<Date>{04/11/2021}4.11.2021</Date>
<NoDocSe>A9-0313/2021</NoDocSe>
PDF 946kWORD 323k

<TitreType>RELATÓRIO</TitreType>     <RefProcLect>***I</RefProcLect>

<Titre>sobre a proposta de diretiva relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União e que revoga a Diretiva (UE) 2016/1148</Titre>

<DocRef>(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))</DocRef>


<Commission>{ITRE}Comissão da Indústria, da Investigação e da Energia</Commission>

Relator: <Depute>Bart Groothuis

Relator de parecer (*):

Lukas Mandl, Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos

(*) Comissões associadas – Artigo 57.º do Regimento

</Depute>

PROJETO DE RESOLUÇÃO LEGISLATIVA DO PARLAMENTO EUROPEU
 EXPOSIÇÃO DE MOTIVOS
 PARECER DA COMISSÃO DAS LIBERDADES CÍVICAS, DA JUSTIÇA E DOS ASSUNTOS INTERNOS
 PARECER DA COMISSÃO DOS ASSUNTOS EXTERNOS
 PARECER DA COMISSÃO DO MERCADO INTERNO E DA PROTEÇÃO DOS CONSUMIDORES
 PARECER DA COMISSÃO DOS TRANSPORTES E DO TURISMO
 PROCESSO DA COMISSÃO COMPETENTE QUANTO À MATÉRIA DE FUNDO
 VOTAÇÃO NOMINAL FINAL NA COMISSÃO COMPETENTE QUANTO À MATÉRIA DE FUNDO

PROJETO DE RESOLUÇÃO LEGISLATIVA DO PARLAMENTO EUROPEU

sobre a proposta de diretiva relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União e que revoga a Diretiva (UE) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

(Processo legislativo ordinário: primeira leitura)

O Parlamento Europeu,

 Tendo em conta a proposta da Comissão ao Parlamento e ao Conselho (COM(2020)0823),

 Tendo em conta o artigo 294.º, n.º 2, e o artigo 114.º do Tratado sobre o Funcionamento da União Europeia, nos termos dos quais a proposta lhe foi apresentada pela Comissão (C9‑0422/2020),

 Tendo em conta o artigo 294.º, n.º 3, do Tratado sobre o Funcionamento da União Europeia,

 Tendo em conta o parecer do Comité Económico e Social Europeu, de 27 de abril de 2021[1],

 Após consulta ao Comité das Regiões,

 Tendo em conta o artigo 59.º do seu Regimento,

 Tendo em conta os pareceres da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos, da Comissão dos Assuntos Externos, da Comissão do Mercado Interno e da Proteção dos Consumidores e da Comissão dos Transportes e do Turismo,

 Tendo em conta o relatório da Comissão da Indústria, da Investigação e da Energia (A9-0313/2021),

1. Aprova a posição em primeira leitura que se segue;

2. Requer à Comissão que lhe submeta de novo a sua proposta, se a substituir, se a alterar substancialmente ou se pretender alterá-la substancialmente;

3. Encarrega o seu Presidente de transmitir a posição do Parlamento ao Conselho, à Comissão e aos parlamentos nacionais.


<RepeatBlock-Amend><Amend>Alteração  <NumAm>1</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Título</Article>

 

Texto da Comissão

Alteração

Proposta de

Proposta de

DIRETIVA DO PARLAMENTO EUROPEU E DO CONSELHO

DIRETIVA DO PARLAMENTO EUROPEU E DO CONSELHO

relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União e que revoga a Diretiva (UE) 2016/1148

relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União (Diretiva SRI 2) e que revoga a Diretiva (UE) 2016/1148

</Amend><Amend>Alteração  <NumAm>2</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 1</Article>

 

Texto da Comissão

Alteração

(1) A Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho11 tinha por objetivo desenvolver as capacidades de cibersegurança em toda a União, atenuar as ameaças às redes e aos sistemas de informação utilizados para prestar serviços essenciais em setores-chave e garantir a continuidade de tais serviços em face de incidentes de cibersegurança, contribuindo assim para o eficaz funcionamento da economia e da sociedade da União.

(1) A Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho11, geralmente conhecida como «Diretiva SRI», tinha por objetivo desenvolver as capacidades de cibersegurança em toda a União, atenuar as ameaças às redes e aos sistemas de informação utilizados para prestar serviços essenciais em setores-chave e garantir a continuidade de tais serviços em face de incidentes de cibersegurança, contribuindo assim para a segurança e o eficaz funcionamento da economia e da sociedade da União.

__________________

__________________

11 Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (JO L 194/1 de 19.7.2016, p. 1).

11 Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (JO L 194/1 de 19.7.2016, p. 1).

</Amend><Amend>Alteração  <NumAm>3</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 3</Article>

 

Texto da Comissão

Alteração

(3) Com a rápida transformação digital e interligação da sociedade, nomeadamente nos intercâmbios transfronteiriços, as redes e os sistemas de informação passaram a ocupar um lugar central na vida quotidiana. Essa evolução originou um alargamento do cenário de ameaças à cibersegurança, criando novos desafios que exigem respostas adaptadas, coordenadas e inovadoras em todos os Estados-Membros. O número, a amplitude, a sofisticação, a frequência e o impacto dos incidentes de cibersegurança estão a aumentar e constituem uma grave ameaça ao funcionamento das redes e dos sistemas de informação. Consequentemente, os ciberincidentes podem impedir o exercício de atividades económicas no mercado interno, gerar perdas financeiras, minar a confiança dos utilizadores e causar graves prejuízos à economia e à sociedade da União. Por conseguinte, a preparação e a eficácia no domínio da cibersegurança nunca foram tão importantes para o bom funcionamento do mercado interno como agora.

(3) Com a rápida transformação digital e interligação da sociedade, nomeadamente nos intercâmbios transfronteiriços, as redes e os sistemas de informação passaram a ocupar um lugar central na vida quotidiana. Essa evolução originou um alargamento do cenário de ameaças à cibersegurança, criando novos desafios que exigem respostas adaptadas, coordenadas e inovadoras em todos os Estados-Membros. O número, a amplitude, a sofisticação, a frequência e o impacto dos incidentes de cibersegurança estão a aumentar e constituem uma grave ameaça ao funcionamento das redes e dos sistemas de informação. Consequentemente, os ciberincidentes podem impedir o exercício de atividades económicas no mercado interno, gerar perdas financeiras, minar a confiança dos utilizadores e causar graves prejuízos à economia e à sociedade da União. Por conseguinte, a preparação e a eficácia no domínio da cibersegurança nunca foram tão importantes para o bom funcionamento do mercado interno como agora. Além disso, a cibersegurança é um dos principais fatores que permitem que muitos setores críticos adiram com êxito à transformação digital e tirem pleno partido das vantagens económicas, sociais e sustentáveis da digitalização.

</Amend><Amend>Alteração  <NumAm>4</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 3-A (novo)</Article>

 

Texto da Comissão

Alteração

 

(3-A) Os incidentes e crises de cibersegurança em grande escala a nível da União exigem uma ação coordenada para assegurar uma resposta rápida e eficaz, devido ao elevado grau de interdependência entre setores e países. A existência de redes e sistemas de informação ciber-resilientes e a disponibilidade, confidencialidade e integridade dos dados são vitais para a segurança da União, dentro e fora das suas fronteiras, já que as ciberameaças podem ter origem fora da União. A ambição da UE de lograr um papel geopolítico mais proeminente também depende de uma capacidade credível de defesa e de dissuasão a nível cibernético, incluindo a capacidade de identificar ações maliciosas de forma atempada e eficaz e de responder adequadamente.

</Amend><Amend>Alteração  <NumAm>5</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 5</Article>

 

Texto da Comissão

Alteração

(5) Todas essas divergências implicam uma fragmentação do mercado interno e são suscetíveis de prejudicar o seu funcionamento, afetando, em especial, a prestação transfronteiriça de serviços e o nível de resiliência em matéria de cibersegurança devido à aplicação de normas diferentes. A presente diretiva visa eliminar essas divergências tão profundas entre os Estados-Membros, em especial estabelecendo regras mínimas relativas ao funcionamento de um quadro regulamentar coordenado, criando mecanismos para uma cooperação eficaz entre as autoridades responsáveis em cada Estado-Membro, atualizando a lista de setores e atividades sujeitas a obrigações em matéria de cibersegurança e prevendo vias de recurso e sanções eficazes que contribuam para a execução efetiva dessas obrigações. Por conseguinte, a Diretiva (UE) 2016/1148 deve ser revogada e substituída pela presente diretiva.

(5) Todas essas divergências implicam uma fragmentação do mercado interno e são suscetíveis de prejudicar o seu funcionamento, afetando, em especial, a prestação transfronteiriça de serviços e o nível de resiliência em matéria de cibersegurança devido à aplicação de normas diferentes. Em última análise, essas divergências poderiam conduzir a uma maior vulnerabilidade de alguns Estados-Membros às ameaças à cibersegurança, com potenciais repercussões em toda a União. A presente diretiva visa eliminar essas divergências tão profundas entre os Estados-Membros, em especial estabelecendo regras mínimas relativas ao funcionamento de um quadro regulamentar coordenado, criando mecanismos para uma cooperação eficaz entre as autoridades responsáveis em cada Estado-Membro, atualizando a lista de setores e atividades sujeitas a obrigações em matéria de cibersegurança e prevendo vias de recurso e sanções eficazes que contribuam para a execução efetiva dessas obrigações. Por conseguinte, a Diretiva (UE) 2016/1148 deve ser revogada e substituída pela presente diretiva (Diretiva SRI 2).

</Amend><Amend>Alteração  <NumAm>6</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 6</Article>

 

Texto da Comissão

Alteração

(6) A presente diretiva não afeta a possibilidade de cada Estado-Membro tomar as medidas necessárias para garantir a proteção dos interesses essenciais da sua própria segurança, salvaguardar a ordem e a segurança públicas e permitir a investigação, a deteção e a repressão de infrações penais, em conformidade com o direito da União. Nos termos do artigo 346.º do TFUE, nenhum Estado-Membro é obrigado a fornecer informações cuja divulgação seria contrária aos interesses essenciais da sua segurança pública. São pertinentes neste contexto as regras nacionais e da União relativas à proteção de informações classificadas, os acordos de não divulgação e os acordos de não divulgação informais, tais como o protocolo «sinalização luminosa» (Traffic Light Protocol)14.

(6) A presente diretiva não afeta a possibilidade de cada Estado-Membro tomar as medidas necessárias para garantir a proteção dos interesses essenciais da sua própria segurança, salvaguardar a ordem e a segurança públicas e permitir a prevenção, a investigação, a deteção e a repressão de infrações penais, em conformidade com o direito da União. Nos termos do artigo 346.º do TFUE, nenhum Estado-Membro é obrigado a fornecer informações cuja divulgação seria contrária aos interesses essenciais da sua segurança pública. São pertinentes neste contexto as regras nacionais e da União relativas à proteção de informações classificadas, os acordos de não divulgação e os acordos de não divulgação informais, tais como o protocolo «sinalização luminosa» (Traffic Light Protocol)14.

__________________

__________________

14 O protocolo «sinalização luminosa» é um instrumento que permite a uma pessoa que partilha informações advertir os destinatários sobre possíveis limitações à disseminação posterior das mesmas. É utilizado em quase todas as comunidades de CSIRT e em alguns centros de partilha e análise de informações.

14 O protocolo «sinalização luminosa» é um instrumento que permite a uma pessoa que partilha informações advertir os destinatários sobre possíveis limitações à disseminação posterior das mesmas. É utilizado em quase todas as comunidades de CSIRT e em alguns centros de partilha e análise de informações.

</Amend><Amend>Alteração  <NumAm>7</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 7</Article>

 

Texto da Comissão

Alteração

(7) Com a revogação da Diretiva (UE) 2016/1148, o âmbito de aplicação por setor deve ser alargado a uma parte mais vasta da economia à luz dos aspetos referidos nos considerandos 4 a 6. Por conseguinte, é necessário alargar os setores abrangidos pela Diretiva (UE) 2016/1148, a fim de assegurar uma cobertura exaustiva dos setores e serviços de importância vital para as atividades económicas e sociais fundamentais no mercado interno. As regras não podem ser diferentes consoante as entidades sejam operadores de serviços essenciais ou prestadores de serviços digitais. Essa diferenciação revelou-se obsoleta, uma vez que não reflete a real importância dos setores ou serviços para as atividades económicas e sociais no mercado interno.

(7) Com a revogação da Diretiva (UE) 2016/1148, o âmbito de aplicação por setor deve ser alargado a uma parte mais vasta da economia à luz dos aspetos referidos nos considerandos 4 a 6. Por conseguinte, é necessário alargar os setores abrangidos pela Diretiva (UE) 2016/1148, a fim de assegurar uma cobertura exaustiva dos setores e serviços de importância vital para as atividades económicas e sociais fundamentais no mercado interno. Os requisitos em matéria de gestão de riscos e as obrigações de notificação não podem ser diferentes consoante as entidades sejam operadores de serviços essenciais ou prestadores de serviços digitais. Essa diferenciação revelou-se obsoleta, uma vez que não reflete a real importância dos setores ou serviços para as atividades económicas e sociais no mercado interno.

</Amend><Amend>Alteração  <NumAm>8</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 8</Article>

 

Texto da Comissão

Alteração

(8) Nos termos da Diretiva (UE) 2016/1148, cabia aos Estados-Membros determinar as entidades que cumpriam os critérios de classificação como operadores de serviços essenciais (a seguir designado por «processo de identificação»). A fim de eliminar as profundas divergências entre os Estados-Membros nesse domínio e proporcionar a todas as entidades jurídicas pertinentes segurança jurídica no que respeita aos requisitos de gestão de riscos e às obrigações de notificação, há que estabelecer um critério uniforme para identificar as entidades abrangidas pelo âmbito da presente diretiva. Tal critério deve consistir na aplicação da regra da limitação com base na dimensão da empresa, nos termos da qual todas as médias e grandes empresas, na aceção da Recomendação 2003/361/CE da Comissão15, que atuam nos setores ou prestam o tipo de serviços abrangidos pela presente diretiva estão abrangidas pelo seu âmbito. Não deve ser exigido aos Estados-Membros que elaborem uma lista das entidades que cumprem este critério de aplicação geral relacionado com a dimensão.

(8) Nos termos da Diretiva (UE) 2016/1148, cabia aos Estados-Membros determinar as entidades que cumpriam os critérios de classificação como operadores de serviços essenciais (a seguir designado por «processo de identificação»). A fim de eliminar as profundas divergências entre os Estados-Membros nesse domínio e proporcionar a todas as entidades jurídicas pertinentes segurança jurídica no que respeita aos requisitos de gestão de riscos e às obrigações de notificação, há que estabelecer um critério uniforme para identificar as entidades abrangidas pelo âmbito da presente diretiva. Tal critério deve consistir na aplicação da regra da limitação com base na dimensão da empresa, nos termos da qual todas as médias e grandes empresas, na aceção da Recomendação 2003/361/CE da Comissão15, que atuam nos setores ou prestam o tipo de serviços abrangidos pela presente diretiva estão abrangidas pelo seu âmbito.

__________________

__________________

15 Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003, relativa à definição de micro, pequenas e médias empresas (JO L 124 de 20.5.2003, p. 36).

15 Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003, relativa à definição de micro, pequenas e médias empresas (JO L 124 de 20.5.2003, p. 36).

</Amend><Amend>Alteração  <NumAm>9</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 9</Article>

 

Texto da Comissão

Alteração

(9) No entanto, as micro ou pequenas entidades que preencham certos critérios que indiciem o desempenho de um papel fundamental para as economias ou sociedades dos Estados-Membros ou para setores ou tipos de serviços específicos devem também estar abrangidas pela presente diretiva. Os Estados-Membros devem ser incumbidos de elaborar uma lista de tais entidades e apresentá-la à Comissão.

(9) No entanto, as micro ou pequenas entidades que preencham certos critérios que indiciem o desempenho de um papel fundamental para as economias ou sociedades dos Estados-Membros ou para setores ou tipos de serviços específicos devem também estar abrangidas pela presente diretiva.

</Amend><Amend>Alteração  <NumAm>10</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 9-A (novo)</Article>

 

Texto da Comissão

Alteração

 

(9-A) Os Estados-Membros devem estabelecer uma lista de todas as entidades essenciais e importantes. Essa lista deve incluir as entidades que satisfazem os critérios geralmente aplicáveis em matéria de dimensão, bem como as pequenas empresas e as microempresas que preenchem determinados critérios indicativos do seu papel fundamental para as economias ou sociedades dos Estados-Membros. Para que as equipas de resposta a incidentes de segurança informática (CSIRT) e as autoridades competentes prestem assistência e alertem as entidades para incidentes cibernéticos que possam afetá-las, é importante que essas autoridades disponham dos dados de contacto corretos das entidades. Por conseguinte, as entidades essenciais e importantes devem enviar, pelo menos, as seguintes informações às autoridades competentes: o nome, o endereço e os contactos atualizados da entidade, incluindo os endereços de correio eletrónico, as gamas IP, os números de telefone e o(s) setor(es) e subsetor(es)referidos nos anexos I e II em causa. As entidades devem notificar as autoridades competentes de quaisquer alterações a essas informações. Os Estados-Membros devem assegurar, sem demora injustificada, que essas informações possam ser facilmente fornecidas através de um ponto de contacto único. Para o efeito, a ENISA, em cooperação com o grupo de cooperação, deve emitir, sem demora injustificada, orientações e modelos relativos às obrigações de notificação. Os Estados-Membros devem notificar a Comissão e o grupo de cooperação do número de entidades essenciais e importantes. Os Estados-Membros devem igualmente notificar à Comissão, para efeitos da revisão referida na presente diretiva, os nomes das pequenas empresas e das microempresas identificadas como entidades essenciais e importantes, a fim de permitir à Comissão avaliar a coerência entre as abordagens dos Estados-Membros. Essas informações devem ser tratadas como estritamente confidenciais.

</Amend><Amend>Alteração  <NumAm>11</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 10</Article>

 

Texto da Comissão

Alteração

(10) Em cooperação com o grupo de cooperação, a Comissão pode emitir orientações sobre a aplicação dos critérios relativos às micro e pequenas empresas.

(10) Em cooperação com o grupo de cooperação e as partes interessadas pertinentes, a Comissão deve emitir orientações sobre a aplicação dos critérios relativos às microempresas e às pequenas empresas. A Comissão deve também garantir o fornecimento de orientações adequadas a todas as micro e pequenas empresas abrangidas pelo âmbito de aplicação da presente diretiva. A Comissão, com o apoio dos Estados-Membros, deve fornecer às microempresas e às pequenas empresas informações a este respeito.

</Amend><Amend>Alteração  <NumAm>12</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 10-A (novo)</Article>

 

Texto da Comissão

Alteração

 

(10-A) A Comissão deve também emitir orientações para apoiar os Estados-Membros na correta aplicação das disposições relativas ao âmbito de aplicação e para avaliar a proporcionalidade das obrigações estabelecidas na presente diretiva, em particular no que toca a entidades com modelos de negócio ou ambientes operacionais complexos, em que uma entidade pode simultaneamente preencher os critérios atribuídos a entidades essenciais e a entidades importantes ou pode simultaneamente desenvolver atividades das quais algumas são abrangidas pelo âmbito de aplicação da presente diretiva e outras não.

</Amend><Amend>Alteração  <NumAm>13</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 12</Article>

 

Texto da Comissão

Alteração

(12) A legislação e os instrumentos setoriais podem contribuir para assegurar elevados níveis de cibersegurança, tomando simultaneamente em plena consideração as especificidades e complexidades dos setores em causa. Nos casos em que um ato jurídico setorial da União exija que entidades essenciais ou importantes adotem medidas de gestão dos riscos de cibersegurança ou notifiquem incidentes ou ciberameaças significativas com, pelo menos, um efeito equivalente ao das obrigações estabelecidas na presente diretiva, devem aplicar-se essas disposições setoriais, nomeadamente em matéria de supervisão e execução coerciva. A Comissão pode emitir orientações relativas à aplicação da lex specialis. A presente diretiva não obsta à adoção de outros atos setoriais da União relacionados com medidas de gestão dos riscos de cibersegurança e notificação de incidentes. A presente diretiva não prejudica as atuais competências de execução atribuídas à Comissão em vários setores, incluindo transportes e energia.

(12) A legislação e os instrumentos setoriais podem contribuir para assegurar elevados níveis de cibersegurança, tomando simultaneamente em plena consideração as especificidades e complexidades dos setores em causa. Os atos jurídicos setoriais da União que exigem que as entidades essenciais ou importantes adotem medidas de gestão dos riscos de cibersegurança ou notifiquem incidentes significativos devem, sempre que possível, ser coerentes com a terminologia da presente diretiva e remeter para as definições nela previstas. Nos casos em que um ato jurídico setorial da União exija que entidades essenciais ou importantes adotem medidas de gestão dos riscos de cibersegurança ou notifiquem incidentes, e caso esses requisitos tenham, pelo menos, um efeito equivalente ao das obrigações estabelecidas na presente diretiva, e seja aplicável à totalidade dos aspetos de segurança das operações e serviços prestados por entidades essenciais e importantes, devem aplicar-se essas disposições setoriais, nomeadamente em matéria de supervisão e execução coerciva. A Comissão deve emitir orientações abrangentes relativas à aplicação da lex specialis, tendo em conta os pareceres, os conhecimentos especializados e as boas práticas pertinentes da ENISA e do grupo de cooperação. A presente diretiva não obsta à adoção de outros atos setoriais da União relacionados com medidas de gestão dos riscos de cibersegurança e notificação de incidentes que tenham em devida conta a necessidade de um quadro de cibersegurança exaustivo e coerente. A presente diretiva não prejudica as atuais competências de execução atribuídas à Comissão em vários setores, incluindo transportes e energia.

</Amend><Amend>Alteração  <NumAm>14</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 14</Article>

 

Texto da Comissão

Alteração

(14) Tendo em conta as interligações entre a cibersegurança e a segurança física das entidades, importa assegurar uma abordagem coerente entre a Diretiva (UE) XXX/XXX do Parlamento Europeu e do Conselho17 e a presente diretiva. Para tal, os Estados-Membros devem assegurar que as entidades críticas e as entidades equivalentes nos termos da Diretiva (UE) XXX/XXX sejam consideradas entidades essenciais no âmbito da presente diretiva. Os Estados-Membros devem ainda garantir que as suas estratégias de cibersegurança prevejam um quadro político para o reforço da cooperação entre a autoridade competente ao abrigo da presente diretiva e a autoridade competente ao abrigo da Diretiva (UE) XXX/XXX no contexto da partilha de informações sobre incidentes e ciberameaças e do exercício de funções de supervisão. As autoridades referidas nas duas diretivas devem cooperar e trocar informações, especialmente no que respeita à identificação de entidades críticas, ciberameaças, riscos de cibersegurança e incidentes que afetem entidades críticas, bem como sobre as medidas de cibersegurança adotadas por entidades críticas. A pedido das autoridades competentes ao abrigo da Diretiva (UE) XXX/XXX, as autoridades competentes ao abrigo da presente diretiva devem poder exercer as suas competências de supervisão e execução coerciva em relação a uma entidade essencial identificada como crítica. Ambas as autoridades devem cooperar e trocar informações para este fim.

(14) Tendo em conta as interligações entre a cibersegurança e a segurança física das entidades, importa assegurar uma abordagem coerente entre a Diretiva (UE) XXX/XXX do Parlamento Europeu e do Conselho17 e a presente diretiva. Para tal, os Estados-Membros devem assegurar que as entidades críticas e as entidades equivalentes nos termos da Diretiva (UE) XXX/XXX sejam consideradas entidades essenciais no âmbito da presente diretiva. Os Estados-Membros devem ainda garantir que as suas estratégias de cibersegurança prevejam um quadro político para o reforço da cooperação entre as autoridades competentes nos Estados-Membros e entre os Estados-Membros ao abrigo da presente diretiva e a autoridade competente ao abrigo da Diretiva (UE) XXX/XXX no contexto da partilha de informações sobre incidentes e ciberameaças e do exercício de funções de supervisão. As autoridades referidas nas duas diretivas devem cooperar e trocar informações sem demora injustificada, especialmente no que respeita à identificação de entidades críticas, ciberameaças, riscos de cibersegurança e incidentes que afetem entidades críticas, bem como sobre as medidas de cibersegurança adotadas por entidades críticas. A pedido das autoridades competentes ao abrigo da Diretiva (UE) XXX/XXX, as autoridades competentes ao abrigo da presente diretiva devem poder exercer as suas competências de supervisão e execução coerciva em relação a uma entidade essencial identificada como crítica. Ambas as autoridades devem cooperar e trocar informações para este fim, se possível em tempo real.

__________________

__________________

17 [Serviço das Publicações: inserir o título completo e a referência de publicação no JO quando forem conhecidos].

17 [Serviço das Publicações: inserir o título completo e a referência de publicação no JO quando forem conhecidos].

</Amend>

<Amend>Alteração  <NumAm>15</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 15</Article>

 

Texto da Comissão

Alteração

(15) A proteção e conservação de um sistema de nomes de domínio (DNS) fiável, resiliente e seguro é um fator crucial para manter a integridade da Internet, sendo igualmente essencial para a continuidade e a estabilidade do seu funcionamento, das quais a sociedade e a economia digital dependem. Consequentemente, a presente diretiva deve ser aplicável a todos os prestadores de serviços de DNS ao longo da cadeia de resolução do DNS, incluindo operadores de servidores de nomes da zona raiz, servidores de nomes de domínio de topo, servidores de nomes com autoridade para nomes de domínio e servidores recursivos.

(15) A proteção e conservação de um sistema de nomes de domínio (DNS) fiável, resiliente e seguro é um fator crucial para manter a integridade da Internet, sendo igualmente essencial para a continuidade e a estabilidade do seu funcionamento, das quais a sociedade e a economia digital dependem. Consequentemente, a presente diretiva deve ser aplicável a servidores de nomes de domínio de topo, serviços de resolução recursiva de nomes de domínio disponíveis ao público para utilizadores finais de Internet e serviços de resolução com autoridade para nomes de domínio. A presente diretiva não é aplicável a servidores de nomes da zona raiz.

</Amend>

<Amend>Alteração  <NumAm>16</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 19</Article>

 

Texto da Comissão

Alteração

(19) Os prestadores de serviços postais, na aceção da Diretiva 97/67/CE do Parlamento Europeu e do Conselho18, bem como os prestadores de serviços de correio expresso e estafeta, devem ser abrangidos pela presente diretiva se realizarem, pelo menos, uma das atividades na cadeia de entrega postal, em especial recolha, triagem ou distribuição, incluindo serviços de levantamento. Os serviços de transporte que não sejam prestados em conjunto com uma dessas atividades não devem estar abrangidos pelo âmbito dos serviços postais.

(19) Os prestadores de serviços postais, na aceção da Diretiva 97/67/CE do Parlamento Europeu e do Conselho18, bem como os prestadores de serviços de correio expresso e estafeta, devem ser abrangidos pela presente diretiva se realizarem, pelo menos, uma das atividades na cadeia de entrega postal, em especial recolha, triagem ou distribuição, incluindo serviços de levantamento, tendo em conta o grau da sua dependência da rede e de sistemas de informação. Os serviços de transporte que não sejam prestados em conjunto com uma dessas atividades não devem estar abrangidos pelo âmbito dos serviços postais.

__________________

__________________

18 Diretiva 97/67/CE do Parlamento Europeu e do Conselho, de 15 de dezembro de 1997, relativa às regras comuns para o desenvolvimento do mercado interno dos serviços postais comunitários e a melhoria da qualidade de serviço (JO L 15 de 21.1.1998, p. 14).

18 Diretiva 97/67/CE do Parlamento Europeu e do Conselho, de 15 de dezembro de 1997, relativa às regras comuns para o desenvolvimento do mercado interno dos serviços postais comunitários e a melhoria da qualidade de serviço (JO L 15 de 21.1.1998, p. 14).

</Amend><Amend>Alteração  <NumAm>17</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 20</Article>

 

Texto da Comissão

Alteração

(20) Estas crescentes interdependências resultam de uma rede de prestação de serviços com um caráter cada vez mais transfronteiriço e interdependente, que utiliza infraestruturas essenciais em toda a União nos setores da energia, dos transportes, das infraestruturas digitais, da água potável e das águas residuais, da saúde, de certos aspetos da administração pública, bem como no setor do espaço no que se refere à prestação de certos serviços que dependem de infraestruturas terrestres detidas, geridas e operadas por Estados-Membros ou por entidades privadas, não abrangendo, portanto, as infraestruturas detidas, geridas ou operadas pela União ou em seu nome no âmbito dos seus programas espaciais. Em virtude dessas interdependências, qualquer perturbação, mesmo que inicialmente confinada a uma entidade ou a um setor, pode ter repercussões mais vastas e causar impactos negativos generalizados e duradouros na prestação de serviços em todo o mercado interno. A pandemia de COVID-19 revelou a vulnerabilidade das nossas sociedades, cada vez mais interdependentes, perante riscos com baixa probabilidade de ocorrência.

(20) Estas crescentes interdependências resultam de uma rede de prestação de serviços com um caráter cada vez mais transfronteiriço e interdependente, que utiliza infraestruturas essenciais em toda a União nos setores da energia, dos transportes, das infraestruturas digitais, da água potável e das águas residuais, da saúde, de certos aspetos da administração pública, bem como no setor do espaço no que se refere à prestação de certos serviços que dependem de infraestruturas terrestres detidas, geridas e operadas por Estados-Membros ou por entidades privadas, não abrangendo, portanto, as infraestruturas detidas, geridas ou operadas pela União ou em seu nome no âmbito dos seus programas espaciais. Em virtude dessas interdependências, qualquer perturbação, mesmo que inicialmente confinada a uma entidade ou a um setor, pode ter repercussões mais vastas e causar impactos negativos generalizados e duradouros na prestação de serviços em todo o mercado interno. A intensificação dos ataques contra a rede e contra sistemas de informação durante a pandemia de COVID-19 revelou a vulnerabilidade das nossas sociedades, cada vez mais interdependentes, perante riscos com baixa probabilidade de ocorrência.

</Amend><Amend>Alteração  <NumAm>18</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 24</Article>

 

Texto da Comissão

Alteração

(24) Os Estados-Membros devem estar adequadamente equipados, em termos de capacidade técnica e organizativa, para evitar, detetar e atenuar os incidentes e os riscos ligados às redes e aos sistemas de informação, e para os enfrentar. Por conseguinte, devem dispor de CSIRT, também conhecidas por equipas de resposta a emergências informáticas (CERT), que funcionem bem e que preencham os requisitos essenciais para garantir capacidades efetivas e compatíveis para fazer face aos incidentes e aos riscos e para assegurar uma cooperação eficaz a nível da União. No intuito de melhorar a relação de confiança entre as entidades e as CSIRT, nos casos em que a autoridade competente disponha de uma CSIRT, os Estados-Membros devem ponderar a separação funcional entre as funções operacionais desempenhadas pelas CSIRT, especialmente no que respeita à partilha de informações e ao apoio às entidades, e as atividades de supervisão das autoridades competentes.

(24) Os Estados-Membros devem estar adequadamente equipados, em termos de capacidade técnica e organizativa, para evitar, detetar e atenuar os incidentes e os riscos ligados às redes e aos sistemas de informação, e para os enfrentar. Por conseguinte, devem designar uma ou mais CSIRT, ao abrigo da presente diretiva e assegurar que funcionem bem e que preencham os requisitos essenciais para garantir capacidades efetivas e compatíveis para fazer face aos incidentes e aos riscos e para assegurar uma cooperação eficaz a nível da União. Os Estados-Membros podem designar como CSIRT equipas de resposta a emergências informáticas (CERT) existentes. No intuito de melhorar a relação de confiança entre as entidades e as CSIRT, nos casos em que a autoridade competente disponha de uma CSIRT, os Estados-Membros devem ponderar a separação funcional entre as funções operacionais desempenhadas pelas CSIRT, especialmente no que respeita à partilha de informações e ao apoio às entidades, e as atividades de supervisão das autoridades competentes.

</Amend><Amend>Alteração  <NumAm>19</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 25</Article>

 

Texto da Comissão

Alteração

(25) No que respeita a dados pessoais, as CSIRT devem poder facultar, em conformidade com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho19, em nome ou a pedido de uma entidade ao abrigo da presente diretiva, uma análise proativa da rede e dos sistemas de segurança utilizados para prestarem os seus serviços. Os Estados-Membros devem procurar garantir que todas as CSIRT setoriais possuam o mesmo nível de capacidades técnicas. Os Estados-Membros poderão solicitar a assistência da Agência da União Europeia para a Cibersegurança (ENISA) no desenvolvimento de CSIRT nacionais.

(25) No que respeita a dados pessoais, as CSIRT devem poder facultar, em conformidade com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho19, em nome ou a pedido de uma entidade ao abrigo da presente diretiva, ou em caso de ameaça grave à segurança nacional, uma análise proativa da rede e dos sistemas de segurança utilizados para prestarem os seus serviços. Os Estados-Membros devem procurar garantir que todas as CSIRT setoriais possuam o mesmo nível de capacidades técnicas. Os Estados-Membros poderão solicitar a assistência da Agência da União Europeia para a Cibersegurança (ENISA) no desenvolvimento de CSIRT nacionais.

__________________

__________________

19 Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

19 Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

</Amend> <Amend>Alteração  <NumAm>20</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 25-A (novo)</Article>

 

Texto da Comissão

Alteração

 

(25-A) As CSIRT devem ter capacidade para, a pedido de uma entidade, descobrir, gerir e monitorizar continuamente todos os ativos com acesso à Internet, tanto nas instalações como fora delas, para compreender o risco global organizacional face a recém-descobertas exposições da cadeia de fornecimento ou a vulnerabilidades críticas. O conhecimento de que uma entidade gere uma interface de gestão privilegiada afeta a rapidez da realização de ações de atenuação.

</Amend><Amend>Alteração  <NumAm>21</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 26</Article>

 

Texto da Comissão

Alteração

(26) Tendo em conta a importância da cooperação internacional em matéria de cibersegurança, as CSIRT devem poder participar em redes de cooperação internacional, em complemento da rede de CSIRT criada pela presente diretiva.

(26) Tendo em conta a importância da cooperação internacional em matéria de cibersegurança, as CSIRT devem poder participar em redes de cooperação internacional, incluindo com CSIRT de países terceiros se o intercâmbio de informações for recíproco e benéfico para a segurança de cidadãos e entidades, em complemento da rede de CSIRT criada pela presente diretiva, a fim de contribuírem para o desenvolvimento de normas da União capazes de moldar o panorama de cibersegurança a nível internacional. Os Estados-Membros podem igualmente estudar a possibilidade de intensificar a cooperação com países parceiros e organizações internacionais que partilham os mesmos valores, com vista a garantir acordos multilaterais em matéria de cibernormas, comportamentos estatais e não estatais responsáveis no ciberespaço e uma governação digital global eficaz, bem como a criar um ciberespaço aberto, livre, estável e seguro assente no direito internacional.

</Amend>

<Amend>Alteração  <NumAm>22</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 26-A (novo)</Article>

 

Texto da Comissão

Alteração

 

(26-A) As políticas de ciber-higiene garantem as bases para a proteção da segurança das infraestruturas das redes e dos sistemas de informação, do hardware, do software e das aplicações em linha, bem como dos dados das empresas ou dos utilizadores finais dos quais as entidades dependem. As políticas de ciber-higiene que comportam um conjunto comum de práticas de base, incluindo, numa enumeração não exaustiva, atualizações de software e hardware, alterações de palavra-passe, gestão de novas instalações, limitação das contas de acesso a nível de administrador e salvaguarda de dados, asseguram um quadro proativo de preparação e de proteção e segurança gerais em caso de incidentes ou ameaças. A ENISA deve acompanhar e avaliar as políticas de ciber-higiene dos Estados-Membros, bem como explorar sistemas à escala da União que permitam controlos transfronteiriços que assegurem a equivalência, independentemente dos requisitos dos Estados-Membros.

</Amend><Amend>Alteração  <NumAm>23</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 26-B (novo)</Article>

 

Texto da Comissão

Alteração

 

(26-B) A utilização da inteligência artificial (IA) na cibersegurança tem potencial para melhorar a deteção e impedir ataques contra as redes e os sistemas de informação, permitindo que os recursos sejam desviados para ataques mais sofisticados. Os Estados-Membros devem, por conseguinte, incentivar, nas suas estratégias nacionais, a utilização de ferramentas (semi-)automatizadas no domínio da cibersegurança e a partilha dos dados necessários para formar e melhorar as ferramentas automatizadas no domínio da cibersegurança. A fim de atenuar os riscos de interferência indevida nos direitos e liberdades das pessoas singulares que os sistemas assentes na IA possam colocar, aplicam-se os requisitos de proteção de dados desde a conceção e por defeito estabelecidos no artigo 25.º do Regulamento (UE) 2016/679. A integração de salvaguardas adequadas, como a pseudonimização, a cifragem, a exatidão e a minimização dos dados, poderá, além disso, atenuar esses riscos.

</Amend><Amend>Alteração  <NumAm>24</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 26-C (novo)</Article>

 

Texto da Comissão

Alteração

 

(26-C) As ferramentas e aplicações de cibersegurança de código aberto podem contribuir para um maior grau de transparência e ter um impacto positivo na eficiência da inovação industrial. As normas abertas facilitam a interoperabilidade entre as ferramentas de segurança, beneficiando a segurança das partes interessadas do setor. As ferramentas e aplicações de código aberto em matéria de cibersegurança podem impulsionar a comunidade mais ampla de programadores, permitindo que as entidades prossigam a diversificação dos fornecedores e estratégias de segurança abertas. A segurança aberta pode conduzir a um processo de verificação mais transparente das ferramentas relacionadas com a cibersegurança e a um processo de deteção de vulnerabilidades impulsionado pela comunidade. Os Estados-Membros devem, por conseguinte, promover a adoção de software de código aberto e de normas abertas, prosseguindo políticas relativas à utilização de dados abertos e de fontes abertas como parte da segurança através da transparência. As políticas que promovem a adoção e a utilização sustentável de ferramentas de cibersegurança revestem-se de especial importância para as pequenas e médias empresas (PME) que fazem face a custos significativos de implementação, os quais podem ser minimizados com a redução da necessidade de aplicações ou ferramentas específicas.

</Amend><Amend>Alteração  <NumAm>25</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 26-D (novo)</Article>

 

Texto da Comissão

Alteração

 

(26-D) As parcerias público-privadas (PPP) no domínio da cibersegurança podem assegurar o quadro adequado para o intercâmbio de conhecimentos, a partilha de boas práticas e o estabelecimento de um nível comum de entendimento entre todas as partes interessadas. Os Estados-Membros devem adotar políticas que sustentem o estabelecimento de PPP específicas para a cibersegurança no âmbito das suas estratégias nacionais de cibersegurança. Essas políticas devem clarificar, nomeadamente, o âmbito e as partes interessadas envolvidas, o modelo de governação, as opções de financiamento disponíveis e a interação entre as partes interessadas participantes. As PPP podem mobilizar os conhecimentos especializados de entidades do setor privado para apoiar as autoridades competentes dos Estados-Membros no desenvolvimento de serviços e processos de vanguarda, incluindo, nomeadamente, o intercâmbio de informações, alertas precoces, exercícios em matéria de ciberameaças e de incidentes, gestão de crises e planeamento da resiliência.

</Amend><Amend>Alteração  <NumAm>26</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 27</Article>

 

Texto da Comissão

Alteração

(27) Nos termos do anexo da Recomendação (UE) 2017/1548 da Comissão, sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala («plano de ação»)20, entende-se por incidente em larga escala um incidente com um impacto significativo em, pelo menos, dois Estados-Membros ou que cause perturbações tão extensas que ultrapassem a capacidade de resposta de um Estado-Membro. Consoante a sua causa e o seu impacto, os incidentes em grande escala poderão agravar-se e transformar-se em verdadeiras crises que impeçam o correto funcionamento do mercado interno. Tendo em conta o vasto alcance e, em muitos casos, o caráter transfronteiriço de tais incidentes, é importante que os Estados-Membros e as instituições, organismos e agências competentes da União cooperem a nível técnico, operacional e político para coordenarem eficazmente a resposta em toda a União.

(27) Nos termos do anexo da Recomendação (UE) 2017/1548 da Comissão, sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala («plano de ação»)20, entende-se por incidente em larga escala um incidente com um impacto significativo em, pelo menos, dois Estados-Membros ou que cause perturbações tão extensas que ultrapassem a capacidade de resposta de um Estado-Membro. Consoante a sua causa e o seu impacto, os incidentes em grande escala poderão agravar-se e transformar-se em verdadeiras crises que impeçam o correto funcionamento do mercado interno ou coloquem graves riscos em termos de segurança pública e proteção para entidades ou cidadãos em vários Estados-Membros ou na totalidade da União. Tendo em conta o vasto alcance e, em muitos casos, o caráter transfronteiriço de tais incidentes, é importante que os Estados-Membros e as instituições, organismos e agências competentes da União cooperem a nível técnico, operacional e político para coordenarem eficazmente a resposta em toda a União.

__________________

__________________

20 Recomendação (UE) 2017/1584 da Comissão, de 13 de setembro de 2017, sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala (JO L 239 de 19.9.2017, p. 36).

20 Recomendação (UE) 2017/1584 da Comissão, de 13 de setembro de 2017, sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala (JO L 239 de 19.9.2017, p. 36).

</Amend><Amend>Alteração  <NumAm>27</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 27-A (novo)</Article>

 

Texto da Comissão

Alteração

 

(27-A) Os Estados-Membros devem abordar, nas suas estratégias nacionais de cibersegurança, as necessidades específicas das PME em matéria de cibersegurança. As PME representam, no contexto da União, uma grande percentagem do mercado industrial e comercial e debatem-se frequentemente com dificuldades na adaptação às novas práticas empresariais num mundo mais ligado, navegando no ambiente digital, com os empregados a trabalhar a partir de casa e negócios que se fazem cada vez mais em linha. Algumas PME enfrentam desafios de cibersegurança específicos, como uma limitada sensibilização para o ciberespaço, a falta de segurança informática à distância, o elevado custo das soluções de cibersegurança e um nível acrescido de ameaça, como o software de sequestro («ransomware»), em relação aos quais devem receber orientações e apoio. Os Estados-Membros devem dispor de um ponto único de contacto de cibersegurança para as PME, que dê orientações e apoie as PME ou as encaminhe para as entidades adequadas que lhes deem orientações e prestem apoio em questões relacionadas com a cibersegurança. Os Estados-Membros são incentivados a oferecer também serviços, como a configuração de sítios Web e o registo de dados, às pequenas empresas e às microempresas que não dispõem dessas capacidades.

</Amend><Amend>Alteração  <NumAm>28</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 27-B (novo)</Article>

 

Texto da Comissão

Alteração

 

(27-B) Os Estados-Membros devem adotar políticas de promoção da ciberdefesa ativa no âmbito das suas estratégias nacionais de cibersegurança. A ciberdefesa ativa consiste na prevenção, deteção, monitorização, análise e atenuação proativas de violações da segurança da rede, combinadas com a utilização de capacidades utilizadas dentro ou fora da rede da vítima. A capacidade de partilhar rápida e automaticamente e de compreender informações e análises de ameaças, alertas de ciberatividade e ações de resposta é fundamental para permitir unir esforços na deteção, prevenção e abordagem bem-sucedidas de ataques contra as redes e os sistemas de informação. A ciberdefesa ativa baseia-se numa estratégia defensiva que exclui medidas ofensivas contra infraestruturas civis críticas.

</Amend><Amend>Alteração  <NumAm>29</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 28</Article>

 

Texto da Comissão

Alteração

(28) Uma vez que a exploração das vulnerabilidades das redes e dos sistemas de informação pode causar perturbações e danos consideráveis, a celeridade na identificação e correção de tais vulnerabilidades é um fator importante na redução dos riscos de cibersegurança. As entidades que desenvolvem esses sistemas devem, por conseguinte, estabelecer procedimentos adequados para fazer face a vulnerabilidades quando estas sejam detetadas. Uma vez que as vulnerabilidades são frequentemente detetadas e notificadas (divulgadas) por terceiros (entidades notificadoras), o fabricante ou fornecedor de produtos ou prestador de serviços de TIC deve adotar igualmente os procedimentos necessários para receber informações sobre vulnerabilidades fornecidas por terceiros. Nesta matéria, as normas internacionais ISO/IEC 30111 e ISO/IEC 29417 fornecem orientações sobre o tratamento de vulnerabilidades e a divulgação de vulnerabilidades, respetivamente. No que respeita à divulgação de vulnerabilidades, a coordenação entre as entidades notificadoras e os fabricantes ou fornecedores de produtos ou prestadores de serviços de TIC assume especial importância. A divulgação coordenada de vulnerabilidades especifica um processo estruturado mediante o qual as vulnerabilidades são notificadas às organizações de uma forma que lhes permite diagnosticar e corrigir as vulnerabilidades antes de serem divulgadas informações pormenorizadas sobre as mesmas a terceiros ou ao público. A divulgação coordenada de vulnerabilidades deve abranger também a coordenação entre a entidade notificadora e a organização no que respeita ao momento da correção e da publicação das vulnerabilidades.

(28) Uma vez que a exploração das vulnerabilidades das redes e dos sistemas de informação pode causar perturbações e danos consideráveis, a celeridade na identificação e correção de tais vulnerabilidades é um fator importante na redução dos riscos de cibersegurança. As entidades que desenvolvem esses sistemas devem, por conseguinte, estabelecer procedimentos adequados para fazer face a vulnerabilidades quando estas sejam detetadas. Uma vez que as vulnerabilidades são frequentemente detetadas e notificadas (divulgadas) por terceiros (entidades notificadoras), o fabricante ou fornecedor de produtos ou prestador de serviços de TIC deve adotar igualmente os procedimentos necessários para receber informações sobre vulnerabilidades fornecidas por terceiros. Nesta matéria, as normas internacionais ISO/IEC 30111 e ISO/IEC 29417 fornecem orientações sobre o tratamento de vulnerabilidades e a divulgação de vulnerabilidades, respetivamente. O reforço da coordenação entre as entidades notificadoras e os fabricantes ou fornecedores de produtos ou prestadores de serviços de TIC assume especial importância no que respeita a promover o quadro voluntário de divulgação de vulnerabilidades. A divulgação coordenada de vulnerabilidades especifica um processo estruturado mediante o qual as vulnerabilidades são notificadas às organizações de uma forma que lhes permite diagnosticar e corrigir as vulnerabilidades antes de serem divulgadas informações pormenorizadas sobre as mesmas a terceiros ou ao público. A divulgação coordenada de vulnerabilidades deve abranger também a coordenação entre a entidade notificadora e a organização no que respeita ao momento da correção e da publicação das vulnerabilidades.

</Amend><Amend>Alteração  <NumAm>30</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 28-A (novo)</Article>

 

Texto da Comissão

Alteração

 

(28-A) A Comissão, a ENISA e os Estados-Membros devem continuar a fomentar o alinhamento internacional com as normas e as boas práticas do setor existentes no âmbito da gestão de riscos, por exemplo, nos domínios das avaliações de segurança da cadeia de fornecimento, da partilha de informações e da divulgação de vulnerabilidades.

</Amend><Amend>Alteração  <NumAm>31</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 29</Article>

 

Texto da Comissão

Alteração

(29) Por conseguinte, os Estados-Membros devem tomar medidas para facilitar a divulgação coordenada de vulnerabilidades, definindo uma política nacional nessa matéria. Neste contexto, os Estados-Membros devem designar uma CSIRT que assuma o papel de «coordenadora», agindo como intermediária entre as entidades notificadoras e os fabricantes ou fornecedores de produtos ou prestadores de serviços de TIC, quando necessário. As funções da CSIRT coordenadora devem incluir, em especial, a identificação e o contacto das entidades em causa, a prestação de apoio às entidades notificadoras, a negociação do calendário de divulgação de vulnerabilidades e a gestão da divulgação de vulnerabilidades que afetem várias organizações (divulgação de vulnerabilidades a várias partes). Se as vulnerabilidades afetarem vários fabricantes ou fornecedores de produtos ou prestadores de serviços de TIC estabelecidos em mais do que um Estado-Membro, as CSIRT designadas por cada um dos Estados-Membros afetados devem cooperar no âmbito da rede de CSIRT.

(29) Por conseguinte, os Estados-Membros, em cooperação com a ENISA, devem tomar medidas para facilitar a divulgação coordenada de vulnerabilidades, definindo uma política nacional nessa matéria. Nessa política nacional, os Estados-Membros devem abordar os problemas com que se deparam os peritos que investigam as vulnerabilidades. As entidades e as pessoas singulares que investigam vulnerabilidades podem, em alguns Estados-Membros, estar expostas à responsabilidade penal e civil. Os Estados-Membros são, por conseguinte, incentivados a emitir orientações sobre a não instauração de ações penais contra a investigação no domínio da segurança da informação e uma isenção de responsabilidade civil para essas atividades.

</Amend><Amend>Alteração  <NumAm>32</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 29-A (novo)</Article>

 

Texto da Comissão

Alteração

 

(29-A) Os Estados-Membros devem designar uma CSIRT que assuma o papel de «coordenadora», agindo como intermediária entre as entidades notificadoras e os fabricantes ou fornecedores de produtos ou prestadores de serviços de TIC, os quais seja provável serem afetados pela vulnerabilidade, se necessário. As funções da CSIRT coordenadora devem incluir, em especial, a identificação e o contacto das entidades em causa, a prestação de apoio às entidades notificadoras, a negociação do calendário de divulgação de vulnerabilidades e a gestão da divulgação de vulnerabilidades que afetem várias organizações (divulgação de vulnerabilidades a várias partes). Se as vulnerabilidades afetarem vários fabricantes ou fornecedores de produtos ou prestadores de serviços de TIC estabelecidos em mais do que um Estado-Membro, as CSIRT designadas por cada um dos Estados-Membros afetados devem cooperar no âmbito da rede de CSIRT.

</Amend><Amend>Alteração  <NumAm>33</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 30</Article>

 

Texto da Comissão

Alteração

(30) O acesso em tempo útil a informações fidedignas sobre vulnerabilidades que afetem produtos e serviços de TIC contribui para melhorar a gestão dos riscos de cibersegurança. Nesse contexto, as fontes de informações públicas sobre vulnerabilidades constituem um instrumento importante não só para as entidades e os seus utilizadores, mas também para as autoridades nacionais competentes e as CSIRT. Por este motivo, a ENISA deve criar um registo de vulnerabilidades no qual as entidades essenciais e importantes e os respetivos fornecedores, bem como as entidades não abrangidas pelo âmbito da presente diretiva, possam, a título voluntário, divulgar vulnerabilidades e fornecer as informações conexas que permitam aos utilizadores tomarem medidas de atenuação adequadas.

(30) O acesso em tempo útil a informações fidedignas sobre vulnerabilidades que afetem produtos e serviços de TIC contribui para melhorar a gestão dos riscos de cibersegurança. As fontes de informações públicas sobre vulnerabilidades constituem um instrumento importante não só para as entidades e os seus utilizadores, mas também para as autoridades nacionais competentes e as CSIRT. Por este motivo, a ENISA deve criar uma base de dados de vulnerabilidades na qual as entidades essenciais e importantes e os respetivos fornecedores, bem como as entidades não abrangidas pelo âmbito da presente diretiva, possam, a título voluntário, divulgar vulnerabilidades e fornecer informações conexas que permitam aos utilizadores tomarem medidas de atenuação adequadas. O objetivo desta base de dados consiste em dar resposta aos desafios únicos que os riscos de cibersegurança colocam às entidades europeias. Além disso, a ENISA deve estabelecer um procedimento responsável relativamente ao processo de publicação, a fim de dar tempo às entidades para tomarem medidas de atenuação no que diz respeito às suas vulnerabilidades, e utilizar medidas de cibersegurança de vanguarda, bem como conjuntos de dados de leitura ótica e as interfaces correspondentes (IPA). Para incentivar uma cultura de divulgação de vulnerabilidades, a divulgação não deve prejudicar a entidade notificadora.

</Amend><Amend>Alteração  <NumAm>34</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 31</Article>

 

Texto da Comissão

Alteração

(31) Embora já existam bases de dados ou registos de vulnerabilidades semelhantes, as entidades responsáveis pelo seu alojamento e manutenção não estão estabelecidas na União. Um registo europeu de vulnerabilidades mantido pela ENISA melhoraria a transparência do processo de publicação antes de a vulnerabilidade ser oficialmente divulgada, bem como a resiliência em casos de perturbação ou interrupção da prestação de serviços semelhantes. A fim de evitar a duplicação de esforços e de assegurar, tanto quanto possível, a complementaridade, é importante que a ENISA explore a possibilidade de celebrar acordos de cooperação estruturados com registos semelhantes em jurisdições de países terceiros.

(31) A base de dados europeia de vulnerabilidades mantida pela ENISA deve tirar partido do registo das Vulnerabilidades e Exposições Comuns (CVE), através da utilização do seu quadro para a identificação, o rastreio e a classificação das vulnerabilidades. Além disso, é importante que a ENISA explore a possibilidade de celebrar acordos de cooperação estruturados com outros registos ou bases de dados semelhantes sujeitos a jurisdições de países terceiros, a fim de evitar duplicações de esforços e procurar complementaridade.

</Amend><Amend>Alteração  <NumAm>35</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 33</Article>

 

Texto da Comissão

Alteração

(33) Ao elaborar documentos de orientação, o grupo de cooperação deve consistentemente: fazer um levantamento das experiências e soluções nacionais, avaliar o impacto dos resultados do trabalho do grupo de coordenação nas abordagens nacionais, discutir os desafios que se colocam à aplicação e formular recomendações específicas a adotar por via de uma melhor aplicação das regras existentes.

(33) Ao elaborar documentos de orientação, o grupo de cooperação deve consistentemente: fazer um levantamento das experiências e soluções nacionais, avaliar o impacto dos resultados do trabalho do grupo de coordenação nas abordagens nacionais, discutir os desafios que se colocam à aplicação e formular recomendações específicas, em particular no que respeita a facilitar a transposição harmonizada da presente diretiva pelos Estados-Membros, a adotar por via de uma melhor aplicação das regras existentes. O grupo de cooperação deve também fazer um levantamento das soluções nacionais para promover a compatibilidade das soluções em matéria de cibersegurança aplicadas a cada setor específico na União. Este aspeto é particularmente pertinente para os setores que têm uma natureza internacional e transfronteiriça.

</Amend><Amend>Alteração  <NumAm>36</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 34</Article>

 

Texto da Comissão

Alteração

(34) O grupo de cooperação deve continuar a ser um fórum flexível e estar apto a reagir a alterações das prioridades e desafios políticos ou a novas prioridades e desafios políticos, tendo simultaneamente em conta a disponibilidade de recursos. Deve organizar regularmente reuniões conjuntas com partes interessadas privadas de toda a União para discutir as atividades desenvolvidas pelo grupo e partilhar pontos de vista sobre novos desafios políticos. A fim de reforçar a cooperação a nível da União, o grupo deve equacionar a possibilidade de convidar organismos e agências da União envolvidas na política de cibersegurança, como o Centro Europeu da Cibercriminalidade (EC3), a Agência da União Europeia para a Segurança da Aviação (EASA) e a Agência da União Europeia para o Programa Espacial (EUSPA), a participarem nos seus trabalhos.

(34) O grupo de cooperação deve continuar a ser um fórum flexível e estar apto a reagir a alterações das prioridades e desafios políticos ou a novas prioridades e desafios políticos, tendo simultaneamente em conta a disponibilidade de recursos. Deve organizar regularmente reuniões conjuntas com partes interessadas privadas de toda a União para discutir as atividades desenvolvidas pelo grupo e partilhar pontos de vista sobre novos desafios políticos. A fim de reforçar a cooperação a nível da União, o grupo deve equacionar a possibilidade de convidar os organismos e as agências pertinentes da União envolvidas na política de cibersegurança, como a Europol, a Agência da União Europeia para a Segurança da Aviação (EASA) e a Agência da União Europeia para o Programa Espacial (EUSPA), a participarem nos seus trabalhos.

</Amend><Amend>Alteração  <NumAm>37</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 35</Article>

 

Texto da Comissão

Alteração

(35) As autoridades competentes e as CSIRT devem estar habilitadas a participar em programas de intercâmbio de funcionários com outros Estados-Membros, no intuito de reforçar a cooperação. As autoridades competentes devem tomar as medidas necessárias para permitir que os funcionários de outros Estados-Membros participem ativamente nas atividades da autoridade competente de acolhimento.

(35) As autoridades competentes e as CSIRT devem estar habilitadas a participar em programas de intercâmbio de funcionários com outros Estados-Membros, segundo regras e mecanismos estruturados subjacentes ao âmbito e, se for caso disso, com a necessária credenciação de segurança dos funcionários que participam nesses programas de intercâmbio, no intuito de reforçar a cooperação e fortalecer a confiança entre os Estados-Membros. As autoridades competentes devem tomar as medidas necessárias para permitir que os funcionários de outros Estados-Membros participem ativamente nas atividades da autoridade competente de acolhimento ou CSIRT.

</Amend><Amend>Alteração  <NumAm>38</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 36</Article>

 

Texto da Comissão

Alteração

(36) Quando adequado, a União deve celebrar, em conformidade com o artigo 218.º do TFUE, acordos internacionais com países terceiros ou organizações internacionais que permitam e rejam a participação destes em algumas atividades do grupo de cooperação e da rede de CSIRT. Tais acordos devem assegurar uma proteção adequada dos dados.

(36) Quando adequado, a União deve celebrar, em conformidade com o artigo 218.º do TFUE, acordos internacionais com países terceiros ou organizações internacionais que permitam e rejam a participação destes em algumas atividades do grupo de cooperação e da rede de CSIRT. Tais acordos devem assegurar os interesses da União e uma proteção adequada dos dados. Tal não exclui o direito dos Estados-Membros de cooperarem com países terceiros com perspetivas semelhantes em matéria de gestão de vulnerabilidades e de riscos de cibersegurança, facilitando a notificação e a partilha geral de informações em conformidade com o direito da União.

</Amend><Amend>Alteração  <NumAm>39</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 38</Article>

 

Texto da Comissão

Alteração

(38) Para efeitos da presente diretiva, entende-se por «risco» a possibilidade de perda ou perturbação causada por um incidente de cibersegurança, a qual deve ser expressa como uma combinação da magnitude de tal perda ou perturbação e da probabilidade de ocorrência do referido incidente.

Suprimido

</Amend><Amend>Alteração  <NumAm>40</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 39</Article>

 

Texto da Comissão

Alteração

(39) Para efeitos da presente diretiva, entende-se por «quase incidente» um evento que poderia ter causado danos, mas que foi impedido de se materializar plenamente.

Suprimido

</Amend><Amend>Alteração  <NumAm>41</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 40</Article>

 

Texto da Comissão

Alteração

(40) As medidas de gestão de riscos devem incluir medidas para identificar os riscos de incidentes, para evitar, detetar e tratar os incidentes e para atenuar o seu impacto. A segurança das redes e dos sistemas de informação deve abranger a segurança dos dados armazenados, transmitidos e tratados.

(40) As medidas de gestão de riscos devem incluir medidas para identificar os riscos de incidentes, para evitar e detetar os incidentes, dar-lhes resposta e recuperar dos mesmos, bem como atenuar o seu impacto. A segurança das redes e dos sistemas de informação deve abranger a segurança dos dados armazenados, transmitidos e tratados. Esses sistemas devem prever análises sistémicas, que decomponham os vários processos e interações entre subsistemas e tendo em conta o fator humano, a fim de obter uma perspetiva completa da segurança do sistema de informação.

</Amend><Amend>Alteração  <NumAm>42</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 41</Article>

 

Texto da Comissão

Alteração

(41) Para evitar impor encargos financeiros e administrativos desproporcionados às entidades essenciais e importantes, os requisitos estabelecidos em matéria de gestão dos riscos de cibersegurança devem ser proporcionados em relação ao risco apresentado pelas redes e pelos sistemas de informação em causa, tendo em conta os progressos técnicos mais recentes no que respeita a tais medidas.

(41) Para evitar impor encargos financeiros e administrativos desproporcionados às entidades essenciais e importantes, os requisitos estabelecidos em matéria de gestão dos riscos de cibersegurança devem ser proporcionados em relação ao risco apresentado pelas redes e pelos sistemas de informação em causa, tendo em conta os progressos técnicos mais recentes no que respeita a tais medidas e as normas europeias ou internacionais, como a ISO31000 e a ISA/IEC 27005.

</Amend><Amend>Alteração  <NumAm>43</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 43</Article>

 

Texto da Comissão

Alteração

(43) Tendo em conta a frequência de incidentes em que as entidades foram vítimas de ciberataques e em que intervenientes maliciosos conseguiram pôr em causa a segurança das redes e dos sistemas de informação de uma entidade mediante a exploração de vulnerabilidades que afetam produtos e serviços de terceiros, é particularmente importante gerir os riscos de cibersegurança decorrentes da cadeia de fornecimento de uma entidade e da relação desta com os seus fornecedores. Por conseguinte, as entidades devem avaliar e ter em conta a qualidade global dos produtos e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os respetivos procedimentos de desenvolvimento seguro.

(43) Tendo em conta a frequência de incidentes em que as entidades foram vítimas de ataques contra as redes e os sistemas de informação e em que intervenientes maliciosos conseguiram pôr em causa a segurança das redes e dos sistemas de informação de uma entidade mediante a exploração de vulnerabilidades que afetam produtos e serviços de terceiros, é particularmente importante gerir os riscos de cibersegurança decorrentes da cadeia de fornecimento de uma entidade e da relação desta com os seus fornecedores, como os fornecedores de serviços de armazenamento e tratamento de dados ou de serviços geridos de segurança. Por conseguinte, as entidades devem avaliar e ter em conta a qualidade e a resiliência globais dos produtos e serviços, as medidas de cibersegurança neles integradas e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os respetivos procedimentos de desenvolvimento seguro. As entidades devem, em particular, ser incentivadas a incorporar medidas de cibersegurança nos acordos contratuais com os seus fornecedores e prestadores de serviços de primeiro nível. As entidades poderão tomar em consideração os riscos de cibersegurança decorrentes de outros níveis de fornecedores e prestadores de serviços.

</Amend><Amend>Alteração  <NumAm>44</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 44</Article>

 

Texto da Comissão

Alteração

(44) Entre os prestadores de serviços, os prestadores de serviços de segurança geridos em domínios como a resposta a incidentes, os testes de penetração, as auditorias de segurança e a consultoria desempenham um papel especialmente importante em termos de apoio aos esforços desenvolvidos pelas entidades para detetar e responder a incidentes. Porém, os próprios prestadores de serviços de segurança geridos têm sido igualmente alvo de ciberataques e, em virtude da sua estreita integração nas atividades dos operadores, colocam um risco especial de cibersegurança. As entidades devem, assim, exercer uma diligência acrescida ao selecionarem um prestador de serviços de segurança geridos.

(44) Entre os prestadores de serviços, os prestadores de serviços de segurança geridos em domínios como a resposta a incidentes, os testes de penetração, as auditorias de segurança e a consultoria desempenham um papel especialmente importante em termos de apoio aos esforços desenvolvidos pelas entidades para evitar e detetar os incidentes, dar-lhes resposta e recuperar dos mesmos. Porém, os próprios prestadores de serviços de segurança geridos têm sido igualmente alvo de ciberataques e, em virtude da sua estreita integração nas atividades dos operadores, colocam um risco especial de cibersegurança. As entidades devem, assim, exercer uma diligência acrescida ao selecionarem um prestador de serviços de segurança geridos.

</Amend><Amend>Alteração  <NumAm>45</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 45</Article>

 

Texto da Comissão

Alteração

(45) As entidades devem igualmente gerir os riscos de cibersegurança emergentes da sua interação e da sua relação com outras partes interessadas no seio de um ecossistema mais vasto. Mais concretamente, as entidades devem tomar medidas adequadas para garantir que a sua cooperação com instituições académicas e de investigação respeita as suas políticas de cibersegurança e segue boas práticas no tocante ao acesso e à disseminação de informações em condições de segurança, em geral, e à proteção da propriedade intelectual, em particular. Do mesmo modo, dada a importância e o valor dos dados para as atividades das entidades, quando recorrerem a serviços de transformação de dados e de análise de dados prestados por terceiros, as entidades devem tomar todas as medidas de cibersegurança adequadas.

(45) As entidades devem igualmente gerir os riscos de cibersegurança emergentes da sua interação e da sua relação com outras partes interessadas no seio de um ecossistema mais vasto, nomeadamente para combater a espionagem industrial e proteger segredos comerciais. Mais concretamente, as entidades devem tomar medidas adequadas para garantir que a sua cooperação com instituições académicas e de investigação respeita as suas políticas de cibersegurança e segue boas práticas no tocante ao acesso e à disseminação de informações em condições de segurança, em geral, e à proteção da propriedade intelectual, em particular. Do mesmo modo, dada a importância e o valor dos dados para as atividades das entidades, quando recorrerem a serviços de transformação de dados e de análise de dados prestados por terceiros, as entidades devem tomar todas as medidas de cibersegurança adequadas.

</Amend><Amend>Alteração  <NumAm>46</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 45-A (novo)</Article>

 

Texto da Comissão

Alteração

 

(45-A) As entidades devem adotar uma vasta gama de práticas básicas de ciber-higiene, como uma arquitetura de «confiança zero», a atualização do software, a configuração dos dispositivos, a segmentação da rede, a gestão da identidade e do acesso ou a sensibilização dos utilizadores, e organizar formações para o seu pessoal relativamente às ciberameaças por meio de correio eletrónico empresarial, mistificação da interface ou técnicas de engenharia social. Além disso, as entidades devem avaliar as suas próprias capacidades de cibersegurança e, se adequado, procurar a integração de tecnologias que reforcem a cibersegurança assentes na IA ou sistemas de aprendizagem automática para automatizar as suas capacidades e a proteção das arquiteturas de rede.

</Amend><Amend>Alteração  <NumAm>47</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 46</Article>

 

Texto da Comissão

Alteração

(46) A fim de melhorar a gestão dos principais riscos da cadeia de fornecimento e de ajudar as entidades que atuam em setores abrangidos pela presente diretiva a gerirem adequadamente riscos de cibersegurança relacionados com a cadeia de fornecimento e os fornecedores, o grupo de cooperação, com a participação das autoridades nacionais competentes e em cooperação com a Comissão e a ENISA, deve realizar avaliações setoriais coordenadas dos riscos associados às cadeias de fornecimento, tal como foi já feito para as redes 5G na sequência da Recomendação (UE) 2019/534 sobre a cibersegurança das redes 5G21, com o objetivo de identificar, em cada setor, os produtos, sistemas ou serviços de TIC críticos, bem como as vulnerabilidades e ameaças importantes.

(46) A fim de melhorar a gestão dos principais riscos da cadeia de fornecimento e de ajudar as entidades que atuam em setores abrangidos pela presente diretiva a gerirem adequadamente riscos de cibersegurança relacionados com a cadeia de fornecimento e os fornecedores, o grupo de cooperação, com a participação das autoridades nacionais competentes e em cooperação com a Comissão e a ENISA, deve realizar avaliações coordenadas dos riscos associados às cadeias de fornecimento, tal como foi já feito para as redes 5G na sequência da Recomendação (UE) 2019/534 sobre a cibersegurança das redes 5G21, com o objetivo de identificar, em cada setor, os produtos, sistemas ou serviços de TIC e de SIC críticos, bem como as vulnerabilidades e ameaças importantes. Essas avaliações de risco devem identificar medidas, planos de atenuação e boas práticas contra dependências críticas, potenciais falhas pontuais, ameaças, vulnerabilidades e outros riscos associados à cadeia de fornecimento e explorar formas de incentivar a sua adoção mais generalizada pelas entidades. Os potenciais fatores de risco não-técnicos, como a influência indevida de um país terceiro nos fornecedores e nos prestadores de serviços, em particular no caso de modelos alternativos de governação, incluem vulnerabilidades ou acessos ocultos e potenciais perturbações sistémicas no abastecimento, em particular no caso de vinculação tecnológica ou de dependência dos fornecedores.

__________________

__________________

21 Recomendação (UE) 2019/534 da Comissão, de 26 de março de 2019, Cibersegurança das redes 5G (JO L 88 de 29.3.2019, p. 42).

21 Recomendação (UE) 2019/534 da Comissão, de 26 de março de 2019, Cibersegurança das redes 5G (JO L 88 de 29.3.2019, p. 42).

</Amend><Amend>Alteração  <NumAm>48</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 47</Article>

 

Texto da Comissão

Alteração

(47) Dadas as características do setor em causa, as avaliações dos riscos associados às cadeias de fornecimento devem ter em conta tanto fatores técnicos como, quando pertinente, fatores não técnicos, incluindo os definidos na Recomendação (UE) 2019/534, na avaliação coordenada dos riscos de segurança das redes 5G a nível da UE, e no conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G acordado pelo grupo de cooperação. Na identificação das cadeias de fornecimento que devem estar sujeitas a uma avaliação coordenada dos riscos, importa ter em conta os seguintes critérios: i) em que medida as entidades essenciais e importantes utilizam e dependem de produtos, sistemas ou serviços de TIC críticos específicos; ii) a importância de produtos, sistemas ou serviços de TIC críticos específicos para o desempenho de funções críticas ou sensíveis, incluindo o tratamento de dados pessoais; iii) a disponibilidade de produtos, sistemas ou serviços de TIC alternativos; iv) a resiliência da cadeia global de fornecimento de produtos, sistemas ou serviços de TIC face a perturbações; no que respeita a produtos, sistemas ou serviços de TIC emergentes, a sua potencial importância futura para as atividades das entidades.

(47) Dadas as características do setor em causa, as avaliações dos riscos associados às cadeias de fornecimento devem ter em conta tanto fatores técnicos como, quando pertinente, fatores não técnicos, incluindo os definidos na Recomendação (UE) 2019/534, na avaliação coordenada dos riscos de segurança das redes 5G a nível da UE, e no conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G acordado pelo grupo de cooperação. Na identificação das cadeias de fornecimento que devem estar sujeitas a uma avaliação coordenada dos riscos, importa ter em conta os seguintes critérios: i) em que medida as entidades essenciais e importantes utilizam e dependem de produtos, sistemas ou serviços de TIC críticos específicos; ii) a importância de produtos, sistemas ou serviços de TIC críticos específicos para o desempenho de funções críticas ou sensíveis, incluindo o tratamento de dados pessoais; iii) a disponibilidade de produtos, sistemas ou serviços de TIC alternativos; iv) a resiliência da cadeia global de fornecimento de produtos, sistemas ou serviços de TIC, ao longo de todo o seu ciclo de vida, face a perturbações; no que respeita a produtos, sistemas ou serviços de TIC emergentes, a sua potencial importância futura para as atividades das entidades. Além disso, deve ser prestada especial atenção aos serviços, sistemas ou produtos de TIC sujeitos a requisitos específicos decorrentes de países terceiros.

</Amend><Amend>Alteração  <NumAm>49</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 47-A (novo)</Article>

 

Texto da Comissão

Alteração

 

(47-A) O grupo das partes interessadas para a certificação da cibersegurança, criado nos termos do artigo 22.º do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho1-A, deve emitir um parecer sobre as avaliações dos riscos de segurança de serviços, sistemas ou cadeias de fornecimento de produtos críticos específicos de TIC e de SIC. O grupo de cooperação e a ENISA devem ter em conta esse parecer.

 

__________________

 

1-A Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.º 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15).

</Amend><Amend>Alteração  <NumAm>50</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 50</Article>

 

Texto da Comissão

Alteração

(50) Dada a importância crescente dos serviços de comunicações interpessoais independentes do número, é necessário assegurar que tais serviços também estejam sujeitos a requisitos de segurança adequados, tendo em conta a sua natureza específica e importância económica. Assim, os prestadores de tais serviços devem igualmente garantir um nível de segurança das redes e dos sistemas de informação adequado aos riscos que representam. Dado que, por norma, os prestadores de serviços de comunicações interpessoais independentes do número não exercem um controlo efetivo sobre a transmissão de sinais através das redes, o nível de risco desses serviços poderá considerar-se, sob determinados aspetos, inferior ao dos serviços de comunicações eletrónicas tradicionais. O mesmo é válido para os serviços de comunicações interpessoais que utilizam números e que não exercem um controlo efetivo sobre a transmissão de sinais.

(50) Dada a importância crescente dos serviços de comunicações interpessoais independentes do número, é necessário assegurar que tais serviços também estejam sujeitos a requisitos de segurança adequados, tendo em conta a sua natureza específica e importância económica. Assim, os prestadores de tais serviços devem igualmente garantir um nível de segurança das redes e dos sistemas de informação adequado aos riscos que representam. Dado que, por norma, os prestadores de serviços de comunicações interpessoais independentes do número não exercem um controlo efetivo sobre a transmissão de sinais através das redes, o nível de risco para a segurança da rede desses serviços poderá considerar-se, sob determinados aspetos, inferior ao dos serviços de comunicações eletrónicas tradicionais. O mesmo é válido para os serviços de comunicações interpessoais que utilizam números e que não exercem um controlo efetivo sobre a transmissão de sinais. No entanto, à medida que a superfície de ataque continua a expandir-se, os serviços de comunicações interpessoais independentes do número, incluindo, nomeadamente, os serviços de mensagens das redes sociais, estão a tornar-se vetores de ataque populares. Os intervenientes maliciosos utilizam plataformas para comunicar e levar as vítimas a abrir páginas Web expostas, aumentando assim a probabilidade de incidentes que envolvam a exploração de dados pessoais e, por extensão, a segurança dos sistemas de informação.

</Amend><Amend>Alteração  <NumAm>51</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 51</Article>

 

Texto da Comissão

Alteração

(51) O mercado interno depende, mais do que nunca, do funcionamento da Internet. Os serviços de praticamente todas as entidades essenciais e importantes estão dependentes de serviços prestados através da Internet. Para evitar problemas na prestação dos serviços assegurados por entidades essenciais e importantes, é necessário que as redes públicas de comunicações eletrónicas, por exemplo as estruturas de base da Internet ou os cabos submarinos de comunicações, adotem medidas de cibersegurança adequadas e notifiquem incidentes relacionados com as mesmas.

(51) O mercado interno depende, mais do que nunca, do funcionamento da Internet. Os serviços de praticamente todas as entidades essenciais e importantes estão dependentes de serviços prestados através da Internet. Para evitar problemas na prestação dos serviços assegurados por entidades essenciais e importantes, é necessário que todas as redes públicas de comunicações eletrónicas, por exemplo as estruturas de base da Internet ou os cabos submarinos de comunicações, adotem medidas de cibersegurança adequadas e notifiquem incidentes significativos relacionados com as mesmas. Os Estados-Membros devem assegurar a manutenção da integridade e da disponibilidade dessas redes públicas de comunicações eletrónicas e tomar em consideração a sua proteção contra a sabotagem e a espionagem de interesses vitais em matéria de segurança. As informações sobre incidentes, por exemplo sobre cabos de comunicações submarinos, devem ser partilhadas ativamente entre os Estados-Membros.

</Amend><Amend>Alteração  <NumAm>52</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 52</Article>

 

Texto da Comissão

Alteração

(52) Quando adequado, as entidades devem informar os destinatários dos seus serviços sobre ameaças específicas e graves e sobre as medidas que podem tomar para minimizar o risco delas resultantes a que estão expostos. A exigência de informar os referidos destinatários de tais ameaças não deve isentar as entidades da obrigação de, a expensas suas, adotarem medidas adequadas e imediatas para prevenir ou remediar quaisquer ciberameaças e restabelecer o nível normal de segurança do serviço. A prestação dessas informações aos destinatários sobre ameaças à segurança deve ser gratuita.

(52) Quando adequado, as entidades devem informar os destinatários dos seus serviços sobre ameaças específicas e graves e sobre as medidas que podem tomar para minimizar o risco delas resultantes a que estão expostos. Tal não deve isentar as entidades da obrigação de, a expensas suas, adotarem medidas adequadas e imediatas para prevenir ou remediar quaisquer ciberameaças e restabelecer o nível normal de segurança do serviço. A prestação dessas informações aos destinatários sobre ameaças à segurança deve ser gratuita e feita numa linguagem facilmente compreensível.

</Amend><Amend>Alteração  <NumAm>53</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 53</Article>

 

Texto da Comissão

Alteração

(53) Em especial, os fornecedores de redes públicas de comunicações eletrónicas ou prestadores de serviços de comunicações eletrónicas acessíveis ao público devem informar os destinatários dos serviços sobre ameaças específicas e graves em matéria de cibersegurança e sobre as medidas que podem tomar para proteger a segurança das suas comunicações, por exemplo, recorrendo a tipos específicos de software ou tecnologias de cifragem.

(53) Os fornecedores de redes públicas de comunicações eletrónicas ou prestadores de serviços de comunicações eletrónicas acessíveis ao público devem implementar a segurança desde a conceção e por defeito e informar os destinatários dos serviços sobre ameaças específicas e graves em matéria de cibersegurança e sobre as medidas que podem tomar para proteger a segurança dos seus dispositivos e das suas comunicações, por exemplo, recorrendo a tipos específicos de software de cifragem ou outras tecnologias de segurança centradas nos dados.

</Amend><Amend>Alteração  <NumAm>54</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 54</Article>

 

Texto da Comissão

Alteração

(54) Para salvaguardar a segurança das redes e serviços de comunicações eletrónicas, a utilização de cifragem, especialmente da cifragem de ponta a ponta, deve ser promovida e, se necessário, deve ser obrigatória para os fornecedores das referidas redes e serviços, em conformidade com os princípios da segurança e da privacidade por defeito e desde a conceção para efeitos do artigo 18.º. A utilização da cifragem de ponta a ponta deve ser conciliada com os poderes que os Estados-Membros detêm para assegurar a proteção dos seus interesses essenciais de segurança e da segurança pública e para permitir a investigação, a deteção e a repressão de infrações penais em conformidade com o direito da União. As soluções de acesso lícito a informações em comunicações cifradas de ponta a ponta devem manter a eficácia da cifragem em termos de proteção da privacidade e da segurança das comunicações, proporcionando simultaneamente uma resposta eficaz à criminalidade.

(54) Para salvaguardar a segurança das redes e serviços de comunicações eletrónicas, a utilização da cifragem e de outras tecnologias de segurança centradas nos dados, como a tokenização, a segmentação, o acesso acelerado, a marcação, a etiquetagem, a identidade forte e a gestão do acesso, e de decisões de acesso automatizadas, deve ser promovida e, se necessário, deve ser obrigatória para os fornecedores das referidas redes e serviços, em conformidade com os princípios da segurança e da privacidade por defeito e desde a conceção para efeitos do artigo 18.º. A utilização da cifragem de ponta a ponta deve ser conciliada com os poderes que os Estados-Membros detêm para assegurar a proteção dos seus interesses essenciais de segurança e da segurança pública e para permitir a investigação, a deteção e a repressão de infrações penais em conformidade com o direito da União. No entanto, tal não deverá conduzir a quaisquer esforços para enfraquecer a cifragem de ponta a ponta, que é uma tecnologia fundamental para uma proteção eficaz dos dados e da privacidade.

</Amend><Amend>Alteração  <NumAm>55</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 54-A (novo)</Article>

 

Texto da Comissão

Alteração

 

(54-A) Para salvaguardar a segurança e prevenir abusos e a manipulação das redes e serviços de comunicações eletrónicas, deve ser promovida a utilização de normas de encaminhamento seguras e interoperáveis, a fim de garantir a integridade e a robustez das funções de encaminhamento em todo o ecossistema de operadores da Internet.

</Amend><Amend>Alteração  <NumAm>56</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 54-B (novo)</Article>

 

Texto da Comissão

Alteração

 

(54-B) Para salvaguardar a funcionalidade e a integridade da Internet e reduzir os problemas de segurança relacionados com os sistemas de nomes de domínio (DNS), as partes interessadas pertinentes, incluindo empresas da União, prestadores de serviços Internet e fornecedores de navegadores, devem ser incentivadas a adotar uma estratégia de diversificação da resolução do DNS. Além disso, os Estados-Membros devem incentivar o desenvolvimento e a utilização de um serviço europeu, público e seguro de resolução do DNS.

</Amend><Amend>Alteração  <NumAm>57</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 55</Article>

 

Texto da Comissão

Alteração

(55) A presente diretiva define uma abordagem em duas etapas à notificação de incidentes, a fim de estabelecer o equilíbrio adequado entre, por um lado, uma notificação célere que ajude a minimizar a potencial propagação de incidentes e permita às entidades procurar apoio e, por outro lado, uma notificação exaustiva que retire ensinamentos valiosos de incidentes individuais e melhore gradualmente a resiliência de empresas individuais e setores inteiros face às ciberameaças. Quando tenham tido conhecimento de um incidente, as entidades devem ser obrigadas a efetuar uma notificação inicial no prazo de 24 horas, seguida pela apresentação de um relatório final, o mais tardar, um mês depois. A notificação inicial deve conter apenas as informações estritamente necessárias para dar conhecimento do incidente às autoridades competentes e para permitir que a entidade procure assistência, caso tal seja necessário. Se for o caso, a referida notificação deve indicar se o incidente foi presumivelmente causado por um ato ilícito ou malicioso. Os Estados-Membros devem garantir que a obrigação de apresentar esta notificação inicial não desvia os recursos da entidade notificadora afetos a atividades relacionadas com o tratamento de incidentes, às quais deve ser atribuída prioridade. Para evitar que as obrigações de notificação de incidentes desviem recursos afetos à resposta a incidentes ou possam prejudicar, de qualquer outra forma, os esforços desenvolvidos pelas entidades nessa matéria, os Estados-Membros devem igualmente estabelecer que, em casos devidamente justificados e com a concordância das autoridades competentes ou da CSIRT, a entidade em causa poderá não cumprir o prazo de 24 horas para a notificação inicial ou o prazo de um mês para o relatório final.

(55) A presente diretiva define uma abordagem em duas etapas à notificação de incidentes, a fim de estabelecer o equilíbrio adequado entre, por um lado, uma notificação célere que ajude a minimizar a potencial propagação de incidentes e permita às entidades procurar apoio e, por outro lado, uma notificação exaustiva que retire ensinamentos valiosos de incidentes individuais e melhore gradualmente a resiliência de empresas individuais e setores inteiros face às ciberameaças. Quando tenham tido conhecimento de um incidente, as entidades devem ser obrigadas a efetuar uma notificação inicial, seguida pela apresentação de um relatório exaustivo, o mais tardar, um mês depois do envio da notificação inicial. O prazo da notificação inicial de incidentes não deve impedir as entidades de notificarem incidentes mais cedo, permitindo-lhes assim procurar rapidamente o apoio das CSIRT, o que possibilita atenuar a potencial propagação do incidente comunicado. As CSIRT podem solicitar um relatório intercalar sobre as atualizações pertinentes da situação, tendo simultaneamente em conta a resposta a incidentes e os esforços de reparação da entidade notificadora.

</Amend><Amend>Alteração  <NumAm>58</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 55-A (novo)</Article>

 

Texto da Comissão

Alteração

 

(55-A) Um incidente significativo pode ter um impacto na confidencialidade, integridade ou disponibilidade do serviço. As entidades essenciais e importantes devem notificar as CSIRT sobre incidentes significativos que tenham impacto na disponibilidade do seu serviço no prazo de 24 horas após terem tomado conhecimento do incidente. Devem notificar as CIRT sobre incidentes significativos que violem a confidencialidade e a integridade dos seus serviços no prazo de 72 horas após terem tomado conhecimento do incidente. A distinção entre os tipos de incidentes não se baseia na gravidade do incidente, mas na dificuldade que a entidade notificadora tem em avaliar o incidente e o seu significado e na capacidade de comunicar informações que possam ser úteis para a CSIRT. A notificação inicial deve conter as informações necessárias para dar conhecimento do incidente à CSIRT e para permitir que a entidade procure assistência, caso tal seja necessário. Os Estados-Membros devem garantir que a obrigação de apresentar esta notificação inicial não desvia os recursos da entidade notificadora afetos a atividades relacionadas com o tratamento de incidentes, às quais deve ser atribuída prioridade. Para evitar que as obrigações de notificação de incidentes desviem recursos afetos à resposta a incidentes ou possam prejudicar, de qualquer outra forma, os esforços envidados pelas entidades nessa matéria, os Estados-Membros devem igualmente estabelecer que, em casos devidamente justificados e com a concordância da CSIRT, a entidade em causa poderá não cumprir o prazo para a notificação inicial ou o prazo para o relatório exaustivo.

</Amend><Amend>Alteração  <NumAm>59</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 59</Article>

 

Texto da Comissão

Alteração

(59) A manutenção de bases de dados fidedignas e completas dos nomes de domínio e dados de registo (os chamados «dados WHOIS») e a concessão de acesso lícito a tais dados é essencial para garantir a segurança, estabilidade e resiliência do DNS, o que, por sua vez, contribui para um elevado nível comum de cibersegurança na União. Quando as operações de tratamento abrangerem dados pessoais, esse tratamento deve cumprir a legislação da União em matéria de proteção de dados.

(59) A manutenção de bases de dados fidedignas, verificadas e completas dos nomes de domínio e dados de registo (os chamados «dados WHOIS») é essencial para garantir a segurança, estabilidade e resiliência do DNS, o que, por sua vez, contribui para um elevado nível comum de cibersegurança na União e para combater as atividades ilegais. Os registos de domínios de topo e as entidades que prestam serviços de registo de nomes de domínio devem, por conseguinte, ser obrigados a recolher dados relativos ao registo de nomes de domínio, que devem incluir, pelo menos, o nome dos requerentes de registo, o seu endereço físico e eletrónico, bem como o seu número de telefone. Na prática, os dados recolhidos podem nem sempre ser completamente exatos, embora os registos de domínios de topo e as entidades que prestam serviços de registo de nomes de domínio devam adotar e aplicar processos proporcionados para verificar se as pessoas singulares ou coletivas que solicitam ou são titulares de um nome de domínio forneceram dados de contacto através dos quais possam ser contactados e se espera que respondam. Utilizando uma abordagem de «envidar os melhores esforços», esses processos de verificação devem aplicar as melhores práticas atualmente utilizadas no setor. Essas melhores práticas no que toca ao processo de verificação devem refletir os progressos realizados no processo de identificação eletrónica. Os registos de domínios de topo e as entidades que prestam serviços de registo de nomes de domínio devem tornar públicas as suas políticas e procedimentos para garantir a integridade e a disponibilidade dos dados de registo de nomes de domínio. Quando as operações de tratamento abrangerem dados pessoais, esse tratamento deve cumprir a legislação da União em matéria de proteção de dados.

</Amend><Amend>Alteração  <NumAm>60</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 60</Article>

 

Texto da Comissão

Alteração

(60) A disponibilização e a concessão atempada do acesso a estes dados às autoridades públicas, incluindo as autoridades competentes para a prevenção, investigação ou repressão de infrações penais ao abrigo do direito da União ou do direito nacional, às CERT, às CSIRT e, no que respeita aos dados dos seus clientes, aos fornecedores de redes e serviços de comunicações eletrónicas e aos fornecedores de tecnologias e serviços de cibersegurança que atuam em nome desses clientes, são fatores essenciais para prevenir e combater abusos do sistema de nomes de domínio, em especial para evitar, detetar e responder a incidentes de cibersegurança. Tal acesso deve respeitar a legislação da União em matéria de proteção de dados, na medida em que diga respeito a dados pessoais.

(60) A disponibilização e a concessão atempada dos dados de registo de nomes de domínio aos requerentes legítimos de acesso são essenciais para fins de cibersegurança e para combater as atividades ilegais no ecossistema em linha. Os registos de domínios de topo e as entidades que prestam serviços de registo de nomes de domínio, por conseguinte, devem permitir o acesso lícito a dados específicos de registo de nomes de domínio, incluindo dados pessoais, a requerentes de acesso legítimos, em conformidade com a legislação da União em matéria de proteção de dados. Os requerentes de acesso legítimos devem apresentar um pedido devidamente justificado de acesso aos dados de registo de nomes de domínio com base no direito da União ou do direito nacional, podendo incluir as autoridades competentes ao abrigo do direito da União ou do direito nacional para efeitos de prevenção, investigação ou repressão de infrações penais, bem como as CERT ou CSIRT nacionais. Os Estados-Membros devem assegurar que os registos de domínios de topo e as entidades que prestam serviços de registo de nomes de domínio respondam, sem demora injustificada e, em qualquer caso, no prazo de 72 horas, a pedidos de divulgação de dados relativos ao registo de nomes de domínio apresentados por requerentes de acesso legítimos. Estes registos e entidades devem estabelecer políticas e procedimentos com vista à publicação e divulgação de dados de registo, incluindo acordos de nível de serviço, a fim de dar resposta a pedidos de acesso apresentados por requerentes de acesso legítimos. O procedimento de acesso pode também contemplar a utilização de uma interface, de um portal ou de outras ferramentas técnicas para disponibilizar um sistema eficiente de pedido de dados de registo e acesso a estes. A fim de promover práticas harmonizadas em todo o mercado interno, a Comissão pode adotar orientações sobre tais procedimentos, sem prejuízo das competências do Comité Europeu para a Proteção de Dados.

</Amend>

<Amend>Alteração  <NumAm>61</NumAm>

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 61</Article>

 

Texto da Comissão

Alteração

(61) A fim de assegurar a disponibilidade de dados exatos e completos relativos ao registo de nomes de domínio, os registos de domínios de topo e as entidades que prestam serviços de registo de nomes de domínio a esses registos (os chamados agentes de registo) devem recolher dados relativos ao registo de nomes de domínio e garantir a integridade e disponibilidade desses dados. Em especial, os registos de domínios de topo e as entidades que prestam serviços de registo de nomes de domínio a esses registos devem estabelecer políticas e procedimentos para recolher e manter dados de registo exatos e completos, bem como para evitar e corrigir dados de registo incorretos, em conformidade com as regras da União em matéria de proteção de dados.

Suprimido

</Amend><Amend>Alteração  <NumAm>62</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 62</Article>

 

Texto da Comissão

Alteração

(62) Os registos de domínios de topo e as entidades que prestam serviços de registo de nomes de domínio a esses registos devem disponibilizar ao público dados relativos ao registo de nomes de domínio que não estejam abrangidos pelo âmbito das regras da União em matéria de proteção de dados, como os dados respeitantes a pessoas coletivas25. Os registos de domínios de topo e as entidades que prestam serviços de registo de nomes de domínio a esses registos devem igualmente permitir o acesso lícito a dados específicos de registo de nomes de domínio respeitantes a pessoas singulares aos requerentes legítimos de acesso, em conformidade com a legislação da União em matéria de proteção de dados. Os Estados-Membros devem assegurar que os registos de domínios de topo e as entidades que prestam serviços de registo de nomes de domínio a esses registos estejam obrigados a responder, sem demora injustificada, a pedidos de divulgação de dados relativos ao registo de nomes de domínio apresentados por requerentes legítimos de acesso. Estes registos e entidades devem estabelecer políticas e procedimentos com vista à publicação e divulgação de dados de registo, incluindo acordos de nível de serviço, a fim de responder a pedidos de acesso apresentados por requerentes legítimos de acesso. O procedimento de acesso pode também contemplar a utilização de uma interface, de um portal ou de outra ferramenta técnica para disponibilizar um sistema eficiente de pedido e acesso a dados de registo. A fim de promover práticas harmonizadas em todo o mercado interno, a Comissão pode adotar orientações sobre tais procedimentos, sem prejuízo das competências do Comité Europeu para a Proteção de Dados.

(62) Os registos de domínios de topo e as entidades que prestam serviços de registo de nomes de domínio devem ser obrigadas a disponibilizar ao público dados relativos ao registo de nomes de domínio que não contenham dados pessoais. Deve ser estabelecida uma distinção entre pessoas singulares e pessoas coletivas25. No caso das pessoas coletivas, os registos de domínios de topo e as entidades devem divulgar ao público, pelo menos, o nome, o endereço físico e de correio eletrónico, bem como o número de telefone dos requerentes de registo. A pessoa coletiva deve ser obrigada a fornecer um endereço de correio eletrónico geral que possa ser disponibilizado ao público ou a autorizar a publicação de um endereço de correio eletrónico pessoal. A pessoa coletiva deve poder demonstrar essa autorização a pedido dos registos de domínios de topo e das entidades que prestam serviços de registo de nomes de domínio.

__________________

__________________

25 Considerando 14 do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, nos termos do qual «[o] presente regulamento não abrange o tratamento de dados pessoais relativos a pessoas coletivas, em especial a empresas estabelecidas enquanto pessoas coletivas, incluindo a denominação, a forma jurídica e os contactos da pessoa coletiva».

25 Considerando 14 do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, nos termos do qual «[o] presente regulamento não abrange o tratamento de dados pessoais relativos a pessoas coletivas, em especial a empresas estabelecidas enquanto pessoas coletivas, incluindo a denominação, a forma jurídica e os contactos da pessoa coletiva».

</Amend>

<Amend>Alteração  <NumAm>63</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 63</Article>

 

Texto da Comissão

Alteração

(63) Todas as entidades essenciais e importantes abrangidas pela presente diretiva devem estar sob a jurisdição do Estado-Membro onde prestam os seus serviços. Se uma entidade prestar serviços em mais do que um Estado-Membro, deve estar sob a jurisdição autónoma e concorrente de cada um desses Estados-Membros. As autoridades competentes desses Estados-Membros devem cooperar, prestar assistência mútua e, se for o caso, realizar ações de supervisão conjuntas.

(63) Todas as entidades essenciais e importantes abrangidas pela presente diretiva devem estar sob a jurisdição do Estado-Membro onde prestam os seus serviços ou exercem as suas atividades. Se uma entidade prestar serviços em mais do que um Estado-Membro, deve estar sob a jurisdição autónoma e concorrente de cada um desses Estados-Membros. As autoridades competentes desses Estados-Membros devem cooperar, prestar assistência mútua e, se for o caso, realizar ações de supervisão conjuntas.

</Amend><Amend>Alteração  <NumAm>64</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 64</Article>

 

Texto da Comissão

Alteração

(64) Para ter em conta a natureza transfronteiriça dos serviços e operações dos prestadores de serviços de DNS, dos registos de nomes de domínio de topo, dos fornecedores de redes de distribuição de conteúdos, dos prestadores de serviços de computação em nuvem, dos prestadores de serviços de centro de dados e dos prestadores de serviços digitais, estas entidades devem estar sob a jurisdição de um único Estado-Membro. A competência deve ser atribuída ao Estado-Membro onde a respetiva entidade tem o seu estabelecimento principal na União. O critério do estabelecimento para efeitos da presente diretiva pressupõe o exercício efetivo de uma atividade com base numa instalação estável. A forma jurídica de tal estabelecimento, quer se trate de uma sucursal quer de uma filial com personalidade jurídica, não é fator determinante nesse contexto. O preenchimento deste critério não deve estar associado à presença física das redes e sistemas de informação num determinado local; a presença e utilização desses sistemas não constitui, por si só, um estabelecimento principal e, consequentemente, não é um critério decisivo para determinar o estabelecimento principal. O estabelecimento principal deve ser o local onde as decisões relacionadas com as medidas de gestão dos riscos de cibersegurança são tomadas na União. Em regra, corresponderá ao local onde se situa a administração central das empresas na União. Se as referidas decisões não forem tomadas na União, deve considerar-se que o estabelecimento principal se localiza no Estado-Membro onde a entidade possui o estabelecimento com o maior número de trabalhadores na União. Se os serviços forem prestados por um grupo de empresas, deve considerar-se que o seu estabelecimento principal é o estabelecimento principal da empresa que exerce o controlo.

(64) Para ter em conta a natureza transfronteiriça dos serviços e operações dos prestadores de serviços de DNS, dos registos de nomes de domínio de topo, dos fornecedores de redes de distribuição de conteúdos, dos prestadores de serviços de computação em nuvem, dos prestadores de serviços de centro de dados e dos prestadores de serviços digitais, estas entidades devem estar sob a jurisdição de um único Estado-Membro. A competência deve ser atribuída ao Estado-Membro onde a respetiva entidade tem o seu estabelecimento principal na União. O critério do estabelecimento para efeitos da presente diretiva pressupõe o exercício efetivo de uma atividade com base numa instalação estável. A forma jurídica de tal estabelecimento, quer se trate de uma sucursal quer de uma filial com personalidade jurídica, não é fator determinante nesse contexto. O preenchimento deste critério não deve estar associado à presença física das redes e sistemas de informação num determinado local; a presença e utilização desses sistemas não constitui, por si só, um estabelecimento principal e, consequentemente, não é um critério decisivo para determinar o estabelecimento principal. O estabelecimento principal deve ser o local onde as decisões relacionadas com as medidas de gestão dos riscos de cibersegurança são tomadas na União. Em regra, corresponderá ao local onde se situa a administração central das empresas na União. Se as referidas decisões não forem tomadas na União, deve considerar-se que o estabelecimento principal se localiza no Estado-Membro onde a entidade possui o estabelecimento com o maior número de trabalhadores na União ou onde se encontra o estabelecimento em que se realizam as operações em matéria de cibersegurança. Se os serviços forem prestados por um grupo de empresas, deve considerar-se que o seu estabelecimento principal é o estabelecimento principal da empresa que exerce o controlo.

</Amend><Amend>Alteração  <NumAm>65</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 65-A (novo)</Article>

 

Texto da Comissão

Alteração

 

(65-A) A ENISA deve criar e manter um registo com informações sobre entidades essenciais e importantes que inclua prestadores de serviços de DNS, registos de nomes de domínio de topo e prestadores de serviços de computação em nuvem, serviços de centro de dados, redes de distribuição de conteúdos, mercados em linha, motores de pesquisa em linha e plataformas de redes sociais. Essas entidades essenciais e importantes devem fornecer à ENISA os seus nomes, endereços e dados de contacto atualizados. Devem ainda notificar a ENISA de quaisquer alterações desses dados, sem demora e, em qualquer caso, no prazo de duas semanas a contar da data em que a alteração produziu efeitos. A ENISA deve transmitir as informações ao ponto de contacto único pertinente. As entidades essenciais e importantes que transmitem as suas informações à ENISA não são, por conseguinte, obrigadas a informar separadamente a autoridade competente do Estado-Membro. A ENISA deve criar uma aplicação simples e acessível ao público que essas entidades poderão utilizar para atualizar as suas informações. Além disso, a ENISA deve estabelecer protocolos adequados de classificação e gestão da informação para garantir a segurança e a confidencialidade das informações divulgadas e restringir o acesso, o armazenamento e a transmissão dessas informações aos utilizadores a que se destinam.

</Amend>

<Amend>Alteração  <NumAm>66</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 66</Article>

 

Texto da Comissão

Alteração

(66) Se, ao abrigo das disposições da presente diretiva, forem trocadas, comunicadas ou de outro modo partilhadas informações consideradas classificadas nos termos do direito nacional ou da União, devem ser aplicadas as correspondentes regras específicas sobre o tratamento de informações classificadas.

(66) Se, ao abrigo das disposições da presente diretiva, forem trocadas, comunicadas ou de outro modo partilhadas informações consideradas classificadas nos termos do direito nacional ou da União, devem ser aplicadas as correspondentes regras específicas sobre o tratamento de informações classificadas. Além disso, a ENISA deve dispor das infraestruturas, dos procedimentos e das regras necessárias para o tratamento de informações sensíveis e classificadas, em conformidade com as regras de segurança aplicáveis à proteção das informações classificadas da UE.

</Amend><Amend>Alteração  <NumAm>67</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 68</Article>

 

Texto da Comissão

Alteração

(68) Importa incentivar as entidades a tirarem partido, coletivamente, dos seus conhecimentos e experiências práticas individuais a nível estratégico, tático e operacional, com vista a reforçarem as suas capacidades para avaliarem, monitorizarem, se defenderem e darem resposta, de forma adequada, às ciberameaças. Consequentemente, é necessário viabilizar a criação, a nível da União, de mecanismos de partilha de informações a título voluntário. Para tal, os Estados-Membros devem apoiar ativamente e incentivar também entidades pertinentes não abrangidas pelo âmbito da presente diretiva a participarem em tais mecanismos de partilha de informações. Esses mecanismos devem respeitar plenamente as regras da União em matéria de concorrência e de proteção de dados.

(68) Importa incentivar as entidades, com o apoio dos Estados-Membros, a tirarem partido, coletivamente, dos seus conhecimentos e experiências práticas individuais a nível estratégico, tático e operacional, com vista a reforçarem as suas capacidades para avaliarem, monitorizarem, se defenderem e darem resposta, de forma adequada, às ciberameaças. Consequentemente, é necessário viabilizar a criação, a nível da União, de mecanismos de partilha de informações a título voluntário. Para tal, os Estados-Membros devem apoiar ativamente e incentivar também entidades pertinentes não abrangidas pelo âmbito da presente diretiva, como entidades centradas em serviços e investigação no domínio da cibersegurança, a participarem em tais mecanismos de partilha de informações. Esses mecanismos devem respeitar plenamente as regras da União em matéria de concorrência e de proteção de dados.

</Amend><Amend>Alteração  <NumAm>68</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 69</Article>

 

Texto da Comissão

Alteração

(69) O tratamento de dados pessoais, na medida estritamente necessária e proporcionada para assegurar a segurança da rede e das informações, por entidades, autoridades públicas, CERT, CSIRT e fornecedores de tecnologias e serviços de segurança deve ser considerado um interesse legítimo do responsável pelo tratamento de dados em causa, tal como referido no Regulamento (UE) 2016/679. Tal deve incluir medidas relacionadas com a prevenção, deteção, análise e resposta a incidentes, medidas de sensibilização relativas a ciberameaças específicas, intercâmbio de informações no contexto da correção e da divulgação coordenada de vulnerabilidades, bem como o intercâmbio voluntário de informações sobre esses incidentes, ciberameaças e vulnerabilidades, indicadores de exposição a riscos, táticas, técnicas e procedimentos, alertas de cibersegurança e ferramentas de configuração. As referidas medidas poderão implicar o tratamento dos seguintes tipos de dados pessoais: endereços IP, localizadores uniformes de recursos (URL), nomes de domínio e endereços de correio eletrónico.

(69) O tratamento de dados pessoais, na medida estritamente necessária e proporcionada para assegurar a segurança da rede e das informações, por entidades essenciais e importantes, CSIRT e fornecedores de tecnologias e serviços de segurança é necessário para o cumprimento das suas obrigações legais previstas na presente diretiva. Tal tratamento pode ser igualmente necessário para efeito dos interesses legítimos de entidades essenciais e importantes. No caso de a presente diretiva requerer o tratamento de dados pessoais para efeitos de cibersegurança e de segurança da rede e das informações, em conformidade com o disposto nos artigos 18.º, 20.º e 23.º da diretiva, esse tratamento é considerado necessário para o cumprimento de uma obrigação jurídica tal como referido no artigo 6.º, n.º 1, alínea c), do Regulamento (UE) 2016/679. Para efeitos dos artigos 26.º e 27.º da presente diretiva, o tratamento a que se refere o artigo 6.º, n.º 1, alínea f), do Regulamento (UE) 2016/679 é considerado necessário para efeito dos interesses legítimos prosseguidos pelas entidades essenciais e importantes. Medidas relacionadas com a prevenção, deteção, identificação, contenção, análise e resposta a incidentes, medidas de sensibilização relativas a ciberameaças específicas, intercâmbio de informações no contexto da correção e da divulgação coordenada de vulnerabilidades, bem como o intercâmbio voluntário de informações sobre esses incidentes, ciberameaças e vulnerabilidades, indicadores de exposição a riscos, táticas, técnicas e procedimentos, alertas de cibersegurança e ferramentas de configuração implicam o tratamento de determinadas categorias de dados pessoais, tais como, endereços IP, localizadores uniformes de recursos (URL), nomes de domínio, endereços de correio eletrónico, selos temporais, informações relacionadas com o sistema operativo ou com o navegador, «cookies» ou outras informações que indiquem o modus operandi.

</Amend><Amend>Alteração  <NumAm>69</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 71</Article>

 

Texto da Comissão

Alteração

(71) Para que a execução coerciva seja eficaz, há que estabelecer uma lista mínima de sanções administrativas aplicáveis em caso de incumprimento das obrigações de gestão dos riscos de cibersegurança e de notificação previstas na presente diretiva, definindo um quadro claro e consistente para tais sanções em toda a União. Importa ter em devida conta a natureza, a gravidade e a duração da infração, os danos efetivamente causados ou as perdas efetivamente sofridas, ou potenciais danos ou perdas que poderiam ter sido desencadeados, o caráter doloso ou negligente da infração, as medidas tomadas para prevenir ou atenuar os danos e/ou perdas sofridas, o grau de responsabilidade ou quaisquer infrações anteriores pertinentes, o grau de cooperação com a autoridade competente e qualquer outra circunstância agravante ou atenuante. A imposição de sanções, incluindo coimas, deve estar sujeita a garantias processuais adequadas em conformidade com os princípios gerais do direito da União e da Carta dos Direitos Fundamentais da União Europeia, incluindo o princípio da tutela jurisdicional efetiva e o direito a um processo equitativo.

(71) Para que a execução coerciva seja eficaz, há que estabelecer uma lista mínima de sanções administrativas aplicáveis em caso de incumprimento das obrigações de gestão dos riscos de cibersegurança e de notificação previstas na presente diretiva, definindo um quadro claro e consistente para tais sanções em toda a União. Importa ter em devida conta a natureza, a gravidade e a duração da infração, os danos causados ou as perdas sofridas, o caráter doloso ou negligente da infração, as medidas tomadas para prevenir ou atenuar os danos e/ou perdas sofridas, o grau de responsabilidade ou quaisquer infrações anteriores pertinentes, o grau de cooperação com a autoridade competente e qualquer outra circunstância agravante ou atenuante. As sanções, incluindo coimas, devem ser proporcionadas e a sua imposição deve estar sujeita a garantias processuais adequadas em conformidade com os princípios gerais do direito da União e da Carta dos Direitos Fundamentais da União Europeia (a «Carta»), incluindo a tutela jurisdicional efetiva, o direito a um processo equitativo, a presunção de inocência e o direito de defesa.

</Amend><Amend>Alteração  <NumAm>70</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 72</Article>

 

Texto da Comissão

Alteração

(72) A fim de assegurar a execução coerciva das obrigações estabelecidas na presente diretiva, cada autoridade competente deve ter o poder de impor ou de solicitar a imposição de coimas.

(72) A fim de assegurar a execução coerciva das obrigações estabelecidas na presente diretiva, cada autoridade competente deve ter o poder de impor ou de solicitar a imposição de coimas se a infração tiver sido intencional, negligente ou a entidade em causa tiver sido informada do seu incumprimento.

</Amend><Amend>Alteração  <NumAm>71</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 76</Article>

 

Texto da Comissão

Alteração

(76) Com vista a reforçar a eficácia e o caráter dissuasivo das sanções aplicáveis por incumprimento das obrigações estabelecidas nos termos da presente diretiva, as autoridades competentes devem estar habilitadas a aplicar sanções que consistam na suspensão de uma certificação ou autorização para a totalidade ou parte dos serviços prestados por uma entidade essencial e na interdição temporária do exercício de funções de administração por uma pessoa singular. Dada a sua severidade e o seu impacto nas atividades das entidades e, em última análise, nos seus clientes, as referidas sanções devem ser proporcionadas à gravidade da infração e ter em conta as circunstâncias concretas de cada caso, incluindo o caráter doloso ou negligente da infração e as medidas tomadas para prevenir ou atenuar os danos e/ou perdas sofridas. Essas sanções só devem ser aplicadas em último recurso, ou seja, apenas depois de esgotadas todas as outras medidas coercivas pertinentes previstas na presente diretiva, e apenas até que as entidades a elas sujeitas tenham tomado as medidas necessárias para corrigir as deficiências ou satisfazer os requisitos da autoridade competente que estiveram na origem da aplicação das sanções. A imposição de tais sanções deve estar sujeita a garantias processuais adequadas em conformidade com os princípios gerais do direito da União e da Carta dos Direitos Fundamentais da União Europeia, incluindo a tutela jurisdicional efetiva, o processo equitativo, a presunção de inocência e o direito de defesa.

(76) Com vista a reforçar a eficácia e o caráter dissuasivo das sanções aplicáveis por incumprimento das obrigações estabelecidas nos termos da presente diretiva, as autoridades competentes devem estar habilitadas a aplicar uma suspensão temporária de uma certificação ou autorização para a totalidade ou parte dos serviços pertinentes prestados por uma entidade essencial e o pedido de imposição de uma interdição temporária do exercício de funções de administração por uma pessoa singular a nível de diretor executivo ou representante legal. Os Estados-Membros devem elaborar regras e procedimentos específicos relativos à proibição temporária do exercício de funções de gestão por uma pessoa singular a nível de diretor executivo ou representante legal em entidades da administração pública. No processo de elaboração desses procedimentos e regras, os Estados-Membros devem ter em conta as especificidades dos níveis e sistemas de governação nas respetivas administrações públicas. Dada a sua severidade e o seu impacto nas atividades das entidades e, em última análise, nos seus clientes, as referidas suspensões ou proibições temporárias devem ser proporcionadas à gravidade da infração e ter em conta as circunstâncias concretas de cada caso, incluindo o caráter doloso ou negligente da infração e as medidas tomadas para prevenir ou atenuar os danos e/ou perdas sofridas. Essas suspensões ou proibições temporárias só devem ser aplicadas em último recurso, ou seja, apenas depois de esgotadas todas as outras medidas coercivas pertinentes previstas na presente diretiva, e apenas até que as entidades a elas sujeitas tenham tomado as medidas necessárias para corrigir as deficiências ou satisfazer os requisitos da autoridade competente que estiveram na origem da aplicação das suspensões ou proibições temporárias. A imposição dessas suspensões ou proibições temporárias deve estar sujeita a garantias processuais adequadas, em conformidade com os princípios gerais do direito da União e da Carta, incluindo a tutela jurisdicional efetiva, o processo equitativo, a presunção de inocência e o direito de defesa.

</Amend><Amend>Alteração  <NumAm>72</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 79</Article>

 

Texto da Comissão

Alteração

(79) É necessário instituir um mecanismo de análise pelos pares, no âmbito do qual peritos designados pelos Estados-Membros possam avaliar a execução das políticas de cibersegurança, bem como o nível das capacidades e de recursos disponíveis dos Estados-Membros.

(79) É necessário instituir um mecanismo de análise pelos pares, no âmbito do qual peritos independentes designados pelos Estados-Membros possam avaliar a execução das políticas de cibersegurança, bem como o nível das capacidades e de recursos disponíveis dos Estados-Membros. As avaliações pelos pares podem conduzir a informações e recomendações valiosas que reforcem as capacidades globais em matéria de cibersegurança. Em especial, podem contribuir para facilitar a transferência de tecnologias, ferramentas, medidas e processos entre os Estados-Membros envolvidos na análise pelos pares, criando uma via funcional para a partilha de boas práticas entre Estados-Membros com diferentes níveis de maturidade em matéria de cibersegurança e permitindo o estabelecimento de um nível elevado e comum de cibersegurança em toda a União. A avaliação pelos pares deve ser precedida de uma autoavaliação pelo Estado-Membro em análise, que abranja os aspetos analisados e quaisquer outras questões específicas comunicadas pelos peritos designados ao Estado-Membro objeto de avaliação pelos pares antes do início do processo. A Comissão, em cooperação com a ENISA e o grupo de cooperação, deve elaborar modelos para a autoavaliação dos aspetos analisados, a fim de simplificar o processo e evitar incoerências e atrasos processuais, que os Estados-Membros objeto de avaliação pelos pares devem completar e fornecer aos peritos designados que realizam a avaliação pelos pares antes do início desse processo de avaliação.

</Amend><Amend>Alteração  <NumAm>73</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 80</Article>

 

Texto da Comissão

Alteração

(80) A fim de ter em conta novas ciberameaças, avanços tecnológicos ou especificidades setoriais, o poder de adotar atos nos termos do artigo 290.º do TFUE deve ser delegado na Comissão no que diz respeito aos elementos relativos às medidas de gestão dos riscos exigidas pela presente diretiva. A Comissão deve ficar igualmente habilitada a adotar atos delegados que especifiquem as categorias de entidades essenciais obrigadas a obter um certificado e os sistemas europeus de certificação da cibersegurança a que devem recorrer para o efeito. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos, e que essas consultas sejam conduzidas de acordo com os princípios estabelecidos no Acordo Interinstitucional, de 13 de abril de 2016, sobre legislar melhor26. Em particular, a fim de assegurar a igualdade de participação na preparação dos atos delegados, o Parlamento Europeu e o Conselho recebem todos os documentos ao mesmo tempo que os peritos dos Estados-Membros, e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados.

(80) A fim de ter em conta novas ciberameaças, avanços tecnológicos ou especificidades setoriais, o poder de adotar atos nos termos do artigo 290.º do TFUE deve ser delegado na Comissão no que diz respeito aos elementos relativos às medidas de gestão dos riscos de cibersegurança e às obrigações de notificação exigidas pela presente diretiva. A Comissão deve ficar igualmente habilitada a adotar atos delegados que especifiquem as categorias de entidades essenciais e importantes obrigadas a obter um certificado e os sistemas europeus de certificação da cibersegurança a que devem recorrer para o efeito. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos, e que essas consultas sejam conduzidas de acordo com os princípios estabelecidos no Acordo Interinstitucional, de 13 de abril de 2016, sobre legislar melhor. Em particular, a fim de assegurar a igualdade de participação na preparação dos atos delegados, o Parlamento Europeu e o Conselho recebem todos os documentos ao mesmo tempo que os peritos dos Estados-Membros, e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados.

__________________

 

26 JO L 123 de 12.5.2016, p. 1.

 

</Amend><Amend>Alteração  <NumAm>74</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 81</Article>

 

Texto da Comissão

Alteração

(81) A fim de garantir condições uniformes para a aplicação das disposições pertinentes da presente diretiva relativas às disposições processuais necessárias ao funcionamento do grupo de cooperação, aos elementos técnicos relacionados com as medidas de gestão dos riscos ou ao tipo de informação, ao formato e ao procedimento de notificação de incidentes, é necessário atribuir competências de execução à Comissão. Essas competências devem ser exercidas nos termos do Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho27.

(81) A fim de garantir condições uniformes para a aplicação das disposições pertinentes da presente diretiva relativas às disposições processuais necessárias ao funcionamento do grupo de cooperação e ao procedimento de notificação de incidentes, é necessário atribuir competências de execução à Comissão. Essas competências devem ser exercidas nos termos do Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho27.

__________________

__________________

27 Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).

27 Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).

</Amend><Amend>Alteração  <NumAm>75</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 82</Article>

 

Texto da Comissão

Alteração

(82) A Comissão deve avaliar regularmente a presente diretiva, em consulta com todas as partes interessadas, nomeadamente para decidir da eventual necessidade de a alterar à luz da evolução das condições sociais, políticas, tecnológicas ou do mercado.

(82) A Comissão deve avaliar regularmente a presente diretiva, em consulta com todas as partes interessadas, nomeadamente para decidir se é adequado propor alterações à luz da evolução das condições sociais, políticas, tecnológicas ou do mercado. No âmbito dessas avaliações, a Comissão deve analisar a pertinência dos setores, subsetores e tipos de entidades referidas nos anexos para o funcionamento da economia e da sociedade no que diz respeito à cibersegurança. A Comissão deve avaliar, nomeadamente, se os prestadores de serviços digitais que são classificados como plataformas em linha de muito grande dimensão na aceção do artigo 25.º do Regulamento (UE) XXXX/XXXX [Mercado Único dos Serviços Digitais (Regulamento Serviços Digitais) ou como controladores de acesso na aceção do artigo 2.º, ponto 1, do Regulamento (UE) XXXX/XXXX [Disputabilidade e equidade dos mercados no setor digital (Regulamento Mercados Digitais)] devem ser designados entidades essenciais nos termos da presente diretiva. Além disso, a Comissão deve avaliar se é adequado alterar o anexo I da Diretiva 2020/1828 do Parlamento Europeu e do Conselho1-A mediante o aditamento de uma referência à presente diretiva.

 

__________________

 

1-A Diretiva (UE) 2020/1828 do Parlamento Europeu e do Conselho, de 25 de novembro de 2020, relativa a ações coletivas para proteção dos interesses coletivos dos consumidores e que revoga a Diretiva 2009/22/CE (JO L 409 de 4.12.2020, p. 1).

</Amend><Amend> Alteração  <NumAm>76</NumAm> 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 82-A (novo)</Article>

 

Texto da Comissão

Alteração

 

(82-A) A presente diretiva estabelece requisitos de cibersegurança para os Estados-Membros, bem como para as entidades essenciais e importantes estabelecidas na União. Esses requisitos de cibersegurança devem igualmente ser cumpridos pelas instituições, órgãos, organismos e agências da União com base num ato legislativo da União.

</Amend>

<Amend>Alteração  <NumAm>77</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 82-B (novo)</Article>

 

Texto da Comissão

Alteração

 

(82-B) A presente diretiva cria novas funções para a ENISA, reforçando assim o seu papel, e poderá também levar a que a ENISA seja obrigada a desempenhar as suas funções ao abrigo do Regulamento (UE) 2019/881 a um nível mais elevado do que anteriormente. A fim de assegurar que a ENISA disponha dos recursos financeiros e humanos necessários para realizar as atividades existentes e novas no âmbito das suas funções, bem como para satisfazer eventuais normas mais elevadas resultantes do seu papel reforçado, o seu orçamento deverá ser aumentado em conformidade. Além disso, com vista a garantir uma utilização eficiente dos recursos, a ENISA deve dispor de maior flexibilidade na forma como está autorizada a afetar recursos a nível interno, para que possa desempenhar as suas funções de forma eficaz e satisfazer as expectativas.

</Amend><Amend>Alteração  <NumAm>78</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Considerando 84</Article>

 

Texto da Comissão

Alteração

(84) A presente diretiva respeita os direitos fundamentais e observa os princípios reconhecidos na Carta dos Direitos Fundamentais da União Europeia, em especial o direito ao respeito da vida privada e das comunicações, a proteção dos dados pessoais, a liberdade de empresa, o direito de propriedade, o direito à ação perante um tribunal e o direito a ser ouvido. A presente diretiva deve ser aplicada de acordo com esses direitos e princípios,

(84) A presente diretiva respeita os direitos fundamentais e observa os princípios reconhecidos na Carta, em especial o direito ao respeito da vida privada e das comunicações, a proteção dos dados pessoais, a liberdade de empresa, o direito de propriedade, o direito à ação perante um tribunal e o direito a ser ouvido. Tal inclui o direito a um recurso efetivo perante um tribunal para os destinatários dos serviços prestados por entidades essenciais e importantes. A presente diretiva deve ser aplicada de acordo com esses direitos e princípios.

</Amend><Amend>Alteração  <NumAm>79</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 1 – n.º 2 – alínea c-A) (nova)</Article>

 

Texto da Comissão

Alteração

 

c-A) Impõe aos Estados-Membros obrigações em matéria de supervisão e execução coerciva.

</Amend><Amend>Alteração  <NumAm>80</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 2 – n.º 1</Article>

 

Texto da Comissão

Alteração

1. A presente diretiva aplica-se às entidades públicas e privadas qualificadas como entidades essenciais no anexo I e como entidades importantes no anexo II. Não se aplica às entidades consideradas micro e pequenas empresas na aceção da Recomendação 2003/361/CE da Comissão28.

1. A presente diretiva aplica-se às entidades essenciais e importantes públicas e privadas qualificadas como entidades essenciais no anexo I e como entidades importantes no anexo II que prestem os seus serviços ou desenvolvam as suas atividades na União. Não se aplica às pequenas empresas ou microempresas na aceção do artigo 2.º, n.ºs 2 e 3, do anexo da Recomendação 2003/361/CE da Comissão28. Não é aplicável o artigo 3.º, n.º 4, do anexo da mesma Recomendação.

__________________

__________________

28 Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003, relativa à definição de micro, pequenas e médias empresas (JO L 124 de 20.5.2003, p. 36).

28 Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003, relativa à definição de micro, pequenas e médias empresas (JO L 124 de 20.5.2003, p. 36).

</Amend><Amend>Alteração  <NumAm>81</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 2 – n.º 2 – parágrafo 1 – parte introdutória</Article>

 

Texto da Comissão

Alteração

No entanto, a presente diretiva também se aplica às entidades referidas nos anexos I e II, independentemente da sua dimensão, nos casos em que:

A presente diretiva também se aplica às entidades essenciais e importantes, independentemente da sua dimensão, nos casos em que:

</Amend>

<Amend>Alteração  <NumAm>82</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 2 – n.º 2 – parágrafo 1 – alínea d)</Article>

 

Texto da Comissão

Alteração

d) Uma potencial perturbação do serviço prestado pela entidade possa afetar a segurança pública, a proteção pública ou a saúde pública;

d) Uma perturbação do serviço prestado pela entidade possa afetar a segurança pública, a proteção pública ou a saúde pública;

</Amend><Amend>Alteração  <NumAm>83</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 2 – n.º 2 – parágrafo 1 - alínea e)</Article>

 

Texto da Comissão

Alteração

e) Uma potencial perturbação do serviço prestado pela entidade possa gerar riscos sistémicos, especialmente para os setores onde tal perturbação possa ter um impacto transfronteiriço;

e) Uma perturbação do serviço prestado pela entidade possa gerar riscos sistémicos, especialmente para os setores onde tal perturbação possa ter um impacto transfronteiriço;

</Amend><Amend>Alteração  <NumAm>84</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 2 – n.º 2 – parágrafo 2</Article>

 

Texto da Comissão

Alteração

Os Estados-Membros devem elaborar uma lista das entidades identificadas nos termos das alíneas b) a f) e apresentá-la à Comissão até [6 meses após o prazo de transposição]. Os Estados-Membros devem rever a lista regularmente, pelo menos de dois em dois anos, e atualizá-la quando necessário.

Suprimido

</Amend><Amend>Alteração  <NumAm>85</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 2 – n.º 2-A (novo)</Article>

 

Texto da Comissão

Alteração

 

2-A. Até... [6 meses após o prazo de transposição], os Estados-Membros estabelecem uma lista das entidades essenciais e importantes, incluindo as entidades a que se refere o n.º 1 e as entidades identificadas nos termos do n.º 2, alíneas b) a f) e do artigo 24.º, n.º 1. Posteriormente, os Estados-Membros revêm e, quando necessário, atualizam essa lista com regularidade, pelo menos de dois em dois anos.

</Amend><Amend>Alteração  <NumAm>86</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 2 – n.º 2-B (novo)</Article>

 

Texto da Comissão

Alteração

 

2-B. Os Estados-Membros garantem que as entidades essenciais e importantes apresentem pelo menos as seguintes informações às autoridades competentes:

 

a) Nome da entidade;

 

b) Endereço e dados de contacto atualizados, incluindo endereços de correio eletrónico, gamas IP, números de telefone; e

 

c) o(s) setor(es) e subsetor(es) referido(s) nos anexos I e II.

 

As entidades essenciais e importantes devem notificar sem demora quaisquer alterações dos dados fornecidos nos termos do primeiro parágrafo, e, em qualquer caso, no prazo de duas semanas a contar da data em que a alteração produz efeitos. Nesse sentido, a Comissão, com a assistência da ENISA, elabora, sem demora injustificada, orientações e modelos relativos às obrigações estabelecidas no presente número.

</Amend><Amend>Alteração  <NumAm>87</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 2 – n.º 2-C (novo)</Article>

 

Texto da Comissão

Alteração

 

2-C. Até... [6 meses após o prazo de transposição] e, posteriormente, de dois em dois anos, os Estados-Membros notificam:

 

a) a Comissão e o grupo de cooperação do número de todas as entidades essenciais e importantes identificadas para cada setor e subsetor referidos nos anexos I e II, e

 

b) a Comissão dos nomes das entidades identificadas nos termos do n.º 2, alíneas b) a f).

</Amend><Amend>Alteração  <NumAm>88</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 2 – n.º 4</Article>

 

Texto da Comissão

Alteração

4. A presente diretiva é aplicável sem prejuízo da Diretiva 2008/114/CE30 do Conselho e das Diretivas 2011/93/UE31 e 2013/40/UE32 do Parlamento Europeu e do Conselho.

4. A presente diretiva é aplicável sem prejuízo da Diretiva 2008/114/EC30 do Conselho e das Diretivas 2011/93/UE31, 2013/40/UE32 e 2002/58/CE32-A do Parlamento Europeu e do Conselho.

__________________

__________________

30 Diretiva 2008/114/CE do Conselho, de 8 de dezembro de 2008, relativa à identificação e designação das infraestruturas críticas europeias e à avaliação da necessidade de melhorar a sua proteção (JO L 345 de 23.12.2008, p. 75).

30 Diretiva 2008/114/CE do Conselho, de 8 de dezembro de 2008, relativa à identificação e designação das infraestruturas críticas europeias e à avaliação da necessidade de melhorar a sua proteção (JO L 345 de 23.12.2008, p. 75).

31 Diretiva 2011/93/UE do Parlamento Europeu e do Conselho, de 13 de dezembro de 2011, relativa à luta contra o abuso sexual e a exploração sexual de crianças e a pornografia infantil, e que substitui a Decisão-Quadro 2004/68/JAI do Conselho (JO L 335 de 17.12.2011, p. 1).

31 Diretiva 2011/93/UE do Parlamento Europeu e do Conselho, de 13 de dezembro de 2011, relativa à luta contra o abuso sexual e a exploração sexual de crianças e a pornografia infantil, e que substitui a Decisão-Quadro 2004/68/JAI do Conselho (JO L 335 de 17.12.2011, p. 1).

32 Diretiva 2013/40/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013, relativa a ataques contra os sistemas de informação e que substitui a Decisão-Quadro 2005/222/JAI do Conselho (JO L 218 de 14.8.2013, p. 8).

32 Diretiva 2013/40/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013, relativa a ataques contra os sistemas de informação e que substitui a Decisão-Quadro 2005/222/JAI do Conselho (JO L 218 de 14.8.2013, p. 8).

 

32-A Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37).

</Amend><Amend>Alteração  <NumAm>89</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 2 – n.º 6</Article>

 

Texto da Comissão

Alteração

6. Nos casos em que disposições de atos setoriais de direito da União exijam que entidades essenciais ou importantes adotem medidas de gestão dos riscos de cibersegurança ou notifiquem incidentes ou ciberameaças significativas, e se tais exigências forem, na prática, pelo menos equivalentes às obrigações estabelecidas na presente diretiva, as correspondentes disposições desta última, incluindo a disposição em matéria de supervisão e execução coerciva estabelecida no capítulo VI, não se aplicam.

6. Nos casos em que disposições de atos setoriais de direito da União exijam que entidades essenciais ou importantes adotem medidas de gestão dos riscos de cibersegurança ou notifiquem incidentes, e se tais exigências forem, na prática, pelo menos equivalentes às obrigações estabelecidas na presente diretiva, as correspondentes disposições desta última, incluindo a disposição em matéria de supervisão e execução coerciva estabelecida no capítulo VI, não se aplicam. Sem demora injustificada, a Comissão emite orientações em relação à aplicação dos atos setoriais do direito da União, a fim de garantir que esses atos cumpram os requisitos de cibersegurança estabelecidos pela presente diretiva e que não haja nenhuma sobreposição ou incerteza jurídica. Na elaboração dessas orientações, a Comissão tem em conta as melhores práticas e os conhecimentos especializados da ENISA e do grupo de cooperação.

</Amend><Amend>Alteração  <NumAm>90</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 2 – n.º 6-A (novo)</Article>

 

Texto da Comissão

Alteração

 

6-A. As entidades essenciais e importantes, as CSIRT e os fornecedores de tecnologias e serviços de segurança devem tratar dados pessoais, na medida do estritamente necessário e proporcionado para efeitos de cibersegurança e segurança da rede e das informações, para cumprir as obrigações previstas na presente diretiva. O tratamento dos dados pessoais ao abrigo da presente diretiva deve ser efetuado em conformidade com o Regulamento (UE) 2016/679, nomeadamente o artigo 6.º.

</Amend><Amend>Alteração  <NumAm>91</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 2 – n.º 6-B (novo)</Article>

 

Texto da Comissão

Alteração

 

6-B. O tratamento de dados pessoais nos termos da presente diretiva, dos fornecedores de redes públicas de comunicações eletrónicas ou dos fornecedores de comunicações eletrónicas acessíveis ao público a que se refere o anexo I, ponto 8, deve ser efetuado em conformidade com a Diretiva 2002/58/CE.

</Amend><Amend>Alteração  <NumAm>92</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 4 – parágrafo 1 – ponto 4-A (novo)</Article>

 

Texto da Comissão

Alteração

 

4-A) «Quase incidente»: um acontecimento que poderia ter comprometido a disponibilidade, autenticidade, integridade ou confidencialidade dos dados, ou que poderia ter causado danos, mas que foi impedido de produzir o seu impacto negativo;

</Amend>

<Amend>Alteração  <NumAm>93</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 4 – parágrafo 1 – ponto 6)</Article>

 

Texto da Comissão

Alteração

6) «Tratamento de incidentes»: todas as ações e procedimentos que visam a deteção, a análise e a contenção de um incidente, bem como a resposta a um incidente;

6) «Tratamento de incidentes»: todas as ações e procedimentos que visam a prevenção, a deteção, a análise e a contenção de um incidente, bem como a resposta a um incidente;

</Amend><Amend>Alteração  <NumAm>94</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 4 – parágrafo 1 – ponto 7-A (novo)</Article>

 

Texto da Comissão

Alteração

 

7-A) «Risco»: a possibilidade de perda ou perturbação causada por um incidente, expressa como uma combinação da magnitude de tal perda ou perturbação e da probabilidade de ocorrência desse incidente;

</Amend><Amend>Alteração  <NumAm>95</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 4 – parágrafo 1 – ponto 11</Article>

 

Texto da Comissão

Alteração

11) uma especificação técnica na aceção do artigo 2.º, ponto 4, do Regulamento (UE) n.º 1025/2012;

11) «Especificação técnica»: uma especificação técnica na aceção do artigo 2.º, ponto 20, do Regulamento (UE) n.º 2019/881;

</Amend><Amend>Alteração  <NumAm>96</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 4 – parágrafo 1 – ponto 13</Article>

 

Texto da Comissão

Alteração

13) «Sistema de nomes de domínio (DNS)»: um sistema de nomes distribuídos hierarquicamente que permite aos utilizadores finais aceder a serviços e recursos na Internet;

13) «Sistema de nomes de domínio (DNS)»: um sistema de nomes distribuídos hierarquicamente que possibilita a identificação de serviços e recursos, permitindo que os dispositivos dos utilizadores finais utilizem os serviços de encaminhamento e de conectividade da Internet para aceder a esses serviços e recursos;

</Amend><Amend>Alteração  <NumAm>97</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 4 – parágrafo 1 – ponto 14</Article>

 

Texto da Comissão

Alteração

14) «Prestador de serviços de DNS»: uma entidade que presta serviços de resolução recursiva ou autoritativa de nomes de domínio a utilizadores finais da Internet e a outros prestadores de serviços de DNS;

14) «Prestador de serviços de DNS»: uma entidade que presta:

</Amend><Amend>Alteração  <NumAm>98</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 4 – parágrafo 1 – ponto 14 – alínea a) (nova)</Article>

 

Texto da Comissão

Alteração

 

a) serviços abertos e públicos de resolução recursiva de nomes de domínio a utilizadores finais da Internet; ou

</Amend><Amend>Alteração  <NumAm>99</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 4 – parágrafo 1 – ponto 14 – alínea b) (nova)</Article>

 

Texto da Comissão

Alteração

 

b) serviços de resolução autoritativa de nomes de domínio, enquanto serviço suscetível de ser prestado por terceiros;

</Amend><Amend>Alteração  <NumAm>100</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 4 – parágrafo 1 – ponto 15</Article>

 

Texto da Comissão

Alteração

15) uma entidade a quem foi delegado um domínio de topo específico e que é responsável pela sua administração, incluindo o registo de nomes de domínio sob o domínio de topo e a operação técnica desse domínio de topo, incluindo a operação dos seus servidores de nomes, a manutenção das suas bases de dados e a distribuição de ficheiros da zona de domínios de topo pelos servidores de nomes; «Serviço digital»:

15) «Registo de nomes de domínio de topo»: uma entidade a quem foi delegado um domínio de topo específico e que é responsável pela sua administração, incluindo o registo de nomes de domínio sob o domínio de topo e a operação técnica desse domínio de topo, incluindo a operação dos seus servidores de nomes, a manutenção das suas bases de dados e a distribuição de ficheiros da zona de domínios de topo pelos servidores de nomes, independentemente do facto de qualquer uma destas operações ser executada pela entidade ou ser externalizada;

</Amend><Amend>Alteração  <NumAm>101</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 4 – parágrafo 1 – ponto 15-A (novo)</Article>

 

Texto da Comissão

Alteração

 

15-A) «Serviços de registo de nomes de domínio»: serviços prestados por registos e agentes de registo de nomes de domínio, prestadores de serviços de proteção da privacidade ou de registo de servidores intermediários, corretores ou revendedores de domínios e quaisquer outros serviços relacionados com o registo de nomes de domínio;

</Amend><Amend>Alteração  <NumAm>102</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 4 – parágrafo 1 – ponto 23-A (novo)</Article>

 

Texto da Comissão

Alteração

 

23-A) «Rede pública de comunicações eletrónicas»: uma rede pública de comunicações eletrónicas na aceção do artigo 2.º, ponto 8, da Diretiva (UE) 2018/1972;

</Amend><Amend>Alteração  <NumAm>103</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 4 – parágrafo 1 – ponto 23-B) (novo)</Article>

 

Texto da Comissão

Alteração

 

23-B) «Serviço de comunicações eletrónicas»: um serviço de comunicações eletrónicas na aceção do artigo 2.º, ponto 4, da Diretiva (UE) 2018/1972;

</Amend><Amend>Alteração  <NumAm>104</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 1 – parte introdutória</Article>

 

Texto da Comissão

Alteração

1. Os Estados-Membros devem adotar uma estratégia nacional de cibersegurança que defina objetivos estratégicos e medidas políticas e regulamentares adequadas, com vista a alcançar e a manter um elevado nível de cibersegurança. A estratégia nacional de cibersegurança deve incluir, em especial, o seguinte:

1. Os Estados-Membros devem adotar uma estratégia nacional de cibersegurança que defina os objetivos estratégicos, os recursos técnicos, organizacionais e financeiros necessários para atingir esses objetivos, bem como as medidas políticas e regulamentares adequadas, com vista a alcançar e a manter um elevado nível de cibersegurança. A estratégia nacional de cibersegurança deve incluir, em especial, o seguinte:

</Amend><Amend>Alteração  <NumAm>105</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 1 – alínea a)</Article>

 

Texto da Comissão

Alteração

a) A definição dos objetivos e prioridades da estratégia de cibersegurança do Estado-Membro;

a) (Não se aplica à versão portuguesa.)

</Amend><Amend>Alteração  <NumAm>106</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 1 – alínea b)</Article>

 

Texto da Comissão

Alteração

b) Um quadro de governação para cumprir esses objetivos e prioridades, incluindo as políticas referidas no n.º 2 e as funções e responsabilidades das entidades e organismos públicos, bem como de outros intervenientes pertinentes;

b) Um quadro de governação para cumprir esses objetivos e prioridades, incluindo as políticas referidas no n.º 2;

</Amend><Amend>Alteração  <NumAm>107</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 1 – alínea b-A) (nova)</Article>

 

Texto da Comissão

Alteração

 

b-A) Um quadro de repartição das funções e responsabilidades das entidades e organismos públicos, bem como de outros intervenientes pertinentes, que sustente a cooperação e coordenação, a nível nacional, entre as autoridades competentes designadas nos termos do artigo 7.º, n.º 1, e do artigo 8.º, n.º 1, o ponto de contacto único designado nos termos do artigo 8.º, n.º 3, e as CSIRT designadas nos termos do artigo 9.º;

</Amend><Amend>Alteração  <NumAm>108</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 1 – alínea e)</Article>

 

Texto da Comissão

Alteração

e) Uma lista das diversas autoridades e intervenientes envolvidos na execução da estratégia nacional de cibersegurança;

e) Uma lista das diversas autoridades e intervenientes envolvidos na execução da estratégia nacional de cibersegurança, incluindo um ponto de contacto único em matéria de cibersegurança para as PME que preste apoio à aplicação das medidas específicas de cibersegurança;

</Amend><Amend>Alteração  <NumAm>109</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 1 – alínea f)</Article>

 

Texto da Comissão

Alteração

f) Um quadro político para o reforço da cooperação entre as autoridades competentes ao abrigo da presente diretiva e da Diretiva (UE) XXXX/XXXX do Parlamento Europeu e do Conselho38 [Diretiva Resiliência das Entidade Críticas] para efeitos de partilha de informações sobre incidentes e ciberameaças e do exercício de funções de supervisão.

f) Um quadro político para o reforço da cooperação entre as autoridades competentes ao abrigo da presente diretiva e da Diretiva (UE) XXXX/XXXX do Parlamento Europeu e do Conselho38 [Diretiva Resiliência das Entidade Críticas], tanto a nível dos Estados-Membros como entre estes, para efeitos de partilha de informações sobre incidentes e ciberameaças e do exercício de funções de supervisão.

__________________

__________________

38 [Serviço das Publicações: inserir o título completo e a referência de publicação no JO quando forem conhecidos].

38 [Serviço das Publicações: inserir o título completo e a referência de publicação no JO quando forem conhecidos].

</Amend><Amend>Alteração  <NumAm>110</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 1 – alínea f-A) (nova)</Article>

 

Texto da Comissão

Alteração

 

f-A) Uma avaliação do nível geral de sensibilização dos cidadãos para a cibersegurança.

</Amend><Amend>Alteração  <NumAm>111</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 2 – alínea -a) (nova)</Article>

 

Texto da Comissão

Alteração

 

-a) Uma política em matéria de cibersegurança para cada setor abrangido pela presente diretiva;

</Amend><Amend>Alteração  <NumAm>112</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 2 – alínea b)</Article>

 

Texto da Comissão

Alteração

b) Orientação relativas à inclusão e à especificação de requisitos em matéria de cibersegurança aplicáveis a produtos e serviços de TIC nos procedimentos de contratação pública;

b) Orientação relativas à inclusão e à especificação de requisitos em matéria de cibersegurança aplicáveis a produtos e serviços de TIC nos procedimentos de contratação pública, incluindo requisitos de cifragem e a utilização de produtos de cibersegurança de fonte aberta;

</Amend><Amend>Alteração  <NumAm>113</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 2 – alínea d)</Article>

 

Texto da Comissão

Alteração

d) Uma política relacionada com a manutenção da disponibilidade geral e da integridade do núcleo público da Internet aberta;

d) Uma política relacionada com a manutenção da disponibilidade geral e da integridade do núcleo público da Internet aberta, incluindo a cibersegurança dos cabos submarinos de comunicações;

</Amend><Amend>Alteração  <NumAm>114</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 2 – alínea d-A) (nova)</Article>

 

Texto da Comissão

Alteração

 

d-A) Uma política de promoção e de apoio ao desenvolvimento e integração de tecnologias emergentes, como a inteligência artificial, em ferramentas e aplicações que reforcem a cibersegurança;

</Amend><Amend>Alteração  <NumAm>115</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 2 – alínea d-B) (nova)</Article>

 

Texto da Comissão

Alteração

 

d-B) Uma política destinada a promover a integração das ferramentas e aplicações de código aberto;

</Amend><Amend>Alteração  <NumAm>116</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 2 – alínea f)</Article>

 

Texto da Comissão

Alteração

f) Uma política de apoio às instituições académicas e de investigação no desenvolvimento de ferramentas de cibersegurança e de infraestruturas de redes seguras;

f) Uma política de apoio às instituições académicas e de investigação no desenvolvimento, na melhoria e na implantação de ferramentas de cibersegurança e de infraestruturas de redes seguras;

</Amend><Amend>Alteração  <NumAm>117</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5.º – n.º 2 – alínea h)</Article>

 

Texto da Comissão

Alteração

h) Uma política para responder às necessidades específicas das PME, especialmente das que estão excluídas do âmbito da presente diretiva, no que respeita a orientações e apoio para melhorarem a sua resiliência a ciberameaças.

h) Uma política para promover a cibersegurança das PME, nomeadamente das que estão excluídas do âmbito da presente diretiva, que aborde as suas necessidades específicas e preste orientações e apoio facilmente acessíveis, incluindo orientações relativas aos desafios enfrentados na cadeia de fornecimento;

</Amend><Amend>Alteração  <NumAm>118</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 2 – alínea h-A) (nova)</Article>

 

Texto da Comissão

Alteração

 

h-A) Uma política de promoção da ciber-higiene que inclua um conjunto de práticas e controlos de base e a sensibilização geral dos cidadãos para as ameaças e as melhores práticas em matéria de cibersegurança;

</Amend>

<Amend>Alteração  <NumAm>119</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 2 – alínea h-B) (nova)</Article>

 

Texto da Comissão

Alteração

 

h-B) Uma política de promoção da ciberdefesa ativa;

</Amend><Amend>Alteração  <NumAm>120</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.° 2 – alínea h-C) (nova)</Article>

 

Texto da Comissão

Alteração

 

h-C) Uma política para ajudar as autoridades a desenvolver competências e aumentar a compreensão das considerações de segurança necessárias para conceber, construir e gerir locais conectados;

</Amend><Amend>Alteração  <NumAm>121</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 2 – alínea h-D) (nova)</Article>

 

Texto da Comissão

Alteração

 

h-D) Uma política que aborde especificamente a ameaça do software de sequestro (ransomware) e impossibilite o modelo de negócio deste software;

</Amend><Amend>Alteração  <NumAm>122</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 2 – alínea h-E) (nova)</Article>

 

Texto da Comissão

Alteração

 

h-E) Uma política de apoio e promoção do estabelecimento de PPP no domínio da cibersegurança, incluindo os procedimentos e quadros de governação pertinentes;

</Amend><Amend>Alteração  <NumAm>123</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 3</Article>

 

Texto da Comissão

Alteração

3. Os Estados-Membros devem notificar as suas estratégias nacionais de cibersegurança à Comissão no prazo de três meses a contar da sua adoção. Os Estados-Membros podem excluir informações específicas da notificação, na medida estritamente necessária para salvaguardar a segurança nacional.

3. Os Estados-Membros devem notificar as suas estratégias nacionais de cibersegurança à Comissão no prazo de três meses a contar da sua adoção. Os Estados-Membros podem excluir informações específicas da notificação, na medida necessária para salvaguardar a segurança nacional.

</Amend><Amend>Alteração  <NumAm>124</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 5 – n.º 4</Article>

 

Texto da Comissão

Alteração

4. Os Estados-Membros devem avaliar as suas estratégias nacionais de cibersegurança pelo menos de quatro em quatro anos com base em indicadores-chave de desempenho e, quando necessário, devem alterá-las. A pedido dos Estados-Membros, a Agência da União Europeia para a Cibersegurança (ENISA) deve ajudá-los a formular uma estratégia nacional e indicadores-chave de desempenho para a avaliação dessa estratégia.

4. Os Estados-Membros devem avaliar as suas estratégias nacionais de cibersegurança pelo menos de quatro em quatro anos com base em indicadores-chave de desempenho e, quando necessário, devem alterá-las. A pedido dos Estados-Membros, a Agência da União Europeia para a Cibersegurança (ENISA) deve ajudá-los a formular uma estratégia nacional e indicadores-chave de desempenho para a avaliação dessa estratégia. A ENISA deve fornecer aos Estados-Membros orientações para alinharem as suas estratégias nacionais de cibersegurança já formuladas com os requisitos e obrigações estabelecidos na presente diretiva.

</Amend><Amend>Alteração  <NumAm>125</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 6 – título</Article>

 

Texto da Comissão

Alteração

Divulgação coordenada de vulnerabilidades e registo europeu de vulnerabilidades

Divulgação coordenada de vulnerabilidades e base de dados europeia de vulnerabilidades

</Amend><Amend>Alteração  <NumAm>126</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 6 – n.º 1</Article>

 

Texto da Comissão

Alteração

1. Cada Estado-Membro deve designar uma das suas CSIRT a que se refere o artigo 9.º como coordenadora para efeitos da divulgação coordenada de vulnerabilidades. A CSIRT designada deve desempenhar o papel de intermediário de confiança, facilitando, quando necessário, a interação entre a entidade notificadora e o fabricante ou fornecedor de produtos ou prestador de serviços de TIC. Nos casos em que a vulnerabilidade notificada diga respeito a vários fabricantes ou fornecedores de produtos ou prestadores de serviços de TIC na União, a CSIRT designada por cada Estado-Membro em causa deve cooperar com a rede de CSIRT.

1. Cada Estado-Membro deve designar uma das suas CSIRT a que se refere o artigo 9.º como coordenadora para efeitos da divulgação coordenada de vulnerabilidades. A CSIRT designada deve desempenhar o papel de intermediário de confiança, facilitando, a pedido da entidade notificadora, a interação entre a entidade notificadora e o fabricante ou fornecedor de produtos ou prestador de serviços de TIC. Nos casos em que a vulnerabilidade notificada diga respeito a vários fabricantes ou fornecedores de produtos ou prestadores de serviços de TIC na União, a CSIRT designada por cada Estado-Membro em causa deve cooperar com a rede de CSIRT.

</Amend><Amend>Alteração  <NumAm>127</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 6 – n.º 2</Article>

 

Texto da Comissão

Alteração

2. A ENISA deve criar e manter um registo europeu de vulnerabilidades. Para tal, deve estabelecer e manter sistemas de informação, políticas e procedimentos adequados, tendo em vista, em especial, permitir que entidades importantes e essenciais e os respetivos fornecedores de redes e sistemas de informação divulguem e registem vulnerabilidades presentes nos produtos de TIC ou serviços de TIC, bem como proporcionar acesso às informações sobre vulnerabilidades constantes do registo a todas as partes interessadas. O registo deve incluir, em especial, informações que descrevam a vulnerabilidade, o produto de TIC ou os serviços de TIC afetados e a gravidade da vulnerabilidade em termos das circunstâncias em que pode ser explorada, a disponibilidade de correções e, na falta de correções, orientações destinadas aos utilizadores de produtos e serviços vulneráveis sobre formas de minimizar os riscos resultantes das vulnerabilidades divulgadas.

2. A ENISA deve criar e manter uma base de dados europeia de vulnerabilidades que tire partido do registo global de Vulnerabilidades e Exposições Comuns (CVE). Para tal, deve estabelecer e manter sistemas de informação, políticas e procedimentos adequados, e adotar as medidas técnicas e organizativas necessárias para garantir a segurança e a integridade da base de dados, tendo em vista, em especial, permitir que entidades importantes e essenciais e os respetivos fornecedores de redes e sistemas de informação, bem como as entidades não abrangidas pelo âmbito da presente diretiva e os respetivos fornecedores, divulguem e registem vulnerabilidades presentes nos produtos de TIC ou serviços de TIC. Todas as partes interessadas devem ter acesso às informações sobre as vulnerabilidades constantes da base de dados que disponham de correções ou medidas de atenuação. A base de dados deve incluir, em especial, informações que descrevam a vulnerabilidade, o produto de TIC ou os serviços de TIC afetados e a gravidade da vulnerabilidade em termos das circunstâncias em que pode ser explorada e a disponibilidade de correções. Na falta de correções, devem ser incluídas na base de dados orientações destinadas aos utilizadores de produtos de ICT e serviços de ICT vulneráveis sobre formas de minimizar os riscos resultantes das vulnerabilidades divulgadas.

</Amend><Amend>Alteração  <NumAm>128</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 7 – n.º 1-A (novo)</Article>

 

Texto da Comissão

Alteração

 

1-A. Se um Estado-Membro designar mais do que uma autoridade competente referida no n.º 1, deve indicar claramente qual dessas autoridades competentes assumirá o papel de coordenadora para a gestão de incidentes e crises de grande escala.

</Amend><Amend>Alteração  <NumAm>129</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 7 – n.º 2</Article>

 

Texto da Comissão

Alteração

2. Cada Estado-Membro deve identificar capacidades, ativos e procedimentos passíveis de utilização em caso de crise, para os efeitos da presente diretiva.

2. (Não se aplica à versão portuguesa.)

</Amend><Amend>Alteração  <NumAm>130</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 7 – n.º 4</Article>

 

Texto da Comissão

Alteração

4. Os Estados-Membros devem comunicar à Comissão a designação das autoridades competentes a que se refere o n.º 1 e apresentar os respetivos planos nacionais de resposta a crises e incidentes de cibersegurança a que se refere o n.º 3 no prazo de três meses a contar da designação e da adoção desses planos. Os Estados-Membros podem excluir informações específicas do plano, na medida estritamente necessária para salvaguardar a sua segurança nacional.

4. Os Estados-Membros devem comunicar à Comissão a designação das autoridades competentes a que se refere o n.º 1 e apresentar à UE-CyCLONe os respetivos planos nacionais de resposta a crises e incidentes de cibersegurança a que se refere o n.º 3 no prazo de três meses a contar da designação e da adoção desses planos. Os Estados-Membros podem excluir informações específicas do plano, na medida estritamente necessária para salvaguardar a sua segurança nacional.

</Amend><Amend>Alteração  <NumAm>131</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 8 – n.º 3</Article>

 

Texto da Comissão

Alteração

3. Cada Estado-Membro deve designar um ponto de contacto único nacional para questões relacionadas com a cibersegurança (a seguir designado por «ponto de contacto único»). Caso um Estado-Membro designe apenas uma autoridade competente, esta é também o ponto de contacto único desse Estado-Membro.

3. Cada Estado-Membro deve designar uma das autoridades competentes referidas no n.º 1 como ponto de contacto único nacional para questões relacionadas com a cibersegurança (a seguir designado por «ponto de contacto único»). Caso um Estado-Membro designe apenas uma autoridade competente, esta é também o ponto de contacto único desse Estado-Membro.

</Amend><Amend>Alteração  <NumAm>132</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 8 – n.º 4</Article>

 

Texto da Comissão

Alteração

4. Cada ponto de contacto único desempenha uma função de ligação para assegurar a cooperação transfronteiriça das autoridades do seu Estado-Membro com as autoridades competentes de outros Estados-Membros e para assegurar a cooperação transetorial com outras autoridades nacionais competentes do seu Estado-Membro.

4. Cada ponto de contacto único desempenha uma função de ligação para assegurar a cooperação transfronteiriça das autoridades do seu Estado-Membro com as autoridades competentes de outros Estados-Membros, a Comissão e a ENISA e para assegurar a cooperação transetorial com outras autoridades nacionais competentes do seu Estado-Membro.

</Amend><Amend>Alteração  <NumAm>133</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 9 – n.º 2</Article>

 

Texto da Comissão

Alteração

2. Os Estados-Membros devem certificar-se de que cada CSIRT dispõe dos recursos adequados para desempenhar eficazmente as suas funções, tal como definidas no artigo 10.º, n.º 2.

2. Os Estados-Membros devem certificar-se de que cada CSIRT dispõe dos recursos adequados e das capacidades técnicas necessárias para desempenhar eficazmente as suas funções, tal como definidas no artigo 10.º, n.º 2.

</Amend><Amend>Alteração  <NumAm>134</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 9 – n.º 6-A (novo)</Article>

 

Texto da Comissão

Alteração

 

6-A. Os Estados-Membros devem garantir a possibilidade de um intercâmbio de informações eficaz, eficiente e seguro sobre todos os níveis de classificação entre as suas próprias CSIRT e as CSIRT de países terceiros no mesmo nível de classificação.

</Amend><Amend>Alteração  <NumAm>135</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 9 – n.º 6-B (novo)</Article>

 

Texto da Comissão

Alteração

 

6-B. As CSIRT devem, sem prejuízo da legislação da União, em especial do Regulamento (UE) 2016/679, cooperar com as CSIRT ou os organismos equivalentes nos países candidatos à adesão à UE e noutros países terceiros dos Balcãs Ocidentais e da Parceria Oriental e, sempre que possível, prestar-lhes assistência em matéria de cibersegurança.

</Amend><Amend>Alteração  <NumAm>136</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 9 – n.º 7</Article>

 

Texto da Comissão

Alteração

7. Os Estados-Membros devem comunicar à Comissão, sem demora injustificada, as CSIRT designadas nos termos do n.º 1, a CSIRT coordenadora designada nos termos do artigo 6.º, n.º 1, e as respetivas funções desempenhadas em relação às entidades a que se referem os anexos I e II.

7. Os Estados-Membros devem comunicar à Comissão, sem demora injustificada, as CSIRT designadas nos termos do n.º 1 e a CSIRT coordenadora designada nos termos do artigo 6.º, n.º 1, incluindo as respetivas funções desempenhadas em relação às entidades essenciais e importantes.

</Amend><Amend>Alteração  <NumAm>137</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 10 – título</Article>

 

Texto da Comissão

Alteração

Requisitos e funções das CSIRT

Requisitos, capacidades técnicas e funções das CSIRT

</Amend><Amend>Alteração  <NumAm>138</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 10 – n.º 1 – alínea c)</Article>

 

Texto da Comissão

Alteração

c) As CSIRT devem estar equipadas com um sistema adequado de gestão e encaminhamento de pedidos, sobretudo para facilitar transferências eficazes e eficientes;

c) As CSIRT devem estar equipadas com um sistema adequado de classificação, encaminhamento e rastreio de pedidos, sobretudo para facilitar transferências eficazes e eficientes;

</Amend><Amend>Alteração  <NumAm>139</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 10 – n.º 1 – alínea c-A) (nova)</Article>

 

Texto da Comissão

Alteração

 

c-A) As CSIRT devem dispor de códigos de conduta adequados para garantir a confidencialidade e a credibilidade das suas operações;

</Amend><Amend>Alteração  <NumAm>140</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 10 – n.º 1 – alínea d)</Article>

 

Texto da Comissão

Alteração

d) As CSIRT devem dispor de pessoal suficiente para assegurar a sua disponibilidade em qualquer momento;

d) As CSIRT devem dispor de pessoal suficiente para assegurar a sua disponibilidade em qualquer momento e garantir quadros de formação adequados para o seu pessoal;

</Amend><Amend>Alteração  <NumAm>141</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 10 – n.º 1 – alínea e)</Article>

 

Texto da Comissão

Alteração

e) As CSIRT devem estar equipadas com sistemas redundantes e dispor de um espaço de trabalho de recurso para assegurar a continuidade dos seus serviços;

e) As CSIRT devem estar equipadas com sistemas redundantes e dispor de um espaço de trabalho de recurso para assegurar a continuidade dos seus serviços, incluindo uma ampla conectividade entre redes, sistemas informação, serviços e dispositivos;

</Amend><Amend>Alteração  <NumAm>142</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 10 – n.º 1-A (novo)</Article>

 

Texto da Comissão

Alteração

 

1-A. As CSIRT devem desenvolver, pelo menos, as seguintes capacidades técnicas:

 

a) a capacidade para monitorizar em tempo real ou quase real as redes e os sistemas de informação e para detetar anomalias;

 

b) a capacidade para apoiar a prevenção e deteção de intrusão;

 

c) a capacidade para recolher e realizar análises de dados forenses complexos e de aplicar engenharia inversa às ciberameaças;

 

d) a capacidade para filtrar tráfego malicioso;

 

e) a capacidade para impor privilégios e controlos de autenticação e de acesso fortes; e

 

f) a capacidade para analisar ciberameaças.

</Amend><Amend>Alteração  <NumAm>143</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 10 – n.º 2 – alínea a)</Article>

 

Texto da Comissão

Alteração

a) Monitorizar ciberameaças, vulnerabilidades e incidentes a nível nacional;

a) monitorizar ciberameaças, vulnerabilidades e incidentes a nível nacional e obter informações sobre ameaças em tempo real;

</Amend><Amend>Alteração  <NumAm>144</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 10 – n.º 2 – alínea b)</Article>

 

Texto da Comissão

Alteração

b) Ativar os mecanismos de alerta rápido, enviar mensagens de alerta, fazer comunicações e divulgar informações às entidades essenciais e importantes, bem como a outras partes interessadas, sobre ciberameaças, vulnerabilidades e incidentes;

b) Ativar os mecanismos de alerta rápido, enviar mensagens de alerta, fazer comunicações e divulgar informações às entidades essenciais e importantes, bem como a outras partes interessadas, sobre ciberameaças, vulnerabilidades e incidentes, se possível em tempo quase real;

</Amend><Amend>Alteração  <NumAm>145</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 10 – n.º 2 – alínea c)</Article>

 

Texto da Comissão

Alteração

c) Intervir em caso de incidentes;

c) Intervir em caso de incidentes e prestar assistência às entidades envolvidas;

</Amend><Amend>Alteração  <NumAm>146</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 10 – n.º 2 – alínea e)</Article>

 

Texto da Comissão

Alteração

e) A pedido de uma entidade, realizar uma análise proativa da rede e dos sistemas de informação utilizados para a prestação dos seus serviços;

e) A pedido de uma entidade ou em caso de ameaça grave à segurança nacional, realizar uma análise proativa da rede e dos sistemas de informação utilizados para a prestação dos seus serviços;

</Amend><Amend>Alteração  <NumAm>147</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 10 – n.º 2 – alínea f-A) (nova)</Article>

 

Texto da Comissão

Alteração

 

f-A) A pedido de uma entidade, fornecer a habilitação e a configuração do registo da rede para proteger dados, incluindo dados pessoais, de exfiltração não autorizada;

</Amend><Amend>Alteração  <NumAm>148</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 10 – n.º 2 – alínea f-B) (nova)</Article>

 

Texto da Comissão

Alteração

 

f-B) Contribuir para a implantação de ferramentas seguras de partilha de informações nos termos do artigo 9.º, n.º 3.

</Amend><Amend>Alteração  <NumAm>149</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>

<Article>Artigo 10 – n.º 4 – parte introdutória</Article>

 

Texto da Comissão

Alteração

4. A fim de facilitar a cooperação, as CSIRT devem promover a adoção e a utilização de práticas, sistemas de classificação e taxonomias comuns ou normalizadas em relação aos seguintes aspetos:

4. A fim de facilitar a cooperação, as CSIRT devem promover a automatização do intercâmbio de informações, a adoção e a utilização de práticas, sistemas de classificação e taxonomias comuns ou normalizadas em relação aos seguintes aspetos:

</Amend><Amend>Alteração  <NumAm>150</NumAm>

 

<DocAmend>Proposta de diretiva</DocAmend>