Nova estratégia de segurança cibernética da UE e novas regras para tornar as entidades físicas e digitais mais resilientes

Hoje (16 de dezembro), a Comissão e a Alta Representante da União para os Negócios Estrangeiros e a Política de Segurança apresentam uma nova Estratégia da UE para a Cibersegurança. Como um componente-chave de Moldar o Futuro Digital da Europa, o Plano de Recuperação para a Europa e a Estratégia da União de Segurança da UE, a Estratégia reforçará a resiliência coletiva da Europa contra ameaças cibernéticas e ajudará a garantir que todos os cidadãos e empresas possam se beneficiar plenamente de serviços confiáveis ​​e confiáveis. ferramentas digitais. Quer sejam os dispositivos conectados, a rede elétrica ou os bancos, aviões, administrações públicas e hospitais que os europeus usam ou frequentes, eles merecem fazê-lo com a garantia de que estarão protegidos contra ameaças cibernéticas.

A nova Estratégia de Cibersegurança também permite à UE aumentar a liderança em normas e padrões internacionais no ciberespaço e fortalecer a cooperação com parceiros em todo o mundo para promover um ciberespaço global, aberto, estável e seguro, baseado no Estado de direito e nos direitos humanos , liberdades fundamentais e valores democráticos. Além disso, a Comissão está a apresentar propostas para abordar a resiliência cibernética e física de entidades e redes críticas: uma diretiva sobre medidas de elevado nível comum de segurança cibernética em toda a União (Diretiva NIS revista ou «NIS 2») e uma nova diretiva sobre o resiliência de entidades críticas.

Eles cobrem uma ampla gama de setores e visam abordar os riscos atuais e futuros online e offline, desde ataques cibernéticos até crimes ou desastres naturais, de forma coerente e complementar. Confiança e segurança no cerne da Década Digital da UE A nova Estratégia de Cibersegurança visa salvaguardar uma Internet global e aberta, ao mesmo tempo que oferece salvaguardas, não só para garantir a segurança, mas também para proteger os valores europeus e os direitos fundamentais de todos.

Com base nas realizações dos últimos meses e anos, contém propostas concretas para iniciativas regulamentares, de investimento e políticas em três áreas de ação da UE: 1. Resiliência, soberania tecnológica e liderança
No âmbito desta vertente de ação, a Comissão propõe reformar as regras sobre a segurança das redes e dos sistemas de informação, ao abrigo de uma diretiva sobre medidas de elevado nível comum de segurança cibernética em toda a União (Diretiva SRI revista ou «NIS 2»), a fim de aumentar o nível de resiliência cibernética de setores críticos públicos e privados: hospitais, redes de energia, ferrovias, mas também centros de dados, administrações públicas, laboratórios de pesquisa e fabricação de dispositivos médicos e medicamentos essenciais, bem como outras infraestruturas e serviços críticos, devem permanecer impermeáveis , em um ambiente de ameaças cada vez mais rápido e complexo. A Comissão propõe também o lançamento de uma rede de Centros de Operações de Segurança em toda a UE, alimentados por inteligência artificial (IA), que constituirá um verdadeiro "escudo de cibersegurança" para a UE, capaz de detectar sinais de um ciberataque a tempo e permitir a proatividade ação, antes que o dano ocorra. Medidas adicionais incluirão apoio dedicado a pequenas e médias empresas (PMEs), no âmbito dos Centros de Inovação Digital, bem como maiores esforços para aprimorar a força de trabalho, atrair e reter os melhores talentos de cibersegurança e investir em pesquisa e inovação aberta, competitiva e baseada na excelência.
2. Construir capacidade operacional para prevenir, deter e responder
A Comissão está a preparar, através de um processo progressivo e inclusivo com os Estados-Membros, uma nova Unidade Cibernética Conjunta, para reforçar a cooperação entre os órgãos da UE e as autoridades dos Estados-Membros responsáveis ​​pela prevenção, dissuasão e resposta a ciberataques, incluindo civis, policiais, comunidades diplomáticas e de defesa cibernética. O Alto Representante apresenta propostas para fortalecer a caixa de ferramentas da UE para a diplomacia cibernética para prevenir, desencorajar, deter e responder com eficácia contra atividades cibernéticas maliciosas, nomeadamente aquelas que afetam a nossa infraestrutura crítica, cadeias de abastecimento, instituições democráticas e processos. A UE também terá como objetivo aumentar ainda mais a cooperação na defesa cibernética e desenvolver capacidades de defesa cibernética de ponta, com base no trabalho da Agência Europeia de Defesa e encorajando os países membros a fazer pleno uso da Cooperação Estruturada Permanente e da Defesa Europeia Fundo.
3. Promoção de um ciberespaço global e aberto por meio de maior cooperação
A UE intensificará o trabalho com parceiros internacionais para fortalecer a ordem global baseada em regras, promover a segurança e a estabilidade internacionais no ciberespaço e proteger os direitos humanos e as liberdades fundamentais em linha. Irá promover normas e padrões internacionais que refletem estes valores fundamentais da UE, trabalhando com os seus parceiros internacionais nas Nações Unidas e noutros fóruns relevantes. A UE reforçará ainda mais a sua caixa de ferramentas da UE para a ciberdiplomacia e aumentará os esforços de reforço das capacidades cibernéticas para países terceiros, desenvolvendo uma agenda da UE para o reforço das capacidades cibernéticas externas. Os diálogos cibernéticos com terceiros países, organizações regionais e internacionais, bem como a comunidade de múltiplas partes interessadas serão intensificados.

A UE formará também uma Rede de Ciber-Diplomacia da UE em todo o mundo para promover a sua visão do ciberespaço. A UE está empenhada em apoiar a nova Estratégia de Cibersegurança com um nível de investimento sem precedentes na transição digital da UE nos próximos sete anos, através do próximo orçamento da UE a longo prazo, nomeadamente o Programa Europa Digital e Horizonte Europa, bem como a Recuperação Plano para a Europa. Os Estados-Membros são, portanto, encorajados a utilizar plenamente o Mecanismo de Recuperação e Resiliência da UE para aumentar a cibersegurança e corresponder ao investimento a nível da UE.

O objetivo é atingir 4.5 bilhões de euros de investimento combinado da UE, dos Estados-Membros e da indústria, nomeadamente no âmbito do Centro de Competência em Segurança Cibernética e da Rede de Centros de Coordenação, e garantir que uma parte importante chega às PME. A Comissão visa também reforçar as capacidades industriais e tecnológicas da UE em matéria de cibersegurança, nomeadamente através de projetos apoiados conjuntamente pelos orçamentos da UE e nacionais. A UE tem a oportunidade única de reunir seus ativos para aumentar sua autonomia estratégica e impulsionar sua liderança em segurança cibernética em toda a cadeia de abastecimento digital (incluindo dados e nuvem, tecnologias de processador de próxima geração, conectividade ultra-segura e redes 6G), em linha com sua valores e prioridades.

Resiliência cibernética e física de redes, sistemas de informação e entidades críticas As medidas existentes a nível da UE destinadas a proteger os principais serviços e infraestruturas contra riscos cibernéticos e físicos devem ser atualizadas. Os riscos de cibersegurança continuam a evoluir com a crescente digitalização e interconexão. Os riscos físicos também se tornaram mais complexos desde a adoção das regras da UE de 2008 sobre infraestruturas críticas, que atualmente apenas abrangem os setores da energia e dos transportes. As revisões visam atualizar as regras seguindo a lógica da estratégia da União de Segurança da UE, superando a falsa dicotomia entre online e offline e quebrando a abordagem do silo.

Anúncios

Para responder às crescentes ameaças devido à digitalização e interconexão, a proposta de diretiva sobre medidas de elevado nível comum de segurança cibernética em toda a União (Diretiva NIS revista ou 'NIS 2') abrangerá médias e grandes entidades de mais setores com base na sua criticidade para a economia e a sociedade. O NIS 2 reforça os requisitos de segurança impostos às empresas, aborda a segurança das cadeias de abastecimento e das relações com os fornecedores, agiliza as obrigações de comunicação, introduz medidas de supervisão mais rigorosas para as autoridades nacionais, requisitos de aplicação mais rigorosos e visa harmonizar os regimes de sanções nos Estados-Membros. A proposta do NIS 2 ajudará a aumentar a partilha de informações e a cooperação na gestão de cibercrises a nível nacional e da UE. A Diretiva de Resiliência de Entidades Críticas (CER) proposta expande o escopo e a profundidade da Diretiva de Infraestrutura Crítica Européia de 2008. Dez setores estão agora abrangidos: energia, transportes, banca, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestrutura digital, administração pública e espaço. De acordo com a diretiva proposta, cada Estado-Membro adotaria uma estratégia nacional para garantir a resiliência de entidades críticas e realizaria avaliações de risco regulares. Essas avaliações também ajudariam a identificar um subconjunto menor de entidades críticas que estariam sujeitas a obrigações destinadas a aumentar sua resiliência em face de riscos não cibernéticos, incluindo avaliações de risco em nível de entidade, tomada de medidas técnicas e organizacionais e notificação de incidentes.

A Comissão, por sua vez, forneceria apoio complementar aos Estados-Membros e entidades críticas, por exemplo, desenvolvendo uma visão geral a nível da União dos riscos transfronteiriços e intersetoriais, melhores práticas, metodologias, atividades de formação transfronteiras e exercícios para testar a resiliência de entidades críticas. Protegendo a próxima geração de redes: 5G e além No âmbito da nova Estratégia de Segurança Cibernética, os Estados-Membros, com o apoio da Comissão e da ENISA - Agência Europeia de Segurança Cibernética, são incentivados a concluir a implementação da Caixa de Ferramentas 5G da UE, um risco abrangente e objetivo abordagem baseada na segurança de redes 5G e futuras gerações.

De acordo com um relatório publicado hoje, sobre o impacto da recomendação da Comissão sobre a cibersegurança das redes 5G e o progresso na implementação da caixa de ferramentas da UE de medidas atenuantes, desde o relatório de progresso de julho de 2020, a maioria dos Estados-Membros já está bem encaminhada para a implementação as medidas recomendadas. Devem agora ter como objetivo concluir a sua implementação até ao segundo trimestre de 2021 e garantir que os riscos identificados sejam adequadamente mitigados, de forma coordenada, nomeadamente com vista a minimizar a exposição a fornecedores de alto risco e evitar a dependência destes. A Comissão estabelece também hoje objetivos e ações fundamentais destinadas a prosseguir o trabalho coordenado a nível da UE.

Margrethe Vestager, vice-presidente executiva da Europa apto para a era digital, disse: "A Europa está comprometida com a transformação digital de nossa sociedade e economia. Portanto, precisamos apoiá-la com níveis de investimento sem precedentes. A transformação digital está se acelerando, mas só pode ter sucesso se as pessoas e as empresas puderem confiar que os produtos e serviços conectados - dos quais dependem - são seguros. "

O Alto Representante Josep Borrell afirmou: "A segurança e estabilidade internacionais dependem mais do que nunca de um ciberespaço global, aberto, estável e seguro, onde o Estado de direito, os direitos humanos, as liberdades e a democracia sejam respeitados. Com a estratégia atual, a UE está a intensificar a sua proteção seus governos, cidadãos e empresas de ameaças cibernéticas globais e para fornecer liderança no ciberespaço, garantindo que todos possam colher os benefícios da Internet e do uso de tecnologias. "

Promovendo nosso modo de vida europeu A vice-presidente Margaritis Schinas disse: "A segurança cibernética é uma parte central da União de Segurança. Não há mais uma distinção entre ameaças online e offline. O digital e o físico estão agora inextricavelmente interligados. O conjunto de medidas atuais mostra que o A UE está pronta para usar todos os seus recursos e conhecimentos para se preparar e responder a ameaças físicas e cibernéticas com o mesmo nível de determinação. "

O Comissário do Mercado Interno Thierry Breton afirmou: "As ameaças cibernéticas evoluem rapidamente, são cada vez mais complexas e adaptáveis. Para garantir que os nossos cidadãos e infraestruturas estão protegidos, temos de pensar vários passos à frente. O escudo de segurança cibernética resiliente e autónomo da Europa significa que podemos utilizar o nosso expertise e conhecimento para detectar e reagir mais rapidamente, limitar potenciais danos e aumentar nossa resiliência. Investir em segurança cibernética significa investir no futuro saudável de nossos ambientes online e em nossa autonomia estratégica. "

A Comissária do Interior, Ylva Johansson, afirmou: "Os nossos hospitais, sistemas de águas residuais ou infraestruturas de transporte são tão fortes quanto os seus elos mais fracos; as interrupções numa parte da União podem afetar a prestação de serviços essenciais noutros locais. Para garantir o bom funcionamento do sistema interno mercado e os meios de subsistência dos que vivem na Europa, nossa infraestrutura principal deve ser resiliente contra riscos como desastres naturais, ataques terroristas, acidentes e pandemias como a que vivemos hoje. Minha proposta sobre infraestrutura crítica faz exatamente isso. "

Próximos passos

A Comissão Europeia e o Alto Representante estão empenhados em implementar a nova Estratégia de Cibersegurança nos próximos meses. Apresentarão regularmente relatórios sobre os progressos realizados e manterão o Parlamento Europeu, o Conselho da União Europeia e as partes interessadas plenamente informados e empenhados em todas as ações relevantes. Cabe agora ao Parlamento Europeu e ao Conselho examinar e adotar a proposta de Diretiva NIS 2 e a Diretiva de Resiliência de Entidades Críticas. Uma vez que as propostas sejam acordadas e, conseqüentemente, adotadas, os Estados membros terão que transpô-las no prazo de 18 meses a partir de sua entrada em vigor.

A Comissão irá rever periodicamente a Diretiva NIS 2 e a Diretiva Resiliência das Entidades Críticas e apresentar um relatório sobre o seu funcionamento. Contexto A cibersegurança é uma das principais prioridades da Comissão e uma pedra angular da Europa digital e conectada. Um aumento de ataques cibernéticos durante a crise do coronavírus mostrou como é importante proteger hospitais, centros de pesquisa e outras infraestruturas. É necessária uma ação forte nesta área para preparar a economia e a sociedade da UE para o futuro. A nova Estratégia de Cibersegurança propõe integrar a cibersegurança em todos os elementos da cadeia de abastecimento e congregar ainda mais as atividades e recursos da UE nas quatro comunidades de cibersegurança - mercado interno, aplicação da lei, diplomacia e defesa.

Tem por base a Estratégia para o Futuro Digital da Europa e a Estratégia da União para a Segurança da UE e assenta numa série de atos legislativos, ações e iniciativas que a UE implementou para reforçar as capacidades de cibersegurança e garantir uma Europa mais ciber-resiliente. Inclui a estratégia de cibersegurança de 2013, revista em 2017, e a Agenda Europeia da Comissão para a Segurança 2015-2020. Também reconhece a crescente interligação entre a segurança interna e externa, em particular através da Política Externa e de Segurança Comum. A primeira lei de segurança cibernética em toda a UE, a Diretiva SRI, que entrou em vigor em 2016, ajudou a alcançar um alto nível comum de segurança de redes e sistemas de informação em toda a UE. Como parte do seu principal objetivo político de tornar a Europa apta para a era digital, a Comissão anunciou a revisão da Diretiva SRI em fevereiro deste ano.

A Lei da UE para a Cibersegurança, em vigor desde 2019, equipou a Europa com um quadro de certificação de cibersegurança de produtos, serviços e processos e reforçou o mandato da Agência da UE para a Cibersegurança (ENISA). No que diz respeito à cibersegurança das redes 5G, os Estados-Membros, com o apoio da Comissão e da ENISA, estabeleceram, com o EU 5G Toolbox adotado em janeiro de 2020, uma abordagem abrangente e objetiva baseada no risco. A análise da Comissão de sua recomendação de março de 2019 sobre a cibersegurança das redes 5G concluiu que a maioria dos Estados-Membros fez progressos na implementação da caixa de ferramentas. A partir da estratégia de cibersegurança da UE de 2013, a UE desenvolveu uma política internacional de cibersegurança coerente e holística.

Trabalhando com os seus parceiros a nível bilateral, regional e internacional, a UE promoveu um ciberespaço global, aberto, estável e seguro, guiado pelos valores fundamentais da UE e baseado no Estado de direito. A UE apoiou países terceiros no aumento da resiliência cibernética e da capacidade de combater o crime cibernético e utilizou a sua caixa de ferramentas de diplomacia cibernética da UE de 2017 para contribuir ainda mais para a segurança internacional e a estabilidade no ciberespaço, nomeadamente aplicando pela primeira vez o seu regime de sanções cibernéticas de 2019 e listando 8 indivíduos e 4 entidades e órgãos. A UE realizou progressos significativos também na cooperação em ciberdefesa, incluindo no que diz respeito às capacidades de ciberdefesa, nomeadamente no quadro do seu Quadro de Política de Ciberdefesa (CDPF), bem como no contexto da Cooperação Estruturada Permanente (PESCO) e do trabalho da Agência Europeia de Defesa. A cibersegurança é uma prioridade também refletida no próximo orçamento de longo prazo da UE (2021-2027).

No âmbito do Programa Europa Digital, a UE apoiará a investigação, a inovação e a infraestrutura em matéria de cibersegurança, a ciberdefesa e a indústria da cibersegurança da UE. Além disso, em sua resposta à crise do Coronavirus, que viu um aumento dos ataques cibernéticos durante o bloqueio, investimentos adicionais em segurança cibernética são garantidos pelo Plano de Recuperação para a Europa. Há muito que a UE reconhece a necessidade de garantir a resiliência das infraestruturas críticas que prestam serviços essenciais para o bom funcionamento do mercado interno e para a vida e os meios de subsistência dos cidadãos europeus. Por este motivo, a UE estabeleceu o Programa Europeu para a Proteção de Infraestruturas Críticas (EPCIP) em 2006 e adotou a Diretiva Europeia de Infraestruturas Críticas (ICE) em 2008, que se aplica aos setores de energia e transportes. Essas medidas foram complementadas em anos posteriores por várias medidas setoriais e intersetoriais sobre aspectos específicos, como proteção climática, proteção civil ou investimento estrangeiro direto.

Compartilhe este artigo: