Navigation path

Left navigation

Additional tools

Comissão Europeia - Perguntas e respostas

Perguntas e respostas — Cibersegurança na UE

Bruxelas, 26 de junho de 2019

O que fez a UE até agora para reforçar a cibersegurança? 

A UE dispõe agora de uma série de instrumentos para proteger as redes de comunicações eletrónicas, incluindo a Diretiva Segurança das Redes e da Informação (Diretiva SRI), o Regulamento Cibersegurança e as novas regras aplicáveis às telecomunicações.

A Diretiva instituiu novos mecanismos de cooperação a nível da UE, prevê medidas para reforçar as capacidades nacionais e impõe aos operadores de serviços essenciais e aos prestadores de serviços digitais a adoção de práticas de gestão de riscos e a comunicação às autoridades nacionais de incidentes com impacto significativo.

O Regulamento Cibersegurança introduz, pela primeira vez, regulamentação a nível da UE que rege a certificação da cibersegurança de produtos, processos e serviços. Além disso, o Regulamento Cibersegurança confere um novo mandato permanente à Agência da União Europeia para a Cibersegurança (ENISA), e atribui mais recursos à Agência para que esta possa cumprir os seus objetivos.   

De acordo com a nova regulamentação no domínio das telecomunicações (Código das Comunicações Eletrónicas), os Estados-Membros têm de garantir a preservação da integridade e da segurança das redes de comunicações públicas, obrigando os operadores a tomarem medidas técnicas e organizacionais para gerirem adequadamente os eventuais riscos para a segurança das redes e dos serviços. Esta regulamentação também confere poderes às entidades reguladoras nacionais competentes, incluindo o poder de emitir instruções vinculativas e de assegurar o cumprimento das mesmas. Ademais, os Estados-Membros podem associar às autorizações gerais que concedem aos operadores condições relativas à segurança das redes públicas de forma a vedar o acesso não autorizado, protegendo assim a confidencialidade das comunicações.

Por último, em maio de 2019, o Conselho estabeleceu um regime de sanções que permite à UE impor medidas restritivas específicas para dissuadir e responder a ciberataques que constituem uma ameaça externa para a UE e para os seus Estados-Membros. O novo regime de sanções faz parte dos instrumentos de ciberdiplomacia da UE, um quadro para uma resposta diplomática conjunta da UE a ciberatividades maliciosas, que permite à UE fazer pleno uso das medidas no âmbito da Política Externa e de Segurança Comum, incluindo declarações da Alta Representante, diligências diplomáticas e, se necessário, medidas restritivas para dar resposta a ciberatividades maliciosas.

O que se entende por «Quadro europeu de certificação da cibersegurança» e quais são as suas vantagens?

Um sistema europeu de certificação da cibersegurança é um conjunto abrangente de regras, requisitos técnicos, normas e procedimentos, acordados a nível europeu, para a avaliação das propriedades de cibersegurança de produtos, serviços e processos de TIC específicos.

A certificação da cibersegurança desempenha um papel importante na promoção da confiança e da segurança dos produtos, serviços e processos, o que é essencial para o funcionamento adequado do mercado único digital. Dada a grande diversidade e o elevado número de utilizações de que são objeto os produtos, os serviços e os processos de TIC, o quadro europeu de certificação da cibersegurança permite criar sistemas de certificação da UE adaptados e baseados nos riscos.

Em especial, cada sistema europeu deve especificar: a) as categorias de produtos e serviços abrangidos, b) os requisitos de cibersegurança, por exemplo, por referência a normas ou especificações técnicas, c) o tipo de avaliação (por exemplo, autoavaliação ou avaliação por terceiros) e d) o nível de garantia previsto (por exemplo, básico, substancial e/ou elevado).

Para exprimir o risco de cibersegurança, um certificado pode referir-se a três níveis de garantia (básico, substancial, elevado) que sejam proporcionais ao nível do risco associado à utilização prevista do produto, do serviço ou do processo, em termos de probabilidade e de impacto de um eventual incidente. Por exemplo, um nível de garantia elevado significa que o produto certificado passou com êxito os testes de segurança mais elevados.

O certificado final resultante será reconhecido em todos os Estados-Membros, facilitando o comércio transfronteiras para as empresas e permitindo aos consumidores inteirarem-se da caraterísticas de segurança do produto ou do serviço. Tal permite uma concorrência benéfica entre os prestadores de serviços em todo o mercado da UE, promovendo produtos de melhor qualidade e uma melhor relação qualidade/preço.

Segurança desde a fase de conceptualização O Quadro incentiva igualmente os fabricantes ou fornecedores envolvidos na conceção e no desenvolvimento de produtos, serviços ou processos a aplicarem medidas nas fases iniciais de conceção e desenvolvimento. Tal permitirá garantir a segurança desses produtos, serviços ou processos ao mais alto nível possível, de modo a que a ocorrência de ciberataques possa ser antecipada e minimizada («segurança desde a conceção»).

O Quadro europeu de certificação basear-se-á, tanto quanto possível, em normas internacionais, de forma a evitar criar barreiras comerciais ou técnicas ou problemas de interoperabilidade.

Quem beneficiará deste quadro de certificação e de que modo? 

A capacidade de compreender se um produto, um sistema ou um serviço cumpre determinados requisitos específicos está no cerne da confiança que temos nos sistemas digitais que utilizamos. Por conseguinte, o Quadro será útil para:

  • Os cidadãos e os utilizadores finais (por exemplo, operadores de serviços essenciais), que poderão tomar decisões de compra mais informadas relativamente a produtos e serviços que utilizam diariamente. Por exemplo, um cidadão que esteja a ponderar adquirir uma televisão inteligente e que esteja ciente dos riscos de cibersegurança envolvidos na ligação de objetos inteligentes à Internet, poderá consultar o sítio Web da Agência da UE para a Certificação da Cibersegurança. Poderão encontrar um modelo que tenha sido certificado com os requisitos de cibersegurança adequados, as orientações do vendedor sobre a instalação, a configuração e o funcionamento da televisão de forma segura e o período durante o qual o vendedor se compromete a fornecer atualizações corretivas de cibersegurança caso sejam encontradas novas vulnerabilidades.
  • Os vendedores e os fornecedores de produtos e serviços (incluindo as pequenas e médias empresas (PME) e as empresas em fase de arranque), farão economias em termos de custos e de tempo, uma vez que passarão a estar sujeitos a um processo único para obter um certificado europeu válido, permitindo-lhes assim competir eficazmente em todos os Estados-Membros. Além disso, os vendedores de produtos e serviços TIC poderão sensibilizar os compradores, eventualmente através de um rótulo específico ligado ao certificado.  
  • Os governos que, à semelhança de todos os compradores individuais e comerciais, poderão tomar decisões de compra mais bem fundamentadas.

Para acrescentar mais valor à certificação da cibersegurança, os fabricantes ou os fornecedores de produtos, serviços ou processos certificados, incluindo aqueles para os quais tenha sido emitido um certificado UE de conformidade, fornecerão informações adicionais específicas em matéria de cibersegurança (por exemplo, orientações e recomendações para ajudar os utilizadores finais a obterem uma configuração, instalação, ligação, funcionamento e manutenção seguros dos produtos ou serviços, etc.).

Qual será o valor acrescentado do Quadro para as PME e especialmente as empresas em fase de arranque?

Tradicionalmente, as PME e as empresas em fase de arranque enfrentam mais dificuldades para conquistarem novos mercados com requisitos diferentes. O Quadro ajudará a reduzir esses obstáculos à entrada das PME e das empresas em fase de arranque em novos mercados, dado que as empresas só serão submetidas uma única vez ao processo de certificação dos seus produtos e o certificado correspondente será válido em toda a UE. Além disso, tendo em conta que a procura de soluções mais seguras deverá aumentar a nível mundial, as empresas, incluindo as PME, cujos produtos estejam certificados, beneficiarão de uma vantagem competitiva para satisfazer essa procura. Ademais, a possibilidade de as empresas auto-certificarem a conformidade com os requisitos de segurança no que respeita aos produtos, processos e serviços que apresentem um risco reduzido torna o Quadro ainda mais atrativo para as PME e para as empresas em fase de arranque.  

Veja-se o exemplo de uma PME que desenvolve e vende aplicações TIC a empresas de maior dimensão que exigem a garantia de que as aplicações têm o nível de segurança adequado e que foram desenvolvidas em conformidade com as melhores práticas em matéria de codificação segura. Ao utilizar um certificado europeu de cibersegurança, essa PME pode comprovar a segurança dos seus produtos, bem como o nível de segurança das suas práticas de desenvolvimento, e cumprir assim os requisitos dos seus clientes, não só num Estado-Membro, mas - como é muitas vezes o caso hoje em dia - também em toda a UE.

A certificação da cibersegurança irá passar a ser obrigatória?

Os sistemas estabelecidos ao abrigo do Quadro são de natureza voluntária, ou seja, os vendedores podem decidir eles próprios se gostariam que os seus produtos fossem certificados ao abrigo do mesmo. No entanto, o Regulamento Cibersegurança prevê que a Comissão avalie a eficiência e a utilização dos sistemas europeus de certificação da cibersegurança adotados. Em especial, a Comissão irá avaliar se é oportuno tornar obrigatório um sistema europeu de certificação da cibersegurança através de legislação da UE a fim de assegurar um nível adequado de cibersegurança dos produtos, serviços e processos de TIC e de melhorar o funcionamento do mercado interno. Além disso, outra legislação a nível nacional ou da UE poderia utilizar os sistemas existentes como forma simples de descrever obrigações futuras aplicáveis a produtos ou sistemas.

De que modo está a Agência da UE para a Cibersegurança a ser reforçada atualmente?

Até agora, a Agência da UE para a Cibersegurança tinha um mandato temporário, que foi renovado pela última vez em 2013 e que devia cessar em 2020. O Regulamento Cibersegurança conferiu à Agência um mandato permanente, assegurando assim a sua estabilidade para o futuro.

As atuais funções da Agência da UE para a Cibersegurança, que consistem em apoiar o desenvolvimento e a implementação de políticas, bem como em reforçar as capacidades em matéria de cibersegurança, foram reforçadas e reorientadas. Ao seu mandato foram acrescentadas novas funções, sobretudo em matéria de certificação da cibersegurança.

O novo mandato prevê novas funções importantes já confiadas à Agência da UE para a Cibersegurança pela Diretiva SRI, acordada em 2016, como o papel de secretariado da Rede de Equipas de Resposta a Incidentes de Segurança Informática (CSIRT), que reúne as CSIRT nacionais dos Estados-Membros da UE. Para dar cumprimento a estas responsabilidades acrescidas, poderá prever-se um aumento do pessoal da Agência em 50 % e um aumento dos recursos financeiros para o dobro, passando de 11 para 23 milhões de EUR ao longo de um período de 5 anos.

Quais são as principais funções da Agência da UE para a Cibersegurança no âmbito do seu novo mandato?

  • Apoio à execução de políticas no domínio da cibersegurança, em especial da Diretiva SRI, bem como a outras iniciativas políticas que abordem elementos de cibersegurança em diferentes setores (por exemplo, energia, transportes, finanças). A Agência da UE para a Cibersegurança prestará igualmente assistência aos Estados-Membros na implementação de aspetos específicos de cibersegurança da política e da legislação da União em matéria de proteção de dados e da privacidade.
  • Reforço das capacidades no domínio da cibersegurança, por exemplo graças a ações de formação, contribuirá para a melhoria das capacidades e dos conhecimentos especializados das autoridades públicas nacionais e da UE, nomeadamente em matéria de resposta a incidentes e de supervisão de medidas regulamentares relacionadas com a cibersegurança
  • Atribuições relacionadas com o mercado (normalização, certificação de cibersegurança), como a análise das tendências importantes do mercado da cibersegurança, a fim de fazer corresponder de forma mais adequada a oferta à procura, e o apoio ao desenvolvimento de políticas da UE nos domínios da normalização e da certificação de segurança das TIC.
  • Cooperação operacional e gestão de crises que visa reforçar as capacidades operacionais preventivas existentes, bem como apoiar a cooperação operacional assumindo os serviços de secretariado da rede de CSIRT. A Agência da UE para a Cibersegurança também prestará assistência aos Estados-Membros que a solicitem para lidar com incidentes e desempenhará um papel importante na resposta coordenada da UE a incidentes e crises de cibersegurança transfronteiras em grande escala.
  • Divulgação coordenada de vulnerabilidades: A Agência da UE para a Cibersegurança prestará assistência aos Estados-Membros e às instituições, agências e organismos da União na elaboração e aplicação das políticas de divulgação de vulnerabilidades numa base voluntária; Contribuirá igualmente para melhorar a cooperação entre as organizações, os fabricantes ou os fornecedores de produtos e serviços vulneráveis e os membros da comunidade de investigação no domínio da cibersegurança que identifiquem essas vulnerabilidades.

Que abordagem europeia comum relativamente à segurança das redes 5G recomenda a Comissão Europeia?

As redes de quinta geração (5G) constituirão a futura pedra basilar das nossas sociedades e economias, nomeadamente em setores críticos como a energia, os transportes, a banca e a saúde, o que sublinha a necessidade de corrigir os eventuais fatores de vulnerabilidade no que respeita à segurança e à confiança. Em março de 2019, a Comissão Europeia recomendou uma série de etapas e medidas operacionais para assegurar um elevado nível de cibersegurança das redes 5G em toda a UE. Em especial, recomendou aos Estados-Membros que concluam, até outubro de 2019, uma avaliação dos riscos a nível da UE e que identifiquem, até dezembro de 2019, um conjunto de eventuais medidas de contenção desses riscos. Para mais informações sobre a Recomendação, incluindo as próximas etapas, consulte este comunicado de imprensa e estas perguntas e respostas.

Quais são as próximas etapas?

A Comissão Europeia propôs impulsionar substancialmente o investimento em cibersegurança e em tecnologias digitais avançadas na UE no próximo período orçamental da UE, nomeadamente através da sua proposta relativa a um Programa Europa Digital. Propôs igualmente uma nova  Rede e Centro Europeu de Competências em Cibersegurança com vista a congregar recursos e coordenar prioridades com os Estados-Membros e implementar projetos relevantes no domínio da cibersegurança. A proposta visa igualmente a criação de uma Rede de Centros Nacionais de Coordenação e uma Comunidade de Competências em Cibersegurança, a fim de assegurar uma melhor cooperação e sinergias entre os peritos e as estruturas especializadas existentes nos Estados-Membros.Tal está estreitamente associado ao objetivo central de aumentar a competitividade da indústria de cibersegurança da União e de transformar a cibersegurança numa vantagem competitiva para outras indústrias europeias.

Mais informações

Brochura - Reforçar a cibersegurança na União Europeia

Ficha informativa - Resiliência, dissuasão e defesa: Reforço da cibersegurança na Europa

Proposta de criação de um Centro Europeu de Competências e de uma Rede Europeia de Competências em Cibersegurança

União da Segurança: 15 de 22 iniciativas legislativas acordadas até à data

Comunicado de imprensa - Negociadores da UE chegam a acordo quanto ao reforço da cibersegurança na Europa

Comunicado de imprensa - Comissão Europeia recomenda uma abordagem europeia comum relativamente à segurança das redes 5G

QANDA/19/3369

Contactos para a imprensa:

Perguntas do público em geral: Europe Direct pelo telefone 00 800 67 89 10 11 ou por e-mail


Side Bar