CSIRTs e CERTs

A 6 de Julho de 2016, a Directiva (UE) 2016/1148 do Parlamento Europeu e do Conselho de 6 de Julho de 2016 relativa a medidas para um elevado nível comum de segurança das redes e sistemas de informação em toda a União (a Directiva SRI) foi adoptada pelo Parlamento Europeu.

A Directiva NIS prevê medidas legais para aumentar o nível global de segurança cibernética na UE, garantindo

·       A preparação dos Estados-Membros, exigindo-lhes que estejam devidamente equipados. Por exemplo, com uma Equipa de Resposta a Incidentes de Segurança Informática (CSIRT) e uma autoridade nacional competente em matéria de NIS,

·       cooperação entre todos os Estados-membros, através da criação de um Grupo de Cooperação para apoiar e facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados-membros.

·       uma cultura de segurança através de sectores vitais para a nossa economia e sociedade e que, além disso, dependem fortemente das TIC, tais como energia, transportes, água, banca, infra-estruturas do mercado financeiro, cuidados de saúde e infra-estruturas digitais.

As empresas identificadas pelos Estados-membros como operadores de serviços essenciais nos sectores acima referidos terão de tomar as medidas de segurança adequadas e notificar as autoridades nacionais competentes de incidentes graves. Os principais fornecedores de serviços digitais, tais como motores de busca, serviços de computação em nuvem e mercados em linha, terão de cumprir os requisitos de segurança e notificação ao abrigo da nova directiva.

Com base nos progressos significativos realizados no âmbito do Fórum Europeu dos Estados-Membros para promover debates e intercâmbios sobre boas práticas políticas, incluindo o desenvolvimento de princípios para a cooperação europeia em matéria de cibercrise, deverá ser criado um Grupo de Cooperação, composto por representantes dos Estados-Membros, da Comissão e da Agência da União Europeia para a Segurança das Redes e da Informação ("ENISA"), para apoiar e facilitar a cooperação estratégica entre os Estados-Membros em matéria de segurança das redes e dos sistemas de informação. Para que esse grupo seja eficaz e inclusivo, é essencial que todos os Estados-Membros tenham capacidades mínimas e uma estratégia que garanta um elevado nível de segurança das redes e dos sistemas de informação no seu território. Além disso, os requisitos de segurança e notificação devem aplicar-se aos operadores de serviços essenciais e aos fornecedores de serviços digitais para promover uma cultura de gestão de riscos e assegurar que os incidentes mais graves sejam comunicados.

As capacidades existentes não são suficientes para garantir um elevado nível de segurança das redes e dos sistemas de informação dentro da União. Os Estados-Membros têm níveis de preparação muito diferentes, o que levou a abordagens fragmentadas em toda a União. Isto resulta num nível desigual de protecção dos consumidores e das empresas, e compromete o nível global de segurança das redes e dos sistemas de informação no seio da União. A falta de requisitos comuns aos operadores de serviços essenciais e aos fornecedores de serviços digitais, por sua vez, torna impossível a criação de um mecanismo global e eficaz de cooperação a nível da União. As universidades e os centros de investigação têm um papel decisivo a desempenhar no fomento da investigação, desenvolvimento e inovação nestas áreas.

A Directiva da UE sobre Segurança das Redes e da Informação (Directiva NIS) visa criar uma Rede CSIRT "para contribuir para o desenvolvimento da confiança entre os Estados-Membros e para promover uma cooperação operacional rápida e eficaz". A directiva estabelece que cada Estado-membro designará um ou mais CSIRT que deverão cumprir os requisitos estabelecidos no ponto (1) do Anexo I (requisitos) da directiva, abrangendo pelo menos os sectores referidos no Anexo II e os serviços referidos no Anexo III, responsáveis pela gestão de riscos e incidentes, de acordo com um processo bem definido.

A Directiva SRI visa criar uma Rede CSIRT "para contribuir para o desenvolvimento da confiança entre os Estados-Membros e para promover uma cooperação operacional rápida e eficaz". A Directiva estabelece que cada Estado-Membro designará um ou mais CSIRT que devem cumprir um conjunto de requisitos de alto nível definidos. [1]

De acordo com o Artigo 9 dos Estados NEI:

"Cada Estado-membro designará um ou mais CSIRT que deverão cumprir os requisitos estabelecidos no ponto 1 do Anexo I, abrangendo pelo menos os sectores referidos no Anexo II e os serviços referidos no Anexo III, responsáveis pela gestão dos riscos e incidentes, de acordo com um processo bem definido. Pode ser estabelecido um CSIRT no âmbito de uma autoridade competente".

E a NISD continua a afirmar isso:

·      O CSIRTS tem recursos adequados para desempenhar eficazmente as suas tarefas

·      Os Estados-Membros devem assegurar a cooperação eficaz, eficiente e segura dos seus CSIRT

·      Os Estados-Membros assegurarão que os seus CSIRT tenham acesso a uma infra-estrutura de comunicação e informação adequada, segura e resiliente a nível nacional

·      Os Estados-membros informarão a Comissão sobre o mandato, bem como sobre os principais elementos do processo de tratamento dos incidentes, dos seus CSIRT

·      Os Estados-Membros podem solicitar a assistência da ENISA no desenvolvimento de CSIRTs nacionais [2]

O Anexo I do NISD é rotulado como REQUISITOS E TAREFAS DE EQUIPAS DE RESPONSABILIDADE INCIDENTES DE SEGURANÇA COMPUTENTE (CSIRTs) e é aqui citado na íntegra devido à sua grande relevância para a comunidade nacional/governamental CSIRT dentro da UE:

(1) Requisitos para CSIRTs:

(a) Os CSIRT devem assegurar um elevado nível de disponibilidade dos seus serviços de comunicações, evitando pontos únicos de falha, e devem dispor de vários meios para serem contactados e para contactarem outras pessoas em qualquer altura. Além disso, os canais de comunicação devem ser claramente especificados e bem conhecidos do círculo eleitoral e dos parceiros de cooperação.

(b) As instalações do CSIRT e os sistemas de informação de apoio devem ser localizados em locais seguros.

(c) Continuidade de negócios:

(i) Os CSIRT devem estar equipados com um sistema adequado de gestão e encaminhamento dos pedidos, a fim de facilitar as transferências.

(ii) Os CSIRT devem ser dotados de pessoal adequado para assegurar a disponibilidade a todo o momento.

(iii) Os CSIRTs devem contar com uma infra-estrutura cuja continuidade seja assegurada. Para o efeito, devem estar disponíveis sistemas redundantes e espaço de trabalho de reserva.

(d) Os CSIRT terão a possibilidade de participar, onde o desejarem, em redes de cooperação internacional.

(2) As tarefas dos CSIRTs:

(a) As tarefas dos CSIRT devem incluir pelo menos o seguinte:

(i) monitorização de incidentes a nível nacional;

(ii) fornecer alertas, alertas, anúncios e divulgação de informação aos intervenientes relevantes sobre riscos e incidentes;

(iii) resposta a incidentes;

(iv) fornecendo uma análise dinâmica do risco e dos incidentes e uma consciência situacional;

(v) Participação na rede CSIRTs.

(b) Os CSIRT devem estabelecer relações de cooperação com o sector privado.

(c) Para facilitar a cooperação, os CSIRT devem promover a adopção e utilização de práticas comuns ou normalizadas:

(i) procedimentos de incidentes e de gestão de riscos;

(ii) esquemas de classificação de incidentes, riscos e informações.