01 Jul 2016

Transposição da Diretiva Relativa à Segurança das Redes e da Informação (SRI) da UE

Transposição da Diretiva Relativa à Segurança das Redes e da Informação (SRI) da UE

RESUMO EXECUTIVO

O Conselho da União Europeia publicou a versão final da Diretiva Relativa à Segurança das Redes e da Informação (SRI) da UE a 21 de abril de 2016. Enquanto isso precisa ser formalmente aprovada pelo Parlamento Europeu durante o verão, o texto em si foi acordado entre as três instituições da União Europeia e não se espera que venha a ser alterado. Os Estados-Membros estão obrigados a transpô-lo para o direito nacional no prazo de 21 meses após a sua adoção. Para facilitar este processo, poderá encontrar em anexo as melhores práticas recomendadas para implementar os aspetos relevantes para a indústria da tecnologia e consagrar de forma efetiva as intenções dos redatores.

A Diretiva SRI da UE é a primeira legislação a nível europeu sobre a segurança cibernética e concentra-se no reforço das autoridades cibernéticas a nível nacional, aumentando a coordenação entre elas e introduzindo requisitos de segurança para os setores-chave da indústria.

Qualquer legislação de implementação nacional não deve perder de vista os dois principais objetivos da Diretiva: (1) assegurar uma segurança cibernética de alto nível para as infraestruturas críticas do país; (2) estabelecer um mecanismo de cooperação eficaz entre os Estados-Membros da UE para promover este objetivo. Os recursos devem serem primeiro lugar, e acima de tudo, dedicados a alcançar estes dois objetivos importantes.

Para a indústria da tecnologia, as disposições relativas aos chamados prestadores de serviços digitais (PSDs) são de particular interesse. A Diretiva estabelece claramente que existem diferenças fundamentais entre os operadores de serviços essenciais (OSEs) e os PSDs. De facto, estes últimos não devem ser considerados estruturas críticas como tal. Como a legislação reconhece, um incidente com impacto nestes serviços digitais seria responsável por um nível significativamente mais baixo de risco para a segurança económica de um país e para a segurança pública. Manter esta distinção é essencial também para, de forma eficaz e eficiente, implementar os recursos escassos das autoridades que terão de supervisionar e fazer cumprir as regras.

Deste modo, chamamos a atenção para o âmbito pretendido dos serviços em causa e pedimos aos formuladores de políticas que não sujeitem setores, outros do que aqueles identificados como PSDs e OSEs, aos requisitos de segurança na legislação nacional.

No que diz respeito à jurisdição, os PSDs devem poder depender da legislação aplicável no país do seu estabelecimento principal, mesmo nos casos em que estejam envolvidas as autoridades competentes de mais do que um país. Relativamente à supervisão, as autoridades competentes devem seguir uma abordagem ex-post, em oposição à imposição de uma obrigação geral para supervisionar os PSDs. Além disso, devem concentrar-se nos resultados e manter a distinção entre OSEs e PSDs não submetendo estes últimos a exigências não previstas pela Diretiva como, por exemplo, a auditoria e instruções vinculativas.

As Medidas de segurança relativamente aos PSDs devem ser diferentes do que para os OSEs, visto que a Diretiva afirma que estas representam um risco de segurança significativamente menor. Os decisores devem entender o objetivo de harmonização relativamente a estes serviços, reconhecer os padrões internacionais existentes conduzidos pela indústria, evitar mandatos tecnológicos e respeitar o direito dos PSDs consagrados na Diretiva de definir medidas de segurança mais adequadas para os seus sistemas. As comunicações de incidentes também devem ser harmonizadas quanto possível a nível europeu, e deverão concentrar-se em incidentes que afetem a continuidade do serviço, respeitar a flexibilidade quanto ao momento da notificação e criar um ambiente de confiança que incentive a partilha de informações sem expor a parte notificante a um aumento da responsabilidade.

As medidas impostas a OSEs também terão impacto noutras indústrias visto que as medidas de segurança e comunicação de incidentes irão refletir-se nas disposições contratuais. Isto é particularmente verdadeiro para os serviços ‘ cloud’.. Como resultado, os PSDs podem estar indiretamente sujeitos às leis nacionais dos seus clientes e, assim sendo, temos um grande interesse em ver medidas de segurança reconhecidas internacionalmente aplicadas a esses serviços. Propomos também uma coordenação e sinergias tanto quanto possível, entre os requisitos de informação, tanto relativamente aos OSEs como aos PSDs, dado que os últimos são suscetíveis de ser objeto de notificação dupla.

A Diretiva estabelece a ambição de alcançar um nível comum elevado de segurança das redes e sistemas de informação para melhorar o funcionamento do mercado interno. Para alcançar este nobjetivo elevado, as transposições nacionais devem concentrar-se numa estratégia baseada no risco, harmonizada e internacional que conceda aos intervenientes do setor privado a flexibilidade para se adaptarem a um cenário de ameaças em constante mudança, permita às autoridades cibernéticas concentrar os seus recursos limitados nos desafios mais significativos e reconhecer que a solução para um problema sem fronteiras necessita de ser global. Esperamos que que essa orientação é útil para esse fim. Teríamos o maior prazer em responder a quaisquer perguntas que possa ter.

Back to Cybersecurity
View the complete Policy Paper
PDF
Our resources on Cybersecurity
Policy Paper 24 Oct 2019
Defining the way forward for IoT security and certification schemes
Policy Paper 05 Sep 2019
Response to ENISA consultation on EU ICT industrial policy
Policy Paper 01 Sep 2019
DIGITALEUROPE and ESIA response to the Office of State Commercial Cryptography Administration Draft Cryptography Law
Hit enter to search or ESC to close