{"id":551,"date":"2021-04-05T09:07:32","date_gmt":"2021-04-05T09:07:32","guid":{"rendered":"http:\/\/www.regulacaodociberespaco.com\/?p=551"},"modified":"2021-04-05T09:22:56","modified_gmt":"2021-04-05T09:22:56","slug":"normas-execucao-directiva-ue-2016-1148","status":"publish","type":"post","link":"https:\/\/regulacaodociberespaco.com\/inicio\/regulacao-do-ciberespaco\/normas-execucao-directiva-ue-2016-1148\/","title":{"rendered":"Normas de Execu\u00e7\u00e3o da Directiva (UE) 2016\/1148"},"content":{"rendered":"

Regulamento de Execu\u00e7\u00e3o (UE) 2018\/151, de 30 de janeiro – Normas de Execu\u00e7\u00e3o da Directiva (UE) 2016\/1148.<\/h3>\n

Que estabelece normas de execu\u00e7\u00e3o da Diretiva (UE) 2016\/1148 do Parlamento Europeu e do Conselho no respeitante \u00e0 especifica\u00e7\u00e3o pormenorizada dos elementos a ter em conta pelos prestadores de servi\u00e7os digitais na gest\u00e3o dos riscos que se colocam \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o, bem como \u00e0 especifica\u00e7\u00e3o pormenorizada dos par\u00e2metros para determinar se o impacto de um incidente \u00e9 substancial.<\/h5>\n

https:\/\/eur-lex.europa.eu\/legal-content\/PT\/TXT\/PDF\/?uri=CELEX:32018R0151&from=PT<\/a><\/p>\n

\n
\n
\n
\n
\n
\n
<\/div>\n<\/div>\n<\/div>\n<\/div>\n
\n

A COMISS\u00c3O EUROPEIA,<\/p>\n

Tendo em conta o Tratado sobre o Funcionamento da Uni\u00e3o Europeia,<\/p>\n

Tendo em conta a Diretiva (UE) 2016\/1148 do Parlamento Europeu e do Conselho, de 6\u00a0de julho de 2016, relativa a medidas destinadas a garantir um elevado n\u00edvel comum de seguran\u00e7a das redes e da informa\u00e7\u00e3o em toda a Uni\u00e3o\u00a0(1<\/span>)<\/a>, nomeadamente o artigo\u00a016.o<\/span>, n.o<\/span>\u00a08,<\/p>\n

Considerando o seguinte:<\/p>\n\n\n\n<\/colgroup>\n\n\n
\n

(1)<\/p>\n<\/td>\n

\n

Em conformidade com a Diretiva (UE) 2016\/1148, os prestadores de servi\u00e7os digitais s\u00e3o livres de tomar as medidas t\u00e9cnicas e organizativas que considerem adequadas e proporcionadas para gerir os riscos de seguran\u00e7a que se coloquem \u00e0s suas redes e aos seus sistemas de informa\u00e7\u00e3o, desde que essas medidas garantam um n\u00edvel adequado de seguran\u00e7a e tenham em conta os elementos previstos nessa diretiva.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

(2)<\/p>\n<\/td>\n

\n

Na identifica\u00e7\u00e3o das medidas t\u00e9cnicas e organizativas adequadas e proporcionadas, os prestadores de servi\u00e7os digitais devem abordar a quest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o de modo sistematizado, com base em an\u00e1lises de risco.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

(3)<\/p>\n<\/td>\n

\n

A fim de garantir a seguran\u00e7a dos sistemas e das instala\u00e7\u00f5es, os prestadores de servi\u00e7os digitais devem aplicar procedimentos de avalia\u00e7\u00e3o e de an\u00e1lise, os quais devem incidir na gest\u00e3o sistematizada das redes e dos sistemas de informa\u00e7\u00e3o, na seguran\u00e7a f\u00edsica e ambiental, na seguran\u00e7a dos fornecimentos e no controlo dos acessos.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

(4)<\/p>\n<\/td>\n

\n

Ao realizarem uma an\u00e1lise de riscos no \u00e2mbito da gest\u00e3o sistematizada das redes e dos sistemas de informa\u00e7\u00e3o, os prestadores de servi\u00e7os digitais devem ser incentivados a identificar riscos espec\u00edficos e a quantificar a import\u00e2ncia dos mesmos, por exemplo identificando amea\u00e7as a ativos cr\u00edticos e o modo como estas podem afetar as atividades e determinando a maneira de melhor as atenuar com base nas capacidades atuais e nos recursos necess\u00e1rios.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

(5)<\/p>\n<\/td>\n

\n

As estrat\u00e9gias de recursos humanos podem abranger a gest\u00e3o de compet\u00eancias, incluindo aspetos ligados ao desenvolvimento de compet\u00eancias relacionadas com a seguran\u00e7a e \u00e0 sensibiliza\u00e7\u00e3o.\u00a0Ao decidir sobre um conjunto adequado de estrat\u00e9gias de seguran\u00e7a operacional, os prestadores de servi\u00e7os digitais devem ser incentivados a ter em conta aspetos de gest\u00e3o da mudan\u00e7a, de gest\u00e3o de vulnerabilidades, de formaliza\u00e7\u00e3o de pr\u00e1ticas operacionais e administrativas e de cartografia dos sistemas.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

(6)<\/p>\n<\/td>\n

\n

As estrat\u00e9gias de arquitetura da seguran\u00e7a podem compreender, nomeadamente, a segrega\u00e7\u00e3o de redes e sistemas, bem como medidas espec\u00edficas de seguran\u00e7a para opera\u00e7\u00f5es cr\u00edticas, como opera\u00e7\u00f5es de administra\u00e7\u00e3o.\u00a0A segrega\u00e7\u00e3o de redes e sistemas pode permitir que o prestador de servi\u00e7os digitais distinga elementos como fluxos de dados e recursos inform\u00e1ticos pertencentes a um cliente, grupo de clientes, a ele pr\u00f3prio ou a terceiros.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

(7)<\/p>\n<\/td>\n

\n

As medidas tomadas em termos de seguran\u00e7a f\u00edsica e ambiental devem garantir a prote\u00e7\u00e3o das redes e dos sistemas de informa\u00e7\u00e3o da organiza\u00e7\u00e3o contra danos causados por incidentes como roubo, inc\u00eandio, inunda\u00e7\u00e3o e outros efeitos meteorol\u00f3gicos e cortes de corrente ou de telecomunica\u00e7\u00f5es.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

(8)<\/p>\n<\/td>\n

\n

A seguran\u00e7a de fornecimentos como energia el\u00e9trica, combust\u00edvel ou agentes de arrefecimento pode abranger a seguran\u00e7a da cadeia log\u00edstica, a qual compreende, nomeadamente, a seguran\u00e7a dos terceiros contratantes e subcontratantes e da gest\u00e3o de uns e outros.\u00a0Entende-se por rastreabilidade dos fornecimentos cr\u00edticos a capacidade do prestador de servi\u00e7os digitais de identificar e registar fontes de fornecimentos desse tipo.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

(9)<\/p>\n<\/td>\n

\n

Os utilizadores de servi\u00e7os digitais devem compreender as pessoas singulares ou coletivas que s\u00e3o clientes ou subscritores de mercados em linha ou de servi\u00e7os de computa\u00e7\u00e3o em nuvem, ou que visitam s\u00edtios Web de motores de busca em linha para efetuar pesquisas por palavras-chave.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

(10)<\/p>\n<\/td>\n

\n

No contexto da determina\u00e7\u00e3o da import\u00e2ncia do impacto de um incidente, os casos referidos no presente regulamento devem ser considerados uma lista n\u00e3o-exaustiva de incidentes com impacto substancial. Importa extrair ensinamentos da execu\u00e7\u00e3o do presente regulamento e do trabalho do Grupo de Coopera\u00e7\u00e3o, no tocante \u00e0 recolha de informa\u00e7\u00f5es sobre boas pr\u00e1ticas respeitantes a riscos e incidentes, bem como \u00e0 discuss\u00e3o das formas de comunica\u00e7\u00e3o das notifica\u00e7\u00f5es de incidentes, como referido no artigo\u00a011.o<\/span>, n.o<\/span>\u00a03, al\u00edneas i) e m), da Diretiva (UE) 2016\/1148. Da\u00ed poder\u00e3o resultar orienta\u00e7\u00f5es gerais sobre limiares quantitativos de par\u00e2metros de notifica\u00e7\u00e3o para desencadeamento da obriga\u00e7\u00e3o de notifica\u00e7\u00e3o que incumbe aos prestadores de servi\u00e7os digitais nos termos do artigo\u00a016.o<\/span>, n.o<\/span>\u00a03, da Diretiva (UE) 2016\/1148. Caso se justifique, a Comiss\u00e3o poder\u00e1 tamb\u00e9m ponderar a revis\u00e3o dos limiares atualmente estabelecidos no regulamento.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

(11)<\/p>\n<\/td>\n

\n

Para possibilitar que as autoridades competentes sejam informadas de novos riscos potenciais, os prestadores de servi\u00e7os digitais devem ser incentivados a relatarem voluntariamente todos os incidentes cujas caracter\u00edsticas n\u00e3o eram do seu conhecimento, tais como novas ocorr\u00eancias, novos vetores de ataque ou novos autores de amea\u00e7as, novas vulnerabilidades e novos perigos.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

(12)<\/p>\n<\/td>\n

\n

A aplicabilidade do presente regulamento deve ter in\u00edcio no dia seguinte ao termo do prazo de transposi\u00e7\u00e3o da Diretiva (UE) 2016\/1148.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

(13)<\/p>\n<\/td>\n

\n

As medidas previstas no presente regulamento s\u00e3o conformes com o parecer do Comit\u00e9 de Seguran\u00e7a das Redes e dos Sistemas de Informa\u00e7\u00e3o referido no artigo\u00a022.o<\/span> da Diretiva (UE) 2016\/1148,<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

ADOTOU O PRESENTE REGULAMENTO:<\/p>\n

Artigo 1.o<\/span><\/p>\n

Objeto<\/p>\n

O presente regulamento especifica pormenorizadamente os elementos a ter em conta pelos prestadores de servi\u00e7os digitais na identifica\u00e7\u00e3o e ado\u00e7\u00e3o de medidas destinadas a garantir o n\u00edvel de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que esses prestadores proporcionam no contexto da oferta de servi\u00e7os referidos no anexo III da Diretiva (UE) 2016\/1148 e especifica pormenorizadamente os par\u00e2metros a ter em conta para determinar se o impacto de um incidente na presta\u00e7\u00e3o desses servi\u00e7os \u00e9 substancial.<\/p>\n

Artigo 2.o<\/span><\/p>\n

Elementos de seguran\u00e7a<\/p>\n

1.\u00a0\u00a0\u00a0A seguran\u00e7a dos sistemas e das instala\u00e7\u00f5es referida no artigo\u00a016.o<\/span>, n.o<\/span>\u00a01, al\u00ednea a), da Diretiva (UE) 2016\/1148 \u00e9 a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o e do ambiente f\u00edsico de umas e outros, dela fazendo parte os seguintes elementos:<\/p>\n\n\n\n<\/colgroup>\n\n\n
\n

a)<\/p>\n<\/td>\n

\n

A gest\u00e3o sistematizada das redes e dos sistemas de informa\u00e7\u00e3o, isto \u00e9, a cartografia dos sistemas de informa\u00e7\u00e3o e o estabelecimento de um conjunto de estrat\u00e9gias adequadas de gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o, incluindo an\u00e1lises de risco, recursos humanos, seguran\u00e7a operacional, arquitetura de seguran\u00e7a, seguran\u00e7a dos dados, gest\u00e3o do sistema no ciclo de vida e, se for caso disso, encripta\u00e7\u00e3o e a gest\u00e3o desta;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

b)<\/p>\n<\/td>\n

\n

A seguran\u00e7a f\u00edsica e ambiental, isto \u00e9, a disponibilidade de um conjunto de medidas de prote\u00e7\u00e3o da seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o dos prestadores de servi\u00e7os digitais contra danos, por meio de uma abordagem global dos riscos que cubra todos os perigos, por exemplo cortes do sistema, erros humanos, a\u00e7\u00f5es dolosas e fen\u00f3menos naturais;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

c)<\/p>\n<\/td>\n

\n

A seguran\u00e7a dos fornecimentos, isto \u00e9, o estabelecimento e a manuten\u00e7\u00e3o de estrat\u00e9gias adequadas para garantir a acessibilidade aos fornecimentos cr\u00edticos para a presta\u00e7\u00e3o dos servi\u00e7os e, se for caso disso, a rastreabilidade desses fornecimentos;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

d)<\/p>\n<\/td>\n

\n

O controlo do acesso \u00e0s redes e aos sistemas de informa\u00e7\u00e3o, isto \u00e9, a disponibilidade de um conjunto de medidas destinadas a garantir que o acesso f\u00edsico e l\u00f3gico \u00e0s redes e aos sistemas de informa\u00e7\u00e3o, incluindo a seguran\u00e7a administrativa das redes e desses sistemas, \u00e9 autorizado e restringido com base em requisitos comerciais e de seguran\u00e7a.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

2.\u00a0\u00a0\u00a0As medidas tomadas pelos prestadores de servi\u00e7os digitais relativamente ao tratamento dos incidentes referido no artigo\u00a016.o<\/span>, n.o<\/span>\u00a01, al\u00ednea b), da Diretiva (UE) 2016\/1148 devem compreender:<\/p>\n\n\n\n<\/colgroup>\n\n\n
\n

a)<\/p>\n<\/td>\n

\n

Processos e procedimentos de dete\u00e7\u00e3o mantidos e ensaiados para garantir uma perce\u00e7\u00e3o atempada e adequada de ocorr\u00eancias an\u00f3malas;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

b)<\/p>\n<\/td>\n

\n

Processos e estrat\u00e9gias de comunica\u00e7\u00e3o de incidentes e de identifica\u00e7\u00e3o de fragilidades e vulnerabilidades nos sistemas de informa\u00e7\u00e3o do prestador;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

c)<\/p>\n<\/td>\n

\n

Rea\u00e7\u00f5es conformes com procedimentos estabelecidos e comunica\u00e7\u00e3o dos resultados das medidas tomadas;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

d)<\/p>\n<\/td>\n

\n

Avalia\u00e7\u00e3o da gravidade do incidente, documentando os conhecimentos extra\u00eddos da an\u00e1lise do incidente e das informa\u00e7\u00f5es pertinentes recolhidas que possam servir de provas e de apoio a um processo de aperfei\u00e7oamento cont\u00ednuo.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

3.\u00a0\u00a0\u00a0A gest\u00e3o da continuidade das atividades referida no artigo 16.o<\/span>, n.o<\/span>\u00a01, al\u00ednea\u00a0c), da Diretiva (UE) 2016\/1148 \u00e9 a capacidade de uma organiza\u00e7\u00e3o de, ap\u00f3s um incidente perturbador, manter ou, se for caso disso, restabelecer a presta\u00e7\u00e3o de servi\u00e7os a n\u00edveis aceit\u00e1veis predefinidos.\u00a0Deve incluir:<\/p>\n\n\n\n<\/colgroup>\n\n\n
\n

a)<\/p>\n<\/td>\n

\n

O estabelecimento e a utiliza\u00e7\u00e3o de planos de conting\u00eancia baseados numa an\u00e1lise de impacto nas atividades, destinados a assegurar a continuidade dos servi\u00e7os fornecidos pelo prestador de servi\u00e7os digitais, a avaliar e ensaiar periodicamente, por exemplo por meio de exerc\u00edcios;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

b)<\/p>\n<\/td>\n

\n

Capacidades de recupera\u00e7\u00e3o de desastres, a avaliar e ensaiar periodicamente, por exemplo por meio de exerc\u00edcios.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

4.\u00a0\u00a0\u00a0O acompanhamento, a auditoria e os testes realizados referidos no artigo 16.o<\/span>, n.o<\/span>\u00a01, al\u00ednea d), da Diretiva (UE) 2016\/1148 devem compreender o estabelecimento e a manuten\u00e7\u00e3o de estrat\u00e9gias nos seguintes dom\u00ednios:<\/p>\n\n\n\n<\/colgroup>\n\n\n
\n

a)<\/p>\n<\/td>\n

\n

A realiza\u00e7\u00e3o de uma sequ\u00eancia planeada de observa\u00e7\u00f5es ou medi\u00e7\u00f5es, para avaliar se as redes e os sistemas de informa\u00e7\u00e3o est\u00e3o a funcionar como pretendido;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

b)<\/p>\n<\/td>\n

\n

Inspe\u00e7\u00f5es e verifica\u00e7\u00f5es destinadas a avaliar se uma norma ou um conjunto de orienta\u00e7\u00f5es est\u00e1 a ser seguido, se os registos s\u00e3o exatos e se os objetivos de efici\u00eancia e efic\u00e1cia est\u00e3o a ser atingidos;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

c)<\/p>\n<\/td>\n

\n

Um processo destinado a evidenciar falhas nos mecanismos de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o, que protege os dados e mant\u00e9m a funcionalidade pretendida. Este processo deve incluir os processos t\u00e9cnicos e o pessoal que participam no fluxo operacional.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

5.\u00a0\u00a0\u00a0As normas internacionais referidas no artigo 16.o<\/span>, n.o<\/span>\u00a01, al\u00ednea e), da Diretiva (UE) 2016\/1148 s\u00e3o normas aprovadas por um organismo internacional de normaliza\u00e7\u00e3o, como referido no artigo 2.o<\/span>, n.o<\/span>\u00a01, al\u00ednea a), do Regulamento (UE) n.o<\/span>\u00a01025\/2012 do Parlamento Europeu e do Conselho\u00a0(2<\/span>)<\/a>. Em conformidade com o artigo\u00a019.o<\/span> da Diretiva (UE) 2016\/1148, podem igualmente ser utilizadas normas e especifica\u00e7\u00f5es europeias ou internacionalmente aceites, assim como normas nacionais, aplic\u00e1veis \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o.<\/p>\n

6.\u00a0\u00a0\u00a0Os prestadores de servi\u00e7os digitais devem assegurar que disp\u00f5em de documenta\u00e7\u00e3o adequada que permita \u00e0 autoridade competente verificar a conformidade com os elementos de seguran\u00e7a estabelecidos nos n.os<\/span>\u00a01, 2, 3, 4 e\u00a05.<\/p>\n

Artigo 3.o<\/span><\/p>\n

Par\u00e2metros a ter em conta para determinar se o impacto de um incidente \u00e9 substancial<\/p>\n

1.\u00a0\u00a0\u00a0O prestador de servi\u00e7os digitais deve estar em condi\u00e7\u00f5es de estimar, relativamente ao n\u00famero de utilizadores afetados pelo incidente, nomeadamente de utilizadores que dependem do servi\u00e7o para prestarem os seus pr\u00f3prios servi\u00e7os, referido no artigo 16.o<\/span>, n.o<\/span>\u00a04, al\u00ednea\u00a0a), da Diretiva (UE) 2016\/1148:<\/p>\n\n\n\n<\/colgroup>\n\n\n
\n

a)<\/p>\n<\/td>\n

\n

O n\u00famero de pessoas singulares e de pessoas coletivas com as quais foi celebrado um contrato de presta\u00e7\u00e3o do servi\u00e7o que foram afetadas; ou<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

b)<\/p>\n<\/td>\n

\n

O n\u00famero de utilizadores que utilizaram o servi\u00e7o que foram afetados, com base, designadamente, em dados de tr\u00e1fego anteriores.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

2.\u00a0\u00a0\u00a0A \u00abdura\u00e7\u00e3o do incidente\u00bb referida no artigo 16.o<\/span>, n.o<\/span>\u00a04, al\u00ednea b), \u00e9 o per\u00edodo compreendido entre a perturba\u00e7\u00e3o da correta presta\u00e7\u00e3o do servi\u00e7o, em termos de disponibilidade, autenticidade, integridade e confidencialidade, e o momento do restabelecimento do servi\u00e7o.<\/p>\n

3.\u00a0\u00a0\u00a0Relativamente \u00e0 distribui\u00e7\u00e3o geogr\u00e1fica, no que se refere \u00e0 zona afetada pelo incidente, referida no artigo\u00a016.o<\/span>, n.o<\/span>\u00a04, al\u00ednea\u00a0c), da Diretiva (UE) 2016\/1148, o prestador de servi\u00e7os digitais deve estar em condi\u00e7\u00f5es de identificar se o incidente afeta a presta\u00e7\u00e3o dos seus servi\u00e7os em Estados-Membros espec\u00edficos.<\/p>\n

4.\u00a0\u00a0\u00a0Deve medir-se o n\u00edvel de gravidade da perturba\u00e7\u00e3o do funcionamento do servi\u00e7o referido no artigo 16.o<\/span>, n.o<\/span>\u00a04, al\u00ednea d), da Diretiva (UE) 2016\/1148 relativamente a uma ou mais das seguintes caracter\u00edsticas afetadas pelo incidente: disponibilidade, autenticidade, integridade, confidencialidade dos dados ou dos servi\u00e7os conexos.<\/p>\n

5.\u00a0\u00a0\u00a0O prestador de servi\u00e7os digitais deve estar em condi\u00e7\u00f5es de concluir, relativamente \u00e0 extens\u00e3o do impacto nas atividades econ\u00f3micas e societais referida no artigo\u00a016.o<\/span>, n.o<\/span>\u00a04, al\u00ednea e), da Diretiva (UE) 2016\/1148, com base em indica\u00e7\u00f5es como a natureza das suas rela\u00e7\u00f5es contratuais com o cliente ou, se for caso disso, o n\u00famero potencial de utilizadores afetados, se o incidente causou perdas materiais ou n\u00e3o-materiais significativas aos utilizadores, nomeadamente em termos de sa\u00fade, prote\u00e7\u00e3o ou danos patrimoniais.<\/p>\n

6.\u00a0\u00a0\u00a0Para efeitos dos n.os<\/span>\u00a01, 2, 3, 4 e 5, n\u00e3o pode ser exigido aos prestadores de servi\u00e7os digitais que recolham informa\u00e7\u00f5es adicionais \u00e0s quais n\u00e3o tenham acesso.<\/p>\n

Artigo 4.o<\/span><\/p>\n

Incidentes com impacto substancial<\/p>\n

1.\u00a0\u00a0\u00a0Considera-se que um incidente tem impacto substancial caso se verifique alguma das seguintes situa\u00e7\u00f5es:<\/p>\n\n\n\n<\/colgroup>\n\n\n
\n

a)<\/p>\n<\/td>\n

\n

O servi\u00e7o prestado pelo prestador de servi\u00e7os digitais esteve indispon\u00edvel durante mais de 5\u00a0000\u00a0000 horas-utilizador, designando o termo \u00abhora-utilizador\u00bb um utilizador afetado na Uni\u00e3o durante 60 minutos;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

b)<\/p>\n<\/td>\n

\n

Resultou do incidente uma perda de integridade, autenticidade ou confidencialidade dos dados armazenados, transmitidos ou tratados ou dos servi\u00e7os conexos oferecidos ou acess\u00edveis atrav\u00e9s de redes e de sistemas de informa\u00e7\u00e3o do prestador de servi\u00e7os digitais, tendo sido afetados mais de 100\u00a0000 utilizadores da Uni\u00e3o;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

c)<\/p>\n<\/td>\n

\n

O incidente gerou um risco de seguran\u00e7a p\u00fablica, prote\u00e7\u00e3o p\u00fablica ou morte;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n<\/colgroup>\n\n\n
\n

d)<\/p>\n<\/td>\n

\n

O incidente provocou danos materiais superiores a 1\u00a0000\u00a0000 EUR a, pelo menos, um utilizador na Uni\u00e3o.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

2.\u00a0\u00a0\u00a0A Comiss\u00e3o pode rever os limiares estabelecidos no n.o<\/span>\u00a01, com base nas boas pr\u00e1ticas recolhidas pelo Grupo de Coopera\u00e7\u00e3o no exerc\u00edcio das tarefas deste nos termos do artigo\u00a011.o<\/span>, n.o<\/span>\u00a03, da Diretiva (UE) 2016\/1148 e nas discuss\u00f5es previstas na al\u00ednea m) desse n\u00famero.<\/p>\n

Artigo 5.o<\/span><\/p>\n

Entrada em vigor<\/p>\n

1.\u00a0\u00a0\u00a0O presente regulamento entra em vigor no vig\u00e9simo dia seguinte ao da sua publica\u00e7\u00e3o no Jornal Oficial da Uni\u00e3o Europeia<\/span>.<\/p>\n

2.\u00a0\u00a0\u00a0A aplicabilidade do presente regulamento inicia-se a 10\u00a0de maio de 2018.<\/p>\n

\n

O presente regulamento \u00e9 obrigat\u00f3rio em todos os seus elementos e diretamente aplic\u00e1vel em todos os Estados-Membros.<\/p>\n

Feito em Bruxelas, em 30\u00a0de janeiro de 2018.<\/p>\n

\n

Pela Comiss\u00e3o<\/span><\/p>\n

O Presidente<\/span><\/p>\n

Jean-Claude JUNCKER<\/p>\n<\/div>\n<\/div>\n

\n

(1<\/span>)<\/a>\u00a0\u00a0JO\u00a0L\u00a0194 de 19.7.2016, p.\u00a01<\/a>.<\/p>\n

(2<\/span>)<\/a>\u00a0\u00a0Regulamento (UE) n.o<\/span>\u00a01025\/2012 do Parlamento Europeu e do Conselho, de 25\u00a0de outubro de 2012, relativo \u00e0 normaliza\u00e7\u00e3o europeia, que altera as Diretivas 89\/686\/CEE e 93\/15\/CEE do Conselho e as Diretivas 94\/9\/CE, 94\/25\/CE, 95\/16\/CE, 97\/23\/CE, 98\/34\/CE, 2004\/22\/CE, 2007\/23\/CE, 2009\/23\/CE e 2009\/105\/CE do Parlamento Europeu e do Conselho e revoga a Decis\u00e3o 87\/95\/CEE do Conselho e a Decis\u00e3o n.o<\/span>\u00a01673\/2006\/CE do Parlamento Europeu e do Conselho (JO\u00a0L\u00a0316 de 14.11.2012, p.\u00a012<\/a>).<\/p>\n

\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Regulamento de Execu\u00e7\u00e3o (UE) 2018\/151, de 30 de janeiro – Normas de Execu\u00e7\u00e3o da Directiva (UE) 2016\/1148. Que estabelece normas de execu\u00e7\u00e3o da Diretiva (UE) 2016\/1148 do Parlamento Europeu e do Conselho no respeitante \u00e0 especifica\u00e7\u00e3o pormenorizada dos elementos a ter em conta pelos prestadores de servi\u00e7os digitais na gest\u00e3o dos riscos que se colocam […]<\/p>\n","protected":false},"author":1,"featured_media":56,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[7],"tags":[],"_links":{"self":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/551"}],"collection":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/comments?post=551"}],"version-history":[{"count":1,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/551\/revisions"}],"predecessor-version":[{"id":552,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/551\/revisions\/552"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media\/56"}],"wp:attachment":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media?parent=551"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/categories?post=551"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/tags?post=551"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}