Transposição da Diretiva Relativa à Segurança das Redes e da Informação (SRI) da UE

RESUMO EXECUTIVO

O Conselho da União Europeia publicou a versão final da Diretiva Relativa à Segurança das Redes e da Informação (SRI) da UE a 21 de abril de 2016. Enquanto isso precisa ser formalmente aprovada pelo Parlamento Europeu durante o verão, o texto em si foi acordado entre as três instituições da União Europeia e não se espera que venha a ser alterado. Os Estados-Membros estão obrigados a transpô-lo para o direito nacional no prazo de 21 meses após a sua adoção. Para facilitar este processo, poderá encontrar em anexo as melhores práticas recomendadas para implementar os aspetos relevantes para a indústria da tecnologia e consagrar de forma efetiva as intenções dos redatores.

A Diretiva SRI da UE é a primeira legislação a nível europeu sobre a segurança cibernética e concentra-se no reforço das autoridades cibernéticas a nível nacional, aumentando a coordenação entre elas e introduzindo requisitos de segurança para os setores-chave da indústria.

Qualquer legislação de implementação nacional não deve perder de vista os dois principais objetivos da Diretiva: (1) assegurar uma segurança cibernética de alto nível para as infraestruturas críticas do país; (2) estabelecer um mecanismo de cooperação eficaz entre os Estados-Membros da UE para promover este objetivo. Os recursos devem serem primeiro lugar, e acima de tudo, dedicados a alcançar estes dois objetivos importantes.

Para a indústria da tecnologia, as disposições relativas aos chamados prestadores de serviços digitais (PSDs) são de particular interesse. A Diretiva estabelece claramente que existem diferenças fundamentais entre os operadores de serviços essenciais (OSEs) e os PSDs. De facto, estes últimos não devem ser considerados estruturas críticas como tal. Como a legislação reconhece, um incidente com impacto nestes serviços digitais seria responsável por um nível significativamente mais baixo de risco para a segurança económica de um país e para a segurança pública. Manter esta distinção é essencial também para, de forma eficaz e eficiente, implementar os recursos escassos das autoridades que terão de supervisionar e fazer cumprir as regras.

Deste modo, chamamos a atenção para o âmbito pretendido dos serviços em causa e pedimos aos formuladores de políticas que não sujeitem setores, outros do que aqueles identificados como PSDs e OSEs, aos requisitos de segurança na legislação nacional.

No que diz respeito à jurisdição, os PSDs devem poder depender da legislação aplicável no país do seu estabelecimento principal, mesmo nos casos em que estejam envolvidas as autoridades competentes de mais do que um país. Relativamente à supervisão, as autoridades competentes devem seguir uma abordagem ex-post, em oposição à imposição de uma obrigação geral para supervisionar os PSDs. Além disso, devem concentrar-se nos resultados e manter a distinção entre OSEs e PSDs não submetendo estes últimos a exigências não previstas pela Diretiva como, por exemplo, a auditoria e instruções vinculativas.

As Medidas de segurança relativamente aos PSDs devem ser diferentes do que para os OSEs, visto que a Diretiva afirma que estas representam um risco de segurança significativamente menor. Os decisores devem entender o objetivo de harmonização relativamente a estes serviços, reconhecer os padrões internacionais existentes conduzidos pela indústria, evitar mandatos tecnológicos e respeitar o direito dos PSDs consagrados na Diretiva de definir medidas de segurança mais adequadas para os seus sistemas. As comunicações de incidentes também devem ser harmonizadas quanto possível a nível europeu, e deverão concentrar-se em incidentes que afetem a continuidade do serviço, respeitar a flexibilidade quanto ao momento da notificação e criar um ambiente de confiança que incentive a partilha de informações sem expor a parte notificante a um aumento da responsabilidade.

As medidas impostas a OSEs também terão impacto noutras indústrias visto que as medidas de segurança e comunicação de incidentes irão refletir-se nas disposições contratuais. Isto é particularmente verdadeiro para os serviços ‘ cloud’.. Como resultado, os PSDs podem estar indiretamente sujeitos às leis nacionais dos seus clientes e, assim sendo, temos um grande interesse em ver medidas de segurança reconhecidas internacionalmente aplicadas a esses serviços. Propomos também uma coordenação e sinergias tanto quanto possível, entre os requisitos de informação, tanto relativamente aos OSEs como aos PSDs, dado que os últimos são suscetíveis de ser objeto de notificação dupla.

A Diretiva estabelece a ambição de alcançar um nível comum elevado de segurança das redes e sistemas de informação para melhorar o funcionamento do mercado interno. Para alcançar este nobjetivo elevado, as transposições nacionais devem concentrar-se numa estratégia baseada no risco, harmonizada e internacional que conceda aos intervenientes do setor privado a flexibilidade para se adaptarem a um cenário de ameaças em constante mudança, permita às autoridades cibernéticas concentrar os seus recursos limitados nos desafios mais significativos e reconhecer que a solução para um problema sem fronteiras necessita de ser global. Esperamos que que essa orientação é útil para esse fim. Teríamos o maior prazer em responder a quaisquer perguntas que possa ter.