O novo Regulamento Cibersegurança que estabelece medidas destinadas a garantir um elevado nível comum de cibersegurança nas instituições, órgãos e organismos da União entrou em vigor ontem, em 7 de janeiro de 2024.

O regulamento estabelece medidas para a criação de um quadro interno de gestão, governação e controlo dos riscos de cibersegurança para cada entidade da União e cria um novo Conselho Interinstitucional para a Cibersegurança (IICB) para acompanhar e apoiar a sua aplicação pelas entidades da União. Prevê um mandato alargado da Equipa de Resposta a Emergências Informáticas para as instituições, órgãos, organismos e agências da UE (CERT-UE), enquanto plataforma de coordenação de informações sobre ameaças, intercâmbio de informações e resposta a incidentes, um órgão consultivo central e um prestador de serviços. Em conformidade com o seu mandato, a CERT-UE passa a designar-se Serviço de Cibersegurança para as instituições, órgãos e organismos da União, mas mantém o nome abreviado «CERT-UE».

Próximos passos

De acordo com o calendário definido no regulamento, as entidades da União estabelecerão processos internos de governação da cibersegurança e adotarão progressivamente as medidas específicas de gestão dos riscos de cibersegurança previstas no regulamento. O IICB será criado e estará operacional o mais rapidamente possível, com o objetivo de assegurar a orientação estratégica da CERT-UE no âmbito do seu mandato alargado, fornecer orientações e apoio às entidades da União e acompanhar a aplicação do regulamento.

Antecedentes

Na sua resolução de março de 2021, o Conselho da União Europeia salientou a importância de um quadro de segurança sólido e coerente para proteger todo o pessoal, dados, redes de comunicação, sistemas de informação e processos de tomada de decisão da UE. Neste contexto, a Comissão anunciou a proposta de Regulamento Cibersegurança em março de 2022 e, em junho de 2023, o Parlamento Europeu e o Conselho chegaram a um acordo político.

O presente regulamento está em consonância com os objetivos políticos da Comissão, tal como definidos na Estratégia da UE para a União da Segurança e na Estratégia da UE para a Cibersegurança, e assegura a coerência com outras iniciativas legislativas neste domínio:

• A Diretiva relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União («SRI 2»), com a qual esta legislação está alinhada em termos de princípios e nível de ambição, respeitando simultaneamente as especificidades das entidades da União;
• Regulamento Cibersegurança;
• A Recomendação da Comissão sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala.

O Regulamento Cibersegurança foi apresentado em conjunto com uma proposta de regulamento relativo à segurança da informação, que estabelece regras e normas mínimas de segurança da informação para todas as instituições, órgãos, organismos e agências da UE. A presente proposta visa um intercâmbio seguro de informações entre as instituições, órgãos, organismos e agências da UE e com os Estados-Membros, com base em práticas e medidas normalizadas para proteger os fluxos de informação. As negociações entre os colegisladores sobre esta proposta ainda não tiveram início.