A Comissão Europeia propôs novas regras para o estabelecimento de medidas comuns para reforçar a cibersegurança e garantir a segurança da informação em todas as instituições, órgãos e organismos da União Europeia (UE). As medidas a adotar devem reforçar a resiliência e a capacidade de resposta contra ciberameaças e incidentes de cibersegurança, bem como assegurar uma administração pública da UE resiliente e segura, num cenário em estão a aumentar as ciberatividades criminosas a nível global.
O comissário responsável pelo Orçamento e Administração, Johannes Hahn, referiu: “Num ambiente conectado, um único incidente de cibersegurança pode afetar toda uma organização. É por esta razão que é fundamental criar um forte escudo protetor contra ciberameaças e incidentes que possam perturbar a nossa capacidade de agir”.
Johannes Hahn acrescentou que os regulamentos que a Comissão Europeia propôs “constituem um marco no panorama da cibersegurança e da segurança da informação da UE. Baseiam-se numa cooperação reforçada e no apoio mútuo entre as instituições, órgãos e organismos da UE, bem como numa preparação e resposta coordenadas”.
No contexto da pandemia da COVID-19 e dos crescentes desafios geopolíticos, a Comissão considera que deve ser adotada uma abordagem conjunta relativamente à cibersegurança e à segurança da informação, através de regras que permitem intensificar a cooperação interinstitucional, minimizar a exposição aos riscos e reforçar ainda mais a cultura de segurança da UE.
Regulamento Cibersegurança
O Regulamento Cibersegurança criará um quadro de governação, gestão dos riscos e controlo no domínio da cibersegurança, um novo Conselho de Cibersegurança interinstitucional, reforçará as capacidades de cibersegurança e avaliações regulares dessas capacidades.
O mandato da Equipa de Resposta a Emergências Informáticas para as instituições, órgãos e organismos da UE (CERT-UE), enquanto plataforma de informações sobre ameaças, intercâmbio de informações e coordenação da resposta a incidentes, um organismo consultivo central e um prestador de serviços irá manter-se.
Elementos essenciais do Regulamento Cibersegurança:
■ Reforçar o mandato da CERT-UE e disponibilizar os recursos para o cumprimento do mandato;
■ Exigir a todas as instituições, órgãos e organismos da UE que:
■ disponham de um quadro de governação, gestão de riscos e controlo no domínio da cibersegurança;
■ definam uma base de referência de medidas de cibersegurança para fazer face aos riscos identificados;
■ realizem regularmente avaliações de capacidades;
■ estabeleçam um plano para melhorar a cibersegurança;
■ partilhem informações de incidentes com a CERT-UE.
■ Criar um novo Conselho de Cibersegurança interinstitucional para impulsionar e acompanhar a aplicação do regulamento e orientar a CERT-UE;
■ Mudar o nome da CERT-UE de “Equipa de Resposta a Emergências Informáticas” para “Centro de Cibersegurança”, em consonância com a evolução registada nos Estados-Membros e a nível mundial, mas manter o nome abreviado “CERT-EU”.
Regulamento Segurança da Informação
O Regulamento Segurança da Informação criará um conjunto mínimo de normas e regras em matéria de segurança da informação para todas as instituições, órgãos e organismos da UE, para assegurar uma proteção reforçada e coerente contra a evolução das ameaças.
Elementos essenciais da proposta de Regulamento Segurança da Informação:
■ Instaurar uma governação eficiente para promover a cooperação entre todas as instituições, órgãos e organismos da UE, nomeadamente um Grupo de Coordenação da Segurança da Informação a nível interinstitucional;
■ Estabelecer uma abordagem comum para a categorização das informações com base no nível de confidencialidade;
■ Modernizar as políticas de segurança da informação, incluindo plenamente a transformação digital e o trabalho à distância;
■ Racionalizar as práticas atuais e aumentar a compatibilidade entre os sistemas e dispositivos.
