Leis e regulamentos que regem a Ciber-segurança

As redes e os sistemas e serviços de informação desempenham um papel vital na sociedade. A sua fiabilidade e segurança são essenciais para as actividades económicas e sociais, e em particular para o funcionamento do mercado interno.

A magnitude, frequência e impacto dos incidentes de segurança estão a aumentar, e representam uma grande ameaça para o funcionamento da rede e dos sistemas de informação. Estes sistemas podem também tornar-se alvo de acções prejudiciais deliberadas destinadas a danificar ou interromper o funcionamento dos sistemas. Tais incidentes podem impedir a prossecução de actividades económicas, gerar perdas financeiras substanciais, minar a confiança dos utilizadores e causar grandes danos à economia da União Europeia.

As redes e os sistemas de informação, e principalmente a Internet, desempenham um papel essencial para facilitar a circulação transfronteiriça de bens, serviços e pessoas. Devido a essa natureza transnacional, perturbações substanciais desses sistemas, intencionais ou não intencionais e independentemente do local onde ocorram, podem afectar os Estados-Membros individuais e a União Europeia como um todo. A segurança das redes e dos sistemas de informação é, portanto, essencial para o bom funcionamento do mercado interno.

Com base nos progressos significativos realizados no âmbito do Fórum Europeu dos Estados-Membros para promover debates e intercâmbios sobre boas práticas políticas, incluindo o desenvolvimento de princípios para a cooperação europeia em matéria de cibercrise, deverá ser criado um Grupo de Cooperação, composto por representantes dos Estados-Membros, da Comissão e da Agência da União Europeia para a Segurança das Redes e da Informação ("ENISA"), para apoiar e facilitar a cooperação estratégica entre os Estados-Membros em matéria de segurança das redes e dos sistemas de informação. Para que esse grupo seja eficaz e inclusivo, é essencial que todos os Estados-Membros tenham capacidades mínimas e uma estratégia que garanta um elevado nível de segurança das redes e dos sistemas de informação no seu território. Além disso, os requisitos de segurança e notificação devem aplicar-se aos operadores de serviços essenciais e aos fornecedores de serviços digitais para promover uma cultura de gestão de riscos e assegurar que os incidentes mais graves sejam comunicados.[1] 

Em particular, devido à natureza específica do ciberespaço sem fronteiras e à necessidade de uma cooperação internacional eficaz, a UE procura aproximar a legislação de cada Estado-Membro para que a ciber-segurança possa ser combatida eficazmente.

Regulamentos, directivas, decisões-quadro e outros documentos da UE/CE são principalmente um meio de aproximar as leis de cada país da UE. Em termos de ciber-segurança, os documentos mais importantes são os seguintes:

Direito primário da UE

·      Carta dos Direitos Fundamentais da União Europeia

Directivas do Parlamento Europeu e do Conselho

·      91/250/CEE sobre a protecção jurídica dos programas de computador

·      98/34/CE relativa ao procedimento de informação no domínio das normas e regulamentações técnicas, com a redacção que lhe foi dada pela Directiva 98/48/CE

·      1999/5/CE relativa aos equipamentos de rádio e equipamentos terminais de telecomunicações e ao reconhecimento mútuo da sua conformidade

·      2000/31/CE relativa a certos aspectos legais dos serviços da sociedade de informação, em especial do comércio electrónico, no mercado interno (Directiva sobre o comércio electrónico)

·      2002/19/CE relativa ao acesso e interligação de redes de comunicações electrónicas e recursos conexos (Directiva Acesso)

·      2002/20/CE relativa à autorização de redes e serviços de comunicações electrónicas (Directiva Autorização), com a redacção que lhe foi dada pela Directiva 2009/140/CE

·      2002/21/CE relativa a um quadro regulamentar comum para as redes e serviços de comunicações electrónicas (directiva-quadro), com a redacção que lhe foi dada pela Directiva 2009/140/CE

·      2002/22/CE relativa ao serviço universal e aos direitos dos utilizadores em matéria de redes e serviços de comunicações electrónicas (Directiva Serviço Universal)

·      2002/58/CE sobre o tratamento de dados pessoais e a protecção da privacidade no sector das comunicações electrónicas

·      2006/24/CE relativa à conservação de dados gerados ou tratados no contexto da prestação de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações

·      2008/114/CE sobre a identificação e designação das infra-estruturas críticas europeias e a avaliação da necessidade de melhorar a sua protecção

·      2011/93/UE relativa à luta contra o abuso e a exploração sexual de crianças e a pornografia infantil, em substituição da Decisão-Quadro 2004/68/JAI do Conselho

·      2013/11/UE relativa aos modos alternativos de resolução de litígios em matéria de consumo e que altera o Regulamento (CE) n.º 2006/2004 e a Directiva 2009/22/CE (Directiva relativa aos modos alternativos de resolução de litígios em matéria de consumo)

·      2013/40/EU sobre ataques aos sistemas de informação e em substituição da Decisão-Quadro 2005/222/JAI do Conselho

·      2015/1535 sobre o procedimento para o fornecimento de informações no domínio das regulamentações técnicas e das regras relativas aos serviços da sociedade da informação

·      2015/2366 relativa aos serviços de pagamento no mercado interno, que altera as Directivas 2002/65/CE, 2009/110/CE e 2013/36/UE e o Regulamento (UE) n.º 1093/2010, e que revoga a Directiva 2007/64/CE ("Directiva revista relativa aos serviços de pagamento")

·      2016/680 relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, detecção ou repressão de infracções penais ou de execução de sanções penais, à livre circulação desses dados e que revoga a Decisão-Quadro 2008/977/JAI do Conselho

·      2016/1148 sobre medidas para um elevado nível comum de segurança das redes e sistemas de informação em toda a União Europeia (NIS)

Regulamentos do Parlamento Europeu e do Conselho

·      460/2004/CE que cria a Agência Europeia para a Segurança das Redes e da Informação, com a redacção que lhe foi dada pelo Regulamento n.º 1007/2008

·      1077/2011/CE que cria uma Agência Europeia de Gestão Operacional dos Sistemas de Informação de Grande Escala no Espaço de Liberdade, Segurança e Justiça

·      526/2013 sobre a Agência Europeia para a Segurança das Redes e da Informação (ENISA) e que revoga o Regulamento (CE) n.º 460/2004 Texto relevante para efeitos do EEE

·      910/2014 sobre serviços de identificação electrónica e de confiança para transacções electrónicas no mercado interno e que revoga a Directiva 1999/93/CE (eIDAS[2] )

·      679/2016 relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Directiva 95/46/CE (Regulamento Geral sobre a Protecção de Dados - GDPR)

Decisões do Conselho

·      92/242/CEE no domínio da segurança dos sistemas de informação

·      2005/222/JAI sobre ataques contra os sistemas de informação

·      2011/292/UE sobre as regras de segurança para a protecção da informação classificada da UE

Outros documentos

·      Convenção nº 185 do Conselho da Europa sobre Cibercriminalidade

·      Protocolo Adicional nº 189 do Conselho da Europa à Convenção sobre a Cibercriminalidade

·      Convenção n.º 196 do Conselho da Europa para a Prevenção do Terrorismo

·      Regulamento de execução (UE) 2018/151 da Comissão que estabelece as regras de aplicação da Directiva (UE) 2016/1148 do Parlamento Europeu e do Conselho no que respeita à especificação dos elementos a ter em conta pelos fornecedores de serviços digitais para a gestão dos riscos colocados à segurança das redes e sistemas de informação e dos parâmetros para determinar se um incidente tem um impacto substancial

Normas internacionais

·      Série ISMS ISO/IEC 27000

·      na República Checa ČSN ISO/IEC 27001:2014

Actualmente, o documento mais importante da União Europeia relacionado com a questão da ciber-segurança é a DIRECTIVA (UE) 2016/1148 DO PARLAMENTO EUROPEU E DO CONSELHO, de 6 de Julho de 2016, relativa a medidas para um elevado nível comum de segurança das redes e sistemas de informação em toda a União Europeia.[3]

Esta directiva está actualmente a ser revista, e a directiva NIS2 está a ser preparada. A primeira lei da UE sobre ciber-segurança, a Directiva NIS, entrou em vigor em 2016 e ajudou a alcançar um nível mais elevado e mais uniforme de segurança das redes e sistemas de informação em toda a UE. Tendo em conta a digitalização sem precedentes dos últimos anos, chegou o momento de a actualizar.

As alterações à directiva revista são devidamente apresentadas no documento da Comissão Europeia[4] :