https:\/\/eur-lex.europa.eu\/legal-content\/PT\/TXT\/PDF\/?uri=CELEX:32016L1148&from=PT<\/a><\/p>\nO PARLAMENTO EUROPEU E O CONSELHO DA UNI\u00c3O EUROPEIA,
\nTendo em conta o Tratado sobre o Funcionamento da Uni\u00e3o Europeia, nomeadamente o artigo 114.o,
\nTendo em conta a proposta da Comiss\u00e3o Europeia,
\nAp\u00f3s transmiss\u00e3o do projeto de ato legislativo aos parlamentos nacionais,
\nTendo em conta o parecer do Comit\u00e9 Econ\u00f3mico e Social Europeu (1),
\nDeliberando de acordo com o processo legislativo ordin\u00e1rio (2),<\/p>\n
Considerando o seguinte:
\n(1) As redes e os sistemas e servi\u00e7os de informa\u00e7\u00e3o desempenham um papel vital na sociedade. A sua fiabilidade e seguran\u00e7a s\u00e3o essenciais para as atividades econ\u00f3micas e societais e, em especial, para o funcionamento do mercado interno.<\/p>\n
(2) A amplitude, a frequ\u00eancia e o impacto dos incidentes de seguran\u00e7a est\u00e3o a aumentar e constituem uma importante amea\u00e7a para o funcionamento das redes e dos sistemas de informa\u00e7\u00e3o. Esses sistemas podem igualmente tornar-se um alvo de a\u00e7\u00f5es danosas deliberadas destinadas a danificar ou a interromper a pera\u00e7\u00e3o dos sistemas. Esses incidentes podem impedir o exerc\u00edcio das atividades econ\u00f3micas, gerar perdas financeiras importantes, minar a confian\u00e7a dos utilizadores e causar graves preju\u00edzos \u00e0 economia da Uni\u00e3o.<\/p>\n
(3) As redes e os sistemas de informa\u00e7\u00e3o e, sobretudo, a Internet desempenham um papel crucial para facilitar a circula\u00e7\u00e3o transfronteiri\u00e7a de mercadorias, de servi\u00e7os e de pessoas. Devido a essa natureza transnacional, as perturba\u00e7\u00f5es significativas desses sistemas, intencionais ou n\u00e3o, e independentemente do local onde ocorram, podem afetar os Estados-Membros, individualmente considerados, e a Uni\u00e3o no seu conjunto. Por consequ\u00eancia, a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o \u00e9 essencial para o bom funcionamento do mercado interno.<\/p>\n
(4) Aproveitando os importantes progressos realizados no \u00e2mbito do F\u00f3rum Europeu dos Estados-Membros no que diz respeito \u00e0 promo\u00e7\u00e3o de debates e interc\u00e2mbios de boas pr\u00e1ticas, incluindo a defini\u00e7\u00e3o de princ\u00edpios de coopera\u00e7\u00e3o europeia em caso de cibercrises, dever\u00e1 ser criado um grupo de coopera\u00e7\u00e3o, constitu\u00eddo por representantes dos Estados-Membros, da Comiss\u00e3o e da Ag\u00eancia da Uni\u00e3o Europeia para a Seguran\u00e7a das Redes e da Informa\u00e7\u00e3o (ENISA), a fim de apoiar e facilitar a coopera\u00e7\u00e3o estrat\u00e9gica entre os Estados-Membros no que respeita \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o. Para que esse grupo seja eficaz e inclusivo, \u00e9 indispens\u00e1vel que todos os Estados-Membros tenham um m\u00ednimo de capacidades e uma estrat\u00e9gia que garanta um elevado n\u00edvel de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o no seu territ\u00f3rio. Al\u00e9m disso, os requisitos de seguran\u00e7a e de notifica\u00e7\u00e3o dever\u00e3o aplicar-se aos operadores de servi\u00e7os essenciais e aos prestadores de servi\u00e7os digitais, a fim de promover uma cultura de gest\u00e3o dos riscos e de assegurar a comunica\u00e7\u00e3o dos incidentes mais graves.<\/p>\n
(5) As capacidades existentes n\u00e3o s\u00e3o suficientes para garantir um elevado n\u00edvel de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o na Uni\u00e3o. Os Estados-Membros possuem n\u00edveis muito diferentes de prepara\u00e7\u00e3o, o que conduz a abordagens fragmentadas em toda a Uni\u00e3o. Esta situa\u00e7\u00e3o traduz-se num n\u00edvel desigual de defesa dos consumidores e das empresas e compromete o n\u00edvel global de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o na Uni\u00e3o. Por sua vez, a inexist\u00eancia de requisitos m\u00ednimos comuns a respeitar pelos operadores de servi\u00e7os essenciais e pelos prestadores de servi\u00e7os digitais impossibilita a cria\u00e7\u00e3o de um mecanismo global e eficaz para a coopera\u00e7\u00e3o a n\u00edvel da Uni\u00e3o. As universidades e os centros de investiga\u00e7\u00e3o t\u00eam um papel determinante a desempenhar para estimular a investiga\u00e7\u00e3o, o desenvolvimento e a inova\u00e7\u00e3o nessas \u00e1reas.<\/p>\n
(6) Uma resposta eficaz aos desafios que se colocam \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o exige, assim, uma abordagem global a n\u00edvel da Uni\u00e3o, que abranja os requisitos m\u00ednimos comuns de desenvolvimento de capacidades e de planifica\u00e7\u00e3o, o interc\u00e2mbio de informa\u00e7\u00f5es, a coopera\u00e7\u00e3o e os requisitos comuns de seguran\u00e7a para os operadores de servi\u00e7os essenciais e para os prestadores de servi\u00e7os digitais. Contudo, os operadores de servi\u00e7os essenciais e os prestadores de servi\u00e7os digitais n\u00e3o est\u00e3o impedidos de aplicar medidas de seguran\u00e7a mais rigorosas do que as previstas na presente diretiva.<\/p>\n
(7) A fim de cobrir todos os incidentes e todos os riscos relevantes, a presente diretiva dever\u00e1 aplicar-se tanto aos operadores de servi\u00e7os essenciais como aos prestadores de servi\u00e7os digitais. No entanto, as obriga\u00e7\u00f5es que recaem sobre os operadores de servi\u00e7os essenciais e sobre os prestadores de servi\u00e7os digitais n\u00e3o dever\u00e3o aplicar-se \u00e0s empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, na ace\u00e7\u00e3o da Diretiva 2002\/21\/CE do Parlamento Europeu e do Conselho (3), que est\u00e3o sujeitas aos requisitos espec\u00edficos de seguran\u00e7a e integridade estabelecidos na referida diretiva, nem aos prestadores de servi\u00e7os de confian\u00e7a na ace\u00e7\u00e3o do Regulamento (UE) n.o 910\/2014 do Parlamento Europeu e do Conselho (4), que est\u00e3o sujeitos aos requisitos de seguran\u00e7a estabelecidos nesse regulamento.<\/p>\n
(8) A presente diretiva dever\u00e1 ser interpretada sem preju\u00edzo da possibilidade de cada Estado-Membro tomar as medidas necess\u00e1rias para garantir a prote\u00e7\u00e3o dos interesses essenciais da sua pr\u00f3pria seguran\u00e7a, proteger a ordem e a seguran\u00e7a p\u00fablicas e para permitir a investiga\u00e7\u00e3o, a dete\u00e7\u00e3o e a repress\u00e3o das infra\u00e7\u00f5es penais. Nos termos do artigo 346.o do Tratado sobre o Funcionamento da Uni\u00e3o Europeia (TFUE), nenhum Estado-Membro \u00e9 obrigado a fornecer informa\u00e7\u00f5es cuja divulga\u00e7\u00e3o considere contr\u00e1ria aos interesses essenciais da sua pr\u00f3pria seguran\u00e7a. S\u00e3o relevantes neste contexto a Decis\u00e3o 2013\/488\/UE do Conselho (5) e os acordos de n\u00e3o divulga\u00e7\u00e3o ou os acordos de n\u00e3o divulga\u00e7\u00e3o informais, tais como o protocolo \u00absinaliza\u00e7\u00e3o luminosa\u00bb para a partilha de informa\u00e7\u00f5es n\u00e3o classificadas (Information Sharing Traffic Light Protocol).<\/p>\n
(9) Determinados setores da economia s\u00e3o j\u00e1 regulamentados, ou podem vir a ser regulamentados no futuro por atos jur\u00eddicos da Uni\u00e3o de \u00e2mbito setorial que incluam regras relacionadas com a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o. Sempre que esses atos jur\u00eddicos da Uni\u00e3o contenham disposi\u00e7\u00f5es que imponham requisitos de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o ou de notifica\u00e7\u00e3o de incidentes, essas disposi\u00e7\u00f5es dever\u00e3o aplicar-se se inclu\u00edrem requisitos que tenham, no m\u00ednimo, efeitos equivalentes \u00e0s obriga\u00e7\u00f5es contidas na presente diretiva. Os Estados-Membros dever\u00e3o ent\u00e3o aplicar as disposi\u00e7\u00f5es desses atos jur\u00eddicos da Uni\u00e3o de \u00e2mbito setorial, nomeadamente as relativas \u00e0 compet\u00eancia, e n\u00e3o dever\u00e3o levar a cabo o processo de identifica\u00e7\u00e3o dos operadores de servi\u00e7os essenciais na ace\u00e7\u00e3o da presente diretiva. Neste contexto, os Estados-Membros dever\u00e3o fornecer \u00e0 Comiss\u00e3o informa\u00e7\u00f5es sobre a aplica\u00e7\u00e3o de tal lex specialis. Para determinar se os requisitos relativos \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o e \u00e0 notifica\u00e7\u00e3o de incidentes previstos nos atos jur\u00eddicos da Uni\u00e3o de \u00e2mbito setorial s\u00e3o equivalentes aos que constam da presente diretiva, dever\u00e3o ser tidas em considera\u00e7\u00e3o apenas as disposi\u00e7\u00f5es dos atos jur\u00eddicos relevantes da Uni\u00e3o e a sua aplica\u00e7\u00e3o nos Estados-Membros.<\/p>\n
(10) No setor do transporte mar\u00edtimo e por vias naveg\u00e1veis interiores, os requisitos de seguran\u00e7a aplic\u00e1veis \u00e0s empresas, navios, instala\u00e7\u00f5es portu\u00e1rias, portos e servi\u00e7os de tr\u00e1fego mar\u00edtimo ao abrigo de atos jur\u00eddicos da Uni\u00e3o abrangem todas as opera\u00e7\u00f5es, incluindo os sistemas de r\u00e1dio e telecomunica\u00e7\u00f5es e os sistemas de informa\u00e7\u00e3o e as redes. Parte dos procedimentos obrigat\u00f3rios a seguir inclui a notifica\u00e7\u00e3o de todos os incidentes e, como tal, dever\u00e1 ser considerada como lex specialis, na medida em que esses requisitos sejam, no m\u00ednimo, equivalentes \u00e0s disposi\u00e7\u00f5es correspondentes da presente diretiva.<\/p>\n
(11) Ao identificarem operadores do setor do transporte mar\u00edtimo e por vias naveg\u00e1veis interiores, os Estados–Membros dever\u00e3o ter em conta os c\u00f3digos e as orienta\u00e7\u00f5es internacionais \u2014 atuais e futuros \u2014 elaborados pela Organiza\u00e7\u00e3o Mar\u00edtima Internacional, a fim de permitir que os diversos operadores mar\u00edtimos sigam uma abordagem coerente.<\/p>\n
(12) A regulamenta\u00e7\u00e3o e a supervis\u00e3o nos setores da banca e das infraestruturas dos mercados financeiros est\u00e3o bastante harmonizadas a n\u00edvel da Uni\u00e3o por via do direito prim\u00e1rio e do direito derivado da Uni\u00e3o e das normas elaboradas em conjunto com as autoridades europeias de supervis\u00e3o. No quadro da Uni\u00e3o Banc\u00e1ria, a aplica\u00e7\u00e3o e supervis\u00e3o desses requisitos \u00e9 assegurada pelo Mecanismo \u00danico de Supervis\u00e3o. Nos Estados-Membros que n\u00e3o fazem parte da Uni\u00e3o Banc\u00e1ria, tal aplica\u00e7\u00e3o e supervis\u00e3o s\u00e3o asseguradas pelas entidades reguladoras banc\u00e1rias competentes em cada um deles. Noutras \u00e1reas da regulamenta\u00e7\u00e3o do setor financeiro, o Sistema Europeu de Supervis\u00e3o Financeira tamb\u00e9m assegura um elevado grau de uniformiza\u00e7\u00e3o e converg\u00eancia das pr\u00e1ticas de supervis\u00e3o. A Autoridade Europeia dos Valores Mobili\u00e1rios e dos Mercados desempenha tamb\u00e9m um papel de supervis\u00e3o direta de determinadas entidades, a saber, as ag\u00eancias de nota\u00e7\u00e3o de risco e os reposit\u00f3rios de transa\u00e7\u00f5es.<\/p>\n
(13) O risco operacional constitui uma parte essencial da regulamenta\u00e7\u00e3o e supervis\u00e3o prudenciais nos setores da banca e das infraestruturas dos mercados financeiros. Abrange todas as opera\u00e7\u00f5es, incluindo a seguran\u00e7a, integridade e resili\u00eancia das redes e dos sistemas de informa\u00e7\u00e3o. Os requisitos relativos a esses sistemas, que frequentemente extravasam os requisitos previstos na presente diretiva, s\u00e3o estabelecidos numa s\u00e9rie de atos jur\u00eddicos da Uni\u00e3o, inclusive nas regras aplic\u00e1veis ao acesso \u00e0 atividade das institui\u00e7\u00f5es de cr\u00e9dito e \u00e0 supervis\u00e3o prudencial das institui\u00e7\u00f5es de cr\u00e9dito e empresas de investimento e nas regras relativas aos requisitos prudenciais aplic\u00e1veis \u00e0s institui\u00e7\u00f5es de cr\u00e9dito e \u00e0s empresas de investimento, que incluem requisitos relativos ao risco operacional; nas regras aplic\u00e1veis aos mercados de instrumentos financeiros, que incluem requisitos relativos \u00e0 avalia\u00e7\u00e3o dos riscos das empresas de investimento e dos mercados regulamentados; nas regras aplic\u00e1veis aos derivados do mercado de balc\u00e3o, \u00e0s contrapartes centrais e aos reposit\u00f3rios de transa\u00e7\u00f5es, que incluem requisitos relativos ao risco operacional das contrapartes centrais e dos reposit\u00f3rios de transa\u00e7\u00f5es; e, nas regras aplic\u00e1veis \u00e0 melhoria do sistema de liquida\u00e7\u00e3o de valores mobili\u00e1rios na Uni\u00e3o e \u00e0s centrais de dep\u00f3sito de t\u00edtulos, que incluem requisitos relativos ao risco operacional. Al\u00e9m disso, os requisitos de notifica\u00e7\u00e3o de incidentes, que fazem parte das pr\u00e1ticas normais de supervis\u00e3o no setor financeiro, s\u00e3o frequentemente inclu\u00eddos nos manuais de supervis\u00e3o. Os Estados-Membros dever\u00e3o considerar essas regras e esses requisitos na sua aplica\u00e7\u00e3o da lex specialis.<\/p>\n
(14) Tal como referido pelo Banco Central Europeu no parecer que emitiu em 25 de julho de 2014 (6), a presente diretiva n\u00e3o afeta o regime previsto ao abrigo do direito da Uni\u00e3o, relativo \u00e0 superintend\u00eancia dos sistemas de pagamento e de liquida\u00e7\u00e3o no Eurosistema. Conviria que as autoridades respons\u00e1veis por essa superintend\u00eancia trocassem experi\u00eancias em mat\u00e9rias relacionadas com a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o com as autoridades competentes nos termos da presente diretiva. O mesmo se aplica aos membros do Sistema Europeu de Bancos Centrais n\u00e3o pertencentes \u00e0 \u00e1rea do euro que procedem \u00e0 superintend\u00eancia dos sistemas de pagamento e de liquida\u00e7\u00e3o com base em disposi\u00e7\u00f5es legislativas e regulamentares nacionais.<\/p>\n
(15) Um mercado em linha permite aos consumidores e aos comerciantes celebrarem contratos de venda ou de presta\u00e7\u00e3o de servi\u00e7os por via eletr\u00f3nica com comerciantes, e constitui o destino final da celebra\u00e7\u00e3o desses contratos. O mercado em linha n\u00e3o dever\u00e1 abranger os servi\u00e7os prestados por via eletr\u00f3nica que apenas servem de intermedi\u00e1rio para os servi\u00e7os prestados por terceiros atrav\u00e9s dos quais, em \u00faltima an\u00e1lise, o contrato possa ser celebrado. Por conseguinte, n\u00e3o dever\u00e1 abranger servi\u00e7os prestados por via eletr\u00f3nica que comparam o pre\u00e7o de determinados produtos ou servi\u00e7os de diferentes comerciantes e, em seguida, redirecionam o utilizador para um comerciante preferencial tendo em vista a aquisi\u00e7\u00e3o do produto. Os servi\u00e7os de computa\u00e7\u00e3o fornecidos pelo mercado em linha podem incluir o processamento de transa\u00e7\u00f5es, a agrega\u00e7\u00e3o de dados ou a defini\u00e7\u00e3o de perfis de utilizadores. As lojas de aplica\u00e7\u00f5es em linha, que funcionam como lojas em linha que permitem a distribui\u00e7\u00e3o digital de aplica\u00e7\u00f5es ou de programas inform\u00e1ticos de terceiros, dever\u00e3o ser entendidas como sendo um tipo de mercado em linha.<\/p>\n
(16) Um motor de pesquisa digital permite ao utilizador consultar, em princ\u00edpio, todos os s\u00edtios web com base em pesquisas sobre qualquer assunto. Pode, em alternativa, centrar-se em s\u00edtios web numa determinada l\u00edngua. A defini\u00e7\u00e3o de motor de pesquisa em linha dada na presente diretiva n\u00e3o dever\u00e1 abranger as fun\u00e7\u00f5es de pesquisa que se limitam ao conte\u00fado de um s\u00edtio web espec\u00edfico, independentemente de a fun\u00e7\u00e3o de pesquisa ser ou n\u00e3o fornecida por um motor de pesquisa externo. Tamb\u00e9m n\u00e3o dever\u00e1 abranger os servi\u00e7os prestados por via
\neletr\u00f3nica que comparam o pre\u00e7o de determinados produtos ou servi\u00e7os de diferentes comerciantes e, em seguida, redirecionam o utilizador para um comerciante preferencial tendo em vista a aquisi\u00e7\u00e3o do produto.<\/p>\n
(17) Os servi\u00e7os de computa\u00e7\u00e3o em nuvem s\u00e3o muito diversificados e podem ser fornecidos segundo diferentes modelos. Para efeitos da presente diretiva, a express\u00e3o \u00abservi\u00e7os de computa\u00e7\u00e3o em nuvem\u00bb abrange servi\u00e7os que permitem o acesso a um conjunto modul\u00e1vel e adapt\u00e1vel de recursos de computa\u00e7\u00e3o partilh\u00e1veis. Esses recursos de computa\u00e7\u00e3o incluem recursos como redes, servidores ou outras infraestruturas, armazenamento, aplica\u00e7\u00f5es e servi\u00e7os. O termo \u00abmodul\u00e1vel\u00bb refere-se a recursos de computa\u00e7\u00e3o atribu\u00eddos de forma flex\u00edvel pelo prestador de servi\u00e7os de computa\u00e7\u00e3o em nuvem, independentemente da localiza\u00e7\u00e3o geogr\u00e1fica dos recursos, a fim de fazer face \u00e0s flutua\u00e7\u00f5es da procura. A express\u00e3o \u00abconjunto adapt\u00e1vel\u00bb \u00e9 utilizada para descrever os recursos de computa\u00e7\u00e3o disponibilizados e libertados em fun\u00e7\u00e3o da procura, a fim de aumentar ou diminuir rapidamente os recursos dispon\u00edveis, consoante o volume de trabalho. O termo \u00abpartilh\u00e1vel\u00bb \u00e9 utilizado para descrever os recursos de computa\u00e7\u00e3o fornecidos a m\u00faltiplos utilizadores que partilham um acesso comum ao servi\u00e7o mas cujo tratamento \u00e9 efetuado separadamente para cada utilizador, embora o servi\u00e7o seja prestado a partir do mesmo equipamento eletr\u00f3nico.<\/p>\n
(18) A fun\u00e7\u00e3o de um ponto de troca de tr\u00e1fego (Internet Exchange Point) consiste em interligar redes. Os pontos de troca de tr\u00e1fego n\u00e3o proporcionam o acesso \u00e0s redes nem atuam como prestadores ou operadores de tr\u00e1fego. Os pontos de troca de tr\u00e1fego tamb\u00e9m n\u00e3o prestam outros servi\u00e7os n\u00e3o relacionados com interliga\u00e7\u00e3o, embora isso n\u00e3o impe\u00e7a o operador de um ponto de troca de tr\u00e1fego de prestar tamb\u00e9m servi\u00e7os n\u00e3o conexos. Os pontos de troca de tr\u00e1fego existem para interligar redes que estejam separadas em termos t\u00e9cnicos e organizativos. A express\u00e3o \u00absistema aut\u00f3nomo\u00bb \u00e9 utilizada para descrever uma rede aut\u00f3noma do ponto de vista t\u00e9cnico.<\/p>\n
(19) Os Estados-Membros dever\u00e3o ser respons\u00e1veis por determinar as entidades que preenchem os crit\u00e9rios da defini\u00e7\u00e3o de operador de servi\u00e7os essenciais. A fim de garantir uma abordagem coerente, a defini\u00e7\u00e3o de operador de servi\u00e7os essenciais dever\u00e1 ser aplicada de forma coerente por todos os Estados-Membros. Para esse efeito, a presente diretiva prev\u00ea a avalia\u00e7\u00e3o das entidades ativas em setores e subsetores espec\u00edficos, a elabora\u00e7\u00e3o de uma lista de servi\u00e7os essenciais, a an\u00e1lise de uma lista comum dos fatores transetoriais a fim de determinar se um potencial incidente teria um efeito perturbador importante, um processo de consulta que envolva os Estados- -Membros pertinentes no caso de haver entidades que prestem servi\u00e7os em mais de um Estado-Membro, e o apoio do grupo de coopera\u00e7\u00e3o no processo de identifica\u00e7\u00e3o. A fim de garantir que as eventuais altera\u00e7\u00f5es no mercado sejam refletidas com exatid\u00e3o, a lista dos operadores identificados dever\u00e1 ser revista regularmente pelos Estados-Membros e atualizada sempre que necess\u00e1rio. Por \u00faltimo, os Estados-Membros dever\u00e3o prestar as informa\u00e7\u00f5es necess\u00e1rias \u00e0 Comiss\u00e3o para que esta possa avaliar em que medida esta metodologia comum lhes permitiu aplicar coerentemente a defini\u00e7\u00e3o.<\/p>\n
(20) No processo de identifica\u00e7\u00e3o dos operadores de servi\u00e7os essenciais, os Estados-Membros dever\u00e3o avaliar, pelo menos para cada um dos subsetores referidos na presente diretiva, os servi\u00e7os que dever\u00e3o ser considerados essenciais para a manuten\u00e7\u00e3o de atividades societais e econ\u00f3micas cruciais, e se as entidades inclu\u00eddas nos setores e subsetores a que se refere a presente diretiva e que prestam esses servi\u00e7os satisfazem os crit\u00e9rios para a identifica\u00e7\u00e3o dos operadores. Ao avaliar se uma entidade presta um servi\u00e7o essencial para a manuten\u00e7\u00e3o de atividades societais ou econ\u00f3micas cruciais, basta examinar se essa entidade presta um servi\u00e7o inclu\u00eddo na lista de servi\u00e7os essenciais. Al\u00e9m disso, dever\u00e1 demonstrar-se que a presta\u00e7\u00e3o desse servi\u00e7o essencial depende das redes e dos sistemas de informa\u00e7\u00e3o. Finalmente, ao avaliar se um incidente ter\u00e1 um efeito perturbador importante na presta\u00e7\u00e3o do servi\u00e7o, os Estados-Membros dever\u00e3o ter em conta v\u00e1rios fatores transetoriais, bem como fatores espec\u00edficos de cada setor, quando pertinente.<\/p>\n
(21) A fim de identificar os operadores de servi\u00e7os essenciais, o seu estabelecimento num Estado-Membro pressup\u00f5e o exerc\u00edcio efetivo e real de uma atividade com base numa organiza\u00e7\u00e3o est\u00e1vel. A forma jur\u00eddica dessa organiza\u00e7\u00e3o, quer se trate de uma sucursal quer de uma filial com personalidade jur\u00eddica, n\u00e3o \u00e9 o fator determinante neste contexto.<\/p>\n
(22) \u00c9 poss\u00edvel que as entidades que operam nos setores e subsetores a que se refere a presente diretiva prestem servi\u00e7os essenciais e n\u00e3o essenciais. Por exemplo, no setor do transporte a\u00e9reo, os aeroportos prestam servi\u00e7os que podem ser considerados essenciais por um Estado-Membro, tais como a gest\u00e3o das pistas, mas tamb\u00e9m uma s\u00e9rie de servi\u00e7os que podem ser considerados n\u00e3o essenciais, como a disponibiliza\u00e7\u00e3o de \u00e1reas comerciais. Os operadores de servi\u00e7os essenciais dever\u00e3o estar sujeitos aos requisitos de seguran\u00e7a espec\u00edficos apenas no que respeita aos servi\u00e7os considerados essenciais. Por conseguinte, a fim de identificar os operadores, os Estados- -Membros dever\u00e3o elaborar uma lista dos servi\u00e7os que s\u00e3o considerados essenciais.<\/p>\n
(23) A lista de servi\u00e7os dever\u00e1 incluir todos os servi\u00e7os prestados no territ\u00f3rio de um determinado Estado-Membro que preencham os requisitos previstos na presente diretiva. Os Estados-Membros dever\u00e3o poder complementar a lista existente mediante a inclus\u00e3o de novos servi\u00e7os. A lista de servi\u00e7os dever\u00e1 servir de ponto de refer\u00eancia para os Estados-Membros, permitindo a identifica\u00e7\u00e3o dos operadores de servi\u00e7os essenciais. O seu objetivo \u00e9 identificar quais s\u00e3o os tipos de servi\u00e7os essenciais em cada setor a que se refere a presente diretiva, distinguindo- -os, assim, das atividades n\u00e3o essenciais pelas quais uma entidade ativa num determinado setor possa ser respons\u00e1vel. A lista de servi\u00e7os elaborada por cada Estado-Membro serviria de contributo adicional na avalia\u00e7\u00e3o das pr\u00e1ticas de regula\u00e7\u00e3o de cada Estado-Membro com vista a assegurar a coer\u00eancia global do processo de identifica\u00e7\u00e3o entre os Estados-Membros.<\/p>\n
(24) Para efeitos do processo de identifica\u00e7\u00e3o, sempre que uma entidade preste um servi\u00e7o essencial em dois ou mais Estados-Membros, estes dever\u00e3o proceder a debates bilaterais ou multilaterais entre si. Este processo de consulta destina-se a assisti-los na avalia\u00e7\u00e3o da natureza cr\u00edtica do operador em termos de impacto transfronteiri\u00e7o, permitindo assim a cada Estado-Membro envolvido apresentar a sua opini\u00e3o sobre os riscos associados aos servi\u00e7os prestados. Os Estados-Membros em causa dever\u00e3o ter em conta a opini\u00e3o de cada um e dever\u00e3o poder solicitar a assist\u00eancia do grupo de coopera\u00e7\u00e3o a este respeito.<\/p>\n
(25) Em resultado do processo de identifica\u00e7\u00e3o, os Estados-Membros dever\u00e3o adotar medidas nacionais para determinar quais as entidades sujeitas a obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o. Este resultado poder\u00e1 ser alcan\u00e7ado atrav\u00e9s da ado\u00e7\u00e3o de uma lista que enumere todos os operadores de servi\u00e7os essenciais ou da ado\u00e7\u00e3o de medidas nacionais que incluam crit\u00e9rios objetivos quantific\u00e1veis, tais como a produ\u00e7\u00e3o do operador ou o n\u00famero de utilizadores, o que permitir\u00e1 determinar as entidades que est\u00e3o sujeitas a obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o. As medidas nacionais, existentes ou adotadas no \u00e2mbito da presente diretiva, dever\u00e3o incluir todas as medidas jur\u00eddicas, administrativas e pol\u00edticas que permitam a identifica\u00e7\u00e3o dos operadores de servi\u00e7os essenciais ao abrigo da presente diretiva.<\/p>\n
(26) A fim de dar uma indica\u00e7\u00e3o da import\u00e2ncia dos operadores de servi\u00e7os essenciais identificados em rela\u00e7\u00e3o ao setor em causa, os Estados-Membros dever\u00e3o ter em conta o n\u00famero e a dimens\u00e3o desses operadores, por exemplo, em termos de quota de mercado ou da quantidade produzida ou transportada, sem serem obrigados a divulgar informa\u00e7\u00f5es suscet\u00edveis de revelar os operadores identificados.<\/p>\n
(27) A fim de determinar se um incidente pode ter um efeito perturbador importante na presta\u00e7\u00e3o de um servi\u00e7o essencial, os Estados-Membros dever\u00e3o ter em conta diversos fatores, nomeadamente o n\u00famero de utilizadores que dependem desse servi\u00e7o para fins privados ou profissionais. A utiliza\u00e7\u00e3o desse servi\u00e7o pode ser direta, indireta ou por intermedia\u00e7\u00e3o. Ao avaliar o impacto que um incidente poder\u00e1 ter, em termos de intensidade e dura\u00e7\u00e3o, nas atividades econ\u00f3micas e societais ou na seguran\u00e7a p\u00fablica, os Estados-Membros dever\u00e3o avaliar igualmente o tempo que pode decorrer antes de a descontinuidade come\u00e7ar a ter um impacto negativo.<\/p>\n
(28) Al\u00e9m dos fatores transetoriais, tamb\u00e9m dever\u00e3o ser tidos em conta os fatores espec\u00edficos do setor a fim de determinar se um incidente pode ter um efeito perturbador importante na presta\u00e7\u00e3o de um servi\u00e7o essencial. No que diz respeito aos fornecedores de energia, esses fatores poder\u00e3o incluir a quantidade ou a percentagem de energia nacional gerada; para os fornecedores de petr\u00f3leo, o volume di\u00e1rio; para o transporte a\u00e9reo, incluindo os aeroportos e as transportadoras a\u00e9reas, o transporte ferrovi\u00e1rio e os portos mar\u00edtimos, a percentagem de volume de tr\u00e1fego nacional e o n\u00famero de passageiros ou de opera\u00e7\u00f5es de movimenta\u00e7\u00e3o de carga anuais; para os servi\u00e7os banc\u00e1rios ou as infraestruturas do mercado financeiro, a sua import\u00e2ncia sist\u00e9mica com base nos ativos totais ou no r\u00e1cio ativos totais\/PIB; para o setor da sa\u00fade, o n\u00famero de pacientes sob cuidados do prestador em cada ano; para a produ\u00e7\u00e3o, tratamento e fornecimento de \u00e1gua, o volume, o n\u00famero e os tipos de utilizadores aos quais a \u00e1gua \u00e9 fornecida, incluindo, por exemplo, hospitais, servi\u00e7os p\u00fablicos, organiza\u00e7\u00f5es ou particulares e a exist\u00eancia de fontes alternativas de abastecimento de \u00e1gua que abranjam a mesma zona geogr\u00e1fica.<\/p>\n
(29) A fim de atingir e manter um n\u00edvel elevado de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o, cada Estado-Membro dever\u00e1 dispor de uma estrat\u00e9gia nacional de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que defina os objetivos estrat\u00e9gicos e as a\u00e7\u00f5es estrat\u00e9gicas concretas a executar.<\/p>\n
(30) Tendo em conta as diferen\u00e7as nas estruturas governativas nacionais, e a fim de salvaguardar os acordos setoriais j\u00e1 existentes ou os organismos de supervis\u00e3o e regula\u00e7\u00e3o da Uni\u00e3o, bem como evitar duplica\u00e7\u00f5es, os Estados-Membros dever\u00e3o poder designar mais do que uma autoridade nacional competente respons\u00e1vel pelo desempenho de fun\u00e7\u00f5es associadas \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o dos operadores de servi\u00e7os essenciais e dos prestadores de servi\u00e7os digitais, nos termos da presente diretiva.<\/p>\n
(31) A fim de facilitar a coopera\u00e7\u00e3o e a comunica\u00e7\u00e3o transfronteiri\u00e7a e permitir a aplica\u00e7\u00e3o eficaz da presente diretiva, \u00e9 necess\u00e1rio que cada Estado-Membro designe, sem preju\u00edzo de acordos regulamentares setoriais, um ponto de contacto \u00fanico nacional respons\u00e1vel pela coordena\u00e7\u00e3o das quest\u00f5es relativas \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o e pela coopera\u00e7\u00e3o transfronteiri\u00e7a a n\u00edvel da Uni\u00e3o. As autoridades competentes e os pontos de contacto \u00fanicos dever\u00e3o dispor de recursos t\u00e9cnicos, financeiros e humanos adequados para garantir a execu\u00e7\u00e3o eficaz e eficiente das atribui\u00e7\u00f5es que lhes s\u00e3o conferidas e para alcan\u00e7ar assim os objetivos da presente diretiva. Dado que a presente diretiva visa melhorar o funcionamento do mercado interno atrav\u00e9s da cria\u00e7\u00e3o de um clima de confian\u00e7a, os organismos dos Estados-Membros dever\u00e3o estar em condi\u00e7\u00f5es de cooperar eficazmente com os
\nagentes econ\u00f3micos e estar estruturados em conformidade.<\/p>\n
(32) As autoridades competentes ou as equipas de resposta a incidentes de seguran\u00e7a inform\u00e1tica (CSIRT) dever\u00e3o receber notifica\u00e7\u00f5es de incidentes. Os pontos de contacto \u00fanicos n\u00e3o dever\u00e3o receber diretamente notifica\u00e7\u00f5es de incidentes, exceto se atuarem tamb\u00e9m como autoridades competentes ou como CSIRT. No entanto, uma autoridade competente ou uma CSIRT dever\u00e1 poder encarregar o ponto de contacto \u00fanico de enviar as notifica\u00e7\u00f5es de incidentes aos pontos de contacto \u00fanicos dos outros Estados-Membros afetados.<\/p>\n
(33) A fim de assegurar a presta\u00e7\u00e3o efetiva de informa\u00e7\u00f5es aos Estados-Membros e \u00e0 Comiss\u00e3o, o ponto de contacto \u00fanico dever\u00e1 apresentar ao grupo de coopera\u00e7\u00e3o um relat\u00f3rio de s\u00edntese anonimizado, a fim de preservar a confidencialidade das notifica\u00e7\u00f5es e a identidade dos operadores de servi\u00e7os essenciais e dos prestadores de servi\u00e7os digitais, uma vez que as informa\u00e7\u00f5es sobre a identidade das entidades notificadoras n\u00e3o s\u00e3o necess\u00e1rias para o interc\u00e2mbio de boas pr\u00e1ticas no grupo de coopera\u00e7\u00e3o. O relat\u00f3rio de s\u00edntese dever\u00e1 incluir informa\u00e7\u00f5es sobre o n\u00famero de notifica\u00e7\u00f5es recebidas e indica\u00e7\u00f5es sobre a natureza dos incidentes notificados, nomeadamente sobre os tipos de viola\u00e7\u00f5es da seguran\u00e7a, a sua gravidade ou a sua dura\u00e7\u00e3o.<\/p>\n
(34) Os Estados-Membros dever\u00e3o estar adequadamente equipados, em termos de capacidade t\u00e9cnica e organizativa, para evitar, detetar e atenuar os incidentes e os riscos ligados \u00e0s redes e aos sistemas de informa\u00e7\u00e3o, e para os enfrentar. Por conseguinte, dever\u00e3o dispor de CSIRT, tamb\u00e9m conhecidas por equipas de resposta a emerg\u00eancias inform\u00e1ticas (CERT), que funcionem bem e que preencham os requisitos essenciais para garantir capacidades efetivas e compat\u00edveis para fazer face aos incidentes e aos riscos e para assegurar uma coopera\u00e7\u00e3o eficaz a n\u00edvel da Uni\u00e3o. A fim de que todos os tipos de operadores de servi\u00e7os essenciais e de prestadores de servi\u00e7os digitais beneficiem dessas capacidades e dessa coopera\u00e7\u00e3o eficaz, os Estados-Membros dever\u00e3o assegurar que todos eles sejam abrangidos por uma CSIRT designada. Tendo em conta a import\u00e2ncia da coopera\u00e7\u00e3o internacional em mat\u00e9ria de ciberseguran\u00e7a, as CSIRT dever\u00e3o poder participar em redes de coopera\u00e7\u00e3o internacional, em complemento da rede de CSIRT criada pela presente diretiva.<\/p>\n
(35) Uma vez que a maioria das redes e dos sistemas de informa\u00e7\u00e3o s\u00e3o explorados pelo setor privado, a coopera\u00e7\u00e3o entre o setor p\u00fablico e setor privado \u00e9 essencial. Os operadores de servi\u00e7os essenciais e os prestadores de servi\u00e7os digitais dever\u00e3o ser incentivados a criar os seus pr\u00f3prios mecanismos de coopera\u00e7\u00e3o informal para garantir a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o. Sempre que necess\u00e1rio, o grupo de coopera\u00e7\u00e3o dever\u00e1 poder convidar as partes interessadas relevantes para os debates. Para incentivar efetivamente a partilha de informa\u00e7\u00f5es e de boas pr\u00e1ticas, \u00e9 essencial assegurar que os operadores de servi\u00e7os essenciais e os prestadores de servi\u00e7os digitais que participam nos referidos interc\u00e2mbios n\u00e3o fiquem em desvantagem devido \u00e0 sua coopera\u00e7\u00e3o.<\/p>\n
(36) A ENISA dever\u00e1 assistir os Estados-Membros e a Comiss\u00e3o atrav\u00e9s da disponibiliza\u00e7\u00e3o de compet\u00eancias especializadas e aconselhamento e da facilita\u00e7\u00e3o do interc\u00e2mbio de boas pr\u00e1ticas. Em particular, na aplica\u00e7\u00e3o da presente diretiva, a Comiss\u00e3o dever\u00e1 consultar a ENISA e os Estados-Membros dever\u00e3o poder faz\u00ea-lo. A fim de refor\u00e7ar as capacidades e os conhecimentos dos Estados-Membros, o grupo de coopera\u00e7\u00e3o dever\u00e1 tamb\u00e9m servir de instrumento para o interc\u00e2mbio de boas pr\u00e1ticas e a discuss\u00e3o das capacidades e do grau de prepara\u00e7\u00e3o dos Estados-Membros e, numa base volunt\u00e1ria, para assistir os seus membros na avalia\u00e7\u00e3o das estrat\u00e9gias nacionais de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o, no refor\u00e7o das suas capacidades e na avalia\u00e7\u00e3o de exerc\u00edcios de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o.<\/p>\n
(37) Sempre que adequado, os Estados-Membros dever\u00e3o poder utilizar ou adaptar as estruturas organizativas ou as estrat\u00e9gias existentes na aplica\u00e7\u00e3o da presente diretiva.<\/p>\n
(38) As atribui\u00e7\u00f5es do grupo de coopera\u00e7\u00e3o e da ENISA s\u00e3o interdependentes e complementares. De um modo geral, a ENISA dever\u00e1 apoiar o grupo de coopera\u00e7\u00e3o na execu\u00e7\u00e3o das suas atribui\u00e7\u00f5es, em conson\u00e2ncia com o objetivo da ENISA, definido no Regulamento (UE) n.o 526\/2013 do Parlamento Europeu e do Conselho (7), a saber, prestar assist\u00eancia \u00e0s institui\u00e7\u00f5es, aos \u00f3rg\u00e3os, aos organismos e \u00e0s ag\u00eancias da Uni\u00e3o e aos Estados-Membros na execu\u00e7\u00e3o das pol\u00edticas necess\u00e1rias para respeitar os requisitos legais e regulamentares de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o nos termos dos atos jur\u00eddicos atuais e futuros da Uni\u00e3o. A ENISA dever\u00e1 prestar assist\u00eancia especialmente nos dom\u00ednios que correspondem \u00e0s suas pr\u00f3prias atribui\u00e7\u00f5es, tal como definidas no Regulamento (UE) n.o 526\/2013, a saber, analisar as estrat\u00e9gias de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o, apoiar a organiza\u00e7\u00e3o e a realiza\u00e7\u00e3o de exerc\u00edcios de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o na Uni\u00e3o, e proceder ao interc\u00e2mbio de informa\u00e7\u00f5es e de boas pr\u00e1ticas em mat\u00e9ria de a\u00e7\u00f5es de sensibiliza\u00e7\u00e3o e forma\u00e7\u00e3o. A ENISA dever\u00e1 igualmente ser envolvida na elabora\u00e7\u00e3o de orienta\u00e7\u00f5es sobre crit\u00e9rios setoriais espec\u00edficos para determinar a import\u00e2ncia do impacto de um incidente.<\/p>\n
(39) A fim de promover um grau avan\u00e7ado de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o, o grupo de coopera\u00e7\u00e3o dever\u00e1, sempre que adequado, cooperar com as institui\u00e7\u00f5es, os \u00f3rg\u00e3os e os organismos relevantes da Uni\u00e3o para trocar saber-fazer e boas pr\u00e1ticas e prestar aconselhamento sobre aspetos relativos \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que possam ter impacto no seu trabalho, respeitando as disposi\u00e7\u00f5es existentes em mat\u00e9ria de interc\u00e2mbio de informa\u00e7\u00f5es restritas. Ao cooperar com as autoridades encarregadas da aplica\u00e7\u00e3o da lei em aspetos relacionados com a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que possam ter impacto no seu trabalho, o grupo de coopera\u00e7\u00e3o dever\u00e1 respeitar os canais de informa\u00e7\u00e3o existentes e as redes j\u00e1 criadas.<\/p>\n
(40) \u00c9 cada vez mais importante tanto para o p\u00fablico em geral como para as empresas, em especial para as pequenas e m\u00e9dias empresas, dispor de informa\u00e7\u00f5es sobre incidentes. Em alguns casos, essas informa\u00e7\u00f5es s\u00e3o j\u00e1 fornecidas atrav\u00e9s de s\u00edtios web a n\u00edvel nacional e na l\u00edngua de um pa\u00eds espec\u00edfico, centrando-se principalmente em incidentes e ocorr\u00eancias de dimens\u00e3o nacional. Tendo em conta que cada vez mais as empresas operam no plano transfronteiri\u00e7o e os cidad\u00e3os utilizam servi\u00e7os prestados por via eletr\u00f3nica, as informa\u00e7\u00f5es sobre os incidentes ocorridos dever\u00e3o ser fornecidas de uma forma agregada a n\u00edvel da Uni\u00e3o. O secretariado da rede de CSIRT \u00e9 incentivado a manter um s\u00edtio web ou a dedicar uma p\u00e1gina especial num s\u00edtio web existente, em que sejam facultadas ao grande p\u00fablico informa\u00e7\u00f5es gerais sobre os principais incidentes ocorridos na Uni\u00e3o, tendo em especial aten\u00e7\u00e3o os interesses e as necessidades das empresas. As equipas que participam na rede de CSIRT s\u00e3o exortadas a fornecer, a t\u00edtulo facultativo, informa\u00e7\u00f5es a publicar nesse s\u00edtio web, excluindo, informa\u00e7\u00f5es confidenciais ou sens\u00edveis.<\/p>\n
(41) Caso as informa\u00e7\u00f5es sejam consideradas confidenciais nos termos das regras nacionais e da Uni\u00e3o em mat\u00e9ria de sigilo comercial, esse sigilo dever\u00e1 ser assegurado no exerc\u00edcio das atividades e no cumprimento dos objetivos estabelecidos pela presente diretiva.<\/p>\n
(42) Os exerc\u00edcios que simulam cen\u00e1rios de incidente em tempo real s\u00e3o essenciais para avaliar o grau de prepara\u00e7\u00e3o e de coopera\u00e7\u00e3o dos Estados-Membros no que respeita \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o. O ciclo de exerc\u00edcios CyberEurope, coordenado pela ENISA com a participa\u00e7\u00e3o dos Estados-Membros, constitui um instrumento \u00fatil para testar e elaborar recomenda\u00e7\u00f5es sobre a forma como dever\u00e1 evoluir o tratamento de incidentes a n\u00edvel da Uni\u00e3o ao longo do tempo. Considerando que os Estados-Membros n\u00e3o s\u00e3o atualmente obrigados a planear ou a participar em exerc\u00edcios, a cria\u00e7\u00e3o da rede de CSIRT prevista na presente diretiva dever\u00e1 permitir que os Estados-Membros participem em exerc\u00edcios com base em planos espec\u00edficos e em escolhas estrat\u00e9gicas. O grupo de coopera\u00e7\u00e3o criado nos termos da presente diretiva dever\u00e1 discutir as decis\u00f5es estrat\u00e9gicas respeitantes aos exerc\u00edcios, em especial \u2014 mas n\u00e3o exclusivamente \u2014 no que respeita \u00e0 regularidade da sua realiza\u00e7\u00e3o e \u00e0 conce\u00e7\u00e3o dos cen\u00e1rios. De acordo com o seu mandato, a ENISA dever\u00e1 apoiar a organiza\u00e7\u00e3o e a realiza\u00e7\u00e3o dos exerc\u00edcios a n\u00edvel da Uni\u00e3o, facultando conhecimentos especializados e prestando aconselhamento ao grupo de coopera\u00e7\u00e3o e \u00e0 rede de CSIRT.<\/p>\n
(43) Atendendo ao car\u00e1ter global dos problemas de seguran\u00e7a que afetam as redes e os sistemas de informa\u00e7\u00e3o, \u00e9 necess\u00e1rio estreitar a coopera\u00e7\u00e3o internacional para melhorar as normas de seguran\u00e7a e o interc\u00e2mbio de informa\u00e7\u00f5es e promover uma abordagem comum global das quest\u00f5es de seguran\u00e7a.<\/p>\n
(44) A responsabilidade de garantir a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o cabe, em larga medida, aos operadores de servi\u00e7os essenciais e aos prestadores de servi\u00e7os digitais. Dever-se-\u00e1 promover e desenvolver uma cultura de gest\u00e3o de riscos que passe pela avalia\u00e7\u00e3o dos riscos e pela aplica\u00e7\u00e3o de medidas de seguran\u00e7a adequadas aos riscos enfrentados, estabelecendo para tal requisitos regulamentares adequados e adotando pr\u00e1ticas setoriais de car\u00e1ter volunt\u00e1rio. Criar condi\u00e7\u00f5es de concorr\u00eancia dignas de confian\u00e7a e equitativas \u00e9 tamb\u00e9m essencial para que o grupo de coopera\u00e7\u00e3o e a rede de CSIRT funcionem com efic\u00e1cia e para garantir que todos os Estados-Membros cooperem de forma efetiva.<\/p>\n
(45) A presente diretiva aplica-se apenas \u00e0s administra\u00e7\u00f5es p\u00fablicas identificadas como operadores de servi\u00e7os essenciais. Por conseguinte, cabe aos Estados-Membros garantir a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o das administra\u00e7\u00f5es p\u00fablicas que n\u00e3o se insiram no \u00e2mbito de aplica\u00e7\u00e3o da presente diretiva.<\/p>\n
(46) As medidas de gest\u00e3o de riscos incluem medidas para identificar os riscos de incidentes, para evitar, detetar e gerir os incidentes e para atenuar o seu impacto. A seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o abrange a seguran\u00e7a dos dados armazenados, transmitidos e tratados.<\/p>\n
(47) As autoridades competentes dever\u00e3o manter a possibilidade de adotar orienta\u00e7\u00f5es nacionais sobre as circunst\u00e2ncias em que os operadores de servi\u00e7os essenciais s\u00e3o obrigados a notificar incidentes.<\/p>\n
(48) Muitas das empresas na Uni\u00e3o dependem dos prestadores de servi\u00e7os digitais para efeitos de presta\u00e7\u00e3o dos seus pr\u00f3prios servi\u00e7os. Uma vez que alguns servi\u00e7os digitais poder\u00e3o constituir um recurso importante para os seus utilizadores, incluindo os operadores de servi\u00e7os essenciais, e atendendo a que esses utilizadores poder\u00e3o nem sempre ter alternativas ao seu dispor, a presente diretiva dever\u00e1 aplicar-se igualmente aos prestadores desses servi\u00e7os. A seguran\u00e7a, a continuidade e a fiabilidade do tipo de servi\u00e7os digitais a que se refere a presente diretiva s\u00e3o essenciais para o bom funcionamento de muitas empresas. A ocorr\u00eancia de uma perturba\u00e7\u00e3o num desses servi\u00e7os digitais pode impedir a presta\u00e7\u00e3o de outros servi\u00e7os que dele dependam e, como tal, pode afetar atividades econ\u00f3micas e societais fundamentais na Uni\u00e3o. Esses servi\u00e7os digitais poder\u00e3o, pois, ser de import\u00e2ncia crucial para o bom funcionamento das empresas que deles dependem e, al\u00e9m disso, para a participa\u00e7\u00e3o dessas empresas no mercado interno e nas trocas comerciais transfronteiri\u00e7as na Uni\u00e3o. Esses prestadores de servi\u00e7os digitais, abrangidos pela presente diretiva, s\u00e3o aqueles que se considera oferecerem servi\u00e7os digitais dos quais grande parte das empresas da Uni\u00e3o depende cada vez mais.<\/p>\n
(49) Os prestadores de servi\u00e7os digitais dever\u00e3o garantir um n\u00edvel de seguran\u00e7a proporcional ao grau de risco para a seguran\u00e7a dos servi\u00e7os digitais que fornecem, dada a import\u00e2ncia dos seus servi\u00e7os para as opera\u00e7\u00f5es de outras empresas na Uni\u00e3o. Na pr\u00e1tica, o grau de risco para os operadores de servi\u00e7os essenciais, que desempenham muitas vezes um papel crucial para a manuten\u00e7\u00e3o de atividades societais e econ\u00f3micas cruciais, \u00e9 superior ao grau de risco a que os prestadores de servi\u00e7os digitais est\u00e3o sujeitos. Por conseguinte, os requisitos de seguran\u00e7a aplic\u00e1veis aos prestadores de servi\u00e7os digitais dever\u00e3o ser menos exigentes. Os prestadores de servi\u00e7os digitais dever\u00e3o continuar a ter a liberdade de tomar as medidas que considerem adequadas para gerir os riscos de seguran\u00e7a que se coloquem \u00e0s suas redes e aos seus sistemas de informa\u00e7\u00e3o. Dada a sua voca\u00e7\u00e3o transfronteiri\u00e7a, os prestadores de servi\u00e7os digitais dever\u00e3o ser sujeitos a requisitos mais harmonizados a n\u00edvel da Uni\u00e3o. Os atos de execu\u00e7\u00e3o dever\u00e3o facilitar a especifica\u00e7\u00e3o e aplica\u00e7\u00e3o dessas medidas.<\/p>\n
(50) Embora os fabricantes de hardware e os respons\u00e1veis pelo desenvolvimento de software n\u00e3o sejam operadores de servi\u00e7os essenciais nem prestadores de servi\u00e7os digitais, os seus produtos refor\u00e7am a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o. Como tal, desempenham um papel importante ao permitirem que os operadores de servi\u00e7os essenciais e os prestadores de servi\u00e7os digitais protejam as suas redes e dos seus sistemas de informa\u00e7\u00e3o. Esses produtos de hardware e software j\u00e1 est\u00e3o sujeitos \u00e0s regras existentes em mat\u00e9ria de responsabilidade pelos produtos.<\/p>\n
(51) As medidas t\u00e9cnicas e organizativas impostas aos operadores de servi\u00e7os essenciais e aos prestadores de servi\u00e7os digitais n\u00e3o dever\u00e3o exigir que um determinado produto das tecnologias da informa\u00e7\u00e3o e da comunica\u00e7\u00e3o que tenha fins comerciais seja concebido, desenvolvido ou fabricado de um modo espec\u00edfico.<\/p>\n
(52) Os operadores de servi\u00e7os essenciais e os prestadores de servi\u00e7os digitais dever\u00e3o garantir a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que utilizam. Trata-se principalmente de redes e sistemas de informa\u00e7\u00e3o privados geridos por pessoal interno especializado em TI ou cuja seguran\u00e7a tenha sido externalizada. Os requisitos de seguran\u00e7a e notifica\u00e7\u00e3o dever\u00e3o aplicar-se aos operadores de servi\u00e7os essenciais e aos prestadores de servi\u00e7os digitais relevantes, independentemente do facto de estes procederem \u00e0 manuten\u00e7\u00e3o das suas redes e dos sistemas de informa\u00e7\u00e3o a n\u00edvel interno ou de a externalizarem.<\/p>\n
(53) Para evitar impor encargos financeiros e administrativos desproporcionados aos operadores de servi\u00e7os essenciais e aos prestadores de servi\u00e7os digitais, os requisitos estabelecidos dever\u00e3o ser proporcionados em rela\u00e7\u00e3o ao risco apresentado pelas redes e pelos sistemas de informa\u00e7\u00e3o em causa, tendo em conta os progressos t\u00e9cnicos mais recentes no que respeita a tais medidas. No caso dos prestadores de servi\u00e7os digitais, esses requisitos n\u00e3o dever\u00e3o aplicar-se \u00e0s microempresas nem \u00e0s pequenas empresas.<\/p>\n
(54) As administra\u00e7\u00f5es p\u00fablicas dos Estados-Membros que utilizem servi\u00e7os oferecidos por prestadores de servi\u00e7os digitais, em especial servi\u00e7os de computa\u00e7\u00e3o em nuvem, poder\u00e3o exigir que os prestadores desses servi\u00e7os adotem medidas de seguran\u00e7a adicionais, al\u00e9m das que s\u00e3o normalmente aplicadas pelos prestadores de servi\u00e7os digitais nos termos dos requisitos previstos na presente diretiva. Dever\u00e3o poder faz\u00ea-lo por meio de obriga\u00e7\u00f5es contratuais.<\/p>\n
(55) As defini\u00e7\u00f5es de \u00abmercados em linha\u00bb, \u00abmotores de pesquisa em linha\u00bb e \u00abservi\u00e7os de computa\u00e7\u00e3o em nuvem\u00bb constantes da presente diretiva t\u00eam especificamente por objetivo os fins nela previstos, sem preju\u00edzo de quaisquer outros instrumentos.<\/p>\n
(56) A presente diretiva n\u00e3o dever\u00e1 impedir que os Estados-Membros adotem medidas nacionais que exijam que os organismos do setor p\u00fablico garantam requisitos de seguran\u00e7a espec\u00edficos ao contratarem servi\u00e7os de computa\u00e7\u00e3o em nuvem. Essas medidas nacionais dever\u00e3o aplicar-se ao organismo do setor p\u00fablico em causa, e n\u00e3o ao fornecedor de servi\u00e7os de computa\u00e7\u00e3o em nuvem.<\/p>\n
(57) Dadas as diferen\u00e7as fundamentais existentes entre os operadores de servi\u00e7os essenciais, em especial a sua liga\u00e7\u00e3o direta \u00e0 infraestrutura f\u00edsica, e os prestadores de servi\u00e7os digitais, nomeadamente a sua natureza transfronteiri\u00e7a, a presente diretiva dever\u00e1 seguir uma abordagem diferenciada no que respeita ao n\u00edvel de harmoniza\u00e7\u00e3o referente a esses dois grupos de entidades. Em rela\u00e7\u00e3o aos operadores de servi\u00e7os essenciais, os Estados-Membros dever\u00e3o ser capazes de identificar os operadores relevantes e de impor requisitos mais rigorosos do que os estabelecidos na presente diretiva. Os Estados-Membros n\u00e3o dever\u00e3o identificar os prestadores de servi\u00e7os digitais, uma vez que a presente diretiva se dever\u00e1 aplicar a todos os prestadores de servi\u00e7os digitais abrangidos pelo seu \u00e2mbito de aplica\u00e7\u00e3o. Al\u00e9m disso, a presente diretiva e os atos de execu\u00e7\u00e3o que dela decorrem dever\u00e3o garantir aos prestadores de servi\u00e7os digitais um elevado n\u00edvel de harmoniza\u00e7\u00e3o no que respeita aos requisitos de seguran\u00e7a e notifica\u00e7\u00e3o. Isto dever\u00e1 permitir o tratamento uniforme dos prestadores de servi\u00e7os digitais em toda a Uni\u00e3o, de forma proporcional \u00e0 sua natureza e ao grau de risco com que possam ver-se confrontados.<\/p>\n
(58) A presente diretiva n\u00e3o dever\u00e1 impedir que os Estados-Membros imponham requisitos de seguran\u00e7a e notifica\u00e7\u00e3o a entidades que n\u00e3o os prestadores de servi\u00e7os digitais abrangidos pelo seu \u00e2mbito de aplica\u00e7\u00e3o, sem preju\u00edzo das obriga\u00e7\u00f5es que incumbem aos Estados-Membros por for\u00e7a do direito da Uni\u00e3o.<\/p>\n
(59) As autoridades competentes dever\u00e3o esfor\u00e7ar-se por manter canais informais e de confian\u00e7a para a partilha de informa\u00e7\u00f5es. A publicidade dada aos incidentes comunicados \u00e0s autoridades competentes dever\u00e1 traduzir o devido equil\u00edbrio entre o interesse do p\u00fablico em ser informado acerca das amea\u00e7as e os eventuais danos para os operadores de servi\u00e7os essenciais e os prestadores de servi\u00e7os digitais que comunicam esses incidentes ao n\u00edvel comercial e da sua reputa\u00e7\u00e3o. Ao cumprirem as obriga\u00e7\u00f5es de notifica\u00e7\u00e3o, as autoridades competentes e as CSIRT dever\u00e3o prestar especial aten\u00e7\u00e3o \u00e0 necessidade de manter as informa\u00e7\u00f5es sobre as vulnerabilidades dos produtos estritamente confidenciais at\u00e9 \u00e0 divulga\u00e7\u00e3o das medidas de seguran\u00e7a adequadas para as resolver.<\/p>\n
(60) Os prestadores de servi\u00e7os digitais dever\u00e3o ser sujeitos a uma supervis\u00e3o ex post ligeira e reativa, justificada pela natureza dos seus servi\u00e7os e opera\u00e7\u00f5es. A autoridade competente em causa s\u00f3 dever\u00e1, pois, tomar medidas se, por exemplo, o pr\u00f3prio fornecedor de servi\u00e7os digitais, outra autoridade competente, incluindo uma autoridade competente de outro Estado-Membro, ou um utilizador do servi\u00e7o lhe provarem que determinado fornecedor de servi\u00e7os digitais n\u00e3o cumpre os requisitos estabelecidos na presente diretiva, especialmente na sequ\u00eancia da ocorr\u00eancia de um incidente. A autoridade competente n\u00e3o dever\u00e1, pois, ficar sujeita \u00e0 obriga\u00e7\u00e3o geral de supervisionar os prestadores de servi\u00e7os digitais.<\/p>\n
(61) As autoridades competentes dever\u00e3o dispor dos meios necess\u00e1rios para a execu\u00e7\u00e3o das suas atribui\u00e7\u00f5es, nomeadamente de poderes para obter informa\u00e7\u00f5es suficientes para avaliar o n\u00edvel de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o.<\/p>\n
(62) Os incidentes podem resultar de atividades criminosas para cuja preven\u00e7\u00e3o, investiga\u00e7\u00e3o e repress\u00e3o contribuem a coordena\u00e7\u00e3o e coopera\u00e7\u00e3o estabelecidas entre os operadores de servi\u00e7os essenciais, os prestadores de servi\u00e7os digitais, as autoridades competentes e as autoridades respons\u00e1veis pela aplica\u00e7\u00e3o da lei. Caso se suspeite de que um incidente est\u00e1 relacionado com atividades criminosas graves nos termos do direito da Uni\u00e3o ou do direito nacional, os Estados-Membros dever\u00e3o incentivar os operadores de servi\u00e7os essenciais e os prestadores de servi\u00e7os digitais a comunicar \u00e0s autoridades respons\u00e1veis pela aplica\u00e7\u00e3o da lei os incidentes desse tipo. Em determinados casos, \u00e9 desej\u00e1vel que o Centro Europeu da Cibercriminalidade (EC3) e a ENISA facilitem a coordena\u00e7\u00e3o entre as autoridades competentes e as autoridades respons\u00e1veis pela aplica\u00e7\u00e3o da lei dos diferentes Estados-Membros.<\/p>\n
(63) Os dados pessoais ficam em muitos casos comprometidos em consequ\u00eancia de incidentes. Neste contexto, as autoridades competentes e as autoridades encarregadas da prote\u00e7\u00e3o dos dados dever\u00e3o cooperar e trocar informa\u00e7\u00f5es sobre todas as quest\u00f5es pertinentes para combater as eventuais viola\u00e7\u00f5es de dados pessoais resultantes de incidentes.<\/p>\n
(64) No que respeita aos prestadores de servi\u00e7os digitais, dever\u00e1 ser atribu\u00edda compet\u00eancia ao Estado-Membro no qual o prestador do servi\u00e7o digital tenha o seu estabelecimento principal na Uni\u00e3o, o que, em princ\u00edpio, corresponde ao local onde tem a sua sede. O estabelecimento pressup\u00f5e o exerc\u00edcio efetivo e real de uma atividade com base numa organiza\u00e7\u00e3o est\u00e1vel. A forma jur\u00eddica de tal organiza\u00e7\u00e3o, quer se trate de uma sucursal quer de uma filial com personalidade jur\u00eddica, n\u00e3o \u00e9 fator determinante neste contexto. Este crit\u00e9rio n\u00e3o dever\u00e1 depender do facto de as redes e os sistemas de informa\u00e7\u00e3o se situarem fisicamente num determinado local; a presen\u00e7a e a utiliza\u00e7\u00e3o desses sistemas n\u00e3o significam, em si mesmas, que a\u00ed se situe o estabelecimento principal e n\u00e3o constituem, pois, crit\u00e9rios aplic\u00e1veis \u00e0 determina\u00e7\u00e3o desse estabelecimento.<\/p>\n
(65) Os prestadores de servi\u00e7os digitais n\u00e3o estabelecidos na Uni\u00e3o que ofere\u00e7am servi\u00e7os na Uni\u00e3o dever\u00e3o designar um representante. A fim de determinar se esses prestadores oferecem ou n\u00e3o servi\u00e7os na Uni\u00e3o, haver\u00e1 que apurar se \u00e9 evidente a sua inten\u00e7\u00e3o de oferecer servi\u00e7os a pessoas num ou mais Estados-Membros. O mero facto de estar acess\u00edvel na Uni\u00e3o um s\u00edtio web do fornecedor de servi\u00e7os digitais ou de um intermedi\u00e1rio ou um endere\u00e7o eletr\u00f3nico ou outro tipo de contactos ou de ser utilizada uma l\u00edngua de uso corrente no pa\u00eds terceiro em que o fornecedor de servi\u00e7os digitais se encontra estabelecido n\u00e3o \u00e9 suficiente para determinar essa inten\u00e7\u00e3o. Contudo, h\u00e1 fatores, como a utiliza\u00e7\u00e3o de uma l\u00edngua ou de uma moeda de uso corrente num ou mais Estados-Membros, com a possibilidade de encomendar servi\u00e7os nessa outra l\u00edngua, ou a refer\u00eancia a clientes ou utilizadores na Uni\u00e3o, que podem ser reveladores de que o fornecedor de servi\u00e7os digitais tenciona oferecer servi\u00e7os na Uni\u00e3o. O representante dever\u00e1 atuar por conta do fornecedor de servi\u00e7os digitais e dever\u00e1 poder ser contactado pelas autoridades competentes ou pelas CSIRT. O representante dever\u00e1 ser explicitamente designado, por mandato escrito do fornecedor de servi\u00e7os digitais, para atuar por conta deste \u00faltimo relativamente \u00e0s obriga\u00e7\u00f5es que lhe incumbem por for\u00e7a da presente diretiva, incluindo a comunica\u00e7\u00e3o de incidentes.<\/p>\n
(66) A normaliza\u00e7\u00e3o dos requisitos de seguran\u00e7a \u00e9 um processo impulsionado pelo mercado. A fim de garantir uma aplica\u00e7\u00e3o convergente das normas de seguran\u00e7a, os Estados-Membros dever\u00e3o incentivar o cumprimento ou a conformidade com normas especificadas a fim de assegurar um elevado n\u00edvel de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o na Uni\u00e3o. A ENISA dever\u00e1 prestar assist\u00eancia aos Estados-Membros, atrav\u00e9s da presta\u00e7\u00e3o de aconselhamento e da formula\u00e7\u00e3o de orienta\u00e7\u00f5es. Para tal, poder\u00e1 ser \u00fatil elaborar normas harmonizadas, nos termos do Regulamento (UE) n.o 1025\/2012 do Parlamento Europeu e do Conselho (8).<\/p>\n
(67) As entidades que n\u00e3o s\u00e3o abrangidas pelo \u00e2mbito de aplica\u00e7\u00e3o da presente diretiva podem ser afetadas por incidentes com um impacto importante nos servi\u00e7os que prestam. Caso essas entidades considerem que \u00e9 do interesse p\u00fablico notificar a ocorr\u00eancia de tais incidentes, dever\u00e3o poder faz\u00ea-lo a t\u00edtulo volunt\u00e1rio. Tais notifica\u00e7\u00f5es dever\u00e3o ser tratadas pela autoridade competente ou pela CSIRT, caso esse tratamento n\u00e3o implique um encargo desproporcionado ou indevido para os Estados-Membros em causa.<\/p>\n
(68) A fim de assegurar condi\u00e7\u00f5es uniformes para a execu\u00e7\u00e3o da presente diretiva, dever\u00e3o ser atribu\u00eddas compet\u00eancias de execu\u00e7\u00e3o \u00e0 Comiss\u00e3o para especificar as disposi\u00e7\u00f5es processuais necess\u00e1rias ao funcionamento do grupo de coopera\u00e7\u00e3o e os requisitos de seguran\u00e7a e notifica\u00e7\u00e3o aplic\u00e1veis aos prestadores de servi\u00e7os digitais. Essas compet\u00eancias dever\u00e3o ser exercidas nos termos do Regulamento (UE) n.o 182\/2011 do Parlamento Europeu e do Conselho (9). Quando adotar atos de execu\u00e7\u00e3o respeitantes \u00e0s disposi\u00e7\u00f5es processuais necess\u00e1rias ao funcionamento do grupo de coopera\u00e7\u00e3o, a Comiss\u00e3o dever\u00e1 ter na melhor conta o parecer da ENISA.<\/p>\n
(69) Quando adotar atos de execu\u00e7\u00e3o respeitantes aos requisitos de seguran\u00e7a aplic\u00e1veis aos prestadores de servi\u00e7os digitais, a Comiss\u00e3o dever\u00e1 ter na melhor conta o parecer da ENISA e consultar as partes interessadas. Al\u00e9m disso, \u00e9 incentivada a ter em conta os seguintes exemplos: no que respeita \u00e0 seguran\u00e7a dos sistemas e das instala\u00e7\u00f5es, a seguran\u00e7a f\u00edsica e ambiental, a seguran\u00e7a da presta\u00e7\u00e3o de servi\u00e7os, o controlo do acesso \u00e0s redes e sistemas de informa\u00e7\u00e3o e a sua integridade; no que respeita ao tratamento dos incidentes, os procedimentos de tratamento de incidentes, a capacidade de dete\u00e7\u00e3o de incidentes e o relato e comunica\u00e7\u00e3o de incidentes; no que respeita \u00e0 gest\u00e3o da continuidade operacional, a estrat\u00e9gia de continuidade do servi\u00e7o e os planos de conting\u00eancia, e as capacidades de recupera\u00e7\u00e3o de desastres; e, no que respeita ao acompanhamento, \u00e0 auditoria e aos testes, as pol\u00edticas de acompanhamento e registo, os exerc\u00edcios relativos a planos de conting\u00eancia, os testes das redes e dos sistemas de informa\u00e7\u00e3o, as avalia\u00e7\u00f5es de seguran\u00e7a e o controlo do cumprimento.<\/p>\n
(70) Na aplica\u00e7\u00e3o da presente diretiva, a Comiss\u00e3o dever\u00e1 estabelecer as liga\u00e7\u00f5es adequadas com os comit\u00e9s setoriais pertinentes e com os organismos competentes criados a n\u00edvel da Uni\u00e3o nos dom\u00ednios abrangidos pela presente diretiva.<\/p>\n
(71) A Comiss\u00e3o dever\u00e1 avaliar regularmente a presente diretiva, em consulta com todas as partes interessadas, nomeadamente para decidir da eventual necessidade de a alterar \u00e0 luz da evolu\u00e7\u00e3o das condi\u00e7\u00f5es societais, pol\u00edticas, tecnol\u00f3gicas ou do mercado.<\/p>\n
(72) A partilha de informa\u00e7\u00f5es sobre os riscos e incidentes a n\u00edvel do grupo de coopera\u00e7\u00e3o e da rede de CSIRT e o cumprimento dos requisitos de notifica\u00e7\u00e3o de incidentes \u00e0s autoridades nacionais competentes ou \u00e0s CSIRT poder\u00e3o requerer o tratamento de dados pessoais. Esse tratamento dever\u00e1 cumprir o disposto na Diretiva 95\/46\/CE do Parlamento Europeu e do Conselho (10) e no Regulamento (CE) n.o 45\/2001 do Parlamento Europeu e do Conselho (11). Na aplica\u00e7\u00e3o da presente diretiva dever\u00e1 respeitar-se, consoante adequado, o Regulamento (CE) n.o 1049\/2001 do Parlamento Europeu e do Conselho (12).<\/p>\n
(73) A Autoridade Europeia para a Prote\u00e7\u00e3o de Dados foi consultada nos termos do artigo 28.o, n.o 2, do Regulamento (CE) n.o 45\/2001 e emitiu parecer em 14 de junho de 2013 (13).<\/p>\n
(74) Atendendo a que o objetivo da presente diretiva, a saber, atingir um elevado n\u00edvel comum de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o na Uni\u00e3o, n\u00e3o pode ser suficientemente alcan\u00e7ado pelos Estados-Membros, mas pode, devido aos efeitos da a\u00e7\u00e3o considerada, ser mais bem alcan\u00e7ado ao n\u00edvel da Uni\u00e3o, a Uni\u00e3o pode tomar medidas, em conformidade com o princ\u00edpio da subsidiariedade consagrado no artigo 5.o do Tratado da Uni\u00e3o Europeia. Em conformidade com o princ\u00edpio da proporcionalidade consagrado no mesmo artigo, a presente diretiva n\u00e3o excede o necess\u00e1rio para alcan\u00e7ar esse objetivo.<\/p>\n
(75) A presente diretiva respeita os direitos fundamentais e observa os princ\u00edpios reconhecidos na Carta dos Direitos Fundamentais da Uni\u00e3o Europeia, em especial o direito ao respeito pela vida privada e pelas comunica\u00e7\u00f5es, a prote\u00e7\u00e3o dos dados pessoais, a liberdade de empresa, o direito de propriedade, o direito \u00e0 a\u00e7\u00e3o perante um tribunal e o direito a ser ouvido. A presente diretiva dever\u00e1 ser aplicada de acordo com esses direitos e princ\u00edpios,<\/p>\n
ADOTARAM A PRESENTE DIRETIVA:<\/p>\n
CAP\u00cdTULO I<\/p>\n
DISPOSI\u00c7\u00d5ES GERAIS<\/p>\n
Artigo 1.o<\/p>\n
Objeto e \u00e2mbito de aplica\u00e7\u00e3o<\/p>\n
1. A presente diretiva estabelece medidas destinadas a alcan\u00e7ar um elevado n\u00edvel comum de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o na Uni\u00e3o, a fim de melhorar o funcionamento do mercado interno.<\/p>\n
2. Para o efeito, a presente diretiva:<\/p>\n
a) Estabelece a obriga\u00e7\u00e3o de os Estados-Membros adotarem uma estrat\u00e9gia nacional de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o;<\/p>\n
b) Cria um grupo de coopera\u00e7\u00e3o a fim de apoiar e facilitar a coopera\u00e7\u00e3o estrat\u00e9gica e o interc\u00e2mbio de informa\u00e7\u00f5es entre os Estados-Membros e de desenvolver a confian\u00e7a entre eles;<\/p>\n
c) Cria uma rede de equipas de resposta a incidentes de seguran\u00e7a inform\u00e1tica (\u00abrede de CSIRT\u00bb) a fim de contribuir para o desenvolvimento da confian\u00e7a entre os Estados-Membros e de promover uma coopera\u00e7\u00e3o operacional c\u00e9lere e eficaz;<\/p>\n
d) Estabelece requisitos de seguran\u00e7a e de notifica\u00e7\u00e3o para os operadores de servi\u00e7os essenciais e para os prestadores de servi\u00e7os digitais;<\/p>\n
e) Estabelece a obriga\u00e7\u00e3o de os Estados-Membros designarem as autoridades nacionais competentes, os pontos de contacto \u00fanicos e as CSIRT com atribui\u00e7\u00f5es relacionadas com a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o.<\/p>\n
3. Os requisitos de seguran\u00e7a e de notifica\u00e7\u00e3o previstos na presente diretiva n\u00e3o se aplicam \u00e0s empresas sujeitas aos requisitos previstos nos artigos 13.o-A e 13.o-B da Diretiva 2002\/21\/CE, nem aos prestadores de servi\u00e7os de confian\u00e7a sujeitos aos requisitos previstos no artigo 19.o do Regulamento (UE) n.o 910\/2014.<\/p>\n
4. A presente diretiva \u00e9 aplic\u00e1vel sem preju\u00edzo da Diretiva 2008\/114\/CE do Conselho (14) e das Diretivas 2011\/93\/UE (15) e 2013\/40\/UE do Parlamento Europeu e do Conselho (16).<\/p>\n
5. Sem preju\u00edzo do artigo 346.o do TFUE, as informa\u00e7\u00f5es que sejam confidenciais nos termos das regras da Uni\u00e3o e das regras nacionais, tais como as regras de sigilo comercial, s\u00f3 s\u00e3o trocadas com a Comiss\u00e3o e com outras autoridades relevantes nos casos em que esse interc\u00e2mbio seja necess\u00e1rio para a aplica\u00e7\u00e3o da presente diretiva. As informa\u00e7\u00f5es trocadas limitam-se ao que for relevante e proporcionado em rela\u00e7\u00e3o ao objetivo desse interc\u00e2mbio. O referido interc\u00e2mbio de informa\u00e7\u00f5es preserva a confidencialidade dessas informa\u00e7\u00f5es e salvaguarda a seguran\u00e7a e os interesses comerciais dos operadores de servi\u00e7os essenciais e dos prestadores de servi\u00e7os digitais.<\/p>\n
6. A presente diretiva n\u00e3o prejudica as medidas tomadas pelos Estados-Membros para salvaguardar as fun\u00e7\u00f5es essenciais do Estado, em especial a fim de salvaguardar a seguran\u00e7a nacional, incluindo medidas de prote\u00e7\u00e3o das informa\u00e7\u00f5es cuja divulga\u00e7\u00e3o os Estados-Membros considerem contr\u00e1ria aos interesses essenciais da sua pr\u00f3pria seguran\u00e7a, e para manter a ordem p\u00fablica, em especial a fim de permitir a investiga\u00e7\u00e3o, a dete\u00e7\u00e3o e a repress\u00e3o de infra\u00e7\u00f5es penais.<\/p>\n
7. Caso um ato jur\u00eddico setorial da Uni\u00e3o exija que os operadores de servi\u00e7os essenciais ou os prestadores de servi\u00e7os digitais garantam a seguran\u00e7a das suas redes e dos seus sistemas de informa\u00e7\u00e3o ou a notifica\u00e7\u00e3o de incidentes, s\u00e3o aplic\u00e1veis essas disposi\u00e7\u00f5es desse ato jur\u00eddico setorial da Uni\u00e3o, desde que os seus requisitos tenham pelo menos efeitos equivalentes \u00e0s obriga\u00e7\u00f5es previstas na presente diretiva.<\/p>\n
Artigo 2.o<\/p>\n
Tratamento de dados pessoais<\/p>\n
1. O tratamento de dados pessoais ao abrigo da presente diretiva \u00e9 efetuado nos termos da Diretiva 95\/46\/CE.<\/p>\n
2. O tratamento de dados pessoais pelas institui\u00e7\u00f5es e organismos da Uni\u00e3o ao abrigo da presente diretiva \u00e9 efetuado nos termos do Regulamento (CE) n.o 45\/2001.<\/p>\n
<\/p>\n
Artigo 3.o<\/p>\n
Harmoniza\u00e7\u00e3o m\u00ednima<\/p>\n
Sem preju\u00edzo do artigo 16.o, n.o 10, e das suas obriga\u00e7\u00f5es ao abrigo do direito da Uni\u00e3o, os Estados-Membros podem adotar ou manter disposi\u00e7\u00f5es destinadas a atingir um n\u00edvel mais elevado de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o.<\/p>\n
Artigo 4.o
\nDefini\u00e7\u00f5es
\nPara efeitos da presente diretiva, entende-se por:<\/p>\n
1) \u00abRede e sistema de informa\u00e7\u00e3o\u00bb,<\/p>\n
a) Uma rede de comunica\u00e7\u00f5es eletr\u00f3nicas na ace\u00e7\u00e3o do artigo 2.o, al\u00ednea a), da Diretiva 2002\/21\/CE;
\nb) Um dispositivo ou um grupo de dispositivos interligados ou associados, um ou mais dos quais efetuam o tratamento autom\u00e1tico de dados digitais com base num programa; ou
\nc) Os dados digitais armazenados, tratados, obtidos ou transmitidos por elementos indicados nas al\u00edneas a) e b)
\ntendo em vista a sua explora\u00e7\u00e3o, utiliza\u00e7\u00e3o, prote\u00e7\u00e3o e manuten\u00e7\u00e3o;<\/p>\n
2) \u00abSeguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o\u00bb, a capacidade das redes e dos sistemas de informa\u00e7\u00e3o para resistir, com um dado n\u00edvel de confian\u00e7a, a a\u00e7\u00f5es que comprometam a disponibilidade, a autenticidade, a integridade ou a confidencialidade dos dados armazenados, transmitidos ou tratados, ou dos servi\u00e7os conexos oferecidos por essas redes ou por esses sistemas de informa\u00e7\u00e3o, ou acess\u00edveis atrav\u00e9s deles;<\/p>\n
3) \u00abEstrat\u00e9gia nacional de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o\u00bb, um enquadramento que estabelece objetivos estrat\u00e9gicos e prioridades em mat\u00e9ria de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o a n\u00edvel nacional;<\/p>\n
4) \u00abOperador de servi\u00e7os essenciais\u00bb, uma entidade p\u00fablica ou privada pertencente a um dos tipos referidos no anexo II e que cumpre os crit\u00e9rios previstos no artigo 5.o, n.o 2;<\/p>\n
5) \u00abServi\u00e7o digital\u00bb, um servi\u00e7o na ace\u00e7\u00e3o do artigo 1.o, n.o 1, al\u00ednea b), da Diretiva (UE) 2015\/1535 do Parlamento Europeu e do Conselho (17), pertencente a um dos tipos enumerados no anexo III;<\/p>\n
6) \u00abPrestador de servi\u00e7os digitais\u00bb, uma pessoa coletiva que presta um servi\u00e7o digital;<\/p>\n
7) \u00abIncidente\u00bb, um evento com um efeito adverso real na seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o;<\/p>\n
8) \u00abTratamento de incidentes\u00bb, todos os procedimentos de apoio \u00e0 dete\u00e7\u00e3o, an\u00e1lise e conten\u00e7\u00e3o de um incidente, e \u00e0 resposta ao incidente;<\/p>\n
9) \u00abRisco\u00bb, uma circunst\u00e2ncia ou um evento, razoavelmente identific\u00e1veis, com um efeito adverso potencial na seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o;<\/p>\n
10) \u00abRepresentante\u00bb, uma pessoa singular ou coletiva, estabelecida na Uni\u00e3o, expressamente designada para atuar por conta de um prestador de servi\u00e7os digitais n\u00e3o estabelecido na Uni\u00e3o, que pode ser contactada por uma autoridade competente nacional ou por uma CSIRT em vez do prestador de servi\u00e7os digitais quanto \u00e0s obriga\u00e7\u00f5es que incumbem a este \u00faltimo por for\u00e7a da presente diretiva;<\/p>\n
11) \u00abNorma\u00bb, uma norma na ace\u00e7\u00e3o do artigo 2.o, ponto 1, do Regulamento (UE) n.o 1025\/2012;<\/p>\n
12) \u00abEspecifica\u00e7\u00e3o\u00bb, uma especifica\u00e7\u00e3o t\u00e9cnica na ace\u00e7\u00e3o do artigo 2.o, ponto 4, do Regulamento (UE) n.o 1025\/2012;<\/p>\n
13) \u00abPonto de troca de tr\u00e1fego\u00bb, uma estrutura de rede que permite a interliga\u00e7\u00e3o de mais de dois sistemas aut\u00f3nomos independentes, sobretudo a fim de facilitar a troca de tr\u00e1fego na Internet; um ponto de troca de tr\u00e1fego s\u00f3 interliga sistemas aut\u00f3nomos; um ponto de troca de tr\u00e1fego n\u00e3o implica que o tr\u00e1fego na Internet entre um par de sistemas aut\u00f3nomos participantes passe atrav\u00e9s de um terceiro sistema aut\u00f3nomo, n\u00e3o altera esse tr\u00e1fego nem interfere nele de qualquer outra forma;<\/p>\n
14) \u00abSistema de nomes de dom\u00ednio\u00bb (DNS), um sistema de nomes distribu\u00eddos hierarquicamente numa rede que encaminha pesquisas sobre nomes de dom\u00ednio;<\/p>\n
15) \u00abPrestador de servi\u00e7os do sistema de nomes de dom\u00ednio\u00bb, uma entidade que presta servi\u00e7os de DNS na Internet;<\/p>\n
16) \u00abRegisto de nomes de dom\u00ednio de topo\u00bb, uma entidade que administra e opera o registo de nomes de dom\u00ednio da Internet no contexto de um dom\u00ednio de topo espec\u00edfico;<\/p>\n
17) \u00abMercado em linha\u00bb, um servi\u00e7o digital que permite aos consumidores e\/ou aos comerciantes, tal como definidos, respetivamente, no artigo 4.o, n.o 1, al\u00ednea a) e al\u00ednea b), da Diretiva 2013\/11\/UE do Parlamento Europeu e do Conselho (18), celebrarem contratos de venda ou de presta\u00e7\u00e3o de servi\u00e7os por via eletr\u00f3nica com comerciantes, quer no s\u00edtio web do mercado em linha, quer no s\u00edtio web de um comerciante que utilize os servi\u00e7os de computa\u00e7\u00e3o
\ndisponibilizados pelo mercado em linha;<\/p>\n
18) \u00abMotor de pesquisa em linha\u00bb, um servi\u00e7o digital que permite aos utilizadores consultarem, em princ\u00edpio, todos os s\u00edtios web, ou s\u00edtios web numa determinada l\u00edngua, com base numa pesquisa sobre qualquer assunto, sob a forma de uma palavra-chave, de uma frase ou de outros dados, e que responde fornecendo liga\u00e7\u00f5es onde podem ser encontradas informa\u00e7\u00f5es relacionadas com o conte\u00fado solicitado;<\/p>\n
19) \u00abServi\u00e7o de computa\u00e7\u00e3o em nuvem\u00bb, um servi\u00e7o digital que permite o acesso a um conjunto modul\u00e1vel e adapt\u00e1vel de recursos computacionais partilh\u00e1veis.<\/p>\n
Artigo 5.o<\/p>\n
Identifica\u00e7\u00e3o dos operadores de servi\u00e7os essenciais<\/p>\n
1. Os Estados-Membros identificam, at\u00e9 9 de novembro de 2018, os operadores de servi\u00e7os essenciais de cada setor e subsetor referidos no anexo II, estabelecidos no seu territ\u00f3rio.<\/p>\n
2. Os crit\u00e9rios para a identifica\u00e7\u00e3o dos operadores de servi\u00e7os essenciais referidos no artigo 4.o, ponto 4, s\u00e3o os seguintes:<\/p>\n
a) Uma entidade presta um servi\u00e7o essencial para a manuten\u00e7\u00e3o de atividades societais e\/ou econ\u00f3micas cruciais;<\/p>\n
b) A presta\u00e7\u00e3o desse servi\u00e7o depende de redes e sistemas de informa\u00e7\u00e3o; e<\/p>\n
c) Um incidente pode ter efeitos perturbadores importantes na presta\u00e7\u00e3o desse servi\u00e7o.<\/p>\n
3. Para efeitos do n.o 1, cada Estado-Membro estabelece uma lista dos servi\u00e7os a que se refere o n.o 2, al\u00ednea a).<\/p>\n
4. Para efeitos do n.o 1, caso uma entidade preste um servi\u00e7o referido no n.o 2, al\u00ednea a), em dois ou mais Estados-Membros, estes consultam-se mutuamente. A consulta tem lugar antes de ser tomada uma decis\u00e3o sobre a identifica\u00e7\u00e3o.<\/p>\n
5. Os Estados-Membros procedem regularmente, e pelo menos de dois em dois anos ap\u00f3s 9 de maio de 2018, a uma revis\u00e3o e, se for caso disso, a uma atualiza\u00e7\u00e3o da lista dos operadores de servi\u00e7os essenciais identificados.<\/p>\n
6. Compete ao grupo de coopera\u00e7\u00e3o, de acordo com as atribui\u00e7\u00f5es a que se refere o artigo 11.o, apoiar os Estados-Membros na ado\u00e7\u00e3o de uma abordagem coerente no processo de identifica\u00e7\u00e3o dos operadores de servi\u00e7os essenciais.<\/p>\n
7. Para efeitos da avalia\u00e7\u00e3o a que se refere o artigo 23.o, os Estados-Membros comunicam \u00e0 Comiss\u00e3o, at\u00e9 9 de novembro de 2018 e, posteriormente, de dois em dois anos, as informa\u00e7\u00f5es necess\u00e1rias para que esta possa avaliar a aplica\u00e7\u00e3o da presente diretiva, em particular a coer\u00eancia das abordagens dos Estados-Membros relativamente \u00e0 identifica\u00e7\u00e3o dos operadores de servi\u00e7os essenciais. Essas informa\u00e7\u00f5es incluem, pelo menos, o seguinte:<\/p>\n
a) As medidas nacionais que permitem identificar os operadores de servi\u00e7os essenciais;<\/p>\n
b) A lista dos servi\u00e7os a que se refere o n.o 3;<\/p>\n
c) O n\u00famero de operadores de servi\u00e7os essenciais identificados por cada setor referido no anexo II e uma indica\u00e7\u00e3o da sua import\u00e2ncia dentro do seu setor;
\nd) Os limiares, caso existam, para determinar o n\u00edvel de oferta relevante em fun\u00e7\u00e3o do n\u00famero de utilizadores que dependem desse servi\u00e7o, tal como referido no artigo 6.o, n.o 1, al\u00ednea a), ou da import\u00e2ncia desse operador de servi\u00e7os essenciais em particular, tal como referido no artigo 6.o, n.o 1, al\u00ednea f).<\/p>\n
A fim de contribuir para a disponibiliza\u00e7\u00e3o de informa\u00e7\u00f5es compar\u00e1veis, a Comiss\u00e3o pode adotar, tendo na melhor conta o parecer da ENISA, orienta\u00e7\u00f5es t\u00e9cnicas adequadas sobre os par\u00e2metros para as informa\u00e7\u00f5es referidas no presente n\u00famero.<\/p>\n
Artigo 6.o<\/p>\n
Efeito perturbador importante<\/p>\n
1. Ao determinar a import\u00e2ncia de um efeito perturbador referido no artigo 5.o, n.o 2, al\u00ednea c), os Estados-Membros t\u00eam em conta, pelo menos, os seguintes fatores transetoriais:<\/p>\n
a) O n\u00famero de utilizadores que dependem dos servi\u00e7os prestados pela entidade em causa;
\nb) A depend\u00eancia de outros setores referidos no anexo II em rela\u00e7\u00e3o ao servi\u00e7o prestado por essa entidade;
\nc) O poss\u00edvel impacto dos incidentes, em termos de intensidade e dura\u00e7\u00e3o, sobre as atividades econ\u00f3micas e societais ou a seguran\u00e7a p\u00fablica;
\nd) A quota de mercado dessa entidade;
\ne) A distribui\u00e7\u00e3o geogr\u00e1fica, no que se refere \u00e0 zona que pode ser afetada por um incidente;
\nf) A import\u00e2ncia da entidade para a manuten\u00e7\u00e3o de um n\u00edvel suficiente do servi\u00e7o, tendo em conta a disponibilidade de meios alternativos para a presta\u00e7\u00e3o desse servi\u00e7o.<\/p>\n
2. A fim de determinar se um incidente pode ter um efeito perturbador importante, os Estados-Membros t\u00eam igualmente em conta, se adequado, fatores setoriais espec\u00edficos.<\/p>\n
CAP\u00cdTULO II<\/p>\n
QUADROS NACIONAIS PARA A SEGURAN\u00c7A DAS REDES E DOS SISTEMAS DE INFORMA\u00c7\u00c3O<\/p>\n
Artigo 7.o
\nEstrat\u00e9gia nacional de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o<\/p>\n
1. Cada Estado-Membro adota uma estrat\u00e9gia nacional de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que defina os objetivos estrat\u00e9gicos e as medidas pol\u00edticas e regulamentares adequadas para alcan\u00e7ar e manter um elevado n\u00edvel de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o e que abrange pelo menos os setores referidos no anexo II e os servi\u00e7os referidos no anexo III. A estrat\u00e9gia nacional de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o contempla, em especial, os seguintes aspetos:<\/p>\n
a) Os objetivos e as prioridades da estrat\u00e9gia nacional de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o;<\/p>\n
b) Um quadro de governa\u00e7\u00e3o para alcan\u00e7ar os objetivos e as prioridades da estrat\u00e9gia nacional de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o, incluindo as fun\u00e7\u00f5es e responsabilidades dos organismos governamentais e dos outros intervenientes relevantes;<\/p>\n
c) A identifica\u00e7\u00e3o das medidas de prepara\u00e7\u00e3o, de resposta e de recupera\u00e7\u00e3o, incluindo a coopera\u00e7\u00e3o entre os setores p\u00fablico e privado;<\/p>\n
d) Uma indica\u00e7\u00e3o dos programas de ensino, de sensibiliza\u00e7\u00e3o e de forma\u00e7\u00e3o relacionados com a estrat\u00e9gia nacional de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o;<\/p>\n
e) Uma indica\u00e7\u00e3o dos planos de investiga\u00e7\u00e3o e desenvolvimento relacionados com a estrat\u00e9gia nacional de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o;<\/p>\n
f) Um plano de avalia\u00e7\u00e3o dos riscos para identificar riscos;<\/p>\n
g) Uma lista dos v\u00e1rios intervenientes envolvidos na execu\u00e7\u00e3o da estrat\u00e9gia nacional de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o.<\/p>\n
2. Os Estados-Membros podem solicitar a assist\u00eancia da ENISA para a elabora\u00e7\u00e3o das estrat\u00e9gias nacionais de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o.<\/p>\n
3. Os Estados-Membros comunicam as suas estrat\u00e9gias nacionais de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o \u00e0 Comiss\u00e3o no prazo de tr\u00eas meses a contar da sua ado\u00e7\u00e3o. Ao faz\u00ea-lo, os Estados-Membros podem excluir elementos da estrat\u00e9gia relacionados com a seguran\u00e7a nacional.<\/p>\n
Artigo 8.o<\/p>\n
Autoridades nacionais competentes e pontos de contacto \u00fanicos<\/p>\n
1. Cada Estado-Membro designa uma ou mais autoridades nacionais competentes em mat\u00e9ria de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o (\u00abautoridade competente\u00bb), que abranjam pelo menos os setores referidos no anexo II e os servi\u00e7os referidos no anexo III. Os Estados-Membros podem atribuir esse papel a uma ou v\u00e1rias autoridades existentes.<\/p>\n
2. As autoridades competentes controlam a aplica\u00e7\u00e3o da presente diretiva a n\u00edvel nacional.<\/p>\n
3. Cada Estado-Membro designa um ponto de contacto \u00fanico nacional para a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o (\u00abponto de contacto \u00fanico\u00bb). Os Estados-Membros podem atribuir esse papel a uma autoridade existente.
\nCaso um Estado-Membro designe apenas uma autoridade competente, esta \u00e9 tamb\u00e9m o ponto de contacto \u00fanico.<\/p>\n
4. O ponto de contacto \u00fanico exerce uma fun\u00e7\u00e3o de liga\u00e7\u00e3o para assegurar a coopera\u00e7\u00e3o transfronteiri\u00e7a das autoridades dos Estados-Membros com as autoridades competentes de outros Estados-Membros, com o grupo de coopera\u00e7\u00e3o a que se refere o artigo 11.o e com a rede de CSIRT a que se refere o artigo 12.o.<\/p>\n
5. Os Estados-Membros asseguram que as autoridades competentes e os pontos de contacto \u00fanicos disponham de recursos adequados para a executar eficaz e eficientemente as suas atribui\u00e7\u00f5es, realizando assim os objetivos da presente diretiva. Os Estados-Membros garantem a coopera\u00e7\u00e3o eficaz, eficiente e segura dos representantes designados no grupo de coopera\u00e7\u00e3o.<\/p>\n
6. Sempre que adequado, e de acordo com o direito nacional, as autoridades competentes e o ponto de contacto \u00fanico consultam as autoridades nacionais relevantes respons\u00e1veis pela aplica\u00e7\u00e3o da lei e pela prote\u00e7\u00e3o de dados, e cooperam com elas.<\/p>\n
7. Cada Estado-Membro notifica sem demora a Comiss\u00e3o da designa\u00e7\u00e3o da autoridade competente e do ponto de contacto \u00fanico, das suas atribui\u00e7\u00f5es e de quaisquer altera\u00e7\u00f5es posteriores das mesmas. Cada Estado-Membro torna p\u00fablica a sua designa\u00e7\u00e3o da autoridade competente e do ponto de contacto \u00fanico. A Comiss\u00e3o publica a lista dos pontos de contacto \u00fanicos designados.<\/p>\n
Artigo 9.o<\/p>\n
Equipas de resposta a incidentes de seguran\u00e7a inform\u00e1tica (CSIRT)<\/p>\n
1. Cada Estado-Membro designa uma ou mais CSIRT, que cumpram as obriga\u00e7\u00f5es estabelecidas no anexo I, ponto1, e que abranjam pelo menos os setores referidos no anexo II e os servi\u00e7os referidos no anexo III, respons\u00e1veis pelo tratamento de riscos e incidentes de acordo com um processo bem definido. As CSIRT podem ser criadas no \u00e2mbito de autoridades competentes.<\/p>\n
2. Os Estados-Membros asseguram que as CSIRT disponham dos recursos adequados para executar eficazmente as suas atribui\u00e7\u00f5es, tal como definidas no anexo I, ponto 2.<\/p>\n
Os Estados-Membros garantem a coopera\u00e7\u00e3o eficaz, eficiente e segura das suas CSIRT no \u00e2mbito da rede de CSIRT a que se refere o artigo 12.o.<\/p>\n
3. Os Estados-Membros asseguram que as suas CSIRT tenham acesso a infraestruturas de comunica\u00e7\u00e3o e informa\u00e7\u00e3o adequadas, seguras e resilientes a n\u00edvel nacional.<\/p>\n
4. Os Estados-Membros informam a Comiss\u00e3o sobre o mandato e sobre os principais elementos relativos ao processo de tratamento de incidentes das suas CSIRT.<\/p>\n
5. Os Estados-Membros podem solicitar a assist\u00eancia da ENISA para desenvolver as suas CSIRT<\/p>\n
<\/p>\n
Artigo 10.o<\/p>\n
Coopera\u00e7\u00e3o a n\u00edvel nacional<\/p>\n
1. Se forem entidades distintas, a autoridade competente, o ponto de contacto \u00fanico e a CSIRT do mesmo Estado-Membro cooperam no que diz respeito ao cumprimento das obriga\u00e7\u00f5es previstas na presente diretiva.<\/p>\n
2. Os Estados-Membros asseguram que as autoridades competentes ou as CSIRT recebam as notifica\u00e7\u00f5es de incidentes apresentadas nos termos da presente diretiva. Caso um Estado-Membro decida que as CSIRT n\u00e3o devem receber notifica\u00e7\u00f5es, as CSIRT beneficiam de acesso, na medida do necess\u00e1rio para a execu\u00e7\u00e3o das suas atribui\u00e7\u00f5es, a dados sobre os incidentes notificados por operadores de servi\u00e7os essenciais, nos termos do artigo 14.o, n.os 3 e 5, ou por prestadores de servi\u00e7os digitais, nos termos do artigo 16.o, n.os 3 e 6.<\/p>\n
3. Os Estados-Membros asseguram que as autoridades competentes ou as CSIRT informem os pontos de contacto \u00fanicos sobre as notifica\u00e7\u00f5es de incidentes apresentadas nos termos da presente diretiva.<\/p>\n
At\u00e9 9 de agosto de 2018, e, posteriormente, uma vez por ano, o ponto de contacto \u00fanico apresenta um relat\u00f3rio de s\u00edntese ao grupo de coopera\u00e7\u00e3o sobre as notifica\u00e7\u00f5es recebidas, incluindo o n\u00famero de notifica\u00e7\u00f5es, a natureza dos incidentes notificados e as medidas tomadas nos termos do artigo 14.o, n.os 3 e 5, e do artigo 16.o, n.os 3 e 6.<\/p>\n
<\/p>\n
CAP\u00cdTULO III<\/p>\n
COOPERA\u00c7\u00c3O<\/p>\n
Artigo 11.o<\/p>\n
Grupo de coopera\u00e7\u00e3o<\/p>\n
1. \u00c9 criado um grupo de coopera\u00e7\u00e3o a fim de apoiar e facilitar a coopera\u00e7\u00e3o estrat\u00e9gica e o interc\u00e2mbio de informa\u00e7\u00f5es entre os Estados-Membros, de desenvolver a confian\u00e7a e de garantir um elevado n\u00edvel comum de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o na Uni\u00e3o.
\nO grupo de coopera\u00e7\u00e3o executa as suas atribui\u00e7\u00f5es com base nos programas de trabalho bienais referidos no n.o 3, segundo par\u00e1grafo.<\/p>\n
2. O grupo de coopera\u00e7\u00e3o \u00e9 composto por representantes dos Estados-Membros, da Comiss\u00e3o e da ENISA.
\nSe for caso disso, o grupo de coopera\u00e7\u00e3o pode convidar representantes das partes interessadas relevantes para participar nos seus trabalhos.
\nO secretariado \u00e9 assegurado pela Comiss\u00e3o.<\/p>\n
3. O grupo de coopera\u00e7\u00e3o tem as seguintes atribui\u00e7\u00f5es:<\/p>\n
a) Fornecer orienta\u00e7\u00f5es estrat\u00e9gicas para as atividades da rede de CSIRT criada nos termos do artigo 12.o;<\/p>\n
b) Proceder ao interc\u00e2mbio de boas pr\u00e1ticas sobre o interc\u00e2mbio de informa\u00e7\u00f5es relativas \u00e0 notifica\u00e7\u00e3o de incidentes referida no artigo 14.o, n.os 3 e 5, e no artigo 16.o, n.os 3 e 6;<\/p>\n
c) Proceder ao interc\u00e2mbio de boas pr\u00e1ticas entre os Estados-Membros e, em colabora\u00e7\u00e3o com a ENISA, assistir os Estados-Membros no desenvolvimento de capacidades para garantir a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o;<\/p>\n
d) Discutir as capacidades e o grau de prepara\u00e7\u00e3o dos Estados-Membros e, numa base volunt\u00e1ria, avaliar as estrat\u00e9gias nacionais de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o e a efic\u00e1cia das CSIRT, e identificar as boas pr\u00e1ticas;<\/p>\n
e) Proceder ao interc\u00e2mbio de informa\u00e7\u00f5es e de boas pr\u00e1ticas em mat\u00e9ria de sensibiliza\u00e7\u00e3o e forma\u00e7\u00e3o;<\/p>\n
f) Proceder ao interc\u00e2mbio de informa\u00e7\u00f5es e de boas pr\u00e1ticas sobre investiga\u00e7\u00e3o e desenvolvimento em mat\u00e9ria de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o;<\/p>\n
g) Se for caso disso, proceder ao interc\u00e2mbio de experi\u00eancias em mat\u00e9ria de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o com as institui\u00e7\u00f5es, os \u00f3rg\u00e3os, os organismos e as ag\u00eancias relevantes da Uni\u00e3o;<\/p>\n
h) Discutir as normas e as especifica\u00e7\u00f5es referidas no artigo 19.o com os representantes das organiza\u00e7\u00f5es europeias de normaliza\u00e7\u00e3o relevantes;<\/p>\n
i) Recolher informa\u00e7\u00f5es sobre as boas pr\u00e1ticas respeitantes a riscos e incidentes;<\/p>\n
j) Analisar anualmente os relat\u00f3rios de s\u00edntese a que se refere o artigo 10.o, n.o 3, segundo par\u00e1grafo;<\/p>\n
k) Discutir o trabalho realizado no que diz respeito a exerc\u00edcios de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o e a programas de educa\u00e7\u00e3o e de forma\u00e7\u00e3o, incluindo o trabalho realizado pela ENISA;<\/p>\n
l) Com a assist\u00eancia da ENISA, proceder ao interc\u00e2mbio de boas pr\u00e1ticas no que diz respeito \u00e0 identifica\u00e7\u00e3o dos operadores de servi\u00e7os essenciais pelos Estados-Membros, nomeadamente quanto a depend\u00eancias transfronteiri\u00e7as, referentes a riscos e incidentes;<\/p>\n
m) Discutir as formas de comunica\u00e7\u00e3o das notifica\u00e7\u00f5es de incidentes referidas nos artigos 14.o e 16.o.<\/p>\n
At\u00e9 9 de fevereiro de 2018, e, posteriormente, de dois em dois anos, o grupo de coopera\u00e7\u00e3o define um programa de trabalho relativo \u00e0s a\u00e7\u00f5es a empreender para cumprir os seus objetivos e as suas atribui\u00e7\u00f5es, que deve ser coerente com os objetivos da presente diretiva.<\/p>\n
4. Para efeitos da avalia\u00e7\u00e3o a que se refere o artigo 23.o, o grupo de coopera\u00e7\u00e3o elabora, at\u00e9 9 de agosto de 2018, e, posteriormente, de 18 em 18 meses, um relat\u00f3rio de avalia\u00e7\u00e3o da experi\u00eancia adquirida com a coopera\u00e7\u00e3o estrat\u00e9gica realizada ao abrigo do presente artigo.<\/p>\n
5. A Comiss\u00e3o adota atos de execu\u00e7\u00e3o que estabele\u00e7am as disposi\u00e7\u00f5es processuais necess\u00e1rias para o funcionamento do grupo de coopera\u00e7\u00e3o. Os referidos atos de execu\u00e7\u00e3o s\u00e3o adotados pelo procedimento de exame a que se refere o artigo 22.o, n.o 2.
\nPara efeitos de aplica\u00e7\u00e3o do primeiro par\u00e1grafo, a Comiss\u00e3o apresenta o primeiro projeto de ato de execu\u00e7\u00e3o ao Comit\u00e9 a que se refere o artigo 22.o, n.o 1, at\u00e9 9 de fevereiro de 2017.<\/p>\n
Artigo 12.o<\/p>\n
Rede de CSIRT<\/p>\n
1. \u00c9 criada uma rede de CSIRT nacionais a fim de contribuir para o desenvolvimento da confian\u00e7a entre os Estados-Membros e de promover uma coopera\u00e7\u00e3o operacional c\u00e9lere e eficaz.<\/p>\n
2. A rede de CSIRT \u00e9 composta por representantes das CSIRT dos Estados-Membros e da CERT-UE. A Comiss\u00e3o participa na rede de CSIRT na qualidade de observadora. A ENISA assegura os servi\u00e7os de secretariado e apoia ativamente a coopera\u00e7\u00e3o entre as CSIRT.<\/p>\n
3. A rede de CSIRT tem as seguintes atribui\u00e7\u00f5es:<\/p>\n
a) Proceder ao interc\u00e2mbio de informa\u00e7\u00f5es sobre os servi\u00e7os, as opera\u00e7\u00f5es e a capacidade de coopera\u00e7\u00e3o das CSIRT;<\/p>\n
b) A pedido de um representante de uma CSIRT de um Estado-Membro potencialmente afetado por um incidente, proceder ao interc\u00e2mbio e \u00e0 discuss\u00e3o de informa\u00e7\u00f5es n\u00e3o comercialmente sens\u00edveis relacionadas com esse incidente e com riscos conexos; contudo, uma CSIRT de um Estado-Membro pode recusar-se a contribuir para essa discuss\u00e3o se existir o risco de a investiga\u00e7\u00e3o do incidente ser prejudicada;<\/p>\n
c) Proceder ao interc\u00e2mbio e facultar informa\u00e7\u00f5es n\u00e3o confidenciais, numa base volunt\u00e1ria, sobre incidentes espec\u00edficos;<\/p>\n
d) A pedido de um representante de uma CSIRT de um Estado-Membro, discutir e, se poss\u00edvel, definir uma resposta coordenada a um incidente identificado no \u00e2mbito da jurisdi\u00e7\u00e3o desse Estado-Membro;<\/p>\n
e) Prestar apoio aos Estados-Membros na rea\u00e7\u00e3o a incidentes transfronteiri\u00e7os com base na sua assist\u00eancia m\u00fatua volunt\u00e1ria;<\/p>\n
f) Discutir, analisar e identificar outras formas de coopera\u00e7\u00e3o operacional, nomeadamente no que se refere:<\/p>\n
i) \u00e0s categorias de riscos e de incidentes,<\/p>\n
ii) aos alertas r\u00e1pidos,<\/p>\n
iii) \u00e0 assist\u00eancia m\u00fatua,<\/p>\n
iv) aos princ\u00edpios e \u00e0s formas de coordena\u00e7\u00e3o na resposta dos Estados-Membros a riscos e incidentes de dimens\u00e3o transfronteiri\u00e7a;<\/p>\n
g) Informar o grupo de coopera\u00e7\u00e3o sobre as suas atividades e sobre as outras formas de coopera\u00e7\u00e3o operacional discutidas nos termos da al\u00ednea f), e solicitar orienta\u00e7\u00f5es a esse respeito;<\/p>\n
h) Discutir os ensinamentos retirados dos exerc\u00edcios de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o, incluindo os exerc\u00edcios organizados pela ENISA;<\/p>\n
i) A pedido de determinada CSIRT, discutir as suas capacidades e o seu grau de prepara\u00e7\u00e3o;<\/p>\n
j) Emitir orienta\u00e7\u00f5es a fim de facilitar a converg\u00eancia das pr\u00e1ticas operacionais no que diz respeito \u00e0 aplica\u00e7\u00e3o do disposto no presente artigo em mat\u00e9ria de coopera\u00e7\u00e3o operacional.<\/p>\n
4. Para efeitos da avalia\u00e7\u00e3o a que se refere o artigo 23.o, a rede de CSIRT elabora, at\u00e9 9 de agosto de 2018, e, posteriormente, de 18 em 18 meses, um relat\u00f3rio de avalia\u00e7\u00e3o da experi\u00eancia adquirida com a coopera\u00e7\u00e3o operacional ao abrigo do presente artigo, incluindo conclus\u00f5es e recomenda\u00e7\u00f5es. Esse relat\u00f3rio \u00e9 apresentado tamb\u00e9m ao grupo de coopera\u00e7\u00e3o.<\/p>\n
5. A rede de CSIRT estabelece o seu regulamento interno.<\/p>\n
Artigo 13.o<\/p>\n
Coopera\u00e7\u00e3o internacional<\/p>\n
A Uni\u00e3o pode celebrar acordos internacionais, nos termos do artigo 218.o do TFUE, com pa\u00edses terceiros ou organiza\u00e7\u00f5es internacionais que permitam e organizem a participa\u00e7\u00e3o destes \u00faltimos em algumas atividades do grupo de coopera\u00e7\u00e3o. Esses acordos t\u00eam em conta a necessidade de garantir uma prote\u00e7\u00e3o de dados adequada.<\/p>\n
CAP\u00cdTULO IV<\/p>\n
SEGURAN\u00c7A DAS REDES E DOS SISTEMAS DE INFORMA\u00c7\u00c3O DOS OPERADORES DE SERVI\u00c7OS ESSENCIAIS<\/p>\n
Artigo 14.o
\nRequisitos de seguran\u00e7a e notifica\u00e7\u00e3o de incidentes<\/p>\n
1. Os Estados-Membros asseguram que os operadores de servi\u00e7os essenciais tomem as medidas t\u00e9cnicas e organizativas adequadas e proporcionadas para gerir os riscos que se colocam \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que utilizam nas suas opera\u00e7\u00f5es. Essas medidas devem garantir um n\u00edvel de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o adequado ao risco em causa, tendo em conta os progressos t\u00e9cnicos mais recentes.<\/p>\n
2. Os Estados-Membros asseguram que os operadores de servi\u00e7os essenciais tomem as medidas adequadas para evitar os incidentes que afetem a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o utilizados para a presta\u00e7\u00e3o dos seus servi\u00e7os essenciais e para reduzir ao m\u00ednimo o seu impacto, a fim de assegurar a continuidade desses servi\u00e7os.<\/p>\n
3. Os Estados-Membros asseguram que os operadores de servi\u00e7os essenciais notifiquem as autoridades competentes ou as CSIRT, sem demora injustificada, dos incidentes com um impacto importante na continuidade dos servi\u00e7os essenciais por si prestados. As notifica\u00e7\u00f5es incluem informa\u00e7\u00f5es que permitam \u00e0s autoridades competentes ou \u00e0s CSIRT determinar o impacto transfronteiri\u00e7o dos incidentes. A notifica\u00e7\u00e3o n\u00e3o acarreta responsabilidades acrescidas para a parte notificante.<\/p>\n
4. A fim de determinar a import\u00e2ncia do impacto de um incidente s\u00e3o tidos em conta, em especial, os seguintes par\u00e2metros:<\/p>\n
a) O n\u00famero de utilizadores afetados pela perturba\u00e7\u00e3o do servi\u00e7o essencial;<\/p>\n
b) A dura\u00e7\u00e3o do incidente;<\/p>\n
c) A distribui\u00e7\u00e3o geogr\u00e1fica, no que se refere \u00e0 zona afetada pelo incidente.<\/p>\n
5. Com base nas informa\u00e7\u00f5es prestadas na notifica\u00e7\u00e3o pelo operador de servi\u00e7os essenciais, a autoridade competente ou a CSIRT informam os outros Estados-Membros afetados caso o incidente tenha um impacto importante na continuidade dos servi\u00e7os essenciais nesses Estados-Membros. Ao faz\u00ea-lo, a autoridade competente ou a CSIRT salvaguardam, de acordo com o direito da Uni\u00e3o ou com a legisla\u00e7\u00e3o nacional conforme com o direito da Uni\u00e3o, a seguran\u00e7a e os interesses comerciais do operador de servi\u00e7os essenciais, bem como a confidencialidade das informa\u00e7\u00f5es prestadas na sua notifica\u00e7\u00e3o.<\/p>\n
Sempre que as circunst\u00e2ncias o permitam, a autoridade competente ou a CSIRT prestam ao operador de servi\u00e7os essenciais notificante as informa\u00e7\u00f5es relevantes relativas ao seguimento da sua notifica\u00e7\u00e3o, nomeadamente informa\u00e7\u00f5es que possam contribuir para o tratamento eficaz do incidente.
\nA pedido da autoridade competente ou da CSIRT, o ponto de contacto \u00fanico transmite as notifica\u00e7\u00f5es referidas no primeiro par\u00e1grafo aos pontos de contacto \u00fanicos dos outros Estados-Membros afetados.<\/p>\n
6. Ap\u00f3s consultar o operador de servi\u00e7os essenciais notificante, a autoridade competente ou a CSIRT podem informar o p\u00fablico sobre incidentes espec\u00edficos, caso seja necess\u00e1rio sensibiliz\u00e1-lo para evitar um incidente ou para tratar um incidente em curso.<\/p>\n
7. As autoridades competentes podem elaborar e adotar, agindo em conjunto no \u00e2mbito do grupo de coopera\u00e7\u00e3o, orienta\u00e7\u00f5es sobre as circunst\u00e2ncias em que os operadores de servi\u00e7os essenciais s\u00e3o obrigados a notificar incidentes, inclusive sobre os par\u00e2metros para determinar a import\u00e2ncia do impacto de um incidente, tal como referido no n.o 4.<\/p>\n
Artigo 15.o<\/p>\n
Aplica\u00e7\u00e3o e execu\u00e7\u00e3o<\/p>\n
1. Os Estados-Membros asseguram que as autoridades competentes disponham dos poderes e dos meios necess\u00e1rios para avaliar o cumprimento das obriga\u00e7\u00f5es que incumbem aos operadores de servi\u00e7os essenciais por for\u00e7a do artigo 14.o, bem como os seus efeitos na seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o.<\/p>\n
2. Os Estados-Membros asseguram que as autoridades competentes disponham de poderes e meios para exigir que os operadores de servi\u00e7os essenciais forne\u00e7am:<\/p>\n
a) As informa\u00e7\u00f5es necess\u00e1rias para avaliar a seguran\u00e7a das suas redes e sistemas de informa\u00e7\u00e3o, incluindo a documenta\u00e7\u00e3o relativa \u00e0s suas pol\u00edticas de seguran\u00e7a;<\/p>\n
b) Provas da aplica\u00e7\u00e3o efetiva das pol\u00edticas de seguran\u00e7a, tais como os resultados de uma auditoria de seguran\u00e7a efetuada pela autoridade competente ou por um auditor qualificado e que, no \u00faltimo caso, facultem os resultados dessa auditoria, incluindo os elementos de prova subjacentes, \u00e0 autoridade competente.<\/p>\n
Ao requererem essas informa\u00e7\u00f5es ou essas provas, as autoridades competentes declaram a finalidade do seu pedido e especificam as informa\u00e7\u00f5es requeridas.<\/p>\n
3. Na sequ\u00eancia da avalia\u00e7\u00e3o das informa\u00e7\u00f5es ou dos resultados das auditorias de seguran\u00e7a a que se refere o n.o 2, as autoridades competentes podem emitir instru\u00e7\u00f5es vinculativas dirigidas aos operadores de servi\u00e7os essenciais, para que estes corrijam as defici\u00eancias detetadas.<\/p>\n
4. Quando tratarem de incidentes que tenham dado origem \u00e0 viola\u00e7\u00e3o de dados pessoais, as autoridades competentes trabalham em estreita colabora\u00e7\u00e3o com as autoridades encarregadas da prote\u00e7\u00e3o de dados.<\/p>\n
<\/p>\n
CAP\u00cdTULO V<\/p>\n
SEGURAN\u00c7A DAS REDES E DOS SISTEMAS DE INFORMA\u00c7\u00c3O DOS PRESTADORES DE SERVI\u00c7OS DIGITAIS<\/p>\n
Artigo 16.o<\/p>\n
Requisitos de seguran\u00e7a e notifica\u00e7\u00e3o de incidentes<\/p>\n
1. Os Estados-Membros asseguram que os prestadores de servi\u00e7os digitais identifiquem e tomem as medidas t\u00e9cnicas e organizativas adequadas e proporcionadas para gerir os riscos que se colocam \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que utilizam no contexto da oferta dos servi\u00e7os referidos no anexo III na Uni\u00e3o. Essas medidas devem garantir um n\u00edvel de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o adequado ao risco em causa, tendo em conta os progressos t\u00e9cnicos mais recentes, e devem ter em conta:<\/p>\n
a) A seguran\u00e7a dos sistemas e das instala\u00e7\u00f5es;<\/p>\n
b) O tratamento dos incidentes;<\/p>\n
c) A gest\u00e3o da continuidade das atividades;<\/p>\n
d) O acompanhamento, a auditoria e os testes realizados;<\/p>\n
e) A conformidade com as normas internacionais<\/p>\n
2. Os Estados-Membros asseguram que os prestadores de servi\u00e7os digitais tomem medidas para evitar os incidentes que afetem a seguran\u00e7a das suas redes e sistemas de informa\u00e7\u00e3o e para reduzir ao m\u00ednimo o seu impacto no que diz respeito aos servi\u00e7os referidos no anexo III oferecidos na Uni\u00e3o, a fim de assegurar a continuidade desses servi\u00e7os.<\/p>\n
3. Os Estados-Membros asseguram que os prestadores de servi\u00e7os digitais notifiquem a autoridade competente ou a CSIRT, sem demora injustificada, dos incidentes com impacto substancial na presta\u00e7\u00e3o dos servi\u00e7os referidos no anexo III por si oferecidos na Uni\u00e3o. As notifica\u00e7\u00f5es incluem informa\u00e7\u00f5es que permitam \u00e0 autoridade competente ou \u00e0 CSIRT determinar a import\u00e2ncia dos impactos transfronteiri\u00e7os. A notifica\u00e7\u00e3o n\u00e3o acarreta responsabilidades acrescidas para a parte notificante.<\/p>\n
4. A fim de determinar se o impacto de um incidente \u00e9 substancial, s\u00e3o tidos em conta, em especial, os seguintes par\u00e2metros:<\/p>\n
a) O n\u00famero de utilizadores afetados pelo incidente, nomeadamente de utilizadores que dependem do servi\u00e7o para prestarem os seus pr\u00f3prios servi\u00e7os;<\/p>\n
b) A dura\u00e7\u00e3o do incidente;<\/p>\n
c) A distribui\u00e7\u00e3o geogr\u00e1fica, no que se refere \u00e0 zona afetada pelo incidente;<\/p>\n
d) O n\u00edvel de gravidade da perturba\u00e7\u00e3o do funcionamento do servi\u00e7o;<\/p>\n
e) A extens\u00e3o do impacto nas atividades econ\u00f3micas e societais.<\/p>\n
A obriga\u00e7\u00e3o de notificar um incidente s\u00f3 se aplica se o prestador de servi\u00e7os digitais tiver acesso \u00e0s informa\u00e7\u00f5es necess\u00e1rias para avaliar o impacto de um incidente em fun\u00e7\u00e3o dos par\u00e2metros a que se refere o primeiro par\u00e1grafo.<\/p>\n
5. Se um operador de servi\u00e7os essenciais depender de um terceiro prestador de servi\u00e7os digitais para a presta\u00e7\u00e3o de um servi\u00e7o essencial para a manuten\u00e7\u00e3o de atividades societais e econ\u00f3micas cruciais, notifica todos os impactos importantes na continuidade dos seus servi\u00e7os, decorrentes dos incidentes que afetem o prestador de servi\u00e7os digitais.<\/p>\n
6. Se adequado, e em particular se os incidentes referidos no n.o 3 disserem respeito a dois ou mais Estados-Membros, as autoridades competentes ou as CSIRT informam os outros Estados-Membros afetados. Ao faz\u00ea-lo, as autoridades competentes, as CSIRT e os pontos de contacto \u00fanicos salvaguardam, de acordo com o direito da Uni\u00e3o ou com a legisla\u00e7\u00e3o nacional conforme com o direito da Uni\u00e3o, a seguran\u00e7a e os interesses comerciais do prestador de servi\u00e7os digitais, bem como a confidencialidade das informa\u00e7\u00f5es prestadas.<\/p>\n
7. Ap\u00f3s consultar o prestador de servi\u00e7os digitais em causa, a autoridade competente ou a CSIRT e, se for caso disso, as autoridades ou as CSIRT de outros Estados-Membros em causa, podem informar o p\u00fablico sobre incidentes espec\u00edficos ou exigir que o prestador de servi\u00e7os digitais o fa\u00e7a, caso seja necess\u00e1rio sensibilizar o p\u00fablico para evitar um incidente ou para tratar um incidente em curso, ou caso a divulga\u00e7\u00e3o do incidente seja de interesse p\u00fablico.<\/p>\n
8. A Comiss\u00e3o adota atos de execu\u00e7\u00e3o que especifiquem mais pormenorizadamente os elementos referidos no n.o 1 e os par\u00e2metros enumerados no n.o 4 do presente artigo. Os referidos atos de execu\u00e7\u00e3o s\u00e3o adotados pelo procedimento de exame a que se refere o artigo 22.o, n.o 2, at\u00e9 9 de agosto de 2017.<\/p>\n
9. A Comiss\u00e3o pode adotar atos de execu\u00e7\u00e3o que definam os formatos e os procedimentos aplic\u00e1veis aos requisitos de notifica\u00e7\u00e3o. Os referidos atos de execu\u00e7\u00e3o s\u00e3o adotados pelo procedimento de exame a que se refere o artigo 22.o, n.o 2.<\/p>\n
10. Sem preju\u00edzo do artigo 1.o, n.o 6, os Estados-Membros n\u00e3o imp\u00f5em aos prestadores de servi\u00e7os digitais requisitos adicionais em mat\u00e9ria de seguran\u00e7a ou de notifica\u00e7\u00e3o.<\/p>\n
11. O cap\u00edtulo V n\u00e3o se aplica \u00e0s microempresas nem \u00e0s pequenas empresas, tal como definidas na Recomenda\u00e7\u00e3o 2003\/361\/CE da Comiss\u00e3o (19).<\/p>\n
Artigo 17.o<\/p>\n
Aplica\u00e7\u00e3o e execu\u00e7\u00e3o<\/p>\n
1. Os Estados-Membros asseguram que as autoridades competentes tomem medidas, se necess\u00e1rio, de supervis\u00e3o ex post, caso lhes tenham sido apresentadas provas de que um prestador de servi\u00e7os digitais n\u00e3o cumpre os requisitos estabelecidos no artigo 16.o. As provas podem ser apresentadas por uma autoridade competente de outro Estado-Membro em que o servi\u00e7o seja prestado.<\/p>\n
2. Para efeitos do n.o 1, as autoridades competentes disp\u00f5em dos poderes e dos meios necess\u00e1rios para exigir que os prestadores de servi\u00e7os digitais:<\/p>\n
a) Lhes forne\u00e7am as informa\u00e7\u00f5es necess\u00e1rias para avaliar a seguran\u00e7a das suas redes e sistemas de informa\u00e7\u00e3o, incluindo a documenta\u00e7\u00e3o relativa \u00e0s suas pol\u00edticas de seguran\u00e7a;<\/p>\n
b) Corrijam qualquer incumprimento dos requisitos previstos no artigo 16.o.<\/p>\n
3. Se um prestador de servi\u00e7os digitais tiver o seu estabelecimento principal ou estiver representado num Estado-Membro, mas as suas redes e os seus sistemas de informa\u00e7\u00e3o estiverem situados noutro ou noutros Estados-Membros, a autoridade competente do Estado-Membro do estabelecimento principal ou do representante e as autoridades competentes dos outros Estados-Membros cooperam entre si e prestam assist\u00eancia m\u00fatua, na medida do necess\u00e1rio. Essa assist\u00eancia e coopera\u00e7\u00e3o podem abranger o interc\u00e2mbio de informa\u00e7\u00f5es entre as autoridades competentes em causa e os pedidos para que as medidas de supervis\u00e3o a que se refere o n.o 2 sejam tomadas.<\/p>\n
Artigo 18.o<\/p>\n
Compet\u00eancia e territorialidade<\/p>\n
1. Para efeitos da presente diretiva, considera-se que um prestador de servi\u00e7os digitais est\u00e1 sob a jurisdi\u00e7\u00e3o do Estado-Membro no qual tem o seu estabelecimento principal. Considera-se que um prestador de servi\u00e7os digitais tem o seu estabelecimento principal num Estado-Membro quando tiver a sua sede nesse Estado-Membro.<\/p>\n
2. Um prestador de servi\u00e7os digitais que n\u00e3o esteja estabelecido na Uni\u00e3o, mas que ofere\u00e7a os servi\u00e7os referidos no anexo III na da Uni\u00e3o, designa um representante na Uni\u00e3o. O representante fica estabelecido num dos Estados-Membros em que os servi\u00e7os s\u00e3o oferecidos. Considera-se que o prestador de servi\u00e7os digitais est\u00e1 sob a jurisdi\u00e7\u00e3o do Estado-Membro em que o representante est\u00e1 estabelecido.<\/p>\n
3. A designa\u00e7\u00e3o de um representante pelo prestador de servi\u00e7os digitais n\u00e3o prejudica as a\u00e7\u00f5es judiciais que possam ser intentadas contra o pr\u00f3prio prestador de servi\u00e7os digitais.<\/p>\n
CAP\u00cdTULO VI<\/p>\n
NORMALIZA\u00c7\u00c3O E NOTIFICA\u00c7\u00c3O VOLUNT\u00c1RIA<\/p>\n
Artigo 19.o<\/p>\n
Normaliza\u00e7\u00e3o<\/p>\n
1. A fim de promover a aplica\u00e7\u00e3o convergente do artigo 14.o, n.os 1 e 2, e do artigo 16.o, n.os 1 e 2, os Estados-Membros incentivam, sem imposi\u00e7\u00e3o ou discrimina\u00e7\u00e3o em favor da utiliza\u00e7\u00e3o de um determinado tipo de tecnologia, a utiliza\u00e7\u00e3o de normas e especifica\u00e7\u00f5es europeias ou internacionalmente aceites plic\u00e1veis \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o.<\/p>\n
2. A ENISA formula recomenda\u00e7\u00f5es e orienta\u00e7\u00f5es, em colabora\u00e7\u00e3o com os Estados-Membros, sobre os dom\u00ednios t\u00e9cnicos que devem ser considerados no \u00e2mbito do n.o 1, bem como sobre as normas j\u00e1 existentes, incluindo as normas nacionais dos Estados-Membros, suscet\u00edveis de permitir abranger esses dom\u00ednios.<\/p>\n
Artigo 20.o<\/p>\n
Notifica\u00e7\u00e3o volunt\u00e1ria<\/p>\n
1. Sem preju\u00edzo do artigo 3.o, as entidades que n\u00e3o tenham sido identificadas como operadores de servi\u00e7os essenciais e que n\u00e3o sejam prestadores de servi\u00e7os digitais podem notificar, a t\u00edtulo volunt\u00e1rio, os incidentes com impacto importante na continuidade dos servi\u00e7os por si prestados.<\/p>\n
2. No tratamento das notifica\u00e7\u00f5es, os Estados-Membros aplicam o procedimento previsto no artigo 14.o. Os Estados-Membros podem dar prioridade ao tratamento das notifica\u00e7\u00f5es obrigat\u00f3rias em rela\u00e7\u00e3o \u00e0s notifica\u00e7\u00f5es volunt\u00e1rias. As notifica\u00e7\u00f5es volunt\u00e1rias s\u00f3 s\u00e3o tratadas se esse tratamento n\u00e3o constituir um \u00f3nus desproporcionado ou indevido para os Estados-Membros em causa.<\/p>\n
A notifica\u00e7\u00e3o volunt\u00e1ria n\u00e3o pode dar origem \u00e0 imposi\u00e7\u00e3o \u00e0 entidade notificadora de obriga\u00e7\u00f5es \u00e0s quais esta n\u00e3o teria sido sujeita se n\u00e3o tivesse procedido a essa notifica\u00e7\u00e3o.<\/p>\n
<\/p>\n
CAP\u00cdTULO VII<\/p>\n
DISPOSI\u00c7\u00d5ES FINAIS<\/p>\n
Artigo 21.o<\/p>\n
San\u00e7\u00f5es<\/p>\n
Os Estados-Membros estabelecem as regras relativas \u00e0s san\u00e7\u00f5es aplic\u00e1veis em caso de viola\u00e7\u00e3o do disposto nas disposi\u00e7\u00f5es nacionais adotadas nos termos da presente diretiva e tomam todas as medidas necess\u00e1rias para garantir a sua aplica\u00e7\u00e3o. As san\u00e7\u00f5es previstas devem ser efetivas, proporcionadas e dissuasivas. Os Estados-Membros notificam a Comiss\u00e3o dessas regras e dessas medidas at\u00e9 9 de maio de 2018, e tamb\u00e9m, imediatamente, de qualquer altera\u00e7\u00e3o ulterior das mesmas.<\/p>\n
Artigo 22.o<\/p>\n
Procedimento de comit\u00e9<\/p>\n
1. A Comiss\u00e3o \u00e9 assistida pelo Comit\u00e9 de Seguran\u00e7a das Redes e dos Sistemas de Informa\u00e7\u00e3o. Este comit\u00e9 \u00e9 um comit\u00e9 na ace\u00e7\u00e3o do Regulamento (UE) n.o 182\/2011.<\/p>\n
2. Caso se remeta para o presente n\u00famero, aplica-se o artigo 5.o do Regulamento (UE) n.o 182\/2011.<\/p>\n
Artigo 23.o<\/p>\n
Avalia\u00e7\u00e3o<\/p>\n
1. A Comiss\u00e3o apresenta um relat\u00f3rio ao Parlamento Europeu e ao Conselho, at\u00e9 9 de maio de 2019, que avalie a coer\u00eancia da abordagem adotada pelos Estados-Membros na identifica\u00e7\u00e3o dos operadores de servi\u00e7os essenciais.<\/p>\n
2. A Comiss\u00e3o avalia periodicamente a aplica\u00e7\u00e3o da presente diretiva e apresenta um relat\u00f3rio ao Parlamento Europeu e ao Conselho. Para esse efeito, e a fim de promover a coopera\u00e7\u00e3o estrat\u00e9gica e operacional, a Comiss\u00e3o tem em conta os relat\u00f3rios do grupo de coopera\u00e7\u00e3o e da rede de CSIRT sobre a experi\u00eancia adquirida a n\u00edvel estrat\u00e9gico e operacional. Na sua avalia\u00e7\u00e3o, a Comiss\u00e3o avalia igualmente as listas constantes dos anexos II e III e a coer\u00eancia na identifica\u00e7\u00e3o dos operadores de servi\u00e7os essenciais e de servi\u00e7os nos setores referidos no anexo II. O primeiro relat\u00f3rio \u00e9 apresentado at\u00e9 9 de maio de 2021.<\/p>\n
Artigo 24.o<\/p>\n
Medidas transit\u00f3rias<\/p>\n
1. Sem preju\u00edzo do artigo 25.o, e a fim de proporcionar aos Estados-Membros possibilidades adicionais para cooperarem de forma adequada durante o per\u00edodo de transposi\u00e7\u00e3o, o grupo de coopera\u00e7\u00e3o e a rede de CSIRT come\u00e7am a desempenhar as suas fun\u00e7\u00f5es, definidas respetivamente nos artigos 11.o, n.o 3, e 12.o, n.o 3, at\u00e9 9 de fevereiro de 2017.<\/p>\n
2. No per\u00edodo compreendido entre 9 de fevereiro de 2017 e 9 de novembro de 2018, e a fim de apoiar os Estados-Membros na ado\u00e7\u00e3o de uma abordagem coerente no processo de identifica\u00e7\u00e3o dos operadores de servi\u00e7os essenciais, o grupo de coopera\u00e7\u00e3o discute o processo, o conte\u00fado e o tipo de medidas nacionais que permitam identificar os operadores de servi\u00e7os essenciais num setor espec\u00edfico, de acordo com os crit\u00e9rios enunciados nos artigos 5.o e 6.o.
\nO grupo de coopera\u00e7\u00e3o discute tamb\u00e9m, a pedido de um Estado-Membro, projetos espec\u00edficos de medidas nacionais desse Estado-Membro que permitam identificar operadores de servi\u00e7os essenciais num setor espec\u00edfico, de acordo com os crit\u00e9rios enunciados nos artigos 5.o e 6.o.<\/p>\n
3. At\u00e9 9 de fevereiro de 2017, e para efeitos do presente artigo, os Estados-Membros asseguram uma representa\u00e7\u00e3o adequada no grupo de coopera\u00e7\u00e3o e na rede de CSIRT<\/p>\n
<\/p>\n
Artigo 25.o<\/p>\n
Transposi\u00e7\u00e3o<\/p>\n
1. Os Estados-Membros adotam e publicam, at\u00e9 9 de maio de 2018, as disposi\u00e7\u00f5es legislativas, regulamentares e administrativas necess\u00e1rias para dar cumprimento \u00e0 presente diretiva. Do facto informam imediatamente a Comiss\u00e3o.<\/p>\n
Os Estados-Membros aplicam essas disposi\u00e7\u00f5es a partir de 10 de maio de 2018.<\/p>\n
Quando os Estados-Membros adotarem essas disposi\u00e7\u00f5es, estas incluem uma remiss\u00e3o para a presente diretiva ou s\u00e3o acompanhadas dessa remiss\u00e3o aquando da sua publica\u00e7\u00e3o oficial. Os Estados-Membros estabelecem o modo como deve ser feita a remiss\u00e3o.<\/p>\n
2. Os Estados-Membros comunicam \u00e0 Comiss\u00e3o o texto das principais disposi\u00e7\u00f5es de direito interno que adotarem no dom\u00ednio regulado pela presente diretiva.<\/p>\n
Artigo 26.o<\/p>\n
Entrada em vigor<\/p>\n
A presente diretiva entra em vigor no vig\u00e9simo dia seguinte ao da sua publica\u00e7\u00e3o no Jornal Oficial da Uni\u00e3o Europeia.<\/p>\n
<\/p>\n
Artigo 27.o<\/p>\n
Destinat\u00e1rios<\/p>\n
Os destinat\u00e1rios da presente diretiva s\u00e3o os Estados-Membros.<\/p>\n
Feito em Estrasburgo, em 6 de julho de 2016.<\/p>\n
Pelo Parlamento Europeu
\nO Presidente
\nM. SCHULZ<\/p>\n
Pelo Conselho
\nO Presidente
\nI. KOR\u010cOK<\/p>\n
<\/p>\n
ANEXO I<\/p>\n
OBRIGA\u00c7\u00d5ES E ATRIBUI\u00c7\u00d5ES DAS EQUIPAS DE RESPOSTA A INCIDENTES DE SEGURAN\u00c7A INFORM\u00c1TICA (CSIRT)<\/p>\n
As obriga\u00e7\u00f5es e as atribui\u00e7\u00f5es das CSIRT devem ser definidas de modo adequado e claro, com base nas pol\u00edticas e\/ou na regulamenta\u00e7\u00e3o nacionais. Devem incluir o seguinte:<\/p>\n
1. Obriga\u00e7\u00f5es das CSIRT<\/p>\n
a) As CSIRT devem garantir uma ampla disponibilidade dos seus servi\u00e7os de comunica\u00e7\u00f5es, evitando as falhas pontuais, e devem dispor de v\u00e1rios meios para contactar outras CSIRT e para ser contactadas a qualquer momento. Al\u00e9m disso, os canais de comunica\u00e7\u00e3o devem ser claramente especificados e bem conhecidos da sua base de clientes e dos parceiros de coopera\u00e7\u00e3o;<\/p>\n
b) As instala\u00e7\u00f5es das CSIRT e os sistemas inform\u00e1ticos de apoio devem estar situados em locais seguros;<\/p>\n
c) Continuidade operacional:<\/p>\n
i) as CSIRT devem estar equipadas com um sistema adequado de gest\u00e3o e encaminhamento dos pedidos, a fim de facilitar as transfer\u00eancias,<\/p>\n
ii) as CSIRT devem dispor de pessoal suficiente capaz de assegurar a sua disponibilidade a qualquer momento,<\/p>\n
iii) as CSIRT devem apoiar-se numa infraestrutura cuja continuidade seja assegurada; para esse efeito, devem dispor de sistemas redundantes e de espa\u00e7o de trabalho alternativos;<\/p>\n
d) As CSIRT devem poder participar, se assim o entenderem, em redes de coopera\u00e7\u00e3o internacional.<\/p>\n
<\/p>\n
2. Atribui\u00e7\u00f5es das CSIRT<\/p>\n
a) As atribui\u00e7\u00f5es das CSIRT devem incluir pelo menos o seguinte:<\/p>\n
i) monitorizar os incidentes a n\u00edvel nacional,<\/p>\n
ii) ativar os mecanismos de alerta r\u00e1pido, enviar mensagens de alerta, fazer comunica\u00e7\u00f5es e divulgar informa\u00e7\u00f5es \u00e0s partes interessadas relevantes sobre riscos e incidentes,<\/p>\n
iii) intervir em caso de incidentes,<\/p>\n
iv) proceder \u00e0 an\u00e1lise din\u00e2mica dos riscos e dos incidentes e ter uma vis\u00e3o geral da situa\u00e7\u00e3o,<\/p>\n
v) participar na rede de CSIRT;<\/p>\n
b) As CSIRT devem estabelecer rela\u00e7\u00f5es de coopera\u00e7\u00e3o com o setor privado;<\/p>\n
c) A fim de facilitar a coopera\u00e7\u00e3o, as CSIRT devem promover a ado\u00e7\u00e3o e a utiliza\u00e7\u00e3o de pr\u00e1ticas comuns ou normalizadas para:<\/p>\n
i) os procedimentos de gest\u00e3o de risco e de incidentes,<\/p>\n
ii) os sistemas de classifica\u00e7\u00e3o de incidentes, de risco e de informa\u00e7\u00f5es.<\/p>\n
<\/p>\n
_______________________________________________<\/p>\n
(1) JO C 271 de 19.9.2013, p. 133.<\/p>\n
(2) Posi\u00e7\u00e3o do Parlamento Europeu de 13 de mar\u00e7o de 2014 (ainda n\u00e3o publicada no Jornal Oficial) e posi\u00e7\u00e3o do Conselho em primeira leitura de 17 de maio de 2016 (ainda n\u00e3o publicada no Jornal Oficial). Posi\u00e7\u00e3o do Parlamento Europeu de 6 de julho de 2016 (ainda n\u00e3o publicada no Jornal Oficial).<\/p>\n
(3) Diretiva 2002\/21\/CE do Parlamento Europeu e do Conselho, de 7 de mar\u00e7o de 2002, relativa a um quadro regulamentar comum para as redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas (Diretiva\u2011Quadro) (JO L 108 de 24.4.2002, p. 33).<\/p>\n
(4) Regulamento (UE) n.o 910\/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo \u00e0 identifica\u00e7\u00e3o eletr\u00f3nica e aos servi\u00e7os de confian\u00e7a para as transa\u00e7\u00f5es eletr\u00f3nicas no mercado interno e que revoga a Diretiva 1999\/93\/CE (JO L 257 de 28.8.2014, p. 73).<\/p>\n
(5) Decis\u00e3o 2013\/488\/EU do Conselho, de 23 de setembro de 2013, relativa \u00e0s regras de seguran\u00e7a aplic\u00e1veis \u00e0 prote\u00e7\u00e3o das informa\u00e7\u00f5es classificadas da UE (JO L 274 de 15.10.2013, p. 1).<\/p>\n
(6) JO C 352 de 7.10.2014, p. 4.<\/p>\n
(7) Regulamento (UE) n.o 526\/2013 do Parlamento Europeu e do Conselho, de 21 de maio de 2013, relativo \u00e0 Ag\u00eancia da Uni\u00e3o Europeia para a Seguran\u00e7a das Redes e da Informa\u00e7\u00e3o (ENISA) e que revoga o Regulamento (CE) n.o 460\/2004 (JO L 165 de 18.6.2013, p. 41).<\/p>\n
(8) Regulamento (UE) n.o 1025\/2012 do Parlamento Europeu e do Conselho, de 25 de outubro de 2012, relativo \u00e0 normaliza\u00e7\u00e3o europeia, que altera as Diretivas 89\/686\/CEE e 93\/15\/CEE do Conselho e as Diretivas 94\/9\/CE, 94\/25\/CE, 95\/16\/CE, 97\/23\/CE, 98\/34\/CE, 2004\/22\/CE, 2007\/23\/CE, 2009\/23\/CE e 2009\/105\/CE do Parlamento Europeu e do Conselho e revoga a Decis\u00e3o 87\/95\/CEE do Conselho e a Decis\u00e3o n.o 1673\/2006\/CE do Parlamento Europeu e do Conselho (JO L 316 de 14.11.2012, p. 12).<\/p>\n
(9) Regulamento (UE) n.o 182\/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princ\u00edpios gerais relativos aos mecanismos de controlo pelos Estados\u2011Membros do exerc\u00edcio das compet\u00eancias de execu\u00e7\u00e3o pela Comiss\u00e3o (JO L 55 de 28.2.2011, p. 13).<\/p>\n
(10) Diretiva 95\/46\/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa \u00e0 prote\u00e7\u00e3o das pessoas singulares no que diz respeito ao tratamento de dados pessoais e \u00e0 livre circula\u00e7\u00e3o desses dados (JO L 281 de 23.11.1995, p. 31).<\/p>\n
(11) Regulamento (CE) n.o 45\/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo \u00e0 prote\u00e7\u00e3o das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas institui\u00e7\u00f5es e pelos \u00f3rg\u00e3os comunit\u00e1rios e \u00e0 livre circula\u00e7\u00e3o desses dados (JO L 8 de 12.1.2001, p. 1).<\/p>\n
(12) Regulamento (CE) n.o 1049\/2001 do Parlamento Europeu e do Conselho, de 30 de maio de 2001, relativo ao acesso do p\u00fablico aos documentos do Parlamento Europeu, do Conselho e da Comiss\u00e3o (JO L 145 de 31.5.2001, p. 43).<\/p>\n
(13) JO C 32 de 4.2.2014, p. 19.<\/p>\n
(14) Diretiva 2008\/114\/CE do Conselho, de 8 de dezembro de 2008, relativa \u00e0 identifica\u00e7\u00e3o e designa\u00e7\u00e3o das infraestruturas cr\u00edticas europeias e \u00e0 avalia\u00e7\u00e3o da necessidade de melhorar a sua prote\u00e7\u00e3o (JO L 345 de 23.12.2008, p. 75).<\/p>\n
(15) Diretiva 2011\/93\/UE do Parlamento Europeu e do Conselho, de 13 de dezembro de 2011, relativa \u00e0 luta contra o abuso sexual e a explora\u00e7\u00e3o sexual de crian\u00e7as e a pornografia infantil, e que substitui a Decis\u00e3o\u2011Quadro 2004\/68\/JAI do Conselho (JO L 335 de 17.12.2011, p.1).<\/p>\n
(16) Diretiva 2013\/40\/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013, relativa a ataques contra os sistemas inform\u00e1ticos e que substitui a Decis\u00e3o\u2011Quadro 2005\/222\/JAI do Conselho (JO L 218 de 14.8.2013, p. 8).<\/p>\n
(17) Diretiva (UE) 2015\/1535 do Parlamento Europeu e do Conselho, de 9 de setembro de 2015, relativa a um procedimento de informa\u00e7\u00e3o no dom\u00ednio das regulamenta\u00e7\u00f5es t\u00e9cnicas e das regras relativas aos servi\u00e7os da sociedade da informa\u00e7\u00e3o (JO L 241 de 17.9.2015, p. 1).<\/p>\n
(18) Diretiva 2013\/11\/UE do Parlamento Europeu e do Conselho, de 21 de maio de 2013, sobre a resolu\u00e7\u00e3o alternativa de lit\u00edgios de consumo, que altera o Regulamento (CE) n.o 2006\/2004 e a Diretiva 2009\/22\/CE (Diretiva RAL) (JO L 165 de 18.6.2013, p. 63).<\/p>\n
(19) Recomenda\u00e7\u00e3o 2003\/361\/CE da Comiss\u00e3o, de 6 de maio de 2003, relativa \u00e0 defini\u00e7\u00e3o de micro, pequenas e m\u00e9dias empresas (JO L 124 de 20.5.2003, p. 36).<\/p>\n","protected":false},"excerpt":{"rendered":"
Directiva (UE) 2016\/1148, de 6 de julho – Seguran\u00e7a das Redes e da Informa\u00e7\u00e3o. Relativa a medidas destinadas a garantir um elevado n\u00edvel comum de seguran\u00e7a das redes e da informa\u00e7\u00e3o em toda a Uni\u00e3o. https:\/\/eur-lex.europa.eu\/legal-content\/PT\/TXT\/PDF\/?uri=CELEX:32016L1148&from=PT O PARLAMENTO EUROPEU E O CONSELHO DA UNI\u00c3O EUROPEIA, Tendo em conta o Tratado sobre o Funcionamento da Uni\u00e3o […]<\/p>\n","protected":false},"author":1,"featured_media":56,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[6,3],"tags":[],"_links":{"self":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/187"}],"collection":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/comments?post=187"}],"version-history":[{"count":1,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/187\/revisions"}],"predecessor-version":[{"id":188,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/187\/revisions\/188"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media\/56"}],"wp:attachment":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media?parent=187"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/categories?post=187"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/tags?post=187"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}