A nova estratégia da UE para cibersegurança e as novas regras de ciber-resiliência para entidades críticas

Publicações

22 de Dezembro de 2020, VdA

Propostas para a Diretiva SRI2 e a Diretiva relativa à resiliência das entidades críticas

A Comissão Europeia apresentou, a 16 de dezembro de 2020, a nova Estratégia da UE para a Cibersegurança, bem como duas Propostas: (i) Diretiva relativa a Medidas Destinadas a Assegurar um Elevado Nível Comum de Cibersegurança em toda a União (Diretiva SRI2), e (ii) de Diretiva relativa à Resiliência das Entidades Críticas, (a qual é acompanhada por um Relatório de Avaliação de Impacto).

Neste mesmo dia, a Comissão Europeia publicou também o Relatório sobre o Impacto da Recomendação da Comissão sobre a Cibersegurança das Redes 5G.

A nova Estratégia da UE para Cibersegurança apresenta três principais iniciativas:

Desenvolver soluções que visam reforçar, à escala mundial, a segurança na Internet;
Garantir a segurança de Internet das Coisas (IoT);
Garantir um nível elevado de segurança virtual e da informação nos órgãos da UE.

Pretende-se ainda criar um Escudo para a Cibersegurança e uma Ciberunidade Conjunta, os quais serão responsáveis por impulsionar as iniciativas anteriormente referidas.

Adicionalmente, a Proposta de Diretiva SRI2 visa desenvolver e melhorar o regime atual de cibersegurança, por forma a preparar a UE para os desafios inerentes à digitalização. Assim, a Proposta prevê (i) medidas que visam aumentar a supervisão e a execução das regras de cibersegurança; (ii) a introdução de coimas; (iii) a eliminação da distinção entre os conceitos “operador de serviços essenciais” e “prestador de serviços digitais”; e (iv) o alargamento do âmbito de aplicação da Diretiva atualmente em vigor, de modo a incluir mais setores e mais serviços como sendo considerados essenciais ou importantes, nomeadamente:

Prestadores de redes de comunicações públicas ou serviços de comunicações electrónicas acessíveis ao público;		Produção de produtos considerados críticos (e.g. equipamentos farmacêuticos e médicos);
Serviços Postais e dos Correios;		Gestão de águas residuais e de resíduos;
Serviços Digitais (e.g. plataformas de serviços de redes sociais e prestadores de serviços de centro de processamento de dados);		Alimentar, e
Espaço;		Administração Pública.

A Proposta pretende ainda reforçar a segurança das cadeias de fornecimento, ao exigir às organizações, nas suas relações contratuais, transparência relativamente aos riscos e obrigações de cibersegurança, especialmente no que se refere a tecnologias de informação e comunicação.

Por seu turno, a Proposta de Diretiva relativa à Resiliência de Entidades Críticas prevê igualmente o alargamento do seu âmbito de aplicação passando a cobrir 10 setores, reforçando-se ainda a ciber-resiliência.

A Comissão Europeia pretende implementar a sua nova Estratégica de Cibersegurança nos próximos meses. Após a conclusão das negociações das referidas Propostas, os Estados-Membros terão 18 meses para transpor as Propostas para as respetivas jurisdições.

A equipa de Proteção de dados e Cibersegurança da VdA está disponível para assessorar as organizações por forma a prepará-las para os desafios que advêm da implementação deste novo regime jurídico.