A Comissão adotou hoje as primeiras regras de execução em matéria de cibersegurança das entidades e redes críticas ao abrigo da Diretiva relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União (DiretivaSRI 2). O presente ato de execução especifica as medidas de gestão dos riscos de cibersegurança, bem como os casos em que um incidente deve ser considerado significativo e as empresas que fornecem infraestruturas e serviços digitais devem comunicá-lo às autoridades nacionais. Trata-se de mais um passo importante para reforçar a ciber-resiliência das infraestruturas digitais críticas da Europa.

O regulamento de execução hoje adotado aplicar-se-á a categorias específicas de empresas que prestam serviços digitais, como os prestadores de serviços de computação em nuvem, os prestadores de serviços de centros de dados, os mercados em linha, os motores de pesquisa em linha e as plataformas de redes sociais, para citar apenas alguns exemplos. Para cada categoria de prestadores de serviços, o ato de execução especifica igualmente quando um incidente é considerado significativo*.

A adoção hoje do regulamento de execução coincide com o prazo para os Estados-Membros transporem a Diretiva SRI 2 para o direito nacional. A partir de amanhã, 18 de outubro de 2024, todos os Estados-Membros devem aplicar as medidas necessárias para cumprir as regras de cibersegurança da SRI 2, incluindo medidas de supervisão e execução.

Próximas etapas

O regulamento de execução será oportunamente publicado no Jornal Oficial e entrará em vigor 20 dias depois.

Antecedentes

A primeira legislação da UE em matéria de cibersegurança, a Diretiva SRI, entrou em vigor em 2016 e ajudou a alcançar um nível comum de segurança das redes e dos sistemas de informação em toda a UE. Como parte do seu principal objetivo político de preparar a Europa para a era digital, a Comissão propôs a revisão da Diretiva SRI em dezembro de 2020. Após a sua entrada em vigor em janeiro de 2023, os Estados-Membros tinham de transpor a Diretiva SRI 2 para o direito nacional até 17 de outubro de 2024.

A Diretiva SRI 2 visa assegurar um elevado nível de cibersegurança em toda a União. Abrange entidades que operam em setores críticos para a economia e a sociedade, incluindo prestadores de serviços públicos de comunicações eletrónicas, gestão de serviços de TIC, serviços digitais, gestão de águas residuais e de resíduos, espaço, saúde, energia, transportes, fabrico de produtos críticos, serviços postais e de correio rápido e administração pública.

A diretiva reforça os requisitos de segurança impostos às empresas e aborda a segurança das cadeias de abastecimento e as relações com os fornecedores. Simplifica as obrigações de comunicação de informações, introduz medidas de supervisão mais rigorosas para as autoridades nacionais, bem como requisitos de execução mais rigorosos, e visa harmonizar os regimes de sanções em todos os Estados-Membros. Contribuirá para aumentar a partilha de informações e a cooperação em matéria de gestão de cibercrises a nível nacional e da UE.

Para mais informações

Ato de execução

Ficha informativa sobre a Diretiva relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União (SRI 2)

Perguntas e respostas sobre a SRI 2:  Nova Estratégia da UE para a Cibersegurança e novas regras para tornar as entidades críticas físicas e digitais mais resilientes