verts/ALE |
Jordi Solé |
|
|
4 |
- |
|
|
ENF |
André Elissen, Marco Zanni, Stanisław Żółtek |
|
|
GUE/NGL |
Liadh Ní Riada |
|
|
0 |
0 |
|
|
|
|
|
Legenda dos símbolos utilizados:
+ : votos a favor
- : votos contra
0 : abstenções
PARECER DA COMISSÃO DAS LIBERDADES CÍVICAS, DA JUSTIÇA E DOS ASSUNTOS INTERNOS (16.3.2018)
dirigido à Comissão da Indústria, da Investigação e da Energia
sobre a proposta de regulamento do Parlamento Europeu e do Conselho relativo à ENISA, a «Agência da União Europeia para a Cibersegurança», e à certificação da cibersegurança das tecnologias da informação e comunicação, e que revoga o Regulamento (UE) n.º 526/2013 («Regulamento Cibersegurança»)
(COM(2017)0477 – C8‑0310/2017 – 2017/0225(COD))
Relator de parecer: Jan Philipp Albrecht
JUSTIFICAÇÃO SUCINTA
O relator congratula-se com a proposta da Comissão relativa a um «Regulamento Cibersegurança»[1], na medida em que este define melhor o papel da ENISA no novo ecossistema de segurança informática e desenvolve medidas em matéria de normas de segurança, de certificação e de rotulagem no domínio das tecnologias da informação, para tornar os sistemas baseados em TIC, incluindo os objetos conectados, mais seguros.
O relator considera, no entanto, que poderiam ser introduzidas outras melhorias. O relator está firmemente convicto de que a segurança da informação é fundamental para a proteção dos direitos fundamentais dos cidadãos consagrados na Carta dos Direitos Fundamentais da UE, bem como para a luta contra a cibercriminalidade e a proteção da democracia e do Estado de direito.
Direitos fundamentais: a insegurança dos sistemas pode conduzir a uma violação de dados ou a uma usurpação de identidade que podem provocar um dano real e sofrimento às pessoas, nomeadamente pondo em perigo a sua vida, a sua privacidade, a sua dignidade ou os seus bens. Por exemplo, as testemunhas podem ser objeto de intimidação e de danos físicos ou as mulheres podem ser alvo de violência doméstica, se a sua morada for divulgada. Para a Internet das Coisas, que contém igualmente atuadores físicos e não apenas sensores, a integridade física e a vida das pessoas podem ser postas em perigo por ataques contra os sistemas de informação. As alterações propostas pelo relator incidem em particular na proteção dos artigos 1.º, 2.º, 3.º, 6.º, 7.º, 8.º, 11.º e 17.º da Carta dos Direitos Fundamentais da União Europeia. Existe inclusive uma jurisprudência constitucional emergente que reconhece um «direito fundamental à confidencialidade e integridade dos sistemas técnicos de informação»[2] de caráter especial, derivado dos direitos gerais de personalidade, adaptados ao mundo digital atual.
Luta contra a cibercriminalidade: alguns tipos de crimes cometidos em linha, como a mistificação da interface (phishing) ou a fraude financeira e bancária, configuram um abuso de confiança, que não pode ser combatido por medidas de segurança informática – contra este tipo de crimes, o relator saúda as campanhas regulares de sensibilização e educação do público organizadas pela ENISA e dirigidas aos utilizadores finais. Quanto a outros tipos de crimes em linha, estão em causa ataques contra sistemas de informação, tais como a pirataria informática ou ataques de negação de serviço distribuída (DDoS) – contra este tipo de crimes, o relator considera que com um reforço da segurança informática será efetivamente reforçada a luta contra a cibercriminalidade e, sobretudo, a sua prevenção.
Democracia e Estado de direito: ataques contra sistemas informáticos do Estado ou de entidades não estatais são uma ameaça clara e crescente para a democracia, com a sua interferência em eleições livres e justas, por exemplo, pela manipulação de factos e opiniões que influenciem o voto dos cidadãos, interferindo no processo de votação e alterando os seus resultados ou destruindo a confiança na integridade da votação.
No seu projeto de parecer da comissão LIBE, o relator propõe, por conseguinte, uma alteração da proposta da Comissão nos seguintes pontos fundamentais para a LIBE:
• A Agência deverá desempenhar um papel mais ativo na promoção da adoção por todos os atores da sociedade da informação europeia de tecnologias de reforço da privacidade e de medidas de segurança informática sólidas e de caráter preventivo;
• A Agência deverá propor políticas que definam claramente os deveres e a responsabilidade de todas as entidades que fazem parte dos ecossistemas de TIC em que o não cumprimento adequado do dever de diligência em matéria de segurança informática pode ter efeitos sérios na segurança, provocar destruições maciças no ambiente, desencadear uma crise económica ou financeira sistémica;
• A Agência deverá propor requisitos base em matéria de segurança informática claros e obrigatórios, em consulta com peritos em segurança informática;
• A Agência deverá propor um sistema de certificação de segurança informática que permita aumentar a transparência dos vendedores de TIC em relação aos consumidores quanto à possibilidade de atualização e ao período de assistência técnica ao software. Este sistema de certificação deve ser dinâmico, dado que a segurança é um processo que carece de melhoria constante;
• A Agência deverá tornar a aplicação pelos fabricantes de produtos de TIC dos princípios de segurança desde a conceção mais fácil e menos onerosa, mediante a disponibilização de diretrizes e boas práticas;
• A Agência deverá, a convite das instituições, órgãos, organismos e agências da União, assim como dos Estados-Membros, conduzir auditorias regulares de caráter preventivo sobre a segurança informática das suas infraestruturas críticas (direito de auditoria);
• A Agência deverá comunicar imediatamente aos fabricantes quaisquer vulnerabilidades de segurança informática que ainda não sejam do domínio público. A Agência não deverá ocultar ou explorar as vulnerabilidades não divulgadas de empresas e produtos para os seus próprios fins. O desenvolvimento, a aquisição e a exploração de «portas traseiras» de sistemas informáticos por organismos públicos com o dinheiro dos contribuintes põe a segurança dos cidadãos em perigo. Para proteger outras partes interessadas com uma atitude responsável em relação a estas vulnerabilidades, a Agência deverá propor políticas para a troca responsável de informações sobre vulnerabilidades «dia zero» e outros tipos de vulnerabilidades de segurança que ainda não são do domínio público e que facilitem a eliminação de vulnerabilidades;
• Para permitir pôr a UE a par com as indústrias de segurança informática em países terceiros, a Agência deverá identificar e iniciar o lançamento de um projeto de segurança informática da EU a longo prazo de alcance comparável ao que foi feito para o setor da aviação com a Airbus.
A proposta da Comissão deverá evitar o termo «cibersegurança», porque este é ambíguo do ponto de vista jurídico e pode criar insegurança. Em vez de «cibersegurança», o relator propõe a expressão «segurança informática», para melhorar a segurança jurídica.
ALTERAÇÕES
A Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos insta a Comissão da Indústria, da Investigação e da Energia, competente quanto à matéria de fundo, a ter em conta as seguintes alterações:
Alteração 1 Proposta de regulamento Título | |
|
Texto da Comissão |
Alteração |
|
REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO |
REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO |
|
relativo à ENISA, a «Agência da União Europeia para a Cibersegurança», e à certificação da cibersegurança das tecnologias da informação e comunicação, e que revoga o Regulamento (UE) n.º 526/2013 («Regulamento Cibersegurança») |
relativo à ENISA, a «Agência Europeia para a Segurança das Redes e da Informação, e à certificação da segurança informática das tecnologias da informação e comunicação, e que revoga o Regulamento (UE) n.º 526/2013 («Regulamento segurança informática») |
|
|
(Esta modificação aplica-se à totalidade do texto legislativo em causa.) |
Justificação | |
O prefixo «ciber», oriundo de obras de ficção científica da década de 1960, é cada vez mais utilizado para descrever os aspetos negativos da Internet (ciberataque, cibercriminalidade, etc.), mas é muito vago do ponto de vista jurídico. Por motivos de segurança jurídica, o relator propõe a substituição do termo «cibersegurança» por «segurança informática». | |
Alteração 2 Proposta de regulamento Considerando 2 | |
|
Texto da Comissão |
Alteração |
|
A utilização de redes e sistemas de informação por parte dos cidadãos, das empresas e dos governos da União é agora generalizada. A digitalização e a conectividade estão a tornar-se características centrais num número cada vez maior de produtos e serviços e, com o surgimento da Internet das coisas (IdC), espera-se que milhões, se não mesmo milhares de milhões, de dispositivos digitais conectados sejam implantados em toda a UE durante a próxima década. Embora cada vez mais dispositivos estejam conectados à Internet, a segurança e a resiliência não são suficientemente integradas desde a conceção, conduzindo a uma insuficiência de cibersegurança. Neste contexto, a utilização reduzida da certificação leva a que haja informação insuficiente para os utilizadores empresariais e individuais sobre as características de cibersegurança de produtos e serviços de TIC, prejudicando a confiança nas soluções digitais. |
(2) A utilização de redes e sistemas de informação por parte dos cidadãos, das empresas e dos governos da União é agora generalizada. A digitalização e a conectividade estão a tornar-se características centrais num número cada vez maior de produtos e serviços e, com o surgimento da Internet das coisas (IdC), espera-se que milhões, se não mesmo milhares de milhões, de dispositivos digitais conectados sejam implantados em toda a UE durante a próxima década. Embora cada vez mais dispositivos estejam conectados à Internet, a segurança e a resiliência não são suficientemente integradas desde a conceção, conduzindo a uma insuficiência de segurança informática. Neste contexto, a utilização reduzida e fragmentada da certificação leva a que haja informação insuficiente para as organizações e os utilizadores individuais sobre as características de segurança informática de produtos e serviços de TIC, prejudicando a confiança nas soluções digitais. As redes de TIC constituem a espinha dorsal dos produtos e serviços digitais com potencial para apoiar todos os aspetos das vidas dos cidadãos e ser o motor do crescimento económico da Europa. A fim de garantir que os objetivos do mercado único digital sejam plenamente alcançados, é necessário dispor de componentes tecnológicos essenciais dos quais dependem domínios importantes como a saúde em linha, a Internet das coisas, a inteligência artificial, a tecnologia quântica, os sistemas de transporte inteligentes e as tecnologias de fabrico avançadas. |
Alteração 3 Proposta de regulamento Considerando 4 | |
|
Texto da Comissão |
Alteração |
|
(4) Os ciberataques estão a aumentar e uma economia e sociedade conectadas, mais vulneráveis a ciberameaças e ciberataques, exigem defesas mais fortes. No entanto, apesar de os ciberataques terem amiúde uma natureza transfronteiriça, as respostas políticas por parte das autoridades responsáveis pela cibersegurança e as competências de aplicação da lei são predominantemente nacionais. Os ciberincidentes em grande escala são suscetíveis de perturbar a prestação de serviços essenciais na UE. Esta realidade exige uma resposta e uma gestão de crises a nível da UE, criando políticas específicas e desenvolvendo instrumentos mais abrangentes que permitam mostrar a solidariedade europeia e prestar assistência mútua. Além disso, é importante para os decisores políticos, para as empresas e para os utilizadores que se proceda a uma avaliação regular da situação da cibersegurança e da resiliência na União, com base em dados fiáveis da União, bem como a uma previsão sistemática da evolução, dos desafios e das ameaças futuras, tanto a nível da União como a nível global. |
(4) Os ciberataques estão a aumentar e uma economia e sociedade conectadas, mais vulneráveis a ciberameaças e ciberataques, exigem defesas mais fortes e mais seguras. No entanto, apesar de os ciberataques terem amiúde uma natureza transfronteiriça, as respostas políticas por parte das autoridades responsáveis pela segurança informática e as competências de aplicação da lei são predominantemente nacionais. Os ciberincidentes em grande escala são suscetíveis de perturbar a prestação de serviços essenciais na UE. Esta realidade exige uma resposta e uma gestão de crises a nível da UE, criando políticas específicas e desenvolvendo instrumentos mais abrangentes que permitam mostrar a solidariedade europeia e prestar assistência mútua. Além disso, é importante para os decisores políticos, para as empresas e para os utilizadores que se proceda a uma avaliação regular da situação da segurança informática e da resiliência na União, com base em dados fiáveis da União, bem como a uma previsão sistemática da evolução, dos desafios e das ameaças futuras, tanto a nível da União como a nível global. |
Alteração 4 Proposta de regulamento Considerando 5 | |
|
Texto da Comissão |
Alteração |
|
(5) Atendendo aos desafios de cibersegurança cada vez maiores que a União enfrenta, afigura-se necessário um conjunto abrangente de medidas que tenha por base ações anteriores da União e que promova objetivos que se reforcem mutuamente. Os mesmos incluem a necessidade de reforçar as capacidades e o grau de preparação dos Estados-Membros e das empresas, bem como de melhorar a cooperação e coordenação entre Estados-Membros e instituições, agências e organismos da UE. Além disso, atendendo à natureza sem fronteiras das ciberameaças, é necessário aumentar as capacidades a nível da União suscetíveis de complementar a ação dos Estados-Membros, designadamente no caso de ciberincidentes em grande escala e cibercrises transfronteiriças. São também necessários esforços adicionais para aumentar a sensibilização dos cidadãos e das empresas para as questões de cibersegurança. Além disso, a confiança no mercado único digital deve continuar a ser melhorada mediante a disponibilização de informação transparente sobre o nível de segurança de produtos e serviços de TIC. Tal pode ser facilitado por uma certificação a nível da UE que preveja requisitos de cibersegurança e critérios de avaliação comuns nos mercados e setores nacionais. |
(5) Atendendo aos desafios de segurança informática cada vez maiores que a União enfrenta, afigura-se necessário um conjunto abrangente de medidas que tenha por base ações anteriores da União e que promova objetivos que se reforcem mutuamente. Os mesmos incluem a necessidade de reforçar as capacidades e o grau de preparação dos Estados-Membros e das empresas, bem como de melhorar a cooperação e coordenação entre Estados-Membros e instituições, agências e organismos da UE. Além disso, atendendo à natureza sem fronteiras das ciberameaças, é necessário aumentar as capacidades a nível da União suscetíveis de complementar a ação dos Estados-Membros, designadamente no caso de ciberincidentes em grande escala e cibercrises transfronteiriças. São também necessários esforços adicionais para dar uma resposta coordenada ao nível da UE e aumentar a sensibilização dos cidadãos e das empresas para as questões de segurança informática. Além disso, a confiança no mercado único digital deve continuar a ser melhorada mediante a disponibilização de informação transparente sobre o nível de segurança de produtos e serviços de TIC. Tal pode ser facilitado por uma certificação a nível da UE que preveja requisitos de segurança informática e critérios de avaliação comuns nos mercados e setores nacionais. A par da certificação à escala da União existe uma gama de medidas voluntárias amplamente aceites pelo mercado, consoante o produto, serviço, utilização ou norma. Estas medidas, bem como a adoção pelo setor de uma abordagem da base para o topo, incluindo a utilização do conceito de segurança de raiz, alavancagem e contribuição para normas internacionais, devem ser incentivadas. |
Alteração 5 Proposta de regulamento Considerando 7 | |
|
Texto da Comissão |
Alteração |
|
(7) A União já deu passos importantes para garantir a cibersegurança e reforçar a confiança nas tecnologias digitais. Em 2013, a Estratégia da UE para Cibersegurança foi adotada para orientar a resposta política da União às ameaças e riscos de cibersegurança. No seu esforço de proteger melhor os europeus em linha, a União adotou em 2016 o primeiro ato legislativo no domínio da cibersegurança, a Diretiva (UE) 2016/1148, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União («Diretiva SRI»). A Diretiva SRI instituiu requisitos relativos às capacidades nacionais no domínio da cibersegurança, criou os primeiros mecanismos para reforçar a cooperação estratégica e operacional entre Estados-Membros e introduziu obrigações relativas às medidas de segurança e notificações de incidentes nos setores que são vitais para a economia e a sociedade, tais como a energia, os transportes, a água, a banca, as infraestruturas do mercado financeiro, os cuidados de saúde, as infraestruturas digitais, bem como os prestadores de serviços digitais essenciais (motores de pesquisa, serviços de computação em nuvem e mercados em linha). Foi atribuído à ENISA um papel importante de apoio à execução desta diretiva. Além disso, a luta eficaz contra a cibercriminalidade constitui uma prioridade importante da Agenda Europeia para a Segurança, contribuindo para o objetivo geral de alcançar um elevado nível de cibersegurança. |
(7) A União já deu passos importantes para garantir a segurança informática e reforçar a confiança nas tecnologias digitais. Em 2013, a Estratégia da UE para Cibersegurança foi adotada para orientar a resposta política da União às ameaças e riscos de segurança informática. No seu esforço de proteger melhor os europeus em linha, a União adotou em 2016 o primeiro ato legislativo no domínio da segurança informática, a Diretiva (UE) 2016/1148, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União («Diretiva SRI»). A Diretiva SRI respeita a estratégia para o mercado único digital e, conjuntamente com outros instrumentos, como a Diretiva .../... [que estabelece o Código Europeu das Comunicações Eletrónicas], o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho1-A e a Diretiva 2002/58/CE do Parlamento Europeu e do Conselho1-B, instituiu requisitos relativos às capacidades nacionais no domínio da segurança informática, criou os primeiros mecanismos para reforçar a cooperação estratégica e operacional entre Estados‑Membros e introduziu obrigações relativas às medidas de segurança e notificações de incidentes nos setores que são vitais para a economia e a sociedade, tais como a energia, os transportes, a água, a banca, as infraestruturas do mercado financeiro, os cuidados de saúde, as infraestruturas digitais, bem como os prestadores de serviços digitais essenciais (motores de pesquisa, serviços de computação em nuvem e mercados em linha). Foi atribuído à ENISA um papel importante de apoio à execução desta diretiva. Além disso, a luta eficaz contra a cibercriminalidade constitui uma prioridade importante da Agenda Europeia para a Segurança, contribuindo para o objetivo geral de alcançar um elevado nível de segurança informática. |
|
|
_______________ |
|
|
1-A Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1). |
|
|
1-B Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37). |
Alteração 6 Proposta de regulamento Considerando 8 | |
|
Texto da Comissão |
Alteração |
|
(8) É reconhecido que, desde a adoção da Estratégia da UE para Cibersegurança, de 2013, e da última revisão do mandato da Agência, o contexto político geral se alterou significativamente, inclusive em relação a um ambiente mundial mais incerto e menos seguro. Neste contexto e no âmbito do quadro da nova política de cibersegurança da União, é necessário rever o mandato da ENISA para definir o seu papel no ecossistema alterado de cibersegurança e assegurar que contribui eficazmente para a resposta da União aos desafios de cibersegurança decorrentes deste cenário de ameaça radicalmente transformado, para o qual, conforme reconhecido pela avaliação da Agência, o mandato atual não é suficiente. |
(8) É reconhecido que, desde a adoção da Estratégia da UE para Cibersegurança, de 2013, e da última revisão do mandato da Agência, o contexto político geral se alterou significativamente, inclusive em relação a um ambiente mundial mais incerto e menos seguro. Neste contexto e no âmbito do quadro da nova política de segurança informática da União, é necessário rever o mandato da ENISA para definir o seu papel no ecossistema alterado de segurança informática e assegurar que assume um papel de liderança que melhorará eficazmente a resposta da União aos desafios de segurança informática decorrentes deste cenário de ameaça radicalmente transformado, para o qual, conforme reconhecido pela avaliação da Agência, o mandato atual não é suficiente. |
Alteração 7 Proposta de regulamento Considerando 11 | |
|
Texto da Comissão |
Alteração |
|
(11) Atendendo aos desafios crescentes de cibersegurança que a União está a enfrentar, os recursos financeiros e humanos atribuídos à Agência devem ser aumentados para refletir o reforço do seu papel e atribuições e a sua posição crucial no ecossistema de organizações que defendem o ecossistema digital europeu. |
(11) Atendendo aos desafios crescentes de segurança informática que a União está a enfrentar, os recursos financeiros e humanos atribuídos à Agência devem ser aumentados para refletir o reforço do seu papel e atribuições e a sua posição crucial no ecossistema de organizações que defendem o ecossistema digital europeu. O reforço acrescido da capacidade da Agência deve ser tomado em devida conta. |
Justificação | |
É essencial colmatar a falta de capacidade da Agência. Importa igualmente envidar esforços no sentido de um maior desenvolvimento da Agência, tendo em conta a importância crítica da cibersegurança nos dias de hoje e, acima de tudo, a importância que irá ter no futuro. Registe-se a interferência russa nas eleições, o aumento das capacidades das superpotências e de Estados em todo o mundo, a iminente digitalização de setores importantes. | |
Alteração 8 Proposta de regulamento Considerando 11-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(11-A) Os desafios no domínio da segurança informática, na era digital, estão muitas vezes intimamente relacionados com os desafios em matéria de proteção de dados, proteção da vida privada e proteção das comunicações eletrónicas. Para a Agência poder enfrentar devidamente estes desafios, é necessário uma estreita cooperação e a frequente consulta dos organismos criados no âmbito do Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho1-A, do Regulamento (UE) 2016/679, da Diretiva (UE) 2016/680 e do Regulamento (CE) n.º 1211/2009, bem como do setor e da sociedade civil. |
|
|
________________ |
|
|
1-A Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1). |
Alteração 9 Proposta de regulamento Considerando 12 | |
|
Texto da Comissão |
Alteração |
|
(12) A Agência deve desenvolver e manter um elevado nível de conhecimentos especializados e servir de ponto de referência, instaurando a confiança no mercado único graças à sua independência, à qualidade do aconselhamento prestado e das informações que divulga, à transparência dos seus procedimentos e dos seus métodos de funcionamento e à sua diligência no exercício das suas atribuições. A Agência deve contribuir pró-ativamente para os esforços nacionais e da União, exercendo simultaneamente as suas atribuições em plena cooperação com as instituições, organismos, órgãos e agências da União e com os Estados-Membros. Além disso, a Agência deve tirar proveito da cooperação com o setor privado e outras partes interessadas relevantes e dos seus contributos. Um conjunto de atribuições deve determinar como a Agência deve atingir os seus objetivos, permitindo-lhe ao mesmo tempo uma certa flexibilidade de funcionamento. |
(12) A Agência deve desenvolver e manter um elevado nível de conhecimentos especializados e servir de ponto de referência, instaurando a confiança no mercado único graças à sua independência, à qualidade do aconselhamento prestado e das informações que divulga, à transparência dos seus procedimentos e dos seus métodos de funcionamento e à sua diligência no exercício das suas atribuições. A Agência deve contribuir pró-ativamente para os esforços nacionais e da União, exercendo simultaneamente as suas atribuições em plena cooperação com as instituições, organismos, órgãos e agências da União e com os Estados-Membros. Além disso, a Agência deve tirar proveito da cooperação com o setor privado e outras partes interessadas relevantes e dos seus contributos. Devem ser claramente definidos uma agenda precisa e um conjunto de atribuições e objetivos que a Agência deve cumprir, tomando ao mesmo tempo em devida conta a flexibilidade necessária às suas operações. Sempre que possível, deve manter-se o mais elevado grau de transparência e divulgação da informação. |
Alteração 10 Proposta de regulamento Considerando 14 | |
|
Texto da Comissão |
Alteração |
|
(14) A tarefa subjacente da Agência é promover a aplicação consistente do quadro jurídico relevante, nomeadamente a execução eficaz da Diretiva SRI, que é essencial para aumentar a ciber-resiliência. Atendendo à rápida evolução do cenário de ameaça à cibersegurança, é manifesto que os Estados-Membros devem ser apoiados por uma abordagem mais abrangente e transversal às políticas para reforçar a ciber-resiliência. |
(14) A tarefa subjacente da Agência é promover a aplicação consistente do quadro jurídico relevante, nomeadamente a execução eficaz da Diretiva SRI, da Diretiva .../... [que estabelece o Código Europeu das Comunicações Eletrónicas], do Regulamento (UE) 2016/679 e da Diretiva 2002/58/CE, que é essencial para aumentar a ciber-resiliência. Atendendo à rápida evolução do cenário de ameaça à segurança informática, é manifesto que os Estados-Membros devem ser apoiados por uma abordagem mais abrangente e transversal às políticas para reforçar a ciber-resiliência. |
Alteração 11 Proposta de regulamento Considerando 21-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(21-A) A Comissão deve propor a introdução da cooperação obrigatória entre os Estados-Membros no que toca à proteção das infraestruturas críticas de informação. |
Alteração 12 Proposta de regulamento Considerando 26 | |
|
Texto da Comissão |
Alteração |
|
(26) Para compreender melhor os desafios no domínio da cibersegurança, e com vista a prestar aconselhamento estratégico de longo prazo aos Estados-Membros e às instituições da União, a Agência deve analisar os riscos atuais e emergentes. Para o efeito, a Agência deve, em cooperação com os Estados-Membros e, quando pertinente, com institutos de estatística e outros organismos, recolher informações pertinentes, analisar tecnologias emergentes e fornecer avaliações de tópicos específicos sobre impactos sociais, jurídicos, económicos e regulamentares previstos das inovações tecnológicas na segurança das redes e da informação, nomeadamente na cibersegurança. Além disso, a Agência deve apoiar os Estados-Membros e as instituições, agências e organismos da União na identificação de tendências emergentes e na prevenção de problemas relacionados com a cibersegurança, mediante a análise de ameaças e incidentes. |
(26) Para compreender melhor os desafios no domínio da segurança informática, e com vista a prestar aconselhamento estratégico de longo prazo aos Estados-Membros e às instituições da União, a Agência deve analisar os riscos atuais e emergentes, os incidentes e as vulnerabilidades. Para o efeito, a Agência deve, em cooperação com os Estados-Membros e, quando pertinente, com institutos de estatística e outros organismos, recolher informações pertinentes, analisar tecnologias emergentes e fornecer avaliações de tópicos específicos sobre impactos sociais, jurídicos, económicos e regulamentares previstos das inovações tecnológicas na segurança das redes e da informação, nomeadamente na segurança informática. Além disso, a Agência deve apoiar os Estados-Membros e as instituições, agências e organismos da União na identificação de tendências emergentes e na prevenção de problemas relacionados com a segurança informática, mediante a análise de ameaças, incidentes e vulnerabilidades. |
Alteração 13 Proposta de regulamento Considerando 28 | |
|
Texto da Comissão |
Alteração |
|
(28) A Agência deve contribuir para a sensibilização do público sobre os riscos relacionados com a cibersegurança e fornecer orientações sobre boas práticas para utilizadores individuais destinadas aos cidadãos e às organizações. A Agência deve também contribuir para promover boas práticas e soluções a nível das pessoas e organizações, recolhendo e analisando informações publicamente disponíveis relativas a incidentes importantes e coligindo relatórios destinados a prestar orientação às empresas e aos cidadãos e a melhorar o nível geral de preparação e resiliência. Além disso, a Agência deve organizar, em cooperação com os Estados-Membros e as instituições, organismos, órgãos e agências da União, ações de sensibilização e campanhas públicas de informação destinadas aos utilizadores finais, a fim de promover comportamentos individuais em linha mais seguros e de sensibilizar para as ameaças potenciais no ciberespaço, incluindo cibercrimes como os ataques de mistificação da interface, as redes de computadores zombies ou botnets e as fraudes financeiras e bancárias, bem como prestar aconselhamento sobre a autenticação de base e a proteção de dados. A Agência deve desempenhar um papel central na intensificação da sensibilização dos utilizadores finais para a segurança dos dispositivos. |
(28) A Agência deve contribuir para a sensibilização do público sobre os riscos relacionados com a segurança informática e fornecer orientações sobre boas práticas para utilizadores individuais destinadas aos cidadãos e às organizações. Para melhorar o nível geral de preparação e resiliência a Agência deve também contribuir para promover boas práticas e soluções a nível das pessoas e organizações, recolhendo e analisando informações publicamente disponíveis relativas a incidentes importantes e coligindo relatórios destinados a prestar orientação às empresas, aos cidadãos e às autoridades pertinentes a nível da União e a nível nacional. Além disso, a Agência deve organizar, em cooperação com os Estados-Membros e as instituições, organismos, órgãos e agências da União, ações de sensibilização e campanhas públicas de informação destinadas aos utilizadores finais. Tais campanhas devem promover a educação em matéria de segurança informática e comportamentos individuais em linha mais seguros e aumentar a sensibilização para as ameaças potenciais no ciberespaço, incluindo cibercrimes como os ataques de mistificação da interface, as redes de computadores zombies ou botnets e as fraudes financeiras e bancárias, a falsificação e os conteúdos ilegais, bem como defender a proteção de dados e a autenticação de base para evitar o roubo de dados e de identidade. A Agência deve desempenhar um papel central na intensificação da sensibilização dos utilizadores finais para a segurança dos dispositivos. |
Alteração 14 Proposta de regulamento Considerando 28-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
28-A) A Agência deve aumentar a sensibilização dos cidadãos para o risco de incidentes relativos a fraudes e roubos que possam afetar gravemente os direitos fundamentais dos indivíduos, representar uma ameaça para o Estado de direito e pôr em risco a estabilidade de sociedades democráticas, inclusive os processos democráticos nos Estados-Membros. |
Alteração 15 Proposta de regulamento Considerando 30 | |
|
Texto da Comissão |
Alteração |
|
(30) A fim de assegurar a plena realização dos seus objetivos, a Agência deve estabelecer ligações com as instituições, as agências e os organismos competentes, nomeadamente a CERT-UE, o Centro Europeu da Cibercriminalidade (EC3) da Europol, a Agência Europeia de Defesa (AED), a Agência Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça (eu-LISA), a Agência Europeia para a Segurança da Aviação (AESA) e qualquer outra agência da UE que esteja envolvida na cibersegurança. Deve ainda estabelecer ligações com autoridades que lidem com a proteção de dados, a fim de partilhar conhecimentos especializados e boas práticas e prestar aconselhamento sobre aspetos de cibersegurança suscetíveis de afetarem o seu trabalho. O grupo permanente de partes interessadas da Agência deve poder incluir representantes das autoridades nacionais e da União encarregadas da aplicação da lei e da proteção de dados. Ao estabelecer ligações com os organismos encarregados da aplicação da lei sobre aspetos de segurança das redes e da informação que possam afetar o seu trabalho, a Agência deve respeitar os canais de informação existentes e as redes estabelecidas. |
(30) A fim de assegurar a plena realização dos seus objetivos, a Agência deve estabelecer ligações com as instituições, as agências e os organismos competentes, nomeadamente a CERT-UE, o Centro Europeu da Cibercriminalidade (EC3) da Europol, a Agência Europeia de Defesa (AED), a Agência Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça (eu-LISA), a Agência Europeia para a Segurança da Aviação (AESA), a Agência do Sistema Global de Navegação por Satélite Europeu (GSA) e qualquer outra agência da UE que esteja envolvida na segurança informática. Deve ainda estabelecer ligações com autoridades da União e nacionais que lidem com a proteção de dados, a fim de partilhar conhecimentos especializados e boas práticas e prestar aconselhamento sobre aspetos de segurança informática suscetíveis de afetarem o seu trabalho. O grupo permanente de partes interessadas da Agência deve poder incluir representantes das autoridades nacionais e da União encarregadas da aplicação da lei e da proteção de dados. Ao estabelecer ligações com os organismos encarregados da aplicação da lei sobre aspetos de segurança das redes e da informação que possam afetar o seu trabalho, a Agência deve respeitar os canais de informação existentes e as redes estabelecidas. |
Justificação | |
Uma vez que existem problemas de cibersegurança no Galileo, especialmente em segmentos terrestres, a cooperação com a Agência do Sistema Global de Navegação por Satélite reforça efetivamente o papel da ENISA, aumentando simultaneamente a credibilidade do Galileo. | |
Alteração 16 Proposta de regulamento Considerando 35 | |
|
Texto da Comissão |
Alteração |
|
(35) A Agência deve incentivar os Estados-Membros e os prestadores de serviços a reforçarem as suas normas gerais de segurança, para que todos os utilizadores da Internet possam tomar as medidas necessárias para assegurarem a sua própria cibersegurança. Concretamente, os prestadores de serviços e os fabricantes de produtos devem retirar ou reciclar produtos e serviços que não cumpram as normas de cibersegurança. Em cooperação com as autoridades competentes, a ENISA poderá divulgar informações relativas ao nível de cibersegurança dos produtos e serviços disponibilizados no mercado interno e emitir alertas que visem os prestadores e fabricantes e solicitar-lhes que reforcem a segurança, nomeadamente a cibersegurança, dos seus produtos e serviços. |
(35) A Agência deve incentivar os Estados-Membros, os fabricantes de material e programas informáticos e os prestadores de serviços de TIC e de serviços em linha a reforçarem as suas normas gerais de segurança, para que todos os utilizadores da Internet possam tomar as medidas necessárias para assegurarem a sua própria segurança informática. Concretamente, os prestadores de serviços e os fabricantes de produtos devem retirar ou reciclar produtos e serviços que não cumpram as normas de segurança informática. Em cooperação com as autoridades competentes, a ENISA poderá divulgar informações relativas ao nível de segurança informática dos produtos e serviços disponibilizados no mercado interno e emitir alertas que visem os prestadores e fabricantes e solicitar-lhes que reforcem a segurança informática dos seus produtos e serviços. A Agência deve trabalhar com as partes interessadas no desenvolvimento de uma abordagem à escala da União para divulgação responsável de vulnerabilidades e deve promover as melhores práticas neste domínio. |
Alteração 17 Proposta de regulamento Considerando 44 | |
|
Texto da Comissão |
Alteração |
|
(44) A Agência deve dispor, a título de órgão consultivo, de um grupo permanente de partes interessadas para assegurar o diálogo regular com o setor privado, com as associações de consumidores e com outras partes interessadas pertinentes. Esse grupo permanente de partes interessadas, criado pelo conselho de administração sob proposta do diretor executivo, deve concentrar-se em questões pertinentes para as partes interessadas e submetê-las à atenção da Agência. A composição do grupo permanente de partes interessadas, que deverá ser consultado particularmente no que diz respeito ao projeto de programa de trabalho, e as atribuições que lhe são conferidas devem assegurar uma representação suficiente das partes interessadas no trabalho da Agência. |
(44) A Agência deve dispor, a título de órgão consultivo, de um grupo permanente de partes interessadas para assegurar o diálogo regular com o setor privado, com as associações de consumidores e com outras partes interessadas pertinentes. Esse grupo permanente de partes interessadas, criado pelo conselho de administração sob proposta do diretor executivo, deve concentrar-se em questões pertinentes para as partes interessadas e submetê-las à atenção da Agência. A composição do grupo permanente de partes interessadas, que deverá ser consultado particularmente no que diz respeito ao projeto de programa de trabalho, e as atribuições que lhe são conferidas devem assegurar uma representação suficiente das partes interessadas no trabalho da Agência. Dada a importância dos requisitos de certificação para garantir a confiança na Internet das coisas, a Comissão deve ponderar especificamente medidas de aplicação destinadas a garantir a harmonização das normas de segurança à escala da União para os dispositivos da Internet das coisas. |
Alteração 18 Proposta de regulamento Considerando 50 | |
|
Texto da Comissão |
Alteração |
|
(50) Atualmente, a certificação da cibersegurança de produtos e serviços de TIC é utilizada apenas de forma limitada. Quando existe, verifica-se na sua maioria a nível do Estado-Membro ou no quadro de sistemas impulsionados pela indústria. Neste contexto, um certificado emitido por uma autoridade nacional de segurança informática não é, em princípio, reconhecido por outros Estados-Membros. Por conseguinte, as empresas têm de certificar os seus produtos e serviços nos vários Estados-Membros onde operam, nomeadamente com vista a participar em procedimentos nacionais de adjudicação de contratos. Acresce que, embora estejam a surgir novos sistemas, parece não existir uma abordagem coerente e holística no tocante a questões horizontais de cibersegurança, designadamente no domínio da Internet das coisas. Os sistemas existentes apresentam insuficiências e diferenças consideráveis em termos de cobertura de produtos, níveis de garantia, critérios substantivos e utilização efetiva. |
(50) Atualmente, a certificação da segurança informática de produtos e serviços de TIC é utilizada apenas de forma limitada. Quando existe, verifica-se na sua maioria a nível do Estado-Membro ou no quadro de sistemas impulsionados pela indústria. Neste contexto, um certificado emitido por uma autoridade nacional de segurança informática não é, em princípio, reconhecido por outros Estados-Membros. Por conseguinte, as empresas têm de certificar os seus produtos e serviços nos vários Estados-Membros onde operam, nomeadamente com vista a participar em procedimentos nacionais de adjudicação de contratos, o que pode conduzir a custos suplementares para as empresas. Acresce que, embora estejam a surgir novos sistemas, parece não existir uma abordagem coerente e holística no tocante a questões horizontais de segurança informática, designadamente no domínio da Internet das Coisas. Os sistemas existentes apresentam insuficiências e diferenças consideráveis em termos de cobertura de produtos, níveis de garantia, critérios substantivos e utilização efetiva. Uma abordagem caso a caso deve garantir que os serviços e produtos estejam sujeitos a sistemas de certificação adequados. Além disso, é necessária uma abordagem baseada no risco para identificar com eficácia e minorar os riscos e evitar que os fabricantes incorram em custos acrescidos. |
Alteração 19 Proposta de regulamento Considerando 52 | |
|
Texto da Comissão |
Alteração |
|
(52) Atendendo ao que precede, afigura-se necessário criar um quadro europeu de certificação da cibersegurança que estabeleça os principais requisitos horizontais para os sistemas europeus de certificação da cibersegurança a desenvolver e que permita que os certificados dos produtos e serviços de TIC sejam reconhecidos e utilizados em todos os Estados-Membros. O quadro europeu deve ter uma dupla finalidade: por um lado, deve ajudar a aumentar a confiança nos produtos e serviços de TIC que foram certificados em conformidade com os referidos sistemas; por outro lado, deve evitar a multiplicação de certificações nacionais da cibersegurança que entrem em conflito ou que se sobreponham e, desta forma, reduzir os custos para as empresas que operam no mercado único digital. Os sistemas devem ser não discriminatórios e assentes em normas internacionais e/ou da UE, salvo se tais normas forem ineficazes ou inadequadas para satisfazer os objetivos legítimos da União a este respeito. |
(52) Atendendo ao que precede, afigura-se necessário criar um quadro europeu harmonizado de certificação da segurança informática que estabeleça os principais requisitos horizontais para os sistemas europeus de certificação da segurança informática a desenvolver e que permita que os certificados dos produtos e serviços de TIC sejam reconhecidos e utilizados em todos os Estados-Membros. O quadro europeu deve ter uma dupla finalidade: por um lado, deve ajudar a aumentar a confiança nos produtos e serviços de TIC que foram certificados em conformidade com os referidos sistemas; por outro lado, deve evitar a multiplicação de certificações nacionais da segurança informática que entrem em conflito ou que se sobreponham e, desta forma, reduzir os custos para as empresas que operam no mercado único digital. Os sistemas devem ser não discriminatórios e assentes em normas internacionais e/ou da UE, salvo se tais normas forem ineficazes ou inadequadas para satisfazer os objetivos legítimos da União a este respeito. |
Alteração 20 Proposta de regulamento Considerando 55 | |
|
Texto da Comissão |
Alteração |
|
(55) O objetivo dos sistemas europeus de certificação da cibersegurança deve ser garantir que os produtos e serviços de TIC certificados ao abrigo desses sistemas cumprem os requisitos especificados. Esses requisitos dizem respeito à capacidade de resistir, com um determinado nível de garantia, a ações que se visem comprometer a disponibilidade, autenticidade, integridade e confidencialidade de dados armazenados, transmitidos ou tratados, as funções conexas ou serviços oferecidos por esses produtos, processos, serviços e sistemas ou acessíveis por via deles, na aceção do presente regulamento. É impossível definir pormenorizadamente no presente regulamento os requisitos de cibersegurança relativos a todos os produtos e serviços de TIC. Os produtos e serviços de TIC e necessidades de cibersegurança conexas são de tal forma diversos que é muito difícil apresentar requisitos de cibersegurança globais que sejam genericamente aplicáveis. Por conseguinte, é necessário adotar uma noção lata e geral de cibersegurança para efeitos de certificação, complementada por um conjunto de objetivos de cibersegurança específicos que devem ser tidos em conta durante a conceção dos sistemas europeus de certificação da cibersegurança. As modalidades com as quais esses objetivos serão alcançados em produtos e serviços de TIC específicos devem depois ser estabelecidas em pormenor a nível do sistema de certificação individual adotado pela Comissão, nomeadamente mediante referência a normas ou especificações técnicas. |
(55) O objetivo dos sistemas europeus de certificação da segurança informática deve ser garantir que os produtos e serviços de TIC certificados ao abrigo desses sistemas cumprem os requisitos especificados. Esses requisitos dizem respeito à capacidade de resistir, com um determinado nível de garantia, a ações que se visem comprometer a disponibilidade, autenticidade, integridade e confidencialidade de dados armazenados, transmitidos ou tratados, as funções conexas ou serviços oferecidos por esses produtos, processos, serviços e sistemas ou acessíveis por via deles, na aceção do presente regulamento. É impossível definir pormenorizadamente no presente regulamento os requisitos de segurança informática relativos a todos os produtos e serviços de TIC. Os produtos e serviços de TIC e necessidades de segurança informática conexas, e o respetivo ciclo de vida, são de tal forma diversos que é muito difícil apresentar requisitos de segurança informática globais que sejam genericamente aplicáveis. Por conseguinte, é necessário adotar uma noção lata e geral de segurança informática para efeitos de certificação, complementada por um conjunto de objetivos de segurança informática específicos que devem ser tidos em conta durante a conceção dos sistemas europeus de certificação da segurança informática. As modalidades com as quais esses objetivos serão alcançados em produtos e serviços de TIC específicos devem depois ser estabelecidas em pormenor a nível do sistema de certificação individual adotado pela Comissão, em estreita consulta com os Estados-Membros e as partes interessadas do setor, nomeadamente mediante referência a normas ou especificações técnicas. Os sistemas individuais de certificação devem ser concebidos de tal modo que todas as partes implicadas no desenvolvimento de produtos e serviços informáticos relevantes de TI sejam encorajadas a desenvolver e adotar padrões, normas e princípios que garantam o mais elevado nível de segurança possível ao longo de todo o ciclo de vida. |
Alteração 21 Proposta de regulamento Considerando 55-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(55-A) A ENISA deve desenvolver um sistema de certificação com uma perspetiva global, a fim de evitar futuros obstáculos ao comércio. Durante o processo de elaboração dos critérios para o sistema de certificação, a ENISA deve encetar um diálogo com os parceiros pertinentes neste setor para garantir a viabilidade em termos de mercado. |
Alteração 22 Proposta de regulamento Considerando 56 | |
|
Texto da Comissão |
Alteração |
|
(56) Devem ser atribuídas competências à Comissão para pedir à ENISA que prepare propostas de sistemas destinados a produtos ou serviços de TIC específicos. Devem ser atribuídas competências à Comissão para adotar, com base na proposta de sistema apresentada pela ENISA, o sistema europeu de certificação da cibersegurança por meio de atos de execução. Tendo em conta a finalidade geral e os objetivos de segurança identificados no presente regulamento, os sistemas europeus de certificação da cibersegurança adotados pela Comissão devem especificar um conjunto mínimo de elementos relativos ao objeto, âmbito de aplicação e funcionamento do sistema individual. Os mesmos devem incluir, entre outros, o âmbito de aplicação e objeto da certificação da cibersegurança, designadamente as categorias de produtos e serviços de TIC abrangidos, a especificação pormenorizada dos requisitos de cibersegurança, por exemplo mediante referência a normas ou especificações técnicas, os critérios específicos de avaliação e métodos de avaliação, bem como o nível previsto de garantia: básico, substancial e/ou elevado. |
(56) Devem ser atribuídas competências à Comissão para pedir à ENISA que prepare propostas de sistemas destinados a produtos ou serviços de TIC específicos. Devem ser atribuídas competências à Comissão para adotar, com base na proposta de sistema apresentada pela ENISA, o sistema europeu de certificação da segurança informática por meio de atos de execução. Tendo em conta a finalidade geral e os objetivos de segurança identificados no presente regulamento, os sistemas europeus de certificação da segurança informática adotados pela Comissão devem especificar um conjunto mínimo de elementos relativos ao objeto, âmbito de aplicação e funcionamento do sistema individual. Os mesmos devem incluir, entre outros, o âmbito de aplicação e objeto da certificação da segurança informática, designadamente as categorias de produtos e serviços de TIC abrangidos, a especificação pormenorizada dos requisitos de segurança informática, por exemplo mediante referência a normas ou especificações técnicas, os critérios específicos de avaliação e métodos de avaliação, bem como o nível previsto de garantia: básico, substancial e/ou elevado. Os níveis de garantia devem ser definidos numa base casuística, a fim de garantir que os serviços e produtos à base de TIC sejam sujeitos a sistemas de certificação adequados, e devem ter em conta os diferentes casos de utilização individual, bem como a própria responsabilidade e a formação dos utilizadores. |
Alteração 23 Proposta de regulamento Considerando 57 | |
|
Texto da Comissão |
Alteração |
|
(57) O recurso à certificação europeia da cibersegurança deve manter-se voluntário, salvo disposição em contrário na legislação da União ou nacional. Todavia, com vista à consecução dos objetivos do presente regulamento e para evitar a fragmentação do mercado interno, os sistemas ou procedimentos nacionais de certificação da cibersegurança de produtos e serviços de TIC abrangidos por um sistema europeu de certificação da cibersegurança devem cessar de produzir efeitos a contar da data estipulada pela Comissão por meio do ato de execução. Além disso, os Estados-Membros não devem introduzir novos sistemas nacionais de certificação que incluam sistemas de certificação da cibersegurança de produtos e serviços de TIC já abrangidos por um sistema europeu de certificação da cibersegurança existente. |
(57) O recurso à certificação europeia da segurança informática deve manter-se voluntário, salvo disposição em contrário na legislação da União ou nacional. Terminada esta fase inicial, e dependendo do grau de maturidade na implementação nos Estados-Membros da UE e da importância crítica de um produto ou serviço, podem ser criados sistemas de certificação potencialmente obrigatórios para determinados produtos e serviços de TIC, numa abordagem faseada, para as futuras gerações de tecnologias e em resposta aos objetivos políticos do futuro. Todavia, com vista à consecução dos objetivos do presente regulamento e para evitar a fragmentação do mercado interno, os sistemas ou procedimentos nacionais de certificação da segurança informática de produtos e serviços de TIC abrangidos por um sistema europeu de certificação da segurança informática devem cessar de produzir efeitos a contar da data estipulada pela Comissão por meio do ato de execução. Além disso, os Estados-Membros não devem introduzir novos sistemas nacionais de certificação que incluam sistemas de certificação da segurança informática de produtos e serviços de TIC já abrangidos por um sistema europeu de certificação da segurança informática existente. |
Alteração 24 Proposta de regulamento Considerando 58-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
(58-A) A Agência deve definir claros requisitos de base em matéria de segurança informática e propô-los à Comissão como atos de execução, se adequado, para todos os dispositivos informáticos vendidos na União ou exportados pela União. Esses requisitos devem ser revistos de dois em dois anos, a fim de assegurar a melhoria contínua. Estes requisitos de base em matéria de segurança informática devem exigir, designadamente, que os dispositivos não contenham nenhuma vulnerabilidade de segurança conhecida e passível de ser explorada, que sejam capazes de aceitar atualizações de segurança de confiança, que o vendedor notifique as autoridades competentes sobre as vulnerabilidades conhecidas e que repare ou substitua os dispositivos afetados até ao momento em que o fabricante anuncie claramente que o apoio técnico de segurança aos dispositivos em questão irá terminar. |
Alteração 25 Proposta de regulamento Artigo 1 – n.º 1 – alínea b) | |
|
Texto da Comissão |
Alteração |
|
(b) Um quadro para o estabelecimento de sistemas europeus de certificação da cibersegurança com o objetivo de assegurar um nível adequado de cibersegurança de produtos e serviços de TIC na União. Este quadro é aplicável sem prejuízo de disposições específicas em matéria de certificação de caráter voluntário ou obrigatório constantes de outros atos da União. |
(b) Um quadro para o estabelecimento de sistemas europeus de certificação da segurança informática com o objetivo de assegurar um nível adequado de segurança informática de produtos e serviços de TIC na União. Este quadro é aplicável sem prejuízo de disposições específicas em matéria de certificação de caráter voluntário ou obrigatório constantes de outros atos da União. |
Justificação | |
A presente alteração é puramente linguística e visa eliminar o pleonasmo existente no texto da COM. | |
Alteração 26 Proposta de regulamento Artigo 2 – n.º 1 – ponto 8 | |
|
Texto da Comissão |
Alteração |
|
(8) «Ciberameaça»: uma potencial circunstância ou evento que possa afetar negativamente as redes e os sistemas de informação, os seus utilizadores e as pessoas afetadas. |
(8) «Ciberameaça»: uma potencial circunstância, capacidade ou evento que possa afetar negativamente as redes e os sistemas de informação, os seus utilizadores e as pessoas afetadas. |
Justificação | |
A presente alteração acrescenta um aspeto importante, em particular em matéria de avaliação da ameaça. | |
Alteração 27 Proposta de regulamento Artigo 4 – n.º 3 – parágrafo 1-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
A Agência procura identificar as vulnerabilidades críticas de toda a rede de segurança informática da União, bem como as dos Estados-Membros. Caso a Agência considere necessário, tais vulnerabilidades devem ser comunicadas ao Parlamento Europeu. |
Alteração 28 Proposta de regulamento Artigo 4 – n.º 5 | |
|
Texto da Comissão |
Alteração |
|
5. A Agência aumenta as capacidades em matéria de cibersegurança a nível da União a fim de complementar a ação dos Estados-Membros na prevenção e resposta a ciberameaças, nomeadamente em caso de incidentes transfronteiriços. |
5. A Agência aumenta as capacidades em matéria de segurança informática a nível da União a fim de complementar e apoiar a ação dos Estados-Membros na prevenção e resposta a ciberameaças, nomeadamente em caso de incidentes transfronteiriços. |
Alteração 29 Proposta de regulamento Artigo 4 – n.º 6 | |
|
Texto da Comissão |
Alteração |
|
6. A Agência promove o recurso à certificação, nomeadamente contribuindo para a criação e a manutenção de um quadro de certificação da cibersegurança a nível da União em conformidade com o título III do presente regulamento, com vista a aumentar a transparência da garantia de cibersegurança de produtos e serviços de TIC e, por conseguinte, reforçar a confiança no mercado interno digital. |
6. A Agência promove o recurso à certificação, nomeadamente contribuindo para o desenvolvimento de normas da União e internacionais no domínio da segurança informática e para a criação e a manutenção de um quadro de certificação da segurança informática a nível da União em conformidade com o título III do presente regulamento, com vista a aumentar a transparência da garantia de segurança informática de produtos e serviços de TIC e, por conseguinte, reforçar a confiança no mercado interno digital. |
Alteração 30 Proposta de regulamento Artigo 4 – n.º 7 | |
|
Texto da Comissão |
Alteração |
|
7. A Agência promove um elevado nível de sensibilização dos cidadãos e das empresas para as questões relacionadas com a cibersegurança. |
7. A Agência promove um elevado nível de sensibilização para as questões relacionadas com a segurança informática. |
Justificação | |
As campanhas de sensibilização não devem ser apenas dirigidas aos cidadãos e às empresas, mas a todos os intervenientes relevantes na sociedade, incluindo as autoridades e os legisladores. A presente alteração deixa deliberadamente em aberto os destinatários deste tipo de atividade. | |
Alteração 31 Proposta de regulamento Artigo 5 – n.º 1 – ponto 2 | |
|
Texto da Comissão |
Alteração |
|
2. Prestando assistência aos Estados‑Membros na execução coerente da política e do direito da União em matéria de cibersegurança, nomeadamente no que diz respeito à Diretiva (UE) 2016/1148, incluindo por meio de pareceres, orientações, aconselhamento e divulgação de boas práticas sobre questões como a gestão dos riscos, a comunicação de incidentes e a partilha de informações, bem como facilitando o intercâmbio de boas práticas entre as autoridades competentes neste domínio; |
2. Prestando assistência aos Estados‑Membros na execução coerente da política e do direito da União em matéria de segurança informática, nomeadamente no que diz respeito à Diretiva (UE) 2016/1148, à Diretiva .../... [que estabelece o Código Europeu das Comunicações Eletrónicas], ao Regulamento (UE) 2016/679 e à Diretiva 2002/58/CE, incluindo por meio de pareceres, orientações, aconselhamento e divulgação de boas práticas sobre questões como a gestão dos riscos, a comunicação de incidentes e a partilha de informações, bem como facilitando o intercâmbio de boas práticas entre as autoridades competentes neste domínio; |
Alteração 32 Proposta de regulamento Artigo 5 – n.º 1 – ponto 2-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-A. Prestando assistência ao Comité Europeu para a Proteção de Dados, criado pelo Regulamento (UE) 2016/679, na elaboração de orientações para especificar, a nível técnico, as condições que permitem a utilização lícita de dados pessoais pelos responsáveis pelo tratamento dos dados para efeitos de segurança informática, com o objetivo de proteger as suas infraestruturas, através da deteção e bloqueio de ataques contra os seus sistemas de informação no contexto: |
|
|
i) do Regulamento (UE) 2016/679; |
|
|
ii) da Diretiva (UE) 2016/1148; e |
|
|
iii) da Diretiva 2002/58/CE; |
Alteração 33 Proposta de regulamento Artigo 5 – n.º 1 – ponto 2-B (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-B. Propondo orientações com o objetivo de garantir que os vendedores de TIC atuem com respeito pelo dever de diligência de forma a assegurar a reparação atempada das vulnerabilidades de segurança informática dos seus produtos e serviços, a fim de evitar que os seus utilizadores sejam expostos a ciberameaças; |
Alteração 34 Proposta de regulamento Artigo 5 – n.º 1 – ponto 2-C (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-C. Propondo orientações que estabeleçam os deveres e a responsabilidade firmes para todos os intervenientes (incluindo os utilizadores finais) que são parte integrante dos ecossistemas de TIC; |
Alteração 35 Proposta de regulamento Artigo 5 – n.º 1 – ponto 2-D (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-D. Propondo orientações, em conformidade com a legislação nacional, no que se refere aos deveres dos operadores de infraestruturas de rede críticas, em caso de ataque contra os seus sistemas de informação que afete os seus utilizadores, devido a um desrespeito por alguns dos utilizadores ou pelo próprio operador do seu dever de diligência, se o operador não tiver tomado as medidas razoáveis para prevenir o incidente ou atenuar os seus efeitos em todos os utilizadores; |
Alteração 36 Proposta de regulamento Artigo 5 – n.º 1 – ponto 2-E (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-E. Propondo orientações para limitar a aquisição e utilização pelas autoridades públicas de «dia zero» com o objetivo de atacar sistemas de informação; promovendo auditorias de software e financiando pessoal especializado; |
Alteração 37 Proposta de regulamento Artigo 5 – n.º 1 – ponto 2-F (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-F. Propondo orientações para a publicação pelas autoridades públicas, empresas privadas, investigadores, universidades e por outras partes interessadas de todas as vulnerabilidades de segurança críticas que ainda não sejam do domínio público, no âmbito de uma divulgação responsável; |
Alteração 38 Proposta de regulamento Artigo 5 – n.º 1 – ponto 2-G (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-G. Propondo orientações para o alargamento da utilização de «código-fonte aberto verificável» para soluções informáticas no setor público, assim como para a utilização conexa de ferramentas automáticas para facilitar a revisão de código-fonte e verificar facilmente a ausência de «portas traseiras» e outras eventuais vulnerabilidades de segurança; |
Alteração 39 Proposta de regulamento Artigo 6 – n.º 1 – alínea f-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
f-A) E coopera com as autoridades de supervisão nacionais responsáveis pela proteção dos dados, se necessário; |
Alteração 40 Proposta de regulamento Artigo 6 – n.º 2-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
2-A. A Agência promove o estabelecimento e o lançamento de um projeto europeu de segurança informática a longo prazo, para apoiar o crescimento de uma indústria de segurança informática da UE independente e integrar a segurança informática em todos os desenvolvimentos informáticos a nível da UE. |
Justificação | |
A ENISA deverá aconselhar os legisladores no que respeita à elaboração de políticas que permitam pôr a UE a par com as indústrias de segurança informática em países terceiros. Este projeto deve ser de dimensão comparável ao que foi feito anteriormente na indústria da aviação (exemplo da Airbus). Isto é necessário para o desenvolvimento de uma indústria de TIC da UE mais forte, soberana e de confiança (ver o estudo da Unidade da Prospetiva Científica (STOA) PE 614.531). | |
Alteração 41 Proposta de regulamento Artigo 7 – n.º 5 | |
|
Texto da Comissão |
Alteração |
|
5. Na sequência de pedidos apresentados por dois ou mais Estados-Membros afetados, e com o único objetivo de prestar aconselhamento para a prevenção de incidentes futuros, a Agência presta apoio a inquéritos técnicos ex post, ou procede aos mesmos, relativos a incidentes com um impacto significativo ou substancial que as empresas afetadas tenham notificado, em conformidade com a Diretiva (UE) 2016/1148. A Agência procede igualmente a tais inquéritos mediante pedido devidamente justificado da Comissão, com o acordo dos Estados-Membros em causa, em caso de incidentes similares que afetem mais de dois Estados-Membros. |
5. Na sequência de pedidos apresentados por um Estado-Membro, e com o único objetivo de prestar aconselhamento para a prevenção de incidentes futuros, a Agência presta apoio a inquéritos técnicos ex post, ou procede aos mesmos, relativos a incidentes com um impacto significativo ou substancial que as empresas afetadas tenham notificado, em conformidade com a Diretiva (UE) 2016/1148. A Agência procede igualmente a tais inquéritos mediante pedido devidamente justificado da Comissão, com o acordo dos Estados-Membros em causa, em caso de incidentes similares que afetem mais de dois Estados-Membros. |
|
O âmbito dos inquéritos e o procedimento a seguir na sua realização são acordados entre os Estados-Membros em causa e a Agência e não prejudicam qualquer investigação criminal em curso sobre o mesmo incidente. Os inquéritos são concluídos por relatórios técnicos finais elaborados pela Agência, nomeadamente com base nas informações e comentários que os Estados-Membros e as empresas em causa facultarem, e acordados com os Estados-Membros em causa. Será partilhado com a rede de CSIRT um resumo do relatório, centrado nas recomendações para a prevenção de incidentes futuros. |
O âmbito dos inquéritos e o procedimento a seguir na sua realização são acordados entre os Estados-Membros em causa e a Agência e não prejudicam qualquer investigação criminal em curso sobre o mesmo incidente ou as medidas em matéria de segurança nacional dos Estados-Membros. Os inquéritos são concluídos por relatórios técnicos finais elaborados pela Agência, nomeadamente com base nas informações e comentários que os Estados-Membros e as empresas em causa facultarem, e acordados com os Estados-Membros em causa. Será partilhado com a rede de CSIRT um resumo do relatório, centrado nas recomendações para a prevenção de incidentes futuros. |
Alteração 42 Proposta de regulamento Artigo 7 – n.º 8-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
8-A. A Agência conduz, a pedido de uma instituição, órgão, organismo ou agência da União, ou de um Estado-Membro, auditorias independentes e periódicas sobre a segurança informática de infraestruturas críticas, com o objetivo de identificar eventuais recomendações para reforçar a sua resiliência. |
Justificação | |
A ENISA deve estar habilitada a conduzir auditorias de caráter preventivo sobre a segurança informática de quaisquer infraestruturas críticas das autoridades dos Estados-Membros ou das instituições, agências, etc. da UE. | |
Alteração 43 Proposta de regulamento Artigo 8 – n.º 1 – alínea a) – subalínea 1 | |
|
Texto da Comissão |
Alteração |
|
(1) Elaborando propostas de sistemas europeus de certificação da cibersegurança de produtos e serviços de TIC, em conformidade com o artigo 44.º do presente regulamento; |
(1) Elaborando propostas de sistemas europeus de certificação da segurança informática de produtos e serviços de TIC, em cooperação com o setor e em conformidade com o artigo 44.º do presente regulamento; |
Justificação | |
Neste domínio, é importante a cooperação com as empresas do setor. | |
Alteração 44 Proposta de regulamento Artigo 8 – n.º 1 – alínea c-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
c-A) Estabelece sistemas de certificação para dissuadir a implementação pelos vendedores de equipamento e prestadores de serviços de TIC de «portas traseiras» secretas, que enfraqueçam intencionalmente a segurança informática dos produtos e serviços comerciais e tenham um efeito negativo na segurança global da Internet. |
Justificação | |
Este deve ser reconhecido como um dos principais objetivos dos sistemas de certificação. | |
Alteração 45 Proposta de regulamento Artigo 9 – n.º 1 – alínea d) | |
|
Texto da Comissão |
Alteração |
|
d) Reúne, organiza e disponibiliza ao público, por intermédio de um portal dedicado, informações sobre cibersegurança fornecidas pelas instituições, agências e organismos da União; |
d) Reúne, organiza e disponibiliza ao público, por intermédio de um portal dedicado, informações sobre segurança informática fornecidas pelas instituições, agências e organismos da União e disponibilizadas pelos Estados-Membros e pelas partes interessadas públicas e privadas; |
Alteração 46 Proposta de regulamento Artigo 9 – n.º 1 – alínea e) | |
|
Texto da Comissão |
Alteração |
|
e) Sensibiliza o público para os riscos de cibersegurança, e fornece orientações sobre boas práticas para utilizadores individuais destinadas aos cidadãos e às organizações; |
e) Sensibiliza o público para os riscos de segurança informática, divulga medidas adequadas para a prevenção de incidentes e fornece orientações sobre boas práticas para utilizadores individuais destinadas aos cidadãos e às organizações; |
Alteração 47 Proposta de regulamento Artigo 9 – n.º 1 – alínea e-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
e-A) Cria uma rede de pontos de contacto nacionais de educação para promover uma melhor coordenação e um intercâmbio de boas práticas entre os Estados-Membros em matéria de educação e sensibilização relativa à segurança informática. |
Alteração 48 Proposta de regulamento Artigo 9 – n.º 1 – alínea g) | |
|
Texto da Comissão |
Alteração |
|
g) Organiza, em cooperação com os Estados-Membros e as instituições, organismos, órgãos e agências da União, campanhas de sensibilização periódicas, a fim de aumentar a cibersegurança e a sua visibilidade na União. |
g) Organiza, em cooperação com os Estados-Membros e as instituições, organismos, órgãos, agências da União e outras partes interessadas pertinentes, campanhas de sensibilização periódicas, a fim de aumentar a segurança informática e a sua visibilidade na União. |
Alteração 49 Proposta de regulamento Artigo 9 – n.º 1 – alínea g-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
g-A) Promove a adoção generalizada por todos os intervenientes no Mercado Único Digital da UE de medidas de segurança informática sólidas e de caráter preventivo e de tecnologias fiáveis de reforço da privacidade, como primeira linha de defesa contra ataques que visam os sistemas de informação. |
Justificação | |
Com base no parecer da Autoridade Europeia para a Proteção de Dados (AEPD) (relativo às tecnologia de reforço da privacidade). O papel da ENISA não deve claramente limitar-se ao seu apoio aos Estados-Membros, à Comissão Europeia e às agências da UE, mas deve ser também mais visível junto da indústria e do público em geral. | |
Alteração 50 Proposta de regulamento Artigo 10 – n.º 1 – alínea a) | |
|
Texto da Comissão |
Alteração |
|
a) Presta aconselhamento à União e aos Estados-Membros sobre as necessidades e prioridades de investigação no domínio da cibersegurança, a fim de lhes permitir responder eficazmente aos riscos e ameaças atuais e emergentes, nomeadamente no que respeita às tecnologias de informação e comunicação novas e emergentes, e utilizar de forma eficaz as tecnologias de prevenção dos riscos; |
a) Presta aconselhamento à União e aos Estados-Membros sobre as necessidades e prioridades de investigação nos domínios da segurança informática e da proteção de dados e da privacidade, a fim de lhes permitir responder eficazmente aos riscos e ameaças atuais e emergentes, nomeadamente no que respeita às tecnologias de informação e comunicação novas e emergentes, e utilizar de forma eficaz as tecnologias de prevenção dos riscos; |
Alteração 51 Proposta de regulamento Artigo 14 – n.º 1 – alínea m) | |
|
Texto da Comissão |
Alteração |
|
m) Nomear o diretor executivo e, sendo caso disso, prorrogar o seu mandato ou exonerá-lo, em conformidade com o artigo 33.º do presente regulamento; |
m) Nomear o diretor executivo, através de um processo de seleção baseado em critérios profissionais, e, sendo caso disso, prorrogar o seu mandato ou exonerá-lo, em conformidade com o artigo 33.º do presente regulamento; |
Alteração 52 Proposta de regulamento Artigo 20 – n.º 1 | |
|
Texto da Comissão |
Alteração |
|
1. O conselho de administração, agindo sob proposta do diretor executivo, cria um grupo permanente de partes interessadas composto por peritos reconhecidos que representam as partes interessadas, nomeadamente empresas de TIC, fornecedores de redes ou serviços de comunicações eletrónicas disponibilizados ao público, associações de consumidores, peritos académicos no domínio da cibersegurança e representantes das autoridades competentes nacionais notificadas nos termos da [diretiva que estabelece o Código Europeu das Comunicações Eletrónicas] e das autoridades supervisoras responsáveis pela aplicação da lei e pela proteção dos dados. |
1. O conselho de administração, agindo sob proposta do diretor executivo, cria um grupo permanente de partes interessadas composto por peritos reconhecidos que representam as partes interessadas, nomeadamente empresas de TIC, fornecedores de redes ou serviços de comunicações eletrónicas disponibilizados ao público, associações de consumidores, organizações europeias de normalização, peritos académicos no domínio da segurança informática e representantes das autoridades competentes nacionais notificadas nos termos da [diretiva que estabelece o Código Europeu das Comunicações Eletrónicas] e das autoridades supervisoras responsáveis pela aplicação da lei e pela proteção dos dados. |
Alteração 53 Proposta de regulamento Artigo 30 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. O Tribunal de Contas dispõe de poderes para auditar, com base em documentos ou no local, todos os beneficiários de subvenções, contratantes e subcontratantes que tenham recebido fundos da União por intermédio da Agência. |
2. O Tribunal de Contas dispõe de poderes para auditar, com base em documentos ou em inspeções no local, todos os beneficiários de subvenções, contratantes e subcontratantes que tenham recebido fundos da União por intermédio da Agência. |
Alteração 54 Proposta de regulamento Artigo 44 – n.º 2 | |
|
Texto da Comissão |
Alteração |
|
2. Durante a elaboração das propostas de sistema a que se refere o n.º 1 do presente artigo, a Agência consulta todas as partes interessadas pertinentes e coopera estreitamente com o Grupo. O Grupo presta à ENISA a assistência e o aconselhamento especializado de que esta necessite, no que concerne a elaboração da proposta de sistema, nomeadamente fornecendo pareceres sempre que necessário. |
2. Durante a elaboração das propostas de sistema a que se refere o n.º 1 do presente artigo, a Agência consulta todas as partes interessadas pertinentes e coopera estreitamente com o Grupo e o grupo permanente de partes interessadas. O Grupo e o grupo permanente de partes interessadas prestam à ENISA a assistência e o aconselhamento especializado de que esta necessite, no que concerne a elaboração da proposta de sistema, nomeadamente fornecendo pareceres sempre que necessário. Se for caso disso, a ENISA pode também criar um grupo de trabalho de partes interessadas para a certificação, constituído por membros do grupo permanente de partes interessadas e por quaisquer outras partes interessadas pertinentes, que dará o seu parecer especializado sobre os domínios abrangidos por uma proposta de sistema específico. |
Justificação | |
O setor deve participar na elaboração e preparação das propostas de sistema através de um processo de consulta, a fim de proporcionar conhecimentos especializados para garantir a sua conceção eficiente. | |
Alteração 55 Proposta de regulamento Artigo 44 – n.º 4 | |
|
Texto da Comissão |
Alteração |
|
4. A Comissão, com base na proposta de sistema apresentada pela ENISA, pode adotar atos de execução, em conformidade com o artigo 55.º, n.º 1, que estabeleçam sistemas europeus de certificação da cibersegurança de produtos e serviços de TIC que cumpram os requisitos estabelecidos nos artigos 45.º, 46.º e 47.º do presente regulamento. |
4. A Comissão, com base na proposta de sistema apresentada pela ENISA, pode adotar atos de execução, em conformidade com o artigo 55.º, n.º 1, que estabeleçam sistemas europeus de certificação da segurança informática de produtos e serviços de TIC que cumpram os requisitos estabelecidos nos artigos 45.º, 46.º e 47.º do presente regulamento. A Comissão pode consultar o Comité Europeu para a Proteção de Dados e ter em conta a sua opinião antes de adotar os referidos atos de execução. |
Justificação | |
Com base no parecer da AEPD. Esta alteração assegura a coerência entre a certificação no âmbito do quadro europeu de certificação da cibersegurança e no âmbito do RGPD. | |
Alteração 56 Proposta de regulamento Artigo 46 – n.º 2 – parte introdutória | |
|
Texto da Comissão |
Alteração |
|
2. Os níveis de garantia básico, substancial e elevado satisfazem, respetivamente, os seguintes critérios: |
2. Os níveis de garantia básico, substancial e elevado correspondem a um certificado, emitido no âmbito de um sistema europeu de certificação da segurança informática, que confere um nível de confiança correspondente relativamente às propriedades de segurança informática declaradas ou reivindicadas por determinado produto ou serviço de TIC, e que se caracteriza por referência a especificações, normas e procedimentos técnicos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir o risco de incidentes de segurança informática; |
Alteração 57 Proposta de regulamento Artigo 46 – n.º 2 – alínea a) | |
|
Texto da Comissão |
Alteração |
|
a) O nível de garantia básico corresponde a um certificado, emitido no âmbito de um sistema europeu de certificação da cibersegurança, que confere um nível de confiança limitado relativamente às propriedades de cibersegurança declaradas ou reivindicadas por determinado produto ou serviço de TIC, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir o risco de incidentes de cibersegurança; |
Suprimido |
Alteração 58 Proposta de regulamento Artigo 46 – n.º 2 – alínea b) | |
|
Texto da Comissão |
Alteração |
|
(b) O nível de garantia substancial corresponde a um certificado, emitido no âmbito de um sistema europeu de certificação da cibersegurança, que confere um nível de confiança substancial relativamente às propriedades de cibersegurança declaradas ou reivindicadas por determinado produto ou serviço de TIC, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir substancialmente o risco de incidentes de cibersegurança; |
Suprimido |
Alteração 59 Proposta de regulamento Artigo 46 – n.º 2 – alínea c) | |
|
Texto da Comissão |
Alteração |
|
(c) O nível de garantia elevado corresponde a um certificado, emitido no âmbito de um sistema europeu de certificação da cibersegurança, que confere um nível de confiança mais elevado relativamente às propriedades de cibersegurança declaradas ou reivindicadas por determinado produto ou serviço de TIC que um certificado de nível de garantia substancial, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é prevenir incidentes de cibersegurança; |
Suprimido |
Alteração 60 Proposta de regulamento Artigo 47 – n.º 1 – alínea a-A) (nova) | |
|
Texto da Comissão |
Alteração |
|
|
a-A) Organismos de avaliação de conformidade e de auditoria; |
Alteração 61 Proposta de regulamento Artigo 47 – n.º 1 – alínea l) | |
|
Texto da Comissão |
Alteração |
|
l) Identificação dos sistemas nacionais de certificação da cibersegurança que abranjam os mesmos tipos ou categorias de produtos e serviços de TIC; |
l) Identificação dos sistemas nacionais de certificação da segurança informática, nos termos do artigo 49.º, que abranjam os mesmos tipos ou categorias de produtos e serviços de TIC; |
Alteração 62 Proposta de regulamento Artigo 48 – n.º 6 | |
|
Texto da Comissão |
Alteração |
|
6. Os certificados são emitidos por um período máximo de três anos e podem ser renovados nas mesmas condições, desde que continuem a ser cumpridos os requisitos pertinentes. |
6. Os certificados são emitidos por um período máximo de tempo determinado caso a caso para cada sistema mas que não excede cinco anos e podem ser renovados, desde que continuem a ser cumpridos os requisitos pertinentes. |
Alteração 63 Proposta de regulamento Artigo 48-A (novo) | |
|
Texto da Comissão |
Alteração |
|
|
Artigo 48.º-A |
|
|
Requisitos de base em matéria de segurança informática |
|
|
1. A Agência, com base na sua experiência com o quadro de certificação de segurança informática ao abrigo do Título III do presente regulamento, propõe à Comissão claros requisitos de base mínimos em matéria de segurança informática para os dispositivos informáticos vendidos na União ou exportados pela União, tais como: |
|
|
a) A certificação por escrito pelo vendedor de que o dispositivo não contém nenhum componente de hardware, software ou firmware com qualquer vulnerabilidade de segurança conhecida e passível de ser explorada; |
|
|
b) Os componentes de software ou firmware do dispositivo são capazes de aceitar atualizações devidamente autenticadas e de confiança do fabricante; |
|
|
c) O dispositivo não contém qualquer palavra-chave ou código de acesso não cifrado; o fabricante documenta as capacidades de acesso remoto do dispositivo e protege-o de acessos não autorizados, o mais tardar durante a instalação; o fabricante não introduz palavras-chave pré-configuradas por defeito no código do dispositivo; o vendedor documenta as possibilidades de o utilizador atualizar os dispositivos e indica claramente de quem é a responsabilidade se o utilizador não atualizar do dispositivo; |
|
|
d) A obrigação do fabricante, distribuidor e importador de dispositivos conectados à Internet, de software ou de componentes de firmware de notificar as autoridades competentes sobre todas as vulnerabilidades de segurança conhecidas e passíveis de serem exploradas; |
|
|
e) A obrigação dos fabricantes de dispositivos conectados à Internet, de software ou de componentes de firmware de providenciarem uma reparação ou substituição no que respeita a qualquer nova vulnerabilidade de segurança descoberta; |
|
|
f) A obrigação dos fabricantes de dispositivos conectados à Internet, de software ou de componentes de firmware de facultarem informações sobre o modo como o dispositivo recebe atualizações de segurança informática, o calendário previsto para o termo do apoio técnico no domínio da segurança informática e o processo de notificação do utilizador. |
|
|
2. A Agência pode propor que os requisitos mínimos em matéria de segurança informática a que se refere o n.º 1 se apliquem aos dispositivos informáticos de um ou mais setores específicos. |
|
|
3. A Agência revê e, se necessário, altera os requisitos em matéria de segurança informática referidos no n.º 1 de dois em dois anos e apresenta todas as propostas de alteração à Comissão. |
|
|
4. A Comissão pode, por meio de atos de execução e com base numa avaliação de impacto, decidir que os requisitos em matéria de segurança informática propostos ou alterados referidos nos n.ºs 1 e 2 são de aplicabilidade geral na União. Esses atos de execução são adotados em conformidade com o procedimento de exame a que se refere o artigo 55.º, n.º 2. |
|
|
5. A Comissão assegura a divulgação adequada dos requisitos em matéria de segurança informática que declarou, mediante decisão, serem de aplicabilidade geral em conformidade com o n.º 3. |
|
|
6. A Agência recolhe todos os requisitos propostos em matéria de segurança informática e respetivas alterações num registo e disponibiliza-os ao público pelos meios adequados. |
Justificação | |
A presente alteração visa substituir a alteração 19 (alínea c)) do projeto de parecer por razões de clareza. Para a proteção contra a cibercriminalidade e a salvaguarda dos direitos fundamentais dos utilizadores de TI, é importante assegurar a resiliência do ambiente informático. O presente regulamento deve, por conseguinte, estabelecer objetivos de segurança informática de alto nível para uma segurança informática de base obrigatória na União. | |
Alteração 64 Proposta de regulamento Artigo 50 – n.º 6 – alínea d) | |
|
Texto da Comissão |
Alteração |
|
d) Cooperar com outras autoridades nacionais supervisoras da certificação ou outras autoridades públicas, incluindo pela partilha de informações sobre a eventual não conformidade de produtos e serviços de TIC com os requisitos do presente regulamento ou de sistemas europeus de certificação da cibersegurança específicos; |
d) Cooperar com outras autoridades nacionais supervisoras da certificação ou outras autoridades públicas, tais como as autoridades de supervisão nacionais responsáveis pela proteção dos dados, incluindo pela partilha de informações sobre a eventual não conformidade de produtos e serviços de TIC com os requisitos do presente regulamento ou de sistemas europeus de certificação da segurança informática específicos; |
Justificação | |
Alteração na sequência do parecer da AEPD. | |
PROCESSO DA COMISSÃO ENCARREGADA DE EMITIR PARECER
|
Título |
Regulamento relativo à ENISA, a «Agência da União Europeia para a Cibersegurança», e à certificação da cibersegurança das tecnologias da informação e comunicação, e que revoga o Regulamento (UE) n.º 526/2013 («Regulamento Cibersegurança») |
||||
|
Referências |
COM(2017)0477 – C8-0310/2017 – 2017/0225(COD) |
||||
|
Comissão competente quanto ao fundo Data de comunicação em sessão |
ITRE 23.10.2017 |
|
|
|
|
|
Parecer emitido por Data de comunicação em sessão |
LIBE 23.10.2017 |
||||
|
Relator(a) de parecer Data de designação |
Jan Philipp Albrecht 20.11.2017 |
||||
|
Exame em comissão |
25.1.2018 |
8.3.2018 |
|
|
|
|
Data de aprovação |
8.3.2018 |
|
|
|
|
|
Resultado da votação final |
+: –: 0: |
35 2 4 |
|||
|
Deputados presentes no momento da votação final |
Asim Ademov, Jan Philipp Albrecht, Heinz K. Becker, Caterina Chinnici, Rachida Dati, Cornelia Ernst, Kinga Gál, Sylvie Guillaume, Monika Hohlmeier, Filiz Hyusmenova, Dietmar Köster, Barbara Kudrycka, Monica Macovei, Péter Niedermüller, Ivari Padar, Judith Sargentini, Birgit Sippel, Branislav Škripek, Sergei Stanishev, Traian Ungureanu, Josef Weidenholzer, Cecilia Wikström, Kristina Winberg, Auke Zijlstra |
||||
|
Suplentes presentes no momento da votação final |
Maria Grapini, Sylvia-Yvonne Kaufmann, Jeroen Lenaers, Andrejs Mamikins, Maite Pagazaurtundúa Ruiz, John Procter, Jaromír Štětina, Josep-Maria Terricabras, Axel Voss, Elissavet Vozemberg-Vrionidi |
||||