As Novas Diretivas em Matéria de Cibersegurança: SRI2 e REC

PUBLICAÇÕES SÉRVULO 01 Fev 2023

No âmbito da implementação da estratégia de cibersegurança da União Europeia (“UE”)[1], entrou em vigor, no passado dia 16 de janeiro de 2023, a já aguardada Diretiva (UE) 2022/2055[2], relativa às medidas destinadas a assegurar um elevado nível comum de cibersegurança em toda a União (“Diretiva SRI2”), bem como a Diretiva (UE) 2022/2557[3], relativa à resiliência das entidades críticas (“Diretiva REC”).

A Diretiva SRI2 vem revogar a Diretiva (UE) 2016/1148[4] relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (“SRI”) - o primeiro instrumento legal ao nível da União Europeia sobre cibersegurança -, alterando ainda o Regulamento (UE) 910/2014[5] relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno, e a Diretiva (UE) 2018/1972[6] que estabelece o Código Europeu das Comunicações Eletrónicas. Destinada a viabilizar a transição digital que se avizinha em diversos setores e a mitigar de forma cooperante e coordenada as ameaças cibernéticas e os riscos de segurança que daí decorrerão, a Diretiva SRI2 vem impor medidas de gestão de riscos e obrigações de informação mais rígidas e detalhadas para um maior número de entidades, nomeadamente, as administrações públicas e as médias e grandes empresas do Estados-Membro da União Europeia, incluindo, designadamente, prestadores de redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público. Tem ainda aplicação em um conjunto mais alargado de setores tidos por “essenciais”, de entre os quais, os setores da energia, transportes, bancário, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestruturas digitais, administração pública e espaço. Para acautelar o incumprimento destas novas imposições, a Diretiva SRI2 vem ainda estabelecer um conjunto de disposições respeitantes à monitorização interna, à supervisão das entidades reguladoras nacionais e a sanções harmonizadas.

A aprovação desta nova Diretiva foi acompanhada pela Diretiva REC, que substitui a Diretiva 2008/114/CCCE[7], relativa à identificação e designação das infraestruturas críticas europeias e à avaliação da necessidade de melhorar a sua proteção. A Diretiva REC vem agora impor a assunção de medidas técnicas, operacionais e organizativas reforçadas, com vista a assegurar a gestão de riscos para a segurança das redes e da informação, assim garantido a resiliência das infraestruturas classificadas como “críticas”, designadamente, as infraestruturas digitais, perante ameaças como catástrofes naturais, ataques terroristas, etc., que, não constituindo riscos cibernéticos - porquanto estes vêm já salvaguardados na Diretiva SRI2 -, colocam em causa os sistemas de rede e informação, concretamente, no que concerne aos seus componentes físicos e ambiente.

As Diretivas SRI2 e REC devem ser transpostas pelos Estados-Membro da UE até outubro de 2024, sendo recomendável que, durante este período de transposição, as entidades implicadas, em particular, as entidades que passarão a estar obrigadas ao seu cumprimento, preparem a sua implementação, designadamente, adaptando as suas políticas de cibersegurança e gestão de riscos.

A final, importa ainda notar que, no que respeita, concretamente, ao setor financeiro, foi ainda publicado o Regulamento (UE) n.º 2022/2554[8] relativo à resiliência operacional digital do setor financeiro (Digital Operational Resilience Act ou DORA), que vem estabelecer normas especiais com vista a assegurar a (ciber)segurança das redes e dos serviços que suportam a atividade das entidades financeiras na União Europeia.

Ana Mira Cordeiro | ami@servulo.com

Inês Pereira Lopes | ipl@servulo.com