Cibersegurança: PE aprova regras para aumentar resiliência de setores essenciais à sociedade 

Comunicado de imprensa 
 
 

Partilhar esta página: 

PE aprova primeira diretiva europeia sobre cibersegurança ©AP Images/ European Union-EP  

Os eurodeputados aprovaram hoje a primeira diretiva da UE sobre cibersegurança, que exige que os operadores que prestam serviços essenciais em setores como a energia, os transportes, a saúde e a banca, e prestadores de serviços digitais como mercados em linha, adotem várias medidas para resistir a ataques informáticos. Cada país da UE terá de designar uma ou mais autoridades nacionais competentes na matéria e adotar uma estratégia nacional de segurança das redes e dos sistemas de informação.

Pelo menos 80 % das empresas europeias tiveram, no mínimo, um incidente de cibersegurança ao longo do último ano. Estes incidentes não conhecem fronteiras e podem causar danos graves à sociedade e à economia.


A nova diretiva sobre a segurança das redes e da informação (SRI), já acordada entre os negociadores do Parlamento Europeu e do Conselho, visa reforçar a cooperação entre os Estados-Membros na área da cibersegurança, requerendo que todos os países da UE adotem uma estratégia nacional, designem uma ou mais autoridades competentes e partilhem informações sobre os riscos.


Segurança em setores críticos

 

As novas regras estabelecem requisitos de segurança que terão de ser cumpridos pelos operadores que prestam serviços essenciais em setores como a energia, os transportes, a saúde, a banca, as infraestruturas do mercado financeiro, o fornecimento e distribuição de água potável e as infraestruturas digitais.


Cada Estado-Membro terá de identificar estes "operadores de serviços essenciais" com base em determinados critérios, por exemplo, se essa entidade presta um serviço essencial para a manutenção de atividades societais e/ou económicas cruciais e se um incidente pode ter efeitos perturbadores importantes na prestação desse serviço.


Estes operadores, que poderão ser entidades públicas ou privadas, terão de adotar medidas de segurança adequadas e notificar os incidentes graves às autoridades nacionais competentes.


Prestadores de serviços digitais

 

A diretiva aplica-se também a três tipos de prestadores de serviços digitais: mercados em linha, motores de pesquisa e serviços de computação em nuvem. Os requisitos de segurança e notificação são mais aligeirados para os prestadores de serviços digitais do que para os operadores de serviços essenciais, o que reflete o grau de risco que a perturbação destes serviços pode representar para a sociedade e a economia.


Os requisitos estabelecidos na nova legislação não são aplicáveis às micro e pequenas empresas.


Mecanismos de cooperação a nível europeu

 

Para apoiar e facilitar o intercâmbio de informações entre os Estados-Membros, é criado um "grupo de cooperação", composto por representantes dos Estados-Membros, da Comissão e da Agência da UE para a Segurança das Redes e da Informação (ENISA).


Os países da UE vão ter equipas de resposta a incidentes de segurança informática (CSIRT) responsáveis pela gestão de incidentes e riscos. A rede das equipas CSIRT deverá ajudar a desenvolver a confiança entre os Estados-Membros e promover uma cooperação operacional célere e eficaz no que toca a incidentes de cibersegurança concretos e a partilha de informações sobre os riscos.


Próximos passos

 

Depois de publicada no Jornal Oficial da UE, os Estados-Membros terão 21 meses para transpor a diretiva para a legislação nacional e disporão de mais seis meses para identificar os seus operadores de serviços essenciais.

80%  ; das empresas europeias tiveram, no mínimo, um incidente de cibersegurança ao longo do último ano

Partilhar esta citação: