Luta contra a cibercriminalidade: quais são as novas leis de cibersegurança da UE?
O Parlamento aprovou novas leis que reforçam a cibersegurança da União Europeia em sectores-chave. Descobre como te vão proteger a ti.
Perante a rápida expansão da digitalização do nosso quotidiano, acelerada com a pandemia da COVID-19, a proteção contra ciberameaças tornou-se essencial para que a nossa sociedade funcione adequadamente.
Os ciberataques podem ter custos elevados. De acordo com a Comissão Europeia, o custo anual do cibercrime para a economia global é estimado em 5,5 triliões de euros até o final de 2020.
Em novembro de 2022, o Parlamento Europeu atualizou a legislação da União Europeia (UE) que visa reforçar o investimento em cibersegurança robusta para serviços essenciais e infraestruturas críticas e fortalecer as regras em toda a UE.
No dia 22 de novembro, o Parlamento reforçou a proteção das infraestruturas essenciais da UE, incluindo a infraestrutura digital, dando o seu consentimento final à legislação que torna mais rigorosas as avaliações de risco e os requisitos de comunicação de informação para entidades críticas em 11 sectores essenciais.
Sabe como a UE configura a transformação digital.
Reforçar as obrigações de cibersegurança - a diretiva SRI 2
A diretiva relativa à segurança de redes e informações (SRI ou NIS2 na sigla em inglês) introduz novas regras para promover um alto nível comum de cibersegurança em toda a UE - tanto para as empresas como para os países. A legislação permite ainda fortalecer os requisitos de cibersegurança para entidades de média e grande dimensão que operam e prestam serviços em sectores-chave.
Uma atualização da diretiva SRI de 2016 visa melhorar a clareza e a implementação, bem como abordar desenvolvimentos acelerados nesta área. Além disso, abrange mais sectores e atividades do que antes, simplifica as obrigações de notificação e aborda a segurança da cadeia de abastecimento.
Após a legislação ter sido aprovada pelo Parlamento e pelos países da UE no Conselho em novembro de 2022, os Estados-Membros têm 21 meses para a implementar.
Descobre quais são as ciberameaças principais e emergentes.
Inclusão de mais sectores
A nova lei amplia o âmbito de sectores e atividades que são fundamentais para a economia e a sociedade, incluindo a energia, os transportes, os bancos, a saúde, a infraestrutura digital, a administração pública e o espaço. No entanto, não abrange a segurança nacional e pública, a aplicação da lei ou o poder judicial. A lei aplica-se à administração pública a nível central e regional, mas não aos parlamentos e bancos centrais.
Requer igualmente que mais entidades e sectores tomem medidas de gestão de riscos de cibersegurança, incluindo provedores de serviços públicos de comunicações eletrónicas, operadores de redes sociais, fabricantes de produtos essenciais (incluindo dispositivos médicos) e serviços postais e de correio.
Obrigações mais rigorosas para os países
A lei estabelece obrigações de cibersegurança mais rigorosas para os países da UE no que refere à supervisão. Permite melhorar a aplicação dessas obrigações, nomeadamente através da harmonização das sanções entre os Estados-Membros. E visa igualmente aperfeiçoar a cooperação entre os países da UE, incluindo em incidentes de grande escala, sob a égide da Agência da UE para a Cibersegurança (ENISA).
Proteger o sistema financeiro da UE - o regulamento DORA
Como o sector financeiro é cada vez mais dependente de software e processos digitais, necessita de maior proteção. A lei de resiliência operacional digital (DORA) garantirá que o sector financeiro da UE seja mais resiliente a graves interrupções operacionais e a ciberataques. O Parlamento deu o seu consentimento final à legislação, previamente acordada com o Conselho, a 10 de novembro de 2022. O Conselho aprovou formalmente o regulamento a 28 de novembro de 2022.
A lei introduz e harmoniza os requisitos de resiliência operacional digital para o sector de serviços financeiros da UE, obrigando as empresas a garantirem que podem suportar, dar resposta e recuperar de todos os tipos de interrupções e ameaças relacionadas.com as tecnologias de informação e comunicação (TIC).
As novas regras aplicam-se a todas as empresas que prestam serviços financeiros como, por exemplo, os bancos, prestadores de pagamento, prestadores de dinheiro eletrónico, empresas de investimento, prestadores de serviços de criptoativos ou mesmo aos terceiros prestadores de serviços essenciais de TIC.
As autoridades nacionais vão supervisionar e verificar o cumprimento da implementação da lei.
Lê mais sobre a forma como a UE está a moldar a transformação digital:
