https:\/\/eur-lex.europa.eu\/legal-content\/PT\/TXT\/PDF\/?uri=CELEX:32019R0881&from=PT<\/a><\/p>\n\n\n\nO PARLAMENTO EUROPEU E O CONSELHO DA UNI\u00c3O EUROPEIA,<\/p>\n\n\n\n
Tendo em conta o Tratado sobre o Funcionamento da Uni\u00e3o Europeia, nomeadamente o artigo 114.o,<\/p>\n\n\n\n
Tendo em conta a proposta da Comiss\u00e3o Europeia,<\/p>\n\n\n\n
Ap\u00f3s transmiss\u00e3o do projeto de ato legislativo aos parlamentos nacionais,<\/p>\n\n\n\n
Tendo em conta o parecer do Comit\u00e9 Econ\u00f3mico e Social Europeu (1),<\/p>\n\n\n\n
Tendo em conta o parecer do Comit\u00e9 das Regi\u00f5es (2),<\/p>\n\n\n\n
Deliberando de acordo com o processo legislativo ordin\u00e1rio (3),<\/p>\n\n\n\n
Considerando o seguinte:<\/p>\n\n\n\n
(1) As redes e os sistemas de informa\u00e7\u00e3o e as redes e os servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas desempenham um papel crucial na sociedade e tornaram-se a espinha dorsal do crescimento econ\u00f3mico. As tecnologias da informa\u00e7\u00e3o e comunica\u00e7\u00e3o (TIC) est\u00e3o na base de sistemas complexos que apoiam as atividades sociais quotidianas, asseguram o funcionamento das nossas economias em setores determinantes como a sa\u00fade, a energia, as finan\u00e7as e os transportes e apoiam, em especial, o funcionamento do mercado interno.<\/p>\n\n\n\n
(2) A utiliza\u00e7\u00e3o de redes e sistemas de informa\u00e7\u00e3o por cidad\u00e3os, organiza\u00e7\u00f5es e empresas da Uni\u00e3o \u00e9 agora generalizada. A digitaliza\u00e7\u00e3o e a conectividade est\u00e3o a tornar-se caracter\u00edsticas centrais num n\u00famero cada vez maior de produtos e servi\u00e7os e, com o surgimento da Internet das coisas (IdC), espera-se que um n\u00famero extremamente elevado de dispositivos digitais conectados seja implantado em toda a Uni\u00e3o durante a pr\u00f3xima d\u00e9cada. Embora haja cada vez mais dispositivos conectados \u00e0 Internet, a seguran\u00e7a e a resili\u00eancia n\u00e3o s\u00e3o suficientemente integradas na conce\u00e7\u00e3o, o que conduz a uma insufici\u00eancia a n\u00edvel da ciberseguran\u00e7a. Nesse contexto, a utiliza\u00e7\u00e3o reduzida da certifica\u00e7\u00e3o conduz \u00e0 insufici\u00eancia da informa\u00e7\u00e3o ao dispor dos utilizadores, sejam estes particulares, organiza\u00e7\u00f5es ou empresas, sobre as caracter\u00edsticas de ciberseguran\u00e7a dos produtos, servi\u00e7os e processos de TIC, o que compromete a confian\u00e7a nas solu\u00e7\u00f5es digitais. As redes e os sistemas de informa\u00e7\u00e3o t\u00eam capacidade para apoiar todos os aspetos das nossas vidas e impulsionar o crescimento econ\u00f3mico da Uni\u00e3o, constituindo a pedra angular da realiza\u00e7\u00e3o do mercado \u00fanico digital.<\/p>\n\n\n\n
(3) A digitaliza\u00e7\u00e3o e conectividade crescentes acarretam maiores riscos para a ciberseguran\u00e7a, tornando, assim, a sociedade em geral mais vulner\u00e1vel a ciberamea\u00e7as e agravando os perigos que as pessoas enfrentam, nomeadamente as pessoas vulner\u00e1veis como as crian\u00e7as. A fim de reduzir esses riscos, t\u00eam de ser adotadas todas as medidas necess\u00e1rias para aumentar a ciberseguran\u00e7a na Uni\u00e3o de modo a que as redes e os sistemas de informa\u00e7\u00e3o, as redes de comunica\u00e7\u00f5es e os produtos, servi\u00e7os e dispositivos digitais utilizados pelos cidad\u00e3os, organiza\u00e7\u00f5es e empresas \u2014 desde as pequenas e m\u00e9dias empresas (PME) na ace\u00e7\u00e3o da Recomenda\u00e7\u00e3o 2003\/361\/CE da Comiss\u00e3o (4) aos operadores de infraestruturas cr\u00edticas \u2014 estejam melhor protegidos das ciberamea\u00e7as.<\/p>\n\n\n\n
(4) Ao disponibilizar ao p\u00fablico as informa\u00e7\u00f5es relevantes, a Ag\u00eancia da Uni\u00e3o Europeia para a Seguran\u00e7a das Redes e da Informa\u00e7\u00e3o (ENISA), criada pelo Regulamento (UE) n.o 526\/2013 do Parlamento Europeu e do Conselho (5) contribui para o desenvolvimento da ind\u00fastria da ciberseguran\u00e7a na Uni\u00e3o, em especial as PME e as empresas em fase de arranque. A ENISA dever\u00e1 envidar esfor\u00e7os no sentido de uma coopera\u00e7\u00e3o mais estreita com as universidades e os organismos de investiga\u00e7\u00e3o, a fim de contribuir para reduzir a depend\u00eancia de produtos e servi\u00e7os de ciberseguran\u00e7a de fora da Uni\u00e3o e para refor\u00e7ar as cadeias de abastecimento no interior da Uni\u00e3o.<\/p>\n\n\n\n
(5) Os ciberataques aumentam e as economias e sociedades conectadas, mais vulner\u00e1veis a ciberamea\u00e7as e ciberataques, requerem defesas mais robustas. No entanto, apesar de os ciberataques terem ami\u00fade uma natureza transfronteiri\u00e7a, a compet\u00eancia das autoridades respons\u00e1veis pela ciberseguran\u00e7a e pelo controlo da aplica\u00e7\u00e3o da lei \u00e9 predominantemente nacional, bem como as a\u00e7\u00f5es por estas adotadas. Os incidentes em grande escala s\u00e3o suscet\u00edveis de perturbar a presta\u00e7\u00e3o de servi\u00e7os essenciais na Uni\u00e3o. Esta realidade implica uma atua\u00e7\u00e3o e gest\u00e3o de crises efetiva e coordenada a n\u00edvel da Uni\u00e3o, com base em pol\u00edticas espec\u00edficas e instrumentos mais abrangentes para a solidariedade e a assist\u00eancia m\u00fatua a n\u00edvel europeu. Al\u00e9m disso, \u00e9 importante para os decisores pol\u00edticos, para a ind\u00fastria e os utilizadores que se proceda a uma avalia\u00e7\u00e3o regular da situa\u00e7\u00e3o em mat\u00e9ria de ciberseguran\u00e7a e de resili\u00eancia na Uni\u00e3o, com base em dados fi\u00e1veis da Uni\u00e3o, bem como a previs\u00f5es sistem\u00e1ticas da evolu\u00e7\u00e3o, dos desafios e das amea\u00e7as futuras, tanto a n\u00edvel da Uni\u00e3o como a n\u00edvel mundial.<\/p>\n\n\n\n
(6) Atendendo aos desafios de ciberseguran\u00e7a cada vez maiores que a Uni\u00e3o enfrenta, afigura-se necess\u00e1rio um conjunto abrangente de medidas que tenha por base a\u00e7\u00f5es anteriores da Uni\u00e3o e que promova objetivos que se reforcem mutuamente. Entre estes contam-se o refor\u00e7o das capacidades e do grau de prepara\u00e7\u00e3o dos Estados-Membros e das empresas, bem como melhorar a coopera\u00e7\u00e3o, o interc\u00e2mbio de informa\u00e7\u00f5es e a coordena\u00e7\u00e3o entre Estados-Membros e institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o. Al\u00e9m disso, atendendo \u00e0 natureza transfronteiri\u00e7a das ciberamea\u00e7as, \u00e9 necess\u00e1rio aumentar a n\u00edvel da Uni\u00e3o as capacidades suscet\u00edveis de complementar a a\u00e7\u00e3o dos Estados-Membros, designadamente em casos de crises e incidentes transfronteiri\u00e7os em grande escala, tendo simultaneamente em conta a import\u00e2ncia de manter e refor\u00e7ar as capacidades nacionais de resposta a ciberamea\u00e7as de qualquer escala.<\/p>\n\n\n\n
(7) S\u00e3o tamb\u00e9m necess\u00e1rios mais esfor\u00e7os para aumentar a sensibiliza\u00e7\u00e3o dos cidad\u00e3os, das organiza\u00e7\u00f5es e das empresas para as quest\u00f5es da ciberseguran\u00e7a. Al\u00e9m disso, dado que os incidentes comprometem a confian\u00e7a, nomeadamente dos consumidores, nos prestadores de servi\u00e7os digitais e no pr\u00f3prio mercado \u00fanico digital, \u00e9 necess\u00e1rio continuar a refor\u00e7ar a confian\u00e7a mediante a disponibiliza\u00e7\u00e3o de informa\u00e7\u00f5es de forma transparente sobre o n\u00edvel de seguran\u00e7a dos produtos, processos e servi\u00e7os de TIC, real\u00e7ando que mesmo um n\u00edvel elevado de certifica\u00e7\u00e3o da ciberseguran\u00e7a n\u00e3o consegue garantir a total seguran\u00e7a de um produto, servi\u00e7o ou processo de TIC.<\/p>\n\n\n\n
O aumento da confian\u00e7a pode ser mais facilmente alcan\u00e7ado por meio de uma certifica\u00e7\u00e3o a n\u00edvel da Uni\u00e3o que preveja requisitos de ciberseguran\u00e7a e crit\u00e9rios de avalia\u00e7\u00e3o comuns nos mercados e setores nacionais.<\/p>\n\n\n\n
(8) A ciberseguran\u00e7a n\u00e3o \u00e9 s\u00f3 uma quest\u00e3o relacionada com a tecnologia; o comportamento humano \u00e9 igualmente importante. Por conseguinte, dever-se-\u00e1 promover ativamente aquilo que se entente por \u00abciber-higiene\u00bb, ou seja, medidas simples de rotina que, quando implementadas e aplicadas com regularidade pelos cidad\u00e3os, as organiza\u00e7\u00f5es e as empresas, minimizam a sua exposi\u00e7\u00e3o aos riscos decorrentes de ciberamea\u00e7as.<\/p>\n\n\n\n
(9) No intuito de refor\u00e7ar as estruturas de ciberseguran\u00e7a da Uni\u00e3o, \u00e9 importante manter e desenvolver as capacidades dos Estados-Membros para responder de forma exaustiva \u00e0s ciberamea\u00e7as, incluindo os incidentes transfronteiri\u00e7os.<\/p>\n\n\n\n
(10) As empresas e os consumidores particulares dever\u00e3o dispor de informa\u00e7\u00f5es exatas sobre o n\u00edvel de garantia para o qual foi certificada a seguran\u00e7a dos seus produtos, servi\u00e7os e processos de TIC. Ao mesmo tempo, nenhum produto ou servi\u00e7o de TIC \u00e9 totalmente ciberseguro e \u00e9 necess\u00e1rio promover e dar prioridade a regras b\u00e1sicas de ciber-higiene. Dada a crescente disponibilidade de dispositivos da IdC, h\u00e1 uma gama de medidas volunt\u00e1rias que o setor privado pode tomar para refor\u00e7ar a confian\u00e7a na seguran\u00e7a dos produtos, servi\u00e7os e processos de TIC.<\/p>\n\n\n\n
(11) Os produtos e sistemas de TIC modernos integram e baseiam-se muitas vezes numa ou em mais tecnologias e componentes de terceiros, tais como m\u00f3dulos ou bibliotecas de programas inform\u00e1ticos ou interfaces de programa\u00e7\u00e3o de aplica\u00e7\u00f5es. Esta situa\u00e7\u00e3o, que se designa por \u00abdepend\u00eancia\u00bb, poder\u00e1 acarretar riscos adicionais para a ciberseguran\u00e7a, uma vez que as vulnerabilidades existentes em componentes de terceiros tamb\u00e9m poder\u00e3o afetar a seguran\u00e7a dos produtos, servi\u00e7os e processos de TIC. Em muitos casos, a identifica\u00e7\u00e3o e a documenta\u00e7\u00e3o dessas depend\u00eancias permite que os utilizadores finais dos produtos, servi\u00e7os e processos de TIC aperfei\u00e7oem as suas atividades de gest\u00e3o dos riscos para a ciberseguran\u00e7a, refor\u00e7ando, por exemplo, a gest\u00e3o das vulnerabilidades de ciberseguran\u00e7a dos utilizadores, assim como os procedimentos de corre\u00e7\u00e3o.<\/p>\n\n\n\n
(12) As organiza\u00e7\u00f5es, os fabricantes ou os prestadores de servi\u00e7os envolvidos na conce\u00e7\u00e3o e no desenvolvimento de produtos, servi\u00e7os ou processos de TIC dever\u00e3o ser incentivados a tomar medidas, nas fases iniciais de conce\u00e7\u00e3o e desenvolvimento, para proteger a seguran\u00e7a desses produtos, servi\u00e7os e processos ao n\u00edvel mais elevado poss\u00edvel, de uma tal forma que se presuma a ocorr\u00eancia de ciberataques e que se preveja e minimize o seu impacto (\u00abseguran\u00e7a desde a conce\u00e7\u00e3o\u00bb). \u00c9 necess\u00e1rio garantir a seguran\u00e7a ao longo da vida \u00fatil dos produtos, servi\u00e7os ou processos de TIC, atrav\u00e9s de processos de conce\u00e7\u00e3o e desenvolvimento em evolu\u00e7\u00e3o constante de modo a reduzir os preju\u00edzos causados por explora\u00e7\u00e3o maliciosa.<\/p>\n\n\n\n
(13) As empresas, as organiza\u00e7\u00f5es e o setor p\u00fablico dever\u00e3o configurar os produtos, servi\u00e7os ou processos de TIC por eles concebidos de forma a garantir um n\u00edvel mais elevado de seguran\u00e7a, o que dever\u00e1 assegurar que o primeiro utilizador disponha de uma configura\u00e7\u00e3o por defeito com defini\u00e7\u00f5es da mais elevada seguran\u00e7a poss\u00edvel (\u00abseguran\u00e7a por defeito\u00bb), reduzindo assim o \u00f3nus que impende sobre os utilizadores de configurarem os produtos, servi\u00e7os ou processo de TIC de forma adequada. A seguran\u00e7a por defeito n\u00e3o dever\u00e1 exigir uma configura\u00e7\u00e3o extensa, nem conhecimentos t\u00e9cnicos espec\u00edficos ou comportamentos n\u00e3o intuitivos da parte do utilizador e dever\u00e1 permitir um funcionamento f\u00e1cil e fi\u00e1vel quando implementada. Se, numa base caso a caso, em fun\u00e7\u00e3o de uma an\u00e1lise de risco e da facilidade de utiliza\u00e7\u00e3o, se concluir que uma tal defini\u00e7\u00e3o por defeito n\u00e3o \u00e9 vi\u00e1vel, os utilizadores dever\u00e3o ser alertados para optarem pela defini\u00e7\u00e3o mais segura.<\/p>\n\n\n\n
(14) O Regulamento (CE) n.o 460\/2004 do Parlamento Europeu e do Conselho (6) criou a ENISA, a fim de contribuir para a consecu\u00e7\u00e3o dos objetivos de garantir um n\u00edvel elevado e eficaz de seguran\u00e7a das redes e da informa\u00e7\u00e3o na Uni\u00e3o e de desenvolver uma cultura de seguran\u00e7a das redes e da informa\u00e7\u00e3o em benef\u00edcio dos cidad\u00e3os, dos consumidores, das empresas e das administra\u00e7\u00f5es p\u00fablicas. O Regulamento (CE) n.o 1007\/2008 do Parlamento Europeu e do Conselho (7) prorrogou o mandato da ENISA at\u00e9 mar\u00e7o de 2012. O Regulamento (UE) n.o 580\/2011 do Parlamento Europeu e do Conselho (8) prorrogou novamente o mandato da Ag\u00eancia at\u00e9 13 de setembro de 2013. O Regulamento (UE) n.o 526\/2013 prorrogou o mandato da ENISA at\u00e9 19 de junho de 2020.<\/p>\n\n\n\n
(15) A Uni\u00e3o j\u00e1 tomou medidas importantes para garantir a ciberseguran\u00e7a e refor\u00e7ar a confian\u00e7a nas tecnologias digitais. Em 2013, foi adotada a Estrat\u00e9gia da Uni\u00e3o Europeia para a Ciberseguran\u00e7a, a fim de orientar a resposta pol\u00edtica da Uni\u00e3o \u00e0s ciberamea\u00e7as e aos riscos para a ciberseguran\u00e7a. Num esfor\u00e7o para melhor proteger os cidad\u00e3os em linha, a Uni\u00e3o adotou o primeiro ato legislativo no dom\u00ednio da ciberseguran\u00e7a em 2016: a Diretiva (UE) 2016\/1148 do Parlamento Europeu e do Conselho (9). A Diretiva (UE) 2016\/1148 estabeleceu requisitos relativos \u00e0s capacidades nacionais no dom\u00ednio da ciberseguran\u00e7a, criou os primeiros mecanismos para refor\u00e7ar a coopera\u00e7\u00e3o estrat\u00e9gica e operacional entre os Estados-Membros e imp\u00f4s obriga\u00e7\u00f5es relativas \u00e0s medidas de seguran\u00e7a e notifica\u00e7\u00f5es de incidentes nos setores que s\u00e3o vitais para a economia e a sociedade, tais como a energia, os transportes, o fornecimento e a distribui\u00e7\u00e3o de \u00e1gua pot\u00e1vel, a banca, as infraestruturas do mercado financeiro, os cuidados de sa\u00fade, as infraestruturas digitais, bem como os prestadores de servi\u00e7os digitais essenciais (motores de busca, servi\u00e7os de computa\u00e7\u00e3o em nuvem e mercados em linha).<\/p>\n\n\n\n
Foi atribu\u00edda \u00e0 ENISA uma fun\u00e7\u00e3o importante de apoio \u00e0 execu\u00e7\u00e3o da referida diretiva. Al\u00e9m disso, a luta eficaz contra a cibercriminalidade constitui uma prioridade importante da Agenda Europeia para a Seguran\u00e7a, o que contribui para o objetivo geral de alcan\u00e7ar um elevado n\u00edvel de ciberseguran\u00e7a. H\u00e1 ainda outros atos jur\u00eddicos, como o Regulamento (UE) 2016\/679 do Parlamento Europeu e do Conselho (10) e as Diretivas 2002\/58\/CE (11) e (UE) 2018\/1972 (12) do Parlamento Europeu e do Conselho, que tamb\u00e9m contribuem para um elevado n\u00edvel de ciberseguran\u00e7a no mercado \u00fanico digital.<\/p>\n\n\n\n
(16) Desde a ado\u00e7\u00e3o da Estrat\u00e9gia da Uni\u00e3o Europeia para a Ciberseguran\u00e7a, de 2013, e da \u00faltima revis\u00e3o do mandato da ENISA, o contexto geral de a\u00e7\u00e3o pol\u00edtica alterou-se significativamente, uma vez que o ambiente mundial se tornou mais incerto e menos seguro. Com este pano de fundo e no contexto da evolu\u00e7\u00e3o positiva da fun\u00e7\u00e3o da ENISA como ponto de refer\u00eancia em mat\u00e9ria de aconselhamento e conhecimentos especializados e como facilitadora da coopera\u00e7\u00e3o e do desenvolvimento de capacidades, assim como no \u00e2mbito da nova pol\u00edtica de ciberseguran\u00e7a da Uni\u00e3o, \u00e9 necess\u00e1rio rever o mandato da ENISA para estabelecer o seu papel no ecossistema alterado de ciberseguran\u00e7a e assegurar que contribua eficazmente para a resposta da Uni\u00e3o aos desafios de ciberseguran\u00e7a decorrentes do cen\u00e1rio de ciberamea\u00e7a radicalmente transformado, para o qual, conforme se reconheceu durante a avalia\u00e7\u00e3o da pr\u00f3pria ENISA, o mandato atual n\u00e3o \u00e9 suficiente.<\/p>\n\n\n\n
(17) A ENISA criada pelo presente regulamento dever\u00e1 suceder \u00e0 ENISA criada pelo Regulamento (UE) n.o 526\/2013. A ENISA dever\u00e1 exercer as atribui\u00e7\u00f5es que lhe s\u00e3o conferidas pelo presente regulamento e pelos outros atos jur\u00eddicos da Uni\u00e3o no dom\u00ednio da ciberseguran\u00e7a, nomeadamente disponibilizando aconselhamento e conhecimentos especializados e funcionando como um centro de informa\u00e7\u00e3o e de conhecimentos da Uni\u00e3o. A ENISA dever\u00e1 promover o interc\u00e2mbio de melhores pr\u00e1ticas entre os Estados-Membros e as partes interessadas do setor privado, apresentando \u00e0 Comiss\u00e3o e aos Estados-Membros sugest\u00f5es de a\u00e7\u00e3o pol\u00edtica, atuando como um ponto de refer\u00eancia para as iniciativas de pol\u00edtica setorial da Uni\u00e3o no tocante \u00e0s quest\u00f5es de ciberseguran\u00e7a e promovendo a coopera\u00e7\u00e3o operacional entre os Estados-Membros e entre os Estados-Membros e as institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o.<\/p>\n\n\n\n
(18) No \u00e2mbito da Decis\u00e3o 2004\/97\/CE, Euratom, tomada de comum acordo entre os representantes dos Estados-Membros reunidos a n\u00edvel de Chefes de Estados ou de Governo (13), os representantes dos Estados-Membros decidiram que a ENISA ficaria sediada numa cidade da Gr\u00e9cia, a determinar pelo Governo grego. O Estado-Membro de acolhimento da ENISA dever\u00e1 assegurar as melhores condi\u00e7\u00f5es poss\u00edveis para o funcionamento normal e eficiente da ENISA. Para poder exercer correta e eficientemente as suas atribui\u00e7\u00f5es, recrutar e fixar o seu pessoal e aumentar a efici\u00eancia das suas atividades de rede, \u00e9 indispens\u00e1vel que a ENISA esteja sediada num local adequado que ofere\u00e7a, nomeadamente, liga\u00e7\u00f5es de transporte e servi\u00e7os adequados aos c\u00f4njuges e filhos dos membros do seu pessoal. As disposi\u00e7\u00f5es necess\u00e1rias dever\u00e3o ser estabelecidas num acordo entre a ENISA e o Estado-Membro de acolhimento, celebrado ap\u00f3s aprova\u00e7\u00e3o do conselho de administra\u00e7\u00e3o da ENISA.<\/p>\n\n\n\n
(19) Atendendo ao aumento dos riscos e desafios de ciberseguran\u00e7a que a Uni\u00e3o enfrenta, haver\u00e1 que aumentar os recursos financeiros e humanos atribu\u00eddos \u00e0 ENISA para refletir o refor\u00e7o do seu papel e das suas atribui\u00e7\u00f5es, bem como a sua posi\u00e7\u00e3o crucial no sistema das organiza\u00e7\u00f5es que defendem o ecossistema digital da Uni\u00e3o, permitindo-lhe exercer com efic\u00e1cia as atribui\u00e7\u00f5es que lhe s\u00e3o conferidas pelo presente regulamento.<\/p>\n\n\n\n
(20) A ENISA dever\u00e1 desenvolver e manter um elevado n\u00edvel de conhecimentos especializados e servir de ponto de refer\u00eancia que instaure a confian\u00e7a no mercado \u00fanico gra\u00e7as \u00e0 sua independ\u00eancia, \u00e0 qualidade do aconselhamento prestado, \u00e0 qualidade das informa\u00e7\u00f5es que divulga, \u00e0 transpar\u00eancia dos seus procedimentos, \u00e0 transpar\u00eancia dos seus m\u00e9todos de funcionamento e \u00e0 sua dilig\u00eancia no exerc\u00edcio das suas atribui\u00e7\u00f5es. A ENISA dever\u00e1 apoiar ativamente os esfor\u00e7os nacionais e contribuir de forma proativa para os esfor\u00e7os da Uni\u00e3o, exercendo simultaneamente as suas atribui\u00e7\u00f5es em plena coopera\u00e7\u00e3o com as institui\u00e7\u00f5es, os \u00f3rg\u00e3os e os organismos da Uni\u00e3o e com os Estados-Membros, evitando a duplica\u00e7\u00e3o de esfor\u00e7os e promovendo as sinergias. Al\u00e9m disso, a ENISA dever\u00e1 tirar partido da coopera\u00e7\u00e3o com o setor privado e outras partes interessadas e dos seus contributos. Um conjunto de atribui\u00e7\u00f5es dever\u00e1 determinar o modo como a ENISA dever\u00e1 atingir os seus objetivos, permitindo-lhe ao mesmo tempo flexibilidade de funcionamento.<\/p>\n\n\n\n
(21) A fim de poder prestar um apoio adequado \u00e0 coopera\u00e7\u00e3o operacional entre os Estados-Membros, a ENISA dever\u00e1 refor\u00e7ar ainda mais as suas pr\u00f3prias capacidades e compet\u00eancias a n\u00edvel t\u00e9cnico e humano. A ENISA dever\u00e1 aumentar os seus conhecimentos especializados e as suas capacidades. A ENISA e os Estados-Membros poder\u00e3o, a t\u00edtulo volunt\u00e1rio, desenvolver programas de destacamento de peritos nacionais para a ENISA, criando grupos de peritos e fomentando o interc\u00e2mbio de pessoal.<\/p>\n\n\n\n
(22) A ENISA dever\u00e1 prestar assist\u00eancia \u00e0 Comiss\u00e3o por meio de aconselhamento, da formula\u00e7\u00e3o de pareceres e realiza\u00e7\u00e3o de an\u00e1lises sobre todas as mat\u00e9rias da compet\u00eancia da Uni\u00e3o relacionadas com a elabora\u00e7\u00e3o, actualiza\u00e7\u00e3o e revis\u00e3o das pol\u00edticas e da legisla\u00e7\u00e3o no dom\u00ednio da ciberseguran\u00e7a e dos respetivos aspetos setoriais espec\u00edficos, a fim de aumentar a pertin\u00eancia das pol\u00edticas e da legisla\u00e7\u00e3o da Uni\u00e3o com uma vertente de ciberseguran\u00e7a e de permitir a aplica\u00e7\u00e3o coerente dessas pol\u00edticas e dessa legisla\u00e7\u00e3o. A ENISA dever\u00e1 atuar como um ponto de refer\u00eancia de aconselhamento e conhecimentos especializados para iniciativas pol\u00edticas e legislativas que envolvam quest\u00f5es relacionadas com a ciberseguran\u00e7a. A ENISA dever\u00e1 informar regularmente o Parlamento Europeu sobre as suas atividades.<\/p>\n\n\n\n
(23) O n\u00facleo p\u00fablico da internet aberta, ou seja, os seus principais protocolos e infraestruturas, que s\u00e3o um bem p\u00fablico mundial, assegura a principal funcionalidade da internet no seu conjunto e serve de base ao seu funcionamento normal. A ENISA dever\u00e1 apoiar a seguran\u00e7a do n\u00facleo p\u00fablico da internet aberta e a estabilidade do seu funcionamento, incluindo, entre outros, os protocolos essenciais (nomeadamente, DNS, BGP e IPv6), o funcionamento do sistema de nomes de dom\u00ednio (tal como o funcionamento de todos os dom\u00ednios de topo) e o funcionamento da zona de raiz.<\/p>\n\n\n\n
(24) A atribui\u00e7\u00e3o de base da ENISA \u00e9 promover a aplica\u00e7\u00e3o coerente do regime jur\u00eddico aplic\u00e1vel, nomeadamente a execu\u00e7\u00e3o eficaz da Diretiva (UE) 2016\/1148 e de outros instrumentos jur\u00eddicos aplic\u00e1veis que contenham elementos de ciberseguran\u00e7a, o que \u00e9 essencial para aumentar a ciber-resili\u00eancia. Atendendo \u00e0 r\u00e1pida evolu\u00e7\u00e3o do cen\u00e1rio de ciberamea\u00e7a, \u00e9 evidente que os Estados-Membros devem ser apoiados atrav\u00e9s de uma abordagem mais abrangente e transversal em mat\u00e9ria de a\u00e7\u00e3o pol\u00edtica para refor\u00e7ar a ciber-resili\u00eancia.<\/p>\n\n\n\n
(25) A ENISA dever\u00e1 prestar assist\u00eancia aos Estados-Membros e \u00e0s institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o nos seus esfor\u00e7os para criar e refor\u00e7ar as capacidades e o grau de prepara\u00e7\u00e3o para prevenir, detetar e responder a ciberamea\u00e7as e incidentes de ciberseguran\u00e7a e em rela\u00e7\u00e3o \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o. Concretamente, a ENISA dever\u00e1 apoiar o desenvolvimento e o refor\u00e7o da equipa de resposta a incidentes de seguran\u00e7a inform\u00e1tica (CSIRT) nacionais e da Uni\u00e3o, previstas na Diretiva (UE) 2016\/1148 a fim de que estas atinjam um elevado n\u00edvel comum de maturidade na Uni\u00e3o. As atividades exercidas pela ENISA que se relacionem com as capacidades operacionais dos Estados-Membros dever\u00e3o apoiar ativamente as medidas por estes adotadas para dar cumprimento \u00e0s obriga\u00e7\u00f5es que lhes incumbem por for\u00e7a da Diretiva (UE) 2016\/1148, n\u00e3o devendo, pois, substitu\u00ed-las.<\/p>\n\n\n\n
(26) A ENISA dever\u00e1 igualmente prestar assist\u00eancia no desenvolvimento e na atualiza\u00e7\u00e3o, a n\u00edvel da Uni\u00e3o e, a pedido, dos Estados-Membros, de estrat\u00e9gias de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o, nomeadamente de ciberseguran\u00e7a, e dever\u00e1 promover a divulga\u00e7\u00e3o dessas estrat\u00e9gias e acompanhar os progressos realizados na sua execu\u00e7\u00e3o. A ENISA dever\u00e1 tamb\u00e9m contribuir para dar resposta \u00e0s necessidades de forma\u00e7\u00e3o e de material de forma\u00e7\u00e3o, inclusive dos organismos p\u00fablicos, e, se se justificar, em grande medida, para \u00abformar os formadores\u00bb com base no Quadro de Compet\u00eancias Digitais para os Cidad\u00e3os, no intuito de assistir os Estados-Membros e as institui\u00e7\u00f5es, os \u00f3rg\u00e3os e organismos da Uni\u00e3o no desenvolvimento das suas pr\u00f3prias capacidades de forma\u00e7\u00e3o.<\/p>\n\n\n\n
(27) A ENISA dever\u00e1 apoiar os Estados-Membros nos dom\u00ednios da sensibiliza\u00e7\u00e3o e da educa\u00e7\u00e3o para a ciberseguran\u00e7a facilitando o refor\u00e7o da coordena\u00e7\u00e3o e o interc\u00e2mbio das melhores pr\u00e1ticas entre os Estados-Membros. Esse apoio poder\u00e1 consistir, nomeadamente, no desenvolvimento de uma rede de pontos de contacto nacionais em mat\u00e9ria de educa\u00e7\u00e3o e de uma plataforma de forma\u00e7\u00e3o em mat\u00e9ria de ciberseguran\u00e7a. A rede de pontos de contacto nacionais em mat\u00e9ria de educa\u00e7\u00e3o poder\u00e1 funcionar dentro da rede de agentes de liga\u00e7\u00e3o nacionais e servir de ponto de partida para a futura coordena\u00e7\u00e3o no interior dos Estados-Membros.<\/p>\n\n\n\n
(28) A ENISA dever\u00e1 assistir o grupo de coopera\u00e7\u00e3o criado pela Diretiva (UE) 2016\/1148 no exerc\u00edcio das suas atribui\u00e7\u00f5es, em especial fornecendo conhecimentos especializados e aconselhamento e facilitando o interc\u00e2mbio das melhores pr\u00e1ticas, referentes, entre outros, \u00e0 identifica\u00e7\u00e3o dos operadores de servi\u00e7os essenciais pelos Estados-Membros, incluindo quanto a depend\u00eancias transfronteiri\u00e7as, no que respeita a riscos e incidentes.<\/p>\n\n\n\n
(29) Com vista a estimular a coopera\u00e7\u00e3o entre o setor p\u00fablico e privado e dentro do setor privado, nomeadamente para apoiar a defesa de infraestruturas cr\u00edticas, a ENISA dever\u00e1 apoiar a partilha de informa\u00e7\u00f5es dentro dos diferentes setores e entre eles, em particular setores enumerados no anexo II da Diretiva (UE) 2016\/1148, divulgando as melhores pr\u00e1ticas e orienta\u00e7\u00f5es sobre os instrumentos e os procedimentos dispon\u00edveis, bem como prestando orienta\u00e7\u00f5es sobre a forma de abordar quest\u00f5es regulamentares relativas \u00e0 partilha de informa\u00e7\u00f5es, designadamente facilitando a cria\u00e7\u00e3o de centros de partilha e an\u00e1lise de informa\u00e7\u00f5es a n\u00edvel setorial.<\/p>\n\n\n\n
(30) Uma vez que aumenta constantemente o potencial impacto negativo das vulnerabilidades dos produtos, servi\u00e7os e processos de TIC, a dete\u00e7\u00e3o e corre\u00e7\u00e3o dessas vulnerabilidades \u00e9 importante para reduzir o risco global de ciberseguran\u00e7a. Est\u00e1 demonstrado que a coopera\u00e7\u00e3o entre as organiza\u00e7\u00f5es, os fabricantes de produtos de TIC vulner\u00e1veis, os prestadores de servi\u00e7os de TIC vulner\u00e1veis e os fornecedores de processos de TIC vulner\u00e1veis e os membros da comunidade de investiga\u00e7\u00e3o no dom\u00ednio da ciberseguran\u00e7a, bem como os governos que detetam tais vulnerabilidades contribui significativamente para o aumento das taxas de dete\u00e7\u00e3o e de corre\u00e7\u00e3o das vulnerabilidades em produtos, servi\u00e7os e processos de TIC. A divulga\u00e7\u00e3o coordenada das vulnerabilidades consiste num processo estruturado de coopera\u00e7\u00e3o em que as vulnerabilidades s\u00e3o comunicadas ao propriet\u00e1rio do sistema de informa\u00e7\u00e3o, dando a essa organiza\u00e7\u00e3o a oportunidade de diagnosticar e corrigir as vulnerabilidades antes de serem divulgadas a terceiros ou ao p\u00fablico informa\u00e7\u00f5es pormenorizadas sobre essas vulnerabilidades. O processo prev\u00ea igualmente a coordena\u00e7\u00e3o entre a entidade que deteta as vulnerabilidades e a organiza\u00e7\u00e3o, no que diz respeito \u00e0 publica\u00e7\u00e3o dessas vulnerabilidades. A exist\u00eancia de processos de gest\u00e3o da divulga\u00e7\u00e3o coordenada das vulnerabilidades pode desempenhar um papel importante nos esfor\u00e7os dos Estados-Membros para refor\u00e7ar a ciberseguran\u00e7a.<\/p>\n\n\n\n
(31) A ENISA dever\u00e1 agregar e analisar relat\u00f3rios nacionais partilhados a t\u00edtulo volunt\u00e1rio das CSIRT e da equipa de resposta a emerg\u00eancias inform\u00e1ticas para as institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da UE, criada pelo Acordo entre o Parlamento Europeu, o Conselho Europeu, o Conselho da Uni\u00e3o Europeia, a Comiss\u00e3o Europeia, o Tribunal de Justi\u00e7a da Uni\u00e3o Europeia, o Banco Central Europeu, o Tribunal de Contas Europeu, o Servi\u00e7o Europeu para a A\u00e7\u00e3o Externa, o Comit\u00e9 Econ\u00f3mico e Social Europeu, o Comit\u00e9 das Regi\u00f5es Europeu e o Banco Europeu de Investimento sobre a organiza\u00e7\u00e3o e o funcionamento de uma equipa de resposta a emerg\u00eancias inform\u00e1ticas das institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o (CERT-UE) (14) com o objetivo de contribuir para criar procedimentos, linguagem e terminologia comuns para o interc\u00e2mbio de informa\u00e7\u00f5es. Nesse contexto, a ENISA dever\u00e1 envolver o sector privado, no \u00e2mbito da Diretiva (UE) 2016\/1148 que estabelece os fundamentos para o interc\u00e2mbio volunt\u00e1rio de informa\u00e7\u00f5es t\u00e9cnicas a n\u00edvel operacional no \u00e2mbito da rede de equipas de resposta a incidentes de seguran\u00e7a inform\u00e1tica (\u00abrede de CSIRT\u00bb) criada pela referida diretiva.<\/p>\n\n\n\n
(32) A Ag\u00eancia dever\u00e1 contribuir para uma resposta a n\u00edvel da Uni\u00e3o, em caso de crise e incidentes transfronteiri\u00e7os em grande escala relacionados com a ciberseguran\u00e7a. Esta atribui\u00e7\u00e3o dever\u00e1 ser exercida de acordo com o mandato da ENISA, nos termos do presente regulamento, e segundo uma abordagem a ser definida pelos Estados-Membros no contexto da Recomenda\u00e7\u00e3o (UE) 2017\/1584 da Comiss\u00e3o (15) e das Conclus\u00f5es do Conselho de 26 de junho de 2018 sobre a resposta coordenada da Uni\u00e3o a incidentes e crises de ciberseguran\u00e7a de grande escala. Essa atribui\u00e7\u00e3o poder\u00e1 abranger a recolha de informa\u00e7\u00f5es relevantes e a atividade de facilita\u00e7\u00e3o entre a rede de CSIRT, a comunidade t\u00e9cnica e os decisores pol\u00edticos respons\u00e1veis pela gest\u00e3o de crises. Al\u00e9m disso, a ENISA dever\u00e1 apoiar a coopera\u00e7\u00e3o operacional entre os Estados-Membros, a pedido de um ou mais Estados-Membros, no tratamento de incidentes de uma perspetiva t\u00e9cnica, atrav\u00e9s da facilita\u00e7\u00e3o do interc\u00e2mbio de solu\u00e7\u00f5es t\u00e9cnicas pertinentes entre Estados-Membros e de contribui\u00e7\u00f5es para a comunica\u00e7\u00e3o com o p\u00fablico. A ENISA dever\u00e1 apoiar a coopera\u00e7\u00e3o operacional testando modalidades dessa coopera\u00e7\u00e3o por meio de exerc\u00edcios regulares de ciberseguran\u00e7a.<\/p>\n\n\n\n
(33) Ao prestar apoio \u00e0 coopera\u00e7\u00e3o operacional, a ENISA dever\u00e1 recorrer aos conhecimentos especializados de natureza t\u00e9cnica e operacional da CERT-UE mediante uma coopera\u00e7\u00e3o estruturada. Essa coopera\u00e7\u00e3o estruturada poder\u00e1 basear-se nos conhecimentos especializados da ENISA. Sempre que pertinente, dever\u00e3o ser acordadas entre as duas organiza\u00e7\u00f5es as disposi\u00e7\u00f5es adequadas para definir o modo de p\u00f4r em pr\u00e1tica essa coopera\u00e7\u00e3o e evitar a duplica\u00e7\u00e3o de atividades.<\/p>\n\n\n\n
(34) Em conson\u00e2ncia com a sua atribui\u00e7\u00e3o de prestar apoio \u00e0 coopera\u00e7\u00e3o operacional no \u00e2mbito da rede de CSIRT, a<\/p>\n\n\n\n
ENISA dever\u00e1 estar apta a prestar apoio aos Estados-Membros, a pedido destes, nomeadamente aconselhando-os sobre a forma de refor\u00e7arem as suas capacidades de preven\u00e7\u00e3o, dete\u00e7\u00e3o e resposta a incidentes, facilitando o tratamento t\u00e9cnico de incidentes com um impacto significativo ou substancial ou assegurando a an\u00e1lise de ciberamea\u00e7as e incidentes. A ENISA dever\u00e1 facilitar o tratamento t\u00e9cnico de incidentes com um impacto significativo ou substancial, em particular, apoiando a partilha volunt\u00e1ria de solu\u00e7\u00f5es t\u00e9cnicas entre os Estados-Membros ou produzindo informa\u00e7\u00f5es t\u00e9cnicas combinadas, designadamente solu\u00e7\u00f5es t\u00e9cnicas partilhadas pelos Estados-Membros a t\u00edtulo volunt\u00e1rio. A Recomenda\u00e7\u00e3o (UE) 2017\/1584 recomenda que os Estados-Membros cooperem de boa-f\u00e9 e partilhem entre si e com a ENISA, sem atrasos injustificados, informa\u00e7\u00f5es sobre incidentes e crises em grande escala relacionados com a ciberseguran\u00e7a. Essas informa\u00e7\u00f5es deveriam ajudar a ENISA no exerc\u00edcio das suas atribui\u00e7\u00f5es de apoio \u00e0 coopera\u00e7\u00e3o operacional.<\/p>\n\n\n\n
(35) Como parte da coopera\u00e7\u00e3o regular a n\u00edvel t\u00e9cnico para apoiar o conhecimento da situa\u00e7\u00e3o na Uni\u00e3o, a ENISA dever\u00e1, em estreita colabora\u00e7\u00e3o com os Estados-Membros, elaborar regularmente um relat\u00f3rio aprofundado sobre a situa\u00e7\u00e3o t\u00e9cnica da ciberseguran\u00e7a na Uni\u00e3o quanto a incidentes e ciberamea\u00e7as, baseando-se em informa\u00e7\u00f5es publicamente dispon\u00edveis, nas suas pr\u00f3prias an\u00e1lises e em relat\u00f3rios com ela partilhados pelas CSIRT dos Estados-<\/p>\n\n\n\n
-Membros ou pelos pontos de contacto \u00fanicos nacionais para a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o (a seguir designados \u00abponto de contacto \u00fanico\u00bb) previstos na Diretiva (UE) 2016\/1148, ambos numa base volunt\u00e1ria, pelo Centro Europeu da Cibercriminalidade (EC3) da Europol, pela CERT-UE e, se pertinente, pelo Centro de<\/p>\n\n\n\n
Situa\u00e7\u00e3o e de Informa\u00e7\u00f5es da UE (INTCEN) do Servi\u00e7o Europeu para a A\u00e7\u00e3o Externa. O referido relat\u00f3rio dever\u00e1 ser disponibilizado ao Conselho, \u00e0 Comiss\u00e3o, ao Alto Representante da Uni\u00e3o para os Neg\u00f3cios Estrangeiros e a<\/p>\n\n\n\n
Pol\u00edtica de Seguran\u00e7a e \u00e0 rede de CSIRT.<\/p>\n\n\n\n
(36) O apoio prestado pela ENISA, a pedido dos Estados-Membros em causa, em inqu\u00e9ritos t\u00e9cnicos ex post a incidentes com impacto significativo ou substancial dever\u00e1 concentrar-se na preven\u00e7\u00e3o de futuros incidentes. Os Estados-<\/p>\n\n\n\n
-Membros em causa dever\u00e3o fornecer as informa\u00e7\u00f5es e a assist\u00eancia necess\u00e1rias para que a ENISA possa apoiar eficazmente o inqu\u00e9rito t\u00e9cnico ex post.<\/p>\n\n\n\n
(37) Os Estados-Membros poder\u00e3o convidar as empresas afetadas pelo incidente a cooperarem mediante o fornecimento das informa\u00e7\u00f5es e da assist\u00eancia necess\u00e1rias \u00e0 ENISA, sem preju\u00edzo do seu direito de protegerem as informa\u00e7\u00f5es comercialmente sens\u00edveis e as informa\u00e7\u00f5es relevantes para a seguran\u00e7a p\u00fablica.<\/p>\n\n\n\n
(38) Para compreender melhor os desafios no dom\u00ednio da ciberseguran\u00e7a, e com vista a prestar aconselhamento estrat\u00e9gico de longo prazo aos Estados-Membros e \u00e0s institui\u00e7\u00f5es, aos \u00f3rg\u00e3os e organismos da Uni\u00e3o, a ENISA necessita de analisar os riscos atuais e emergentes para a ciberseguran\u00e7a. Para o efeito, a ENISA dever\u00e1, em coopera\u00e7\u00e3o com os Estados-Membros e, se pertinente, com institutos de estat\u00edstica e outros organismos, recolher informa\u00e7\u00f5es relevantes publicamente dispon\u00edveis ou partilhadas a t\u00edtulo volunt\u00e1rio, analisar tecnologias emergentes e fornecer avalia\u00e7\u00f5es dos t\u00f3picos espec\u00edficos sobre o poss\u00edvel impacto societal, jur\u00eddico, econ\u00f3mico e regulamentar das inova\u00e7\u00f5es tecnol\u00f3gicas sobre a seguran\u00e7a das redes e da informa\u00e7\u00e3o, nomeadamente sobre a ciberseguran\u00e7a.<\/p>\n\n\n\n
Al\u00e9m disso, a ENISA dever\u00e1 apoiar os Estados-Membros e as institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o na identifica\u00e7\u00e3o dos riscos emergentes para a ciberseguran\u00e7a e na preven\u00e7\u00e3o dos incidentes, mediante a an\u00e1lise das ciberamea\u00e7as, das vulnerabilidades e dos incidentes.<\/p>\n\n\n\n
(39) A fim de aumentar a resili\u00eancia da Uni\u00e3o, a ENISA dever\u00e1 desenvolver conhecimentos especializados no dom\u00ednio da ciberseguran\u00e7a das infraestruturas, designadamente, em apoio dos setores enumerados no anexo II da Diretiva (UE) 2016\/1148 e das infraestruturas que s\u00e3o utilizadas pelos prestadores dos servi\u00e7os digitais enumerados no anexo III da mesma diretiva, prestando aconselhamento, emitindo orienta\u00e7\u00f5es e procedendo ao interc\u00e2mbio das melhores pr\u00e1ticas. Com vista a assegurar um acesso mais f\u00e1cil a informa\u00e7\u00f5es mais bem estruturadas sobre os riscos para a ciberseguran\u00e7a e as eventuais solu\u00e7\u00f5es, a ENISA dever\u00e1 desenvolver e manter o \u00abpolo de informa\u00e7\u00e3o\u00bb da Uni\u00e3o, um portal \u00fanico que preste ao p\u00fablico informa\u00e7\u00f5es sobre ciberseguran\u00e7a provenientes das institui\u00e7\u00f5es, dos \u00f3rg\u00e3os e dos organismos da Uni\u00e3o e nacionais. Facilitar o acesso a informa\u00e7\u00f5es mais bem estruturadas sobre os riscos para a ciberseguran\u00e7a e as eventuais solu\u00e7\u00f5es tamb\u00e9m pode ajudar os Estados-Membros a refor\u00e7ar as suas capacidades e alinhar as suas pr\u00e1ticas, aumentando, assim, a sua resili\u00eancia geral aos ciberataques.<\/p>\n\n\n\n
(40) A ENISA dever\u00e1 contribuir para a sensibiliza\u00e7\u00e3o do p\u00fablico para os riscos para a ciberseguran\u00e7a, incluindo atrav\u00e9s de uma campanha de sensibiliza\u00e7\u00e3o a n\u00edvel da Uni\u00e3o promovendo a educa\u00e7\u00e3o, e dever\u00e1 fornecer orienta\u00e7\u00f5es destinadas aos cidad\u00e3os, \u00e0s organiza\u00e7\u00f5es e \u00e0s empresas sobre as boas pr\u00e1ticas para utilizadores individuais. A ENISA dever\u00e1 tamb\u00e9m contribuir para promover as melhores pr\u00e1ticas e solu\u00e7\u00f5es, incluindo a ciber-higiene e a ciberliteracia, a n\u00edvel dos cidad\u00e3os, organiza\u00e7\u00f5es e empresas, recolhendo e analisando informa\u00e7\u00f5es publicamente dispon\u00edveis relativas a incidentes importantes e coligindo e publicando relat\u00f3rios e orienta\u00e7\u00f5es destinados aoscidad\u00e3os, \u00e0s organiza\u00e7\u00f5es e \u00e0s empresas, a fim de a melhorar o seu n\u00edvel geral de prepara\u00e7\u00e3o e resili\u00eancia. A ENISA dever\u00e1 igualmente procurar prestar aos consumidores informa\u00e7\u00f5es pertinentes sobre os sistemas de certifica\u00e7\u00e3o aplic\u00e1veis, por exemplo, emitindo orienta\u00e7\u00f5es e recomenda\u00e7\u00f5es. Al\u00e9m disso, a ENISA dever\u00e1 organizar, em conformidade com o Plano de A\u00e7\u00e3o para a Educa\u00e7\u00e3o Digital criado pela Comunica\u00e7\u00e3o da Comiss\u00e3o de 17 de janeiro de 2018, e em coopera\u00e7\u00e3o com os Estados-Membros e as institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o, ac\u00e7\u00f5es de sensibiliza\u00e7\u00e3o e campanhas p\u00fablicas de informa\u00e7\u00e3o regulares destinadas aos utilizadores finais, a fim de promover comportamentos individuais em linha mais seguros e a literacia digital, de sensibilizar para as potenciais ciberamea\u00e7as, incluindo atividades criminosas em linha, como os ataques de mistifica\u00e7\u00e3o da interface (phishing), as redes de computadores infetados (botnets), as fraudes financeiras e banc\u00e1rias e a falsifica\u00e7\u00e3o de dados, e de prestar aconselhamento b\u00e1sico, sobre a autentica\u00e7\u00e3o multifatores, o patching, a cifragem, a anonimiza\u00e7\u00e3o e a prote\u00e7\u00e3o de dados.<\/p>\n\n\n\n
(41) A ENISA dever\u00e1 desempenhar um papel central na r\u00e1pida sensibiliza\u00e7\u00e3o dos utilizadores finais para a seguran\u00e7a dos dispositivos e para uma utiliza\u00e7\u00e3o segura dos servi\u00e7os, e dever\u00e1 promover, a n\u00edvel da Uni\u00e3o, a seguran\u00e7a desde a conce\u00e7\u00e3o e a privacidade desde a conce\u00e7\u00e3o. Na consecu\u00e7\u00e3o deste objetivo, a ENISA dever\u00e1 recorrer \u00e0s melhores pr\u00e1ticas e experi\u00eancias dispon\u00edveis, especialmente de institui\u00e7\u00f5es acad\u00e9micas e investigadores no dom\u00ednio da seguran\u00e7a inform\u00e1tica.<\/p>\n\n\n\n
(42) A fim de apoiar as empresas que operam no setor da ciberseguran\u00e7a, bem como os utilizadores de solu\u00e7\u00f5es de ciberseguran\u00e7a, a ENISA dever\u00e1 desenvolver e manter um \u00abobservat\u00f3rio do mercado\u00bb mediante a realiza\u00e7\u00e3o de an\u00e1lises regulares e a divulga\u00e7\u00e3o das principais tend\u00eancias no mercado da ciberseguran\u00e7a, tanto do lado da procura como da oferta.<\/p>\n\n\n\n
(43) A ENISA dever\u00e1 contribuir para os esfor\u00e7os da Uni\u00e3o para cooperar com organiza\u00e7\u00f5es internacionais, bem como no \u00e2mbito de quadros de coopera\u00e7\u00e3o internacional relevantes no dom\u00ednio da ciberseguran\u00e7a. Em particular, a ENISA dever\u00e1, quando se justificar, contribuir para a coopera\u00e7\u00e3o com organiza\u00e7\u00f5es como a OCDE, a OSCE e a OTAN. Tal coopera\u00e7\u00e3o poder\u00e1 compreender exerc\u00edcios conjuntos de ciberseguran\u00e7a e de coordena\u00e7\u00e3o da resposta a incidentes. Nesse contexto, haver\u00e1 que assegurar o pleno respeito dos princ\u00edpios da inclusividade, da reciprocidade e da autonomia de decis\u00e3o da Uni\u00e3o, sem preju\u00edzo do car\u00e1ter espec\u00edfico da pol\u00edtica de seguran\u00e7a e defesa de qualquer dos Estados-Membros.<\/p>\n\n\n\n
(44) A fim de assegurar a plena realiza\u00e7\u00e3o dos seus objetivos, a ENISA dever\u00e1 estabelecer liga\u00e7\u00f5es com as autoridades de supervis\u00e3o e outras autoridades competentes na Uni\u00e3o, as institui\u00e7\u00f5es, os \u00f3rg\u00e3os e os organismos da Uni\u00e3o, incluindo a CERT-UE, o EC3, a Ag\u00eancia Europeia de Defesa (AED), a Ag\u00eancia do sistema global de navega\u00e7\u00e3o por sat\u00e9lite (Ag\u00eancia do GNSS Europeu), o Organismo de Reguladores Europeus das Comunica\u00e7\u00f5es Eletr\u00f3nicas (ORECE), a Ag\u00eancia Europeia para a Gest\u00e3o Operacional de Sistemas Inform\u00e1ticos de Grande Escala no Espa\u00e7o de Liberdade, Seguran\u00e7a e Justi\u00e7a (eu-LISA), o Banco Central Europeu (BCE), a Autoridade Banc\u00e1ria Europeia (EBA), o Comit\u00e9 Europeu para a Prote\u00e7\u00e3o de Dados (CEPD), a Ag\u00eancia de Coopera\u00e7\u00e3o dos Reguladores da Energia (ACER), a Ag\u00eancia Europeia para a Seguran\u00e7a da Avia\u00e7\u00e3o (AESA) e qualquer outro organismo da Uni\u00e3o que esteja envolvido na ciberseguran\u00e7a. A ENISA dever\u00e1 ainda estabelecer liga\u00e7\u00f5es com autoridades com responsabilidades no dom\u00ednio da prote\u00e7\u00e3o de dados, a fim de partilhar conhecimentos especializados e melhores pr\u00e1ticas e dever\u00e1 prestar aconselhamento sobre os aspetos da ciberseguran\u00e7a suscet\u00edveis de afetarem o trabalho dessas autoridades. Dever\u00e3o poder participar no grupo consultivo da ENISA representantes das autoridades nacionais e da Uni\u00e3o encarregadas do controlo da aplica\u00e7\u00e3o da lei e da prote\u00e7\u00e3o de dados. Ao estabelecer liga\u00e7\u00f5es com as autoridades encarregadas docontrolo da aplica\u00e7\u00e3o da lei sobre os aspetos de seguran\u00e7a das redes e da informa\u00e7\u00e3o que possam afetar o seu trabalho, a ENISA dever\u00e1 respeitar os canais de informa\u00e7\u00e3o existentes e as redes estabelecidas.<\/p>\n\n\n\n
(45) Poder\u00e3o ser estabelecidas parcerias com institui\u00e7\u00f5es acad\u00e9micas que desenvolvam iniciativas de investiga\u00e7\u00e3o nos dom\u00ednios relevantes, e os contributos das associa\u00e7\u00f5es de consumidores e de outras organiza\u00e7\u00f5es dever\u00e3o dispor de canais adequados e ser tomados em considera\u00e7\u00e3o.<\/p>\n\n\n\n
(46) A ENISA, ao assegurar o servi\u00e7o de secretariado da rede de CSIRT, dever\u00e1 apoiar as CSIRT dos Estados-Membros e a CERT-UE na coopera\u00e7\u00e3o operacional no que se refere \u00e0s atribui\u00e7\u00f5es relevantes da rede de CSIRT, referidas na Diretiva (UE) 2016\/1148. Al\u00e9m disso, a ENISA dever\u00e1 promover e apoiar a coopera\u00e7\u00e3o entre as CSIRT pertinentes em caso de incidentes, ataques ou perturba\u00e7\u00f5es nas redes ou infraestruturas por estas geridas ou protegidas e que impliquem, ou sejam capazes de implicar, pelo menos duas CSIRT, tendo simultaneamente na devida conta os procedimentos operacionais normalizados da rede de CSIRT.<\/p>\n\n\n\n
(47) Com vista a elevar o grau de prepara\u00e7\u00e3o da Uni\u00e3o na resposta aos incidentes, a ENISA dever\u00e1 organizar regularmente exerc\u00edcios de ciberseguran\u00e7a a n\u00edvel da Uni\u00e3o e, a seu pedido, apoiar os Estados-Membros e as institui\u00e7\u00f5es, os \u00f3rg\u00e3os e os organismos da Uni\u00e3o na organiza\u00e7\u00e3o de tais exerc\u00edcios. De dois em dois anos, dever\u00e3o ser organizados exerc\u00edcios abrangentes em grande escala, que incluam elementos t\u00e9cnicos, operacionais ou estrat\u00e9gicos.<\/p>\n\n\n\n
Al\u00e9m disso, a ENISA dever\u00e1 poder organizar regularmente exerc\u00edcios menos abrangentes com o mesmo objetivo de aumentar o grau de prepara\u00e7\u00e3o da Uni\u00e3o para dar resposta a incidentes.<\/p>\n\n\n\n
(48) A ENISA dever\u00e1 ainda desenvolver e manter os seus conhecimentos especializados em mat\u00e9ria de certifica\u00e7\u00e3o da ciberseguran\u00e7a, com vista a apoiar a pol\u00edtica da Uni\u00e3o neste dom\u00ednio. A ENISA dever\u00e1 basear-se nas melhores pr\u00e1ticas existentes e promover a ado\u00e7\u00e3o da certifica\u00e7\u00e3o da ciberseguran\u00e7a na Uni\u00e3o, nomeadamente contribuindo para a cria\u00e7\u00e3o e manuten\u00e7\u00e3o de um enquadramento para a certifica\u00e7\u00e3o da ciberseguran\u00e7a a n\u00edvel da Uni\u00e3o (a seguir designado \u00abenquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a\u00bb) com vista a aumentar a transpar\u00eancia no que respeita \u00e0 garantia da ciberseguran\u00e7a dos produtos, servi\u00e7os e processos de TIC e, desta forma, refor\u00e7ar a confian\u00e7a e a competitividade no mercado interno digital.<\/p>\n\n\n\n
(49) As pol\u00edticas de ciberseguran\u00e7a eficientes dever\u00e3o basear-se em m\u00e9todos bem desenvolvidos de avalia\u00e7\u00e3o dos riscos, tanto no setor p\u00fablico quanto no setor privado. Os m\u00e9todos de avalia\u00e7\u00e3o dos riscos s\u00e3o utilizados a diferentes n\u00edveis, sem que exista uma pr\u00e1tica comum para a sua aplica\u00e7\u00e3o eficiente. A promo\u00e7\u00e3o e o desenvolvimento de melhores pr\u00e1ticas em mat\u00e9ria de avalia\u00e7\u00e3o dos riscos e de solu\u00e7\u00f5es interoper\u00e1veis de gest\u00e3o de riscos nas organiza\u00e7\u00f5es dos setores p\u00fablico e privado elevar\u00e3o o n\u00edvel de ciberseguran\u00e7a na Uni\u00e3o. Para esse efeito, a ENISA dever\u00e1 apoiar a coopera\u00e7\u00e3o entre as partes interessadas a n\u00edvel da Uni\u00e3o e facilitar os seus esfor\u00e7os no que respeita \u00e0 cria\u00e7\u00e3o e \u00e0 aplica\u00e7\u00e3o de normas europeias e internacionais em mat\u00e9ria de gest\u00e3o dos riscos e de seguran\u00e7a mensur\u00e1vel dos produtos, sistemas, redes e servi\u00e7os eletr\u00f3nicos que, juntamente com os suportes l\u00f3gicos, constituem as redes e os sistemas de informa\u00e7\u00e3o.<\/p>\n\n\n\n
(50) A ENISA dever\u00e1 encorajar os Estados-Membros, os fabricantes de produtos de TIC, os prestadores de servi\u00e7os de TIC e os fornecedores de processos de TIC a refor\u00e7arem as suas normas gerais de seguran\u00e7a, para que todos os utilizadores da internet possam tomar as medidas necess\u00e1rias para assegurar a sua pr\u00f3pria ciberseguran\u00e7a e dever\u00e3o receber incentivos para tal. Concretamente, os fabricantes de produtos de TIC, os prestadores de servi\u00e7os de TIC e os fornecedores de processos de TIC dever\u00e3o assegurar as atualiza\u00e7\u00f5es necess\u00e1rias e recolher, retirar ou reciclar os produtos e os servi\u00e7os ou processos de TIC que n\u00e3o cumpram as normas de ciberseguran\u00e7a, enquanto os importadores e distribuidores dever\u00e3o assegurar que os produtos, os servi\u00e7os e os processos de TIC que colocam no mercado da Uni\u00e3o cumpram os requisitos aplic\u00e1veis e n\u00e3o comportem riscos para os consumidores da Uni\u00e3o.<\/p>\n\n\n\n
(51) Em coopera\u00e7\u00e3o com as autoridades competentes, a ENISA dever\u00e1 poder divulgar informa\u00e7\u00f5es relativas ao n\u00edvel de ciberseguran\u00e7a dos produtos, servi\u00e7os e processos de TIC disponibilizados no mercado interno e emitir alertas que visem os fabricantes de produtos de TIC, os prestadores de servi\u00e7os de TIC e os fornecedores de processos de TIC e solicitar-lhes que reforcem a seguran\u00e7a dos seus produtos, servi\u00e7os e processos de TIC, incluindo a ciberseguran\u00e7a.<\/p>\n\n\n\n
(52) A ENISA dever\u00e1 ter plenamente em conta as atividades de investiga\u00e7\u00e3o, desenvolvimento e avalia\u00e7\u00e3o tecnol\u00f3gica em curso, em especial as realizadas pelas diversas iniciativas de investiga\u00e7\u00e3o da Uni\u00e3o, a fim de aconselhar as institui\u00e7\u00f5es e os \u00f3rg\u00e3os e organismos da Uni\u00e3o e, se se justificar, os Estados-Membros, a pedido destes, sobre as necessidades e prioridades de investiga\u00e7\u00e3o no dom\u00ednio da ciberseguran\u00e7a. A fim de identificar as necessidades e prioridades de investiga\u00e7\u00e3o, a ENISA dever\u00e1 igualmente consultar os grupos de utilizadores pertinentes. Mais especificamente, poder\u00e1 estabelecer-se a coopera\u00e7\u00e3o com o Conselho Europeu de Investiga\u00e7\u00e3o, o Instituto Europeu de Inova\u00e7\u00e3o e Tecnologia e o Instituto de Estudos de Seguran\u00e7a da Uni\u00e3o Europeia.<\/p>\n\n\n\n
(53) A ENISA dever\u00e1 consultar com regularidade os organismos de normaliza\u00e7\u00e3o, em particular os organismos europeus de normaliza\u00e7\u00e3o, nomeadamente aquando da elabora\u00e7\u00e3o dos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
(54) As ciberamea\u00e7as constituem um problema mundial. \u00c9 necess\u00e1rio refor\u00e7ar a coopera\u00e7\u00e3o internacional a fim de aperfei\u00e7oar as normas de ciberseguran\u00e7a, incluindo a necessidade de contar com a defini\u00e7\u00e3o de normas comuns de comportamento e a ado\u00e7\u00e3o de c\u00f3digos de conduta, a aplica\u00e7\u00e3o de normas internacionais e a partilha de informa\u00e7\u00f5es, promovendo assim uma colabora\u00e7\u00e3o internacional mais c\u00e9lere na resposta aos problemas de seguran\u00e7a das redes e da informa\u00e7\u00e3o, bem como uma abordagem global comum desses problemas. Para esse efeito, a ENISA dever\u00e1 apoiar um maior envolvimento e coopera\u00e7\u00e3o da Uni\u00e3o com os pa\u00edses terceiros e com as organiza\u00e7\u00f5es internacionais fornecendo, quando necess\u00e1rio, os conhecimentos especializados e as an\u00e1lises necess\u00e1rias \u00e0s institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos competentes da Uni\u00e3o.<\/p>\n\n\n\n
(55) A ENISA dever\u00e1 estar apta a responder a pedidos ad hoc de aconselhamento e assist\u00eancia da parte dos Estados-Membros e das institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o sobre mat\u00e9rias abrangidas pelo seu mandato.<\/p>\n\n\n\n
(56) \u00c9 sensato e recomend\u00e1vel aplicar certos princ\u00edpios relativos \u00e0 governa\u00e7\u00e3o da ENISA a fim de dar cumprimento \u00e0 Declara\u00e7\u00e3o Comum e \u00e0 Abordagem Comum acordadas em julho de 2012 pelo Grupo de Trabalho Interinstitucional sobre as ag\u00eancias descentralizadas da Uni\u00e3o, cujo objetivo consiste em racionalizar as atividades das ag\u00eancias descentralizadas e melhorar o seu desempenho. As recomenda\u00e7\u00f5es constantes da Declara\u00e7\u00e3o Comum e da Abordagem Comum dever\u00e3o tamb\u00e9m ser refletidas, conforme adequado, nos programas de trabalho, nas avalia\u00e7\u00f5es, na elabora\u00e7\u00e3o dos relat\u00f3rios e nas pr\u00e1ticas administrativas da ENISA.<\/p>\n\n\n\n
(57) O conselho de administra\u00e7\u00e3o, composto por representantes dos Estados-Membros e da Comiss\u00e3o, dever\u00e1 estabelecer a orienta\u00e7\u00e3o geral das opera\u00e7\u00f5es da ENISA e garantir que esta exer\u00e7a as suas atribui\u00e7\u00f5es de acordo com o presente regulamento. O conselho de administra\u00e7\u00e3o dever\u00e1 ser dotado dos poderes necess\u00e1rios para elaborar o or\u00e7amento, verificar a sua execu\u00e7\u00e3o, aprovar as regras financeiras adequadas, estabelecer procedimentos de trabalho transparentes para o processo decis\u00f3rio da ENISA, aprovar o documento \u00fanico de programa\u00e7\u00e3o da ENISA, aprovar o seu pr\u00f3prio regulamento interno, nomear o diretor executivo e decidir da prorroga\u00e7\u00e3o ou do termo do mandato<\/p>\n\n\n\n
deste \u00faltimo.<\/p>\n\n\n\n
(58) Para o funcionamento correto e eficaz da ENISA, a Comiss\u00e3o e os Estados-Membros dever\u00e3o assegurar que as pessoas nomeadas para o conselho de administra\u00e7\u00e3o tenham as compet\u00eancias profissionais especializadas e a experi\u00eancia adequadas. A Comiss\u00e3o e os Estados-Membros dever\u00e3o tamb\u00e9m procurar limitar a rota\u00e7\u00e3o dos seus representantes no conselho de administra\u00e7\u00e3o, a fim de assegurar a continuidade do trabalho deste \u00f3rg\u00e3o.<\/p>\n\n\n\n
(59) O bom funcionamento da ENISA exige que o seu diretor executivo seja nomeado com base no m\u00e9rito e em compet\u00eancias administrativas e de gest\u00e3o documentadas, bem como na compet\u00eancia e experi\u00eancia relevantes para a ciberseguran\u00e7a. As fun\u00e7\u00f5es do diretor executivo dever\u00e3o ser exercidas com total independ\u00eancia. O diretor executivo dever\u00e1 preparar uma proposta de programa de trabalho anual da ENISA, ap\u00f3s consulta \u00e0 Comiss\u00e3o, e tomar todas as medidas necess\u00e1rias para garantir a boa execu\u00e7\u00e3o do programa de trabalho. O diretor executivo dever\u00e1 preparar um relat\u00f3rio anual que cubra a execu\u00e7\u00e3o do programa de trabalho anual da ENISA, a apresentar ao conselho de administra\u00e7\u00e3o, elaborar um projeto de mapa previsional das receitas e despesas da ENISA e executar o or\u00e7amento.<\/p>\n\n\n\n
Al\u00e9m disso, o diretor executivo dever\u00e1 ter a possibilidade de criar grupos de trabalho ad hoc para quest\u00f5es espec\u00edficas, designadamente de natureza cient\u00edfica, t\u00e9cnica, legal ou socioecon\u00f3mica. Em especial no que diz respeito \u00e0 prepara\u00e7\u00e3o de um projeto de sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a espec\u00edfico (a seguir designado \u00abprojeto de sistema\u00bb), \u00e9 considerada necess\u00e1ria a cria\u00e7\u00e3o de um grupo de trabalho ad hoc. O director executivo dever\u00e1 assegurar que os membros dos grupos de trabalho ad hoc sejam selecionados segundo os mais elevados padr\u00f5es de especializa\u00e7\u00e3o, com o objetivo de assegurar o equil\u00edbrio entre os g\u00e9neros e uma representa\u00e7\u00e3o equilibrada, em fun\u00e7\u00e3o das quest\u00f5es espec\u00edficas em causa, entre as administra\u00e7\u00f5es p\u00fablicas dos Estados-Membros, as institui\u00e7\u00f5es, os \u00f3rg\u00e3os e organismos da Uni\u00e3o e o setor privado, incluindo empresas, utilizadores e acad\u00e9micos especializados em seguran\u00e7a das redes e da informa\u00e7\u00e3o.<\/p>\n\n\n\n
(60) A comiss\u00e3o executiva dever\u00e1 contribuir para o funcionamento eficaz do conselho de administra\u00e7\u00e3o. No \u00e2mbito do seu trabalho preparat\u00f3rio relacionado com as decis\u00f5es do conselho de administra\u00e7\u00e3o, o conselho executivo dever\u00e1 examinar pormenorizadamente as informa\u00e7\u00f5es pertinentes, explorar as op\u00e7\u00f5es dispon\u00edveis e disponibilizar aconselhamento e solu\u00e7\u00f5es para preparar as decis\u00f5es do conselho de administra\u00e7\u00e3o.<\/p>\n\n\n\n
(61) A ENISA dever\u00e1 dispor de um grupo consultivo da ENISA, como \u00f3rg\u00e3o consultivo, para assegurar o di\u00e1logo regular com o setor privado, com as associa\u00e7\u00f5es de consumidores e com outras partes interessadas. O grupo consultivo da ENISA, criado pelo conselho de administra\u00e7\u00e3o sob proposta do diretor executivo, dever\u00e1 concentrar-se em quest\u00f5es pertinentes para as partes interessadas e submet\u00ea-las \u00e0 aprecia\u00e7\u00e3o da ENISA. Esse grupo consultivo dever\u00e1 ser consultado particularmente no que diz respeito ao projeto de programa de trabalho anual da ENISA. A composi\u00e7\u00e3o do grupo consultivo da ENISA e as atribui\u00e7\u00f5es que lhe s\u00e3o conferidas dever\u00e3o assegurar uma representa\u00e7\u00e3o suficiente das partes interessadas.<\/p>\n\n\n\n
(62) Dever\u00e1 ser criado o grupo das partes interessadas para a certifica\u00e7\u00e3o da ciberseguran\u00e7a a fim de ajudar a ENISA e a Comiss\u00e3o a facilitarem a consulta das partes interessadas. Esse grupo dever\u00e1 ser constitu\u00eddo por membros que representem o setor numa propor\u00e7\u00e3o equilibrada, tanto do lado da procura como do lado da oferta de produtos e servi\u00e7os de TIC, incluindo, em especial, as PME, os prestadores de servi\u00e7os digitais, os organismos de normaliza\u00e7\u00e3o europeus e internacionais, os organismos nacionais de acredita\u00e7\u00e3o, as autoridades de supervis\u00e3o da prote\u00e7\u00e3o de dados, e os organismos de avalia\u00e7\u00e3o da conformidade, de acordo com disposto no Regulamento (CE) n.o 765\/2008 do Parlamento Europeu e do Conselho (16), e o meio acad\u00e9mico, bem como as organiza\u00e7\u00f5es de consumidores.<\/p>\n\n\n\n
(63) A ENISA dever\u00e1 dispor de regras em mat\u00e9ria de preven\u00e7\u00e3o e gest\u00e3o de conflitos de interesses. A ENISA dever\u00e1 igualmente aplicar as disposi\u00e7\u00f5es relevantes da Uni\u00e3o sobre o acesso do p\u00fablico a documentos previstas no Regulamento (CE) n.o 1049\/2001 do Parlamento Europeu e do Conselho (17). O tratamento de dados pessoais por parte da ENISA dever\u00e1 estar sujeito ao disposto no Regulamento (UE) 2018\/1725 do Parlamento Europeu e do Conselho (18). A ENISA dever\u00e1 respeitar as disposi\u00e7\u00f5es aplic\u00e1veis \u00e0s institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o e a legisla\u00e7\u00e3o nacional relativa ao tratamento de informa\u00e7\u00f5es, nomeadamente de informa\u00e7\u00f5es sens\u00edveis n\u00e3o classificadas e de informa\u00e7\u00f5es classificadas da Uni\u00e3o Europeia (ICUE).<\/p>\n\n\n\n
(64) A fim de assegurar a plena autonomia e independ\u00eancia da ENISA e de lhe permitir exercer atribui\u00e7\u00f5es adicionais, incluindo atribui\u00e7\u00f5es de emerg\u00eancia imprevistas, a ENISA dever\u00e1 ser dotada de um or\u00e7amento aut\u00f3nomo suficiente cujas receitas provenham essencialmente de uma contribui\u00e7\u00e3o da Uni\u00e3o e de contribui\u00e7\u00f5es dos pa\u00edses terceiros que participem nos trabalhos da ENISA. \u00c9 fundamental dispor de um or\u00e7amento adequado para garantir que a ENISA tenha capacidade suficiente para exercer cabalmente as suas crescentes atribui\u00e7\u00f5es e atingir os seus objetivos. A maior parte do pessoal da ENISA dever\u00e1 estar diretamente implicada na execu\u00e7\u00e3o operacional do mandato da Ag\u00eancia. O Estado-Membro de acolhimento, e qualquer outro Estado-Membro, dever\u00e1 poder contribuir voluntariamente para as receitas da ENISA. O procedimento or\u00e7amental da Uni\u00e3o dever\u00e1 permanecer aplic\u00e1vel no que diz respeito a todas as subven\u00e7\u00f5es imputadas ao or\u00e7amento geral da Uni\u00e3o. Al\u00e9m disso, o Tribunal de Contas dever\u00e1 proceder \u00e0 auditoria das contas da ENISA, a fim de assegurar a transpar\u00eancia e a responsabiliza\u00e7\u00e3o.<\/p>\n\n\n\n
(65) A certifica\u00e7\u00e3o da ciberseguran\u00e7a desempenha um papel importante no aumento da confian\u00e7a e seguran\u00e7a dos produtos, servi\u00e7os e processos de TIC. O mercado \u00fanico digital e, em especial, a economia dos dados e a IdC, apenas pode prosperar se houver uma confian\u00e7a p\u00fablica generalizada em que esses produtos, servi\u00e7os e processos forne\u00e7am um determinado n\u00edvel de ciberseguran\u00e7a. Os autom\u00f3veis conectados e automatizados, os dispositivos m\u00e9dicos eletr\u00f3nicos, os sistemas de controlo da automa\u00e7\u00e3o industrial ou as redes inteligentes s\u00e3o apenas alguns<\/p>\n\n\n\n
exemplos de setores nos quais a certifica\u00e7\u00e3o \u00e9 j\u00e1 amplamente utilizada ou suscet\u00edvel de o vir a ser no futuro pr\u00f3ximo. Os setores regulados pela Diretiva (UE) 2016\/1148 s\u00e3o tamb\u00e9m setores nos quais a certifica\u00e7\u00e3o da ciberseguran\u00e7a \u00e9 crucial.<\/p>\n\n\n\n
(66) Na comunica\u00e7\u00e3o de 2016 intitulada \u00abRefor\u00e7ar o sistema de ciber-resili\u00eancia da Europa e promover uma ind\u00fastria de ciberseguran\u00e7a competitiva e inovadora\u00bb, a Comiss\u00e3o salientou a necessidade de se dispor de produtos e solu\u00e7\u00f5es de ciberseguran\u00e7a de elevada qualidade, a pre\u00e7os acess\u00edveis e interoper\u00e1veis. O fornecimento de produtos, servi\u00e7os e processos de TIC no mercado \u00fanico continua a ser geograficamente muito fragmentado. Esta circunst\u00e2ncia deve-se ao facto de a ind\u00fastria da ciberseguran\u00e7a na Europa e ter desenvolvido essencialmente com base na procura p\u00fablica nacional. Al\u00e9m disso, a falta de solu\u00e7\u00f5es interoper\u00e1veis (normas t\u00e9cnicas), de pr\u00e1ticas e mecanismos de certifica\u00e7\u00e3o \u00e0 escala da Uni\u00e3o s\u00e3o outras das lacunas que afetam o mercado \u00fanico no dom\u00ednio da ciberseguran\u00e7a. Esta situa\u00e7\u00e3o reduz a capacidade concorrencial das empresas europeias a n\u00edvel nacional, da Uni\u00e3o e mundial e a escolha de tecnologias de ciberseguran\u00e7a vi\u00e1veis e utiliz\u00e1veis a que os cidad\u00e3os e as empresas t\u00eam acesso. De igual modo, na Comunica\u00e7\u00e3o de 2017 sobre a revis\u00e3o intercalar relativa \u00e0 aplica\u00e7\u00e3o da Estrat\u00e9gia para o Mercado \u00danico Digital \u2014 \u00abUm Mercado \u00danico Digital Conectado para todos\u00bb, a Comiss\u00e3o salientou a necessidade de dispor de produtos e sistemas conectados seguros e indicou que a cria\u00e7\u00e3o de um enquadramento europeu de seguran\u00e7a das TIC que defina regras sobre o modo de organizar a certifica\u00e7\u00e3o da seguran\u00e7a das TIC na Uni\u00e3o poderia preservar a confian\u00e7a na internet e resolver a atual fragmenta\u00e7\u00e3o do mercado interno.<\/p>\n\n\n\n
(67) Atualmente, a certifica\u00e7\u00e3o da ciberseguran\u00e7a de produtos, servi\u00e7os e processos de TIC \u00e9 utilizada apenas de forma limitada. Quando existe, verifica-se na sua maioria a n\u00edvel do Estado-Membro ou no \u00e2mbito de sistemas impulsionados pela ind\u00fastria. Neste contexto, um certificado emitido por uma autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a n\u00e3o \u00e9, em princ\u00edpio, reconhecido noutros Estados-Membros. Por conseguinte, as empresas poder\u00e3o ter de certificar os seus produtos, servi\u00e7os e processos de TIC nos v\u00e1rios Estados-Membros onde operam, nomeadamente com vista a participar em processo nacionais de adjudica\u00e7\u00e3o de contratos, o que representa custos suplementares para as empresas. Acresce que, embora estejam a surgir novos sistemas, parece n\u00e3o existir uma abordagem coerente e hol\u00edstica das quest\u00f5es horizontais de ciberseguran\u00e7a, designadamente no dom\u00ednio da IdC. Os sistemas existentes apresentam insufici\u00eancias e diferen\u00e7as consider\u00e1veis em termos de cobertura de produtos, n\u00edveis de garantia, crit\u00e9rios substantivos e utiliza\u00e7\u00e3o efetiva, o que impede a exist\u00eancia de mecanismos de reconhecimento m\u00fatuo no interior da Uni\u00e3o.<\/p>\n\n\n\n
(68) Foram j\u00e1 envidados alguns esfor\u00e7os para assegurar o reconhecimento m\u00fatuo de certificados na Uni\u00e3o. Todavia, tais esfor\u00e7os apenas foram parcialmente bem-sucedidos. O exemplo mais importante a este respeito \u00e9 o acordo de reconhecimento m\u00fatuo (ARM) do Grupo de Altos Funcion\u00e1rios para a Seguran\u00e7a dos Sistemas de Informa\u00e7\u00e3o (SOG-IS). Embora represente o modelo mais importante para coopera\u00e7\u00e3o e reconhecimento m\u00fatuo no dom\u00ednio da certifica\u00e7\u00e3o da seguran\u00e7a, o SOG-IS apenas abrange uma parte dos Estados-Membros. Este facto limitou a efic\u00e1cia do ARM do SOG-IS do ponto de vista do mercado interno.<\/p>\n\n\n\n
(69) Atendendo ao que precede, afigura-se necess\u00e1rio adotar uma abordagem comum e criar um enquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a que estabele\u00e7a os principais requisitos horizontais para os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a a desenvolver e que permita que os certificados de ciberseguran\u00e7a europeus e as declara\u00e7\u00f5es Uni\u00e3o de conformidade dos produtos, servi\u00e7os e processos de TIC sejam reconhecidos e utilizados em todos os Estados-Membros. Para tal, \u00e9 essencial tomar por base os sistemas nacionais e internacionais, bem como sistemas de reconhecimento m\u00fatuo, designadamente o SOG-IS, e permitir uma transi\u00e7\u00e3o harmoniosa dos sistemas existentes para os sistemas aplic\u00e1veis ao abrigo do novo enquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a. O enquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a dever\u00e1 ter uma dupla finalidade: em primeiro lugar, dever\u00e1 ajudar a aumentar a confian\u00e7a nos produtos, servi\u00e7os e processos de TIC que tenham sido certificados ao abrigo dos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a. Em segundo lugar, dever\u00e1 ajudar a evitar a multiplica\u00e7\u00e3o de sistemas nacionais de certifica\u00e7\u00f5es da ciberseguran\u00e7a que entrem em conflito ou que se sobreponham e, desta forma, reduzir os custos a cargo das empresas que operam no mercado \u00fanico digital. Os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a dever\u00e3o ser n\u00e3o discriminat\u00f3rios e basear-se em normas europeias ou internacionais, salvo se tais normas forem ineficazes ou desadequadas para satisfazer os objetivos leg\u00edtimos da Uni\u00e3o a este respeito.<\/p>\n\n\n\n
(70) Dever\u00e1 ser estabelecido um enquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a de forma homog\u00e9nea em todos os Estados-Membros para evitar a procura da certifica\u00e7\u00e3o mais vantajosa (\u00abcertification shopping\u00bb) com base na disparidade dos n\u00edveis de exig\u00eancia existentes entre os diferentes Estados-Membros.<\/p>\n\n\n\n
(71) Os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a dever\u00e3o assentar no que j\u00e1 existe a n\u00edvel internacional e nacional e, se necess\u00e1rio, nas especifica\u00e7\u00f5es t\u00e9cnicas de f\u00f3runs e cons\u00f3rcios, colhendo ensinamentos dos atuais<\/p>\n\n\n\n
pontos fortes e avaliando e corrigindo eventuais pontos fracos.<\/p>\n\n\n\n
(72) S\u00e3o necess\u00e1rias solu\u00e7\u00f5es flex\u00edveis em mat\u00e9ria de ciberseguran\u00e7a para que a ind\u00fastria se antecipe a ciberamea\u00e7as, pelo que os sistemas de certifica\u00e7\u00e3o dever\u00e3o ser concebidos de forma a evitar o risco de ficarem rapidamente desatualizados.<\/p>\n\n\n\n
(73) Dever\u00e3o ser conferidos poderes \u00e0 Comiss\u00e3o para adotar sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a relativamente a grupos espec\u00edficos de produtos, servi\u00e7os e processos de TIC. Esses sistemas dever\u00e3o ser implementados e supervisionados por autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a e os certificados emitidos ao abrigo desses sistemas dever\u00e3o ser v\u00e1lidos e reconhecidos em toda a Uni\u00e3o. Os sistemas de certifica\u00e7\u00e3o geridos pela ind\u00fastria ou outras organiza\u00e7\u00f5es privadas dever\u00e3o ser exclu\u00eddos do \u00e2mbito de aplica\u00e7\u00e3o do presente regulamento.<\/p>\n\n\n\n
Contudo, os organismos que giram tais sistemas dever\u00e3o poder propor \u00e0 Comiss\u00e3o que os considere como base para a aprova\u00e7\u00e3o de sistemas europeus de certifica\u00e7\u00e3o de ciberseguran\u00e7a.<\/p>\n\n\n\n
(74) As disposi\u00e7\u00f5es do presente regulamento dever\u00e3o aplicar-se sem preju\u00edzo do direito da Uni\u00e3o que preveja regras espec\u00edficas em mat\u00e9ria de certifica\u00e7\u00e3o de produtos, servi\u00e7os e processos de TIC. Designadamente, o Regulamento (UE) 2016\/679 estabelece disposi\u00e7\u00f5es para a cria\u00e7\u00e3o de procedimentos de certifica\u00e7\u00e3o e de selos e marcas de prote\u00e7\u00e3o de dados, para efeitos de comprova\u00e7\u00e3o da conformidade com o referido regulamento das opera\u00e7\u00f5es de tratamento efetuadas pelos respons\u00e1veis pelo tratamento e subcontratantes. Tais procedimentos de certifica\u00e7\u00e3o e selos e marcas de prote\u00e7\u00e3o de dados dever\u00e3o permitir que os titulares dos dados avaliem rapidamente o n\u00edvel de prote\u00e7\u00e3o de dados proporcionado pelos produtos, servi\u00e7os e processos de TIC em causa. O presente regulamento aplica-se sem preju\u00edzo da certifica\u00e7\u00e3o das opera\u00e7\u00f5es de tratamento de dados ao abrigo do Regulamento (UE) 2016\/679, nomeadamente quando essas opera\u00e7\u00f5es estejam integradas em produtos, servi\u00e7os e processos de TIC.<\/p>\n\n\n\n
(75) Os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a dever\u00e3o ter por objetivo garantir que os produtos, servi\u00e7os e processos de TIC certificados ao seu abrigo cumpram os requisitos especificados a fim de proteger a disponibilidade, autenticidade, integridade e confidencialidade dos dados armazenados, transmitidos ou tratados, ou das fun\u00e7\u00f5es conexas ou dos servi\u00e7os oferecidos por esses produtos, processos, servi\u00e7os ou acess\u00edveis por via deles ao longo do respetivo ciclo de vida. \u00c9 imposs\u00edvel definir pormenorizadamente no presente regulamento os requisitos de ciberseguran\u00e7a relativos a todos os produtos, servi\u00e7os e processos de TIC. Os produtos, servi\u00e7os e processos de TIC e as necessidades de ciberseguran\u00e7a conexas s\u00e3o de tal forma diversos que \u00e9 muito dif\u00edcil definir requisitos de ciberseguran\u00e7a globais aplic\u00e1veis em todas as circunst\u00e2ncias. Por conseguinte, \u00e9 necess\u00e1rio adotar uma no\u00e7\u00e3o lata e geral de ciberseguran\u00e7a para efeitos de certifica\u00e7\u00e3o, que dever\u00e1 ser complementada por um conjunto de objectivos espec\u00edficos de ciberseguran\u00e7a que dever\u00e3o ser tidos em conta durante a conce\u00e7\u00e3o dos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a. As disposi\u00e7\u00f5es segundo as quais esses objetivos ser\u00e3o alcan\u00e7ados em produtos, servi\u00e7os e processos de TIC espec\u00edficos dever\u00e3o depois ser estabelecidas em pormenor a n\u00edvel do sistema de certifica\u00e7\u00e3o individual adotado pela Comiss\u00e3o, nomeadamente mediante refer\u00eancia a normas ou especifica\u00e7\u00f5es t\u00e9cnicas, se n\u00e3o estiverem dispon\u00edveis normas adequadas.<\/p>\n\n\n\n
(76) As especifica\u00e7\u00f5es t\u00e9cnicas a utilizar nos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a dever\u00e3o respeitar os princ\u00edpios estabelecidos no anexo II do Regulamento (UE) n.o 1025\/2012 do Parlamento Europeu e do Conselho (19). Contudo, poder\u00e3o ser considerados necess\u00e1rios alguns desvios a estes requisitos, em casos devidamente justificados em que essas especifica\u00e7\u00f5es t\u00e9cnicas devam ser utilizadas num sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a correspondente a um n\u00edvel de garantia \u00abelevado\u00bb. Dever\u00e3o ser divulgadas as raz\u00f5es que justificaram tais desvios.<\/p>\n\n\n\n
(77) A avalia\u00e7\u00e3o da conformidade \u00e9 um procedimento que se destina a avaliar se foram cumpridos os requisitos especificados para um determinado produto, servi\u00e7o ou processo de TIC. Esse procedimento \u00e9 executado por um terceiro independente, que n\u00e3o \u00e9 o fabricante do produto TIC, o prestador do servi\u00e7o de TIC nem o fornecedor do processo TIC alvo da avalia\u00e7\u00e3o. O certificado europeu de ciberseguran\u00e7a dever\u00e1 ser emitido na sequ\u00eancia de uma avalia\u00e7\u00e3o bem-sucedida de um determinado produto, servi\u00e7o ou processo de TIC. O certificado europeu de ciberseguran\u00e7a dever\u00e1 ser considerado a confirma\u00e7\u00e3o de que a avalia\u00e7\u00e3o foi efetuada corretamente. Consoante o n\u00edvel de garantia, o sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a dever\u00e1 indicar se o certificado europeu de ciberseguran\u00e7a deve ser emitido por uma entidade p\u00fablica ou privada. A avalia\u00e7\u00e3o e a certifica\u00e7\u00e3o da conformidade n\u00e3o podem garantir por si s\u00f3s que os produtos, servi\u00e7os e processos de TIC certificados sejam ciberseguros.<\/p>\n\n\n\n
Consistem antes em procedimentos e metodologias t\u00e9cnicas para atestar que os produtos, servi\u00e7os e processos de TIC foram ensaiados e que cumprem determinados requisitos de ciberseguran\u00e7a estabelecidos por outros meios, por exemplo, em normas t\u00e9cnicas.<\/p>\n\n\n\n
(78) A escolha da certifica\u00e7\u00e3o adequada e dos requisitos de seguran\u00e7a conexos pelos utilizadores dos certificados europeus de ciberseguran\u00e7a dever\u00e1 basear-se numa an\u00e1lise dos riscos associados com a utiliza\u00e7\u00e3o do produto, servi\u00e7o ou processo de TIC. Por conseguinte, o n\u00edvel de garantia dever\u00e1 ser proporcional ao n\u00edvel do risco associado \u00e0 utiliza\u00e7\u00e3o prevista do produto, servi\u00e7o ou processo de TIC.<\/p>\n\n\n\n
(79) Os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a poder\u00e3o prever a realiza\u00e7\u00e3o de uma avalia\u00e7\u00e3o da conformidade sob a exclusiva responsabilidade do fabricante de produtos de TIC, do prestador de servi\u00e7os de TIC ou do fornecedor de processos de TIC (a seguir designada \u00abautoavalia\u00e7\u00e3o da conformidade\u00bb). Nesses casos, dever\u00e1 bastar que o pr\u00f3prio fabricante dos produtos de TIC, o prestador dos servi\u00e7os de TIC ou o fornecedor de processos de TIC efetue todos os controlos a fim de garantir que os produtos, servi\u00e7os ou processos de TIC s\u00e3o conformes com o sistema europeu de certifica\u00e7\u00e3o de ciberseguran\u00e7a. A autoavalia\u00e7\u00e3o da conformidade dever\u00e1 ser considerada adequado para produtos e servi\u00e7os de TIC de reduzida complexidade ou processos de TIC que apresentem um risco baixo, tais como uma conce\u00e7\u00e3o e um mecanismo de produ\u00e7\u00e3o simples. Al\u00e9m disso, a autoavalia\u00e7\u00e3o da conformidade dever\u00e1 ser permitida para os produtos, servi\u00e7os e processos de TIC que correspondam apenas ao n\u00edvel de garantia \u00abb\u00e1sico\u00bb.<\/p>\n\n\n\n
(80) Os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a poder\u00e3o permitir tanto a autoavalia\u00e7\u00e3o da conformidade como as certifica\u00e7\u00f5es dos produtos, servi\u00e7os e processos de TIC. Nesse caso, o sistema dever\u00e1 prever meios claros e compreens\u00edveis para os consumidores ou outros utilizadores poderem distinguir entre os produtos, servi\u00e7os e processos de TIC que s\u00e3o avaliados sob a responsabilidade do fabricante de produtos de TIC, do prestador de servi\u00e7os de TIC ou do fornecedor de processos de TIC e os produtos, servi\u00e7os e processos de TIC que s\u00e3o certificados por terceiros.<\/p>\n\n\n\n
(81) O fabricante de produtos de TIC, o prestador de servi\u00e7os de TIC ou o fornecedor de processos de TIC que realize uma autoavalia\u00e7\u00e3o da conformidade dever\u00e1 poder emitir e assinar a declara\u00e7\u00e3o UE de conformidade no \u00e2mbito do procedimento de avalia\u00e7\u00e3o da conformidade. A declara\u00e7\u00e3o UE de conformidade \u00e9 o documento que atesta que determinado produto, servi\u00e7o ou processo de TIC cumpre os requisitos do sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a. Ao emitir e assinar a declara\u00e7\u00e3o UE de conformidade, o fabricante de produtos de TIC, o prestador de servi\u00e7os de TIC ou o fornecedor de processos de TIC assume a responsabilidade pela conformidade do produto, servi\u00e7o ou processo de TIC com os requisitos legais do sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a. Dever\u00e1 ser apresentada \u00e0 autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a e \u00e0 ENISA uma c\u00f3pia da declara\u00e7\u00e3o UE de conformidade.<\/p>\n\n\n\n
(82) O fabricante de produtos de TIC, o prestador de servi\u00e7os de TIC ou o fornecedor de processos de TIC dever\u00e1 manter \u00e0 disposi\u00e7\u00e3o da autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a competente, pelo prazo previsto no sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a em causa, a declara\u00e7\u00e3o UE de conformidade, a documenta\u00e7\u00e3o t\u00e9cnica e todas as outras informa\u00e7\u00f5es relevantes sobre a conformidade dos produtos, servi\u00e7os ou processos de TIC com um determinado sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a. A documenta\u00e7\u00e3o t\u00e9cnica dever\u00e1 especificar os requisitos aplic\u00e1veis por for\u00e7a do sistema e abranger, na medida em que for relevante para a auto-avalia\u00e7\u00e3o da conformidade, a conce\u00e7\u00e3o, o fabrico e o funcionamento do produto, servi\u00e7o ou processo de TIC. A documenta\u00e7\u00e3o t\u00e9cnica dever\u00e1 ser compilada de modo a permitir avaliar se um produto, um servi\u00e7o ou um processo de TIC cumpre os requisitos aplic\u00e1veis por for\u00e7a desse sistema.<\/p>\n\n\n\n
(83) A governa\u00e7\u00e3o do enquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a tem em conta a participa\u00e7\u00e3o dos Estados-Membros, bem como a participa\u00e7\u00e3o adequada das partes interessadas e determina o papel da Comiss\u00e3o Europeia em todo o processo de planeamento, apresenta\u00e7\u00e3o de propostas, apresenta\u00e7\u00e3o de pedidos, elabora\u00e7\u00e3o, ado\u00e7\u00e3o e revis\u00e3o de sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
(84) A Comiss\u00e3o dever\u00e1 preparar, com o apoio do grupo europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a (GECC) e o grupo das partes interessadas para a certifica\u00e7\u00e3o da ciberseguran\u00e7a e ap\u00f3s uma consulta aberta e alargada, um programa de trabalho evolutivo da Uni\u00e3o para os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a e proceder \u00e0 sua publica\u00e7\u00e3o sob a forma de um instrumento n\u00e3o vinculativo. O programa de trabalho evolutivo da Uni\u00e3o dever\u00e1 ser um documento estrat\u00e9gico que permita que a ind\u00fastria, as autoridades nacionais e os organismos de normaliza\u00e7\u00e3o, em particular, se preparem com anteced\u00eancia para os futuros sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a. O programa de trabalho evolutivo da Uni\u00e3o dever\u00e1 incluir um resumo plurianual dos pedidos de projetos de sistemas que a Comiss\u00e3o tenciona apresentar \u00e0 ENISA para prepara\u00e7\u00e3o, com base em motivos espec\u00edficos. A Comiss\u00e3o dever\u00e1 ter em conta o programa de trabalho evolutivo da Uni\u00e3o durante a elabora\u00e7\u00e3o do seu pr\u00f3prio plano evolutivo para a normaliza\u00e7\u00e3o das TIC e os pedidos de normaliza\u00e7\u00e3o apresentados aos organismos europeus de normaliza\u00e7\u00e3o. Atendendo \u00e0 r\u00e1pida introdu\u00e7\u00e3o e ado\u00e7\u00e3o de novas tecnologias, \u00e0 emerg\u00eancia de riscos para a ciberseguran\u00e7a anteriormente desconhecidos ou \u00e0 evolu\u00e7\u00e3o em termos legislativos e de mercado, a Comiss\u00e3o ou o GECC dever\u00e3o poder pedir \u00e0 ENISA que elabore projetos de sistemas que n\u00e3o tenham sido inclu\u00eddos no programa de trabalho evolutivo da Uni\u00e3o. Nesses casos, a Comiss\u00e3o e o GECC dever\u00e3o tamb\u00e9m avaliar a pertin\u00eancia de tal pedido, tendo para isso em conta as metas e os objetivos globais do presente regulamento e a necessidade de assegurar a continuidade no que diz respeito ao planeamento e \u00e0 utiliza\u00e7\u00e3o de recursos por parte da ENISA.<\/p>\n\n\n\n
Na sequ\u00eancia de tal pedido, a ENISA dever\u00e1 elaborar sem demora injustificada projetos de sistemas destinados a produtos, servi\u00e7os ou projetos de TIC espec\u00edficos. A Comiss\u00e3o dever\u00e1 avaliar o impacto positivo e negativo do seu pedido no mercado espec\u00edfico em causa, especialmente o impacto nas PME, na inova\u00e7\u00e3o, nos obst\u00e1culos \u00e0 entrada nesse mercado e aos custos a cargo dos utilizadores finais. Dever\u00e3o ser conferidos poderes \u00e0 Comiss\u00e3o para adotar, com base no projeto de sistema elaborado pela ENISA, o sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a por meio de atos de execu\u00e7\u00e3o. Tendo em conta a finalidade geral e os objetivos de seguran\u00e7a identificados no presente regulamento, os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a adotados pela Comiss\u00e3o dever\u00e3o especificar um conjunto m\u00ednimo de elementos relativos ao objeto, ao \u00e2mbito de aplica\u00e7\u00e3o e ao funcionamento do sistema em causa. Os referidos elementos dever\u00e3o incluir, entre outras coisas, o \u00e2mbito de aplica\u00e7\u00e3o e o objeto da certifica\u00e7\u00e3o da ciberseguran\u00e7a, designadamente as categorias de produtos, servi\u00e7os e processos de TIC abrangidos, a especifica\u00e7\u00e3o pormenorizada dos requisitos de ciberseguran\u00e7a, por exemplo mediante refer\u00eancia a normas ou especifica\u00e7\u00f5es t\u00e9cnicas, os crit\u00e9rios espec\u00edficos de avalia\u00e7\u00e3o e os m\u00e9todos de avalia\u00e7\u00e3o, bem como o n\u00edvel previsto de garantia (\u00abb\u00e1sico\u00bb, \u00absubstancial\u00bb ou \u00abelevado\u00bb) e os n\u00edveis de avalia\u00e7\u00e3o, quando aplic\u00e1vel. A ENISA dever\u00e1 poder recusar um pedido do GECC. Essas decis\u00f5es dever\u00e3o ser adotadas e devidamente justificadas pelo conselho de administra\u00e7\u00e3o.<\/p>\n\n\n\n
(85) A ENISA dever\u00e1 manter um s\u00edtio Web que disponibilize informa\u00e7\u00f5es sobre os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a e para os publicitar, que dever\u00e1 incluir, nomeadamente, os pedidos de elabora\u00e7\u00e3o de um projeto de sistema e as rea\u00e7\u00f5es recebidas no processo de consulta realizado pela ENISA durante a fase de elabora\u00e7\u00e3o. O referido s\u00edtio Web dever\u00e1 igualmente disponibilizar informa\u00e7\u00f5es sobre os certificados europeus de ciberseguran\u00e7a e as declara\u00e7\u00f5es UE de conformidade emitidos nos termos do presente regulamento, incluindo informa\u00e7\u00e3o sobre a revoga\u00e7\u00e3o e caducidade de tais certificados e declara\u00e7\u00f5es. O s\u00edtio Web dever\u00e1 ainda indicar quais os sistemas nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a que tenham sido substitu\u00eddos por um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
(86) O n\u00edvel de garantia dado por um sistema europeu de certifica\u00e7\u00e3o \u00e9 a base que permite confiar em que um processo, um produto ou servi\u00e7o de TIC cumpre os requisitos de seguran\u00e7a de um determinado sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a. A fim de assegurar a coer\u00eancia do enquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a, um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a dever\u00e1 poder especificar n\u00edveis de garantia para os certificados europeus de ciberseguran\u00e7a e para as declara\u00e7\u00f5es UE de conformidade emitidas ao abrigo desse sistema. Cada certificado europeu de ciberseguran\u00e7a poder\u00e1 corresponder a um dos n\u00edveis de garantia \u2014 \u00abb\u00e1sico\u00bb, \u00absubstancial\u00bb ou \u00abelevado\u00bb \u2014, ao passo que a declara\u00e7\u00e3o UE de conformidade apenas poder\u00e1 corresponder ao n\u00edvel de garantia \u00abb\u00e1sico\u00bb. Os n\u00edveis de garantia dever\u00e3o corresponder ao rigor e \u00e0 exaustividade da avalia\u00e7\u00e3o do produto, servi\u00e7o ou processo de TIC e dever\u00e3o caracterizar-se por refer\u00eancia a especifica\u00e7\u00f5es t\u00e9cnicas, normas e procedimentos conexos, nomeadamente controlos t\u00e9cnicos cujo objetivo consista em reduzir o impacto ou prevenir incidentes. Cada n\u00edvel de garantia dever\u00e1 ser coerente entre os diferentes dom\u00ednios setoriais nos quais \u00e9 aplicada a certifica\u00e7\u00e3o.<\/p>\n\n\n\n
(87) Os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a poder\u00e3o especificar v\u00e1rios n\u00edveis de avalia\u00e7\u00e3o em fun\u00e7\u00e3o do rigor e do alcance da metodologia de avalia\u00e7\u00e3o utilizada. Os n\u00edveis de avalia\u00e7\u00e3o dever\u00e3o corresponder a um dos n\u00edveis de garantia e estar associados a uma combina\u00e7\u00e3o adequada de componentes de garantia. Para todos os n\u00edveis de garantia, o produto, servi\u00e7o ou processo de TIC dever\u00e1 conter um conjunto de funcionalidades de seguran\u00e7a, tal como especificadas pelo sistema, que podem incluir: uma configura\u00e7\u00e3o inovadora segura, um c\u00f3digo de assinatura, atualiza\u00e7\u00f5es seguras e t\u00e9cnicas de mitiga\u00e7\u00e3o e prote\u00e7\u00e3o completa de mem\u00f3rias empilhadas ou amontoadas (stack ou heap). Essas funcionalidades dever\u00e3o ser elaboradas e mantidas seguindo abordagens de desenvolvimento centradas na seguran\u00e7a e utilizando as ferramentas conexas, para assegurar que sejam incorporados mecanismos eficazes tanto de programas inform\u00e1ticos como de equipamento inform\u00e1tico de forma fi\u00e1vel.<\/p>\n\n\n\n
(88) Para o n\u00edvel de garantia \u00abb\u00e1sico\u00bb, a avalia\u00e7\u00e3o dever\u00e1 ser orientada, no m\u00ednimo, pelos seguintes componentes de garantia: a avalia\u00e7\u00e3o dever\u00e1 incluir, pelo menos, uma an\u00e1lise da documenta\u00e7\u00e3o t\u00e9cnica do produto, servi\u00e7o ou processo de TIC pelo organismo de avalia\u00e7\u00e3o da conformidade. Quando a certifica\u00e7\u00e3o incluir processos de TIC, o processo utilizado para conceber, desenvolver e manter um produto, servi\u00e7o ou processo de TIC tamb\u00e9m dever\u00e1 ser objeto de exame t\u00e9cnico. Nos casos em que um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a preveja uma autoavalia\u00e7\u00e3o da conformidade, dever\u00e1 ser suficiente que o fabricante de produtos de TIC, o prestador de servi\u00e7os de TIC e o fornecedor de processos de TIC realize uma autoavalia\u00e7\u00e3o da conformidade dos produtos, servi\u00e7os ou processos de TIC com o sistema de certifica\u00e7\u00e3o.<\/p>\n\n\n\n
(89) Para o n\u00edvel de garantia \u00absubstancial\u00bb, a avalia\u00e7\u00e3o dever\u00e1, para al\u00e9m dos requisitos previstos para o n\u00edvel de garantia \u00abb\u00e1sico\u00bb, ser orientada, no m\u00ednimo, pela verifica\u00e7\u00e3o da conformidade das funcionalidades de seguran\u00e7a do produto, servi\u00e7o ou processo de TIC com a respetiva documenta\u00e7\u00e3o t\u00e9cnica.<\/p>\n\n\n\n
(90) Para o n\u00edvel de garantia \u00abelevado\u00bb, a avalia\u00e7\u00e3o dever\u00e1, para al\u00e9m dos requisitos previstos para o n\u00edvel de garantia \u00absubstancial\u00bb, ser orientada, no m\u00ednimo, por um ensaio de efici\u00eancia que avalie a resist\u00eancia das funcionalidades de seguran\u00e7a do produto, servi\u00e7o ou processo de TIC a ciberataques elaborados, levados a cabo por pessoas com compet\u00eancias e recursos significativos.<\/p>\n\n\n\n
(91) O recurso \u00e0 certifica\u00e7\u00e3o europeia da ciberseguran\u00e7a e a declara\u00e7\u00f5es UE de conformidade dever\u00e1 ser volunt\u00e1rio, salvo disposi\u00e7\u00e3o em contr\u00e1rio no direito da Uni\u00e3o ou dos Estados-Membros adotado nos termos do direito da Uni\u00e3o. Na falta de legisla\u00e7\u00e3o harmonizada, os Estados-Membros podem adotar regulamenta\u00e7\u00e3o t\u00e9cnica nacional, que preveja a certifica\u00e7\u00e3o obrigat\u00f3ria por for\u00e7a de um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a, nos termos da Diretiva (UE) 2015\/1535 do Parlamento Europeu e do Conselho (20). Os Estados-Membros podem recorrer tamb\u00e9m \u00e0 certifica\u00e7\u00e3o europeia da ciberseguran\u00e7a no contexto da adjudica\u00e7\u00e3o de contratos p\u00fablicos e da Diretiva 2014\/24\/UE do Parlamento Europeu e do Conselho (21).<\/p>\n\n\n\n
(92) Em algumas \u00e1reas, poder\u00e1 vir a ser necess\u00e1rio impor determinados requisitos de ciberseguran\u00e7a e tornar obrigat\u00f3ria a respetiva certifica\u00e7\u00e3o para certos produtos, servi\u00e7os ou processos de TIC, a fim de elevar o n\u00edvel de ciberseguran\u00e7a na Uni\u00e3o. A Comiss\u00e3o dever\u00e1 acompanhar regularmente o impacto dos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a adotados sobre a disponibilidade de produtos, servi\u00e7os e processos de TIC seguros no mercado interno e dever\u00e1 avaliar regularmente o n\u00edvel de utiliza\u00e7\u00e3o dos sistemas de certifica\u00e7\u00e3o pelos fabricantes de produtos TIC, prestadores de servi\u00e7os de TIC ou fornecedores de processos de TIC da Uni\u00e3o. A efici\u00eancia dos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a e a necessidade de tornar obrigat\u00f3rios determinados sistemas espec\u00edficos dever\u00e3o ser apreciadas \u00e0 luz da legisla\u00e7\u00e3o da Uni\u00e3o em mat\u00e9ria de ciberseguran\u00e7a, em especial a Diretiva (UE) 2016\/1148, tomando em considera\u00e7\u00e3o a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o utilizados pelos operadores de servi\u00e7os essenciais.<\/p>\n\n\n\n
(93) Os certificados europeus de ciberseguran\u00e7a e as declara\u00e7\u00f5es UE de conformidade dever\u00e3o ajudar os utilizadores finais a fazerem escolhas informadas. Por conseguinte, os produtos, processos e servi\u00e7os de TIC que tenham sido certificados ou para os quais tenha sido emitido um certificado UE de conformidade dever\u00e3o ser acompanhados de informa\u00e7\u00f5es estruturadas adaptadas ao n\u00edvel t\u00e9cnico esperado dos utilizadores finais a que se destinam. Todas as informa\u00e7\u00f5es dever\u00e3o estar dispon\u00edveis em linha e, se adequado, em formato f\u00edsico. O utilizador final dever\u00e1 ter acesso \u00e0s informa\u00e7\u00f5es relativas ao n\u00famero de refer\u00eancia do sistema de certifica\u00e7\u00e3o, ao n\u00edvel de garantia, \u00e0 descri\u00e7\u00e3o dos riscos para a ciberseguran\u00e7a associados ao produto, servi\u00e7o ou processo de TIC e \u00e0 autoridade ou ao organismo emissor, ou dever\u00e1 poder obter uma c\u00f3pia do certificado europeu de ciberseguran\u00e7a. Al\u00e9m disso, o utilizador final dever\u00e1 ser informado da pol\u00edtica de apoio \u00e0 ciberseguran\u00e7a do fabricante do produto de TIC, do fornecedor do servi\u00e7o de TIC ou do fornecedor do processo de TIC, ou seja, durante quanto tempo o utilizador final pode esperar receber atualiza\u00e7\u00f5es e corre\u00e7\u00f5es de ciberseguran\u00e7a. Se for o caso, dever\u00e3o ser disponibilizadas orienta\u00e7\u00f5es sobre as medidas que o utilizador final pode tomar ou as defini\u00e7\u00f5es que pode selecionar para manter ou aumentar a ciberseguran\u00e7a do produto ou servi\u00e7o de TIC, e informa\u00e7\u00f5es sobre um ponto de contacto \u00fanico para comunicar e receber apoio em caso de ciberataque (para al\u00e9m da comunica\u00e7\u00e3o autom\u00e1tica). Essas informa\u00e7\u00f5es dever\u00e3o ser regularmente atualizadas e disponibilizadas num s\u00edtio Web que forne\u00e7a informa\u00e7\u00f5es sobre os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
(94) Com vista \u00e0 consecu\u00e7\u00e3o dos objetivos do presente regulamento e para evitar a fragmenta\u00e7\u00e3o do mercado interno, os sistemas ou procedimentos nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a de produtos, servi\u00e7os e processos de TIC abrangidos por um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a dever\u00e3o deixar de se aplicar a partir de uma data fixada pela Comiss\u00e3o atrav\u00e9s de atos de execu\u00e7\u00e3o. Al\u00e9m disso, os Estados-Membros n\u00e3o dever\u00e3o criar novos sistemas nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a de produtos, servi\u00e7os e processos de TIC j\u00e1 abrangidos por um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a existente. No entanto, os Estados-Membros n\u00e3o dever\u00e3o ser impedidos de criar ou manter sistemas nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a para efeitos de seguran\u00e7a nacional. Os Estados-Membros dever\u00e3o informar a Comiss\u00e3o e o GECC da inten\u00e7\u00e3o de criar novos sistemas nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a. A Comiss\u00e3o e o GECC dever\u00e3o avaliar o impacto dos novos sistemas nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a sobre o bom funcionamento do mercado interno, ponderando o interesse estrat\u00e9gico de solicitar, em vez disso, um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
(95) Os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a destinam-se a contribuir para harmonizar as pr\u00e1ticas de ciberseguran\u00e7a na Uni\u00e3o. Esses sistemas devem contribuir para elevar o n\u00edvel de ciberseguran\u00e7a na Uni\u00e3o. A conce\u00e7\u00e3o de sistemas europeus de certifica\u00e7\u00e3o de ciberseguran\u00e7a dever\u00e1 ter em conta e permitir inova\u00e7\u00f5es no dom\u00ednio da ciberseguran\u00e7a.<\/p>\n\n\n\n
(96) Os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a dever\u00e3o ter em conta os atuais m\u00e9todos de desenvolvimento de programas e equipamentos inform\u00e1ticos e, em especial, o impacto das frequentes atualiza\u00e7\u00f5es dos programas inform\u00e1ticos ou do firmware nos certificados europeus da ciberseguran\u00e7a individuais. Os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a dever\u00e3o especificar as condi\u00e7\u00f5es em que uma atualiza\u00e7\u00e3o pode exigir que determinado produto, servi\u00e7o ou processo de TIC volte a ser certificado ou que o \u00e2mbito de um certificado europeu de ciberseguran\u00e7a seja reduzido, tendo em conta os eventuais efeitos negativos da atualiza\u00e7\u00e3o sobre a conformidade desse certificado com os requisitos de seguran\u00e7a.<\/p>\n\n\n\n
(97) Quando for adotado um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a, os fabricantes de produtos de TIC, os prestadores de servi\u00e7os de TIC ou os fornecedores de processos de TIC dever\u00e3o poder apresentar candidaturas para a certifica\u00e7\u00e3o dos seus produtos, servi\u00e7os ou processos de TIC a um organismo de avalia\u00e7\u00e3o da conformidade da sua escolha, em qualquer ponto da Uni\u00e3o. Os organismos de avalia\u00e7\u00e3o da conformidade dever\u00e3o ser acreditados por um organismo de acredita\u00e7\u00e3o nacional se cumprirem determinados requisitos estabelecidos no presente regulamento. A acredita\u00e7\u00e3o dever\u00e1 ser emitida por um per\u00edodo m\u00e1ximo de cinco anos e dever\u00e1 ser renov\u00e1vel nas mesmas condi\u00e7\u00f5es, desde que o organismo de avalia\u00e7\u00e3o da conformidade continue a cumprir os requisitos. Os organismos de acredita\u00e7\u00e3o nacionais dever\u00e3o restringir, suspender ou revogar a acredita\u00e7\u00e3o de um organismo de avalia\u00e7\u00e3o da conformidade se as condi\u00e7\u00f5es para a acredita\u00e7\u00e3o n\u00e3o forem cumpridas ou deixarem de ser cumpridas, ou se o organismo de avalia\u00e7\u00e3o da conformidade tomar medidas que constituam infra\u00e7\u00e3o ao presente regulamento.<\/p>\n\n\n\n
(98) As refer\u00eancias da legisla\u00e7\u00e3o nacional para normas nacionais que tenham deixado de ser aplic\u00e1veis em virtude da entrada em vigor de um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a, podem constituir uma fonte de confus\u00e3o. Por conseguinte, os Estados-Membros dever\u00e3o refletir na sua legisla\u00e7\u00e3o nacional a ado\u00e7\u00e3o de um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
(99) A fim de assegurar a equival\u00eancia das normas em toda a Uni\u00e3o, facilitar o reconhecimento m\u00fatuo e promover a aceita\u00e7\u00e3o global dos certificados europeus de ciberseguran\u00e7a e das declara\u00e7\u00f5es UE de conformidade, \u00e9 necess\u00e1rio p\u00f4r em pr\u00e1tica um sistema de an\u00e1lise pelos pares entre as autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
A an\u00e1lise pelos pares dever\u00e1 abranger os procedimentos destinados a supervisionar a conformidade dos produtos, servi\u00e7os e processos de TIC com os certificados europeus de ciberseguran\u00e7a, a controlar o cumprimento das obriga\u00e7\u00f5es dos fabricantes de produtos TIC, dos prestadores de servi\u00e7os de TIC ou dos fornecedores de processos de TIC ou que procedam \u00e0 autoavalia\u00e7\u00e3o da conformidade e a fiscalizar os organismos de avalia\u00e7\u00e3o de conformidade, bem como a adequa\u00e7\u00e3o das compet\u00eancias t\u00e9cnicas do pessoal dos organismos emissores de certificados para o n\u00edvel \u00abelevado\u00bb de garantia. A Comiss\u00e3o dever\u00e1, atrav\u00e9s de atos de execu\u00e7\u00e3o, estabelecer pelo menos um plano quinquenal para as an\u00e1lises pelos pares e definir os crit\u00e9rios e as metodologias para o funcionamento do sistema de an\u00e1lise pelos pares.<\/p>\n\n\n\n
(100) Sem preju\u00edzo do sistema geral de an\u00e1lise pelos pares a p\u00f4r em pr\u00e1tica entre todas as autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a de acordo com o enquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a, determinados sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a poder\u00e3o compreender um sistema de avalia\u00e7\u00e3o pelos pares aplic\u00e1vel aos organismos emissores dos certificados europeus de ciberseguran\u00e7a para produtos, servi\u00e7os e processos de TIC com o n\u00edvel de garantia \u00abelevado\u00bb ao abrigo de tais sistemas. O GECS dever\u00e1 apoiar a aplica\u00e7\u00e3o desse tipo de sistemas de avalia\u00e7\u00e3o pelos pares. As avalia\u00e7\u00f5es pelos pares dever\u00e3o, em especial, verificar se os organismos em causa desempenham as suas fun\u00e7\u00f5es de forma harmonizada, podendo prever mecanismos de recurso. Os resultados das avalia\u00e7\u00f5es pelos pares dever\u00e3o ser disponibilizados ao p\u00fablico. Os organismos em causa poder\u00e3o adotar medidas adequadas para adaptar as suas pr\u00e1ticas e os seus conhecimentos especializados de acordo com os resultados.<\/p>\n\n\n\n
(101) Os Estados-Membros dever\u00e3o designar uma ou mais autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a para supervisionar o cumprimento das obriga\u00e7\u00f5es decorrentes do presente regulamento. Uma autoridade nacional de certifica\u00e7\u00e3o de ciberseguran\u00e7a pode ser uma autoridade j\u00e1 existente ou uma autoridade nova. Os Estados-Membros dever\u00e3o tamb\u00e9m poder, em acordo com outro Estado-Membro, designar uma ou mais autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a no territ\u00f3rio desse outro Estado-Membro.<\/p>\n\n\n\n
(102) As autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a dever\u00e3o, nomeadamente, controlar e fazer cumprir as obriga\u00e7\u00f5es dos fabricantes de produtos de TIC, dos fornecedores de servi\u00e7os de TIC ou dos fornecedores de processos de TIC estabelecidos no respetivo territ\u00f3rio no que respeita \u00e0 declara\u00e7\u00e3o UE de conformidade, dever\u00e3o prestar assist\u00eancia aos organismos nacionais de acredita\u00e7\u00e3o no controlo e na supervis\u00e3o das atividades dos organismos de avalia\u00e7\u00e3o da conformidade, disponibilizando-lhes conhecimentos especializados e as informa\u00e7\u00f5es pertinentes, autorizar os organismos de avalia\u00e7\u00e3o da conformidade a exercer as suas atribui\u00e7\u00f5es quando cumpram os requisitos adicionais estabelecidos no sistema europeu de certifica\u00e7\u00e3o de ciberseguran\u00e7a, e dever\u00e3o acompanhar as evolu\u00e7\u00f5es pertinentes no dom\u00ednio da certifica\u00e7\u00e3o da ciberseguran\u00e7a. As autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a dever\u00e3o tamb\u00e9m tratar as reclama\u00e7\u00f5es apresentadas por pessoas singulares ou coletivas relativamente a certificados europeus de ciberseguran\u00e7a por elas emitidos ou a certificados emitidos por organismos de avalia\u00e7\u00e3o da conformidade que indiquem um n\u00edvel de garantia \u00abelevado\u00bb, investigar, na medida do necess\u00e1rio, o objeto das reclama\u00e7\u00f5es e informar os respetivos autores do andamento e do resultado da investiga\u00e7\u00e3o num prazo razo\u00e1vel. Al\u00e9m disso, dever\u00e3o cooperar com outras autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a ou outras autoridades p\u00fablicas, nomeadamente atrav\u00e9s da partilha de informa\u00e7\u00f5es sobre a eventual n\u00e3o conformidade de produtos, servi\u00e7os e processos de TIC com os requisitos do presente regulamento ou com sistemas europeus espec\u00edficos de certifica\u00e7\u00e3o da ciberseguran\u00e7a. A Comiss\u00e3o dever\u00e1 facilitar a partilha de informa\u00e7\u00f5es atrav\u00e9s da disponibiliza\u00e7\u00e3o de um sistema geral de apoio \u00e0s informa\u00e7\u00f5es eletr\u00f3nicas, por exemplo o Sistema de Fiscaliza\u00e7\u00e3o do Mercado e de Interc\u00e2mbio de Informa\u00e7\u00f5es (ICSMS) e o sistema de alerta r\u00e1pido para produtos de consumo n\u00e3o alimentares (RAPEX), j\u00e1 utilizados pelas autoridades de fiscaliza\u00e7\u00e3o do mercado de acordo com o Regulamento (CE) n.o 765\/2008.<\/p>\n\n\n\n
(103) Com vista a assegurar a aplica\u00e7\u00e3o consistente do enquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a, dever\u00e1 ser criado um GECC composto por representantes das autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a ou outras autoridades nacionais competentes. As principais atribui\u00e7\u00f5es do GECC dever\u00e3o ser: aconselhar e assistir a Comiss\u00e3o no seu trabalho destinado a assegurar uma execu\u00e7\u00e3o e uma aplica\u00e7\u00e3o coerentes do enquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a; assistir e cooperar estreitamente com a ENISA na prepara\u00e7\u00e3o de projetos de sistemas de certifica\u00e7\u00e3o da ciberseguran\u00e7a; em casos devidamente justificados, solicitar \u00e0 ENISA que elabore um projeto de sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a; adotar pareceres \u00e0 aten\u00e7\u00e3o da ENISA a respeito dos projetos de sistemas e adotar pareceres \u00e0 aten\u00e7\u00e3o da Comiss\u00e3o a respeito da manuten\u00e7\u00e3o e revis\u00e3o dos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a existentes. O GECC dever\u00e1 facilitar o interc\u00e2mbio de boas pr\u00e1ticas e dos conhecimentos especializados entre as diversas autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a respons\u00e1veis pela autoriza\u00e7\u00e3o dos organismos de avalia\u00e7\u00e3o da conformidade e pela emiss\u00e3o de certificados europeus de ciberseguran\u00e7a.<\/p>\n\n\n\n
(104) A fim de sensibilizar para os futuros sistemas de certifica\u00e7\u00e3o da ciberseguran\u00e7a da Uni\u00e3o e de facilitar a sua aceita\u00e7\u00e3o, a Comiss\u00e3o pode emitir orienta\u00e7\u00f5es gerais ou setoriais sobre ciberseguran\u00e7a, abordando, por exemplo, as boas pr\u00e1ticas de ciberseguran\u00e7a ou o comportamento respons\u00e1vel em mat\u00e9ria de ciberseguran\u00e7a, salientando o efeito positivo da utiliza\u00e7\u00e3o de produtos, servi\u00e7os e processos de TIC certificados.<\/p>\n\n\n\n
(105) A fim de facilitar mais o com\u00e9rcio, e reconhecendo que as cadeias de abastecimento de TIC s\u00e3o mundiais, podem ser celebrados pela Uni\u00e3o, nos termos do artigo 218.o do Tratado sobre o Funcionamento da Uni\u00e3o Europeia (TFUE), acordos de reconhecimento m\u00fatuo relativos aos certificados europeus de ciberseguran\u00e7a. A Comiss\u00e3o, tendo em conta o aconselhamento prestado pela ENISA e pelo GECC, pode recomendar a abertura de negocia\u00e7\u00f5es nesse sentido. Cada sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a dever\u00e1 prever condi\u00e7\u00f5es espec\u00edficas para esses acordos de reconhecimento m\u00fatuo com os pa\u00edses terceiros.<\/p>\n\n\n\n
(106) A fim de assegurar condi\u00e7\u00f5es uniformes para a execu\u00e7\u00e3o do presente regulamento, dever\u00e3o ser atribu\u00eddas compet\u00eancias de execu\u00e7\u00e3o \u00e0 Comiss\u00e3o. Tais compet\u00eancias dever\u00e3o ser exercidas nos termos do Regulamento (UE) n.o 182\/2011 do Parlamento Europeu e do Conselho (22).<\/p>\n\n\n\n
(107) O procedimento de exame dever\u00e1 ser seguido para a ado\u00e7\u00e3o de atos de execu\u00e7\u00e3o relativos aos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a de produtos, servi\u00e7os e processos de TIC, \u00e0s disposi\u00e7\u00f5es relativas \u00e0 realiza\u00e7\u00e3o de inqu\u00e9ritos por parte da ENISA, a um plano para a an\u00e1lise pelos pares das autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a, e \u00e0s circunst\u00e2ncias, formatos e procedimentos de notifica\u00e7\u00e3o dos organismos de avalia\u00e7\u00e3o da conformidade acreditados pelas autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a \u00e0 Comiss\u00e3o.<\/p>\n\n\n\n
(108) As atividades da ENISA dever\u00e3o ser submetidas a uma avalia\u00e7\u00e3o regular e independente. Essa avalia\u00e7\u00e3o dever\u00e1 incidir sobre os objetivos por parte da ENISA, os seus m\u00e9todos de trabalho e a relev\u00e2ncia das suas atribui\u00e7\u00f5es, em especial, as relacionadas com a coopera\u00e7\u00e3o operacional a n\u00edvel da Uni\u00e3o. Essa avalia\u00e7\u00e3o dever\u00e1 tamb\u00e9m incidir sobre o impacto, a efic\u00e1cia e a efici\u00eancia do enquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a. Em caso de revis\u00e3o, a Comiss\u00e3o dever\u00e1 verificar de que modo ser\u00e1 poss\u00edvel refor\u00e7ar o papel da ENISA enquanto ponto de refer\u00eancia em mat\u00e9ria de aconselhamento e de conhecimentos especializados e a possibilidade de a ENISA desempenhar um papel de apoio na avalia\u00e7\u00e3o dos produtos, servi\u00e7os e processos de TIC de pa\u00edses terceiros que entrem no territ\u00f3rio da Uni\u00e3o e n\u00e3o cumpram as regras da Uni\u00e3o.<\/p>\n\n\n\n
(109) Atendendo a que os objetivos do presente regulamento n\u00e3o podem ser suficientemente alcan\u00e7ados pelos Estados-Membros, mas podem, devido \u00e0 sua dimens\u00e3o e aos seus efeitos, ser mais bem alcan\u00e7ados a n\u00edvel da Uni\u00e3o, a Uni\u00e3o pode adotar medidas em conformidade com o princ\u00edpio da subsidiariedade consagrado no artigo 5.o do Tratado da Uni\u00e3o Europeia (TUE). Em conformidade com o princ\u00edpio da proporcionalidade consagrado no mesmo artigo, o presente regulamento n\u00e3o excede o necess\u00e1rio para alcan\u00e7ar esses objetivos.<\/p>\n\n\n\n
(110) O Regulamento (UE) n.o 526\/2013 dever\u00e1 ser revogado,<\/p>\n\n\n\n
ADOTARAM O PRESENTE REGULAMENTO:<\/p>\n\n\n\n
T\u00cdTULO I<\/p>\n\n\n\n
DISPOSI\u00c7\u00d5ES GERAIS<\/p>\n\n\n\n
Artigo 1.o<\/p>\n\n\n\n
Objeto e \u00e2mbito de aplica\u00e7\u00e3o<\/p>\n\n\n\n
1. Com vista a assegurar o bom funcionamento do mercado interno e, simultaneamente, a alcan\u00e7ar um n\u00edvel elevado de ciberseguran\u00e7a, de ciber-resili\u00eancia e de confian\u00e7a no seio da Uni\u00e3o, o presente regulamento estabelece:<\/p>\n\n\n\n
a) Os objetivos, as atribui\u00e7\u00f5es e os aspetos organizativos da ENISA (\u00abAg\u00eancia da Uni\u00e3o Europeia para a Ciberseguran\u00e7a\u00bb); e<\/p>\n\n\n\n
b) Um enquadramento para a cria\u00e7\u00e3o de sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a com o objetivo de assegurar um n\u00edvel adequado de ciberseguran\u00e7a para os produtos, os servi\u00e7os e os processos de TIC na Uni\u00e3o e de evitar a fragmenta\u00e7\u00e3o do mercado interno no que toca aos sistemas de certifica\u00e7\u00e3o da ciberseguran\u00e7a na Uni\u00e3o.<\/p>\n\n\n\n
O enquadramento referido na al\u00ednea b) do primeiro par\u00e1grafo, \u00e9 aplic\u00e1vel sem preju\u00edzo de disposi\u00e7\u00f5es espec\u00edficas constantes de outros atos jur\u00eddicos da Uni\u00e3o em mat\u00e9ria de certifica\u00e7\u00e3o de car\u00e1ter volunt\u00e1rio ou obrigat\u00f3rio.<\/p>\n\n\n\n
2. O presente regulamento n\u00e3o prejudica as compet\u00eancias dos Estados-Membros no que toca \u00e0s suas atividades em mat\u00e9ria de seguran\u00e7a p\u00fablica, de defesa e de seguran\u00e7a nacional, nem as atividades do Estado no dom\u00ednio do direito penal.<\/p>\n\n\n\n
Artigo 2.o<\/p>\n\n\n\n
Defini\u00e7\u00f5es<\/p>\n\n\n\n
Para efeitos do presente regulamento, entende-se por:<\/p>\n\n\n\n
1) \u00abCiberseguran\u00e7a\u00bb, todas as atividades necess\u00e1rias para proteger de ciberamea\u00e7as as redes e os sistemas de informa\u00e7\u00e3o, os seus utilizadores e outras pessoas afetadas;<\/p>\n\n\n\n
2) \u00abRede e sistema de informa\u00e7\u00e3o\u00bb, uma rede e um sistema de informa\u00e7\u00e3o na ace\u00e7\u00e3o do artigo 4.o, ponto 1, da Diretiva (UE) 2016\/1148;<\/p>\n\n\n\n
3) \u00abEstrat\u00e9gia nacional de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o\u00bb, uma estrat\u00e9gia nacional de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o, na ace\u00e7\u00e3o do artigo 4.o, ponto 3, da Diretiva (UE) 2016\/1148;<\/p>\n\n\n\n
4) \u00abOperador de servi\u00e7os essenciais\u00bb, um operador de servi\u00e7os essenciais, na ace\u00e7\u00e3o do artigo 4.o, ponto 4, da Diretiva (UE) 2016\/1148;<\/p>\n\n\n\n
5) \u00abPrestador de servi\u00e7os digitais\u00bb, um prestador de servi\u00e7os digitais na ace\u00e7\u00e3o do artigo 4.o, ponto 6, da Diretiva (UE) 2016\/1148;<\/p>\n\n\n\n
6) \u00abIncidente\u00bb, um incidente na ace\u00e7\u00e3o do artigo 4.o, ponto 7, da Diretiva (UE) 2016\/1148;<\/p>\n\n\n\n
7) \u00abTratamento de incidentes\u00bb, o tratamento de incidentes na ace\u00e7\u00e3o do artigo 4.o, ponto 8, da Diretiva (UE) 2016\/1148;<\/p>\n\n\n\n
8) \u00abCiberamea\u00e7a\u00bb, uma circunst\u00e2ncia, um evento ou uma a\u00e7\u00e3o potenciais suscet\u00edveis de lesar, perturbar ou ter qualquer outro efeito negativo sobre as redes e os sistemas de informa\u00e7\u00e3o, os seus utilizadores e outras pessoas;<\/p>\n\n\n\n
9) \u00abSistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a\u00bb, o conjunto abrangente, de regras, requisitos t\u00e9cnicos, normas e procedimentos estabelecidos a n\u00edvel da Uni\u00e3o e aplic\u00e1veis \u00e0 certifica\u00e7\u00e3o ou \u00e0 avalia\u00e7\u00e3o da conformidade dos produtos, servi\u00e7os e processos de TIC;<\/p>\n\n\n\n
10) \u00abSistema nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a\u00bb, o conjunto abrangente de regras, requisitos t\u00e9cnicos, normas e procedimentos estabelecidos e adotados por uma autoridade p\u00fablica nacional e aplic\u00e1veis \u00e0 certifica\u00e7\u00e3o ou \u00e0 avalia\u00e7\u00e3o da conformidade de produtos, servi\u00e7os e processos de TIC abrangidos pelo \u00e2mbito de aplica\u00e7\u00e3o desse sistema espec\u00edfico;<\/p>\n\n\n\n
11) \u00abCertificado europeu de ciberseguran\u00e7a\u00bb, um documento emitido por um organismo competente, que ateste que determinado produto, servi\u00e7o ou processo de TIC foi avaliado para determinar a sua conformidade com os requisitos de seguran\u00e7a espec\u00edficos estabelecidos por um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a;<\/p>\n\n\n\n
12) \u00abProduto de TIC\u00bb, um elemento ou grupo de elementos de uma rede ou um sistema de informa\u00e7\u00e3o;<\/p>\n\n\n\n
13) \u00abServi\u00e7o de TIC\u00bb, um servi\u00e7o que consiste total ou principalmente na transmiss\u00e3o, no armazenamento, na extrac\u00e7\u00e3o ou no tratamento de informa\u00e7\u00f5es atrav\u00e9s de redes e sistemas de informa\u00e7\u00e3o;<\/p>\n\n\n\n
14) \u00abProcesso de TIC\u00bb, um conjunto de atividades realizadas com o objetivo de conceber, desenvolver, fornecer ou manter um produto ou servi\u00e7o de TIC;<\/p>\n\n\n\n
15) \u00abAcredita\u00e7\u00e3o\u00bb, a acredita\u00e7\u00e3o na ace\u00e7\u00e3o do artigo 2.o, ponto 10, do Regulamento (CE) n.o 765\/2008;<\/p>\n\n\n\n
16) \u00abOrganismo nacional de acredita\u00e7\u00e3o\u00bb, um organismo nacional de acredita\u00e7\u00e3o na ace\u00e7\u00e3o do artigo 2.o, ponto 11, do Regulamento (CE) n.o 765\/2008;<\/p>\n\n\n\n
17) \u00abAvalia\u00e7\u00e3o da conformidade\u00bb, uma avalia\u00e7\u00e3o da conformidade na ace\u00e7\u00e3o do artigo 2.o , ponto 12, do Regulamento (CE) n.o 765\/2008;<\/p>\n\n\n\n
18) \u00abOrganismo de avalia\u00e7\u00e3o da conformidade\u00bb, um organismo de avalia\u00e7\u00e3o da conformidade na ace\u00e7\u00e3o do artigo 2.o, ponto 13, do Regulamento (CE) n.o 765\/2008;<\/p>\n\n\n\n
19) \u00abNorma\u00bb, uma norma na ace\u00e7\u00e3o do artigo 2.o, ponto 1, do Regulamento (UE) n.o 1025\/2012;<\/p>\n\n\n\n
20) \u00abEspecifica\u00e7\u00e3o t\u00e9cnica\u00bb, um documento que define os requisitos t\u00e9cnicos a cumprir pelos produtos, servi\u00e7os ou processos de TIC, ou os procedimentos de avalia\u00e7\u00e3o da conformidade relativos aos produtos, servi\u00e7os ou processos de TIC;<\/p>\n\n\n\n
21) \u00abN\u00edvel de garantia\u00bb, a base da confian\u00e7a de que um produto, servi\u00e7o ou processo de TIC cumpre os requisitos de seguran\u00e7a de um determinado sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a, que indica a que n\u00edvel esse produto, servi\u00e7o ou processo de TIC foi avaliado, mas n\u00e3o mede, por si s\u00f3, a seguran\u00e7a dos produtos, servi\u00e7os ou processos de TIC em si mesmos;<\/p>\n\n\n\n
22) \u00abAutoavalia\u00e7\u00e3o da conformidade\u00bb, uma a\u00e7\u00e3o realizada por um fabricante de produtos de TIC, o prestador de servi\u00e7os de TIC ou o fornecedor de processos de TIC para avaliar se esses produtos, servi\u00e7os ou processos de TIC cumprem os requisitos de um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
T\u00cdTULO II<\/p>\n\n\n\n
ENISA (AG\u00caNCIA DA UNI\u00c3O EUROPEIA PARA A CIBERSEGURAN\u00c7A)<\/p>\n\n\n\n
CAP\u00cdTULO I<\/p>\n\n\n\n
Mandato e objetivos<\/p>\n\n\n\n
Artigo 3.o<\/p>\n\n\n\n
Mandato<\/p>\n\n\n\n
1. A ENISA exerce as atribui\u00e7\u00f5es que lhe s\u00e3o conferidas ao abrigo do presente regulamento com o objetivo de alcan\u00e7ar<\/p>\n\n\n\n
um elevado n\u00edvel comum de ciberseguran\u00e7a na Uni\u00e3o, nomeadamente apoiando ativamente os Estados-Membros e as institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o a refor\u00e7arem a ciberseguran\u00e7a. A ENISA atua como um ponto de refer\u00eancia em mat\u00e9ria de aconselhamento e de conhecimentos especializados sobre ciberseguran\u00e7a para as institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o, assim como para outras partes interessadas da Uni\u00e3o.<\/p>\n\n\n\n
A ENISA contribui para reduzir a fragmenta\u00e7\u00e3o do mercado interno ao exercer as atribui\u00e7\u00f5es que lhe s\u00e3o conferidas ao abrigo do presente regulamento.<\/p>\n\n\n\n
2. A ENISA exerce as atribui\u00e7\u00f5es que lhe sejam conferidas por atos jur\u00eddicos da Uni\u00e3o que definam medidas para aproximar as disposi\u00e7\u00f5es legislativas, regulamentares e administrativas dos Estados-Membros relacionadas com a ciberseguran\u00e7a.<\/p>\n\n\n\n
3. No exerc\u00edcio das suas atribui\u00e7\u00f5es, a ENISA atua com independ\u00eancia, evitando a duplica\u00e7\u00e3o das atividades dos Estados-Membros e tendo em conta os conhecimentos especializados dos Estados-Membros.<\/p>\n\n\n\n
4. A ENISA desenvolve os seus pr\u00f3prios recursos, incluindo as capacidades e compet\u00eancias a n\u00edvel t\u00e9cnico e humano, necess\u00e1rios para o exerc\u00edcio das atribui\u00e7\u00f5es que lhe s\u00e3o conferidas pelo presente regulamento.<\/p>\n\n\n\n
Artigo 4.o<\/p>\n\n\n\n
Objetivos<\/p>\n\n\n\n
1. A ENISA \u00e9 um centro de conhecimentos especializados em mat\u00e9ria de ciberseguran\u00e7a, gra\u00e7as \u00e0 sua independ\u00eancia, \u00e0 qualidade cient\u00edfica e t\u00e9cnica do aconselhamento e da assist\u00eancia que presta, \u00e0s informa\u00e7\u00f5es que divulga, \u00e0 transpar\u00eancia dos seus procedimentos operacionais, aos seus m\u00e9todos de funcionamento e \u00e0 sua dilig\u00eancia no exerc\u00edcio das suas atribui\u00e7\u00f5es.<\/p>\n\n\n\n
2. A ENISA presta assist\u00eancia \u00e0s institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o, bem como aos Estados-Membros, na elabora\u00e7\u00e3o e execu\u00e7\u00e3o de pol\u00edticas da Uni\u00e3o relacionadas com a ciberseguran\u00e7a, incluindo pol\u00edticas setoriais em mat\u00e9ria de ciberseguran\u00e7a.<\/p>\n\n\n\n
3. A ENISA apoia o refor\u00e7o das capacidades e do grau de prepara\u00e7\u00e3o em toda a Uni\u00e3o, prestando assist\u00eancia \u00e0s institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o, bem como aos Estados-Membros e \u00e0s partes interessadas p\u00fablicas e privadas para refor\u00e7ar a prote\u00e7\u00e3o das suas redes e dos seus sistemas de informa\u00e7\u00e3o, desenvolver e aumentar a ciber-resili\u00eancia e as capacidades de resposta e desenvolver capacidades e compet\u00eancias no dom\u00ednio da ciberseguran\u00e7a.<\/p>\n\n\n\n
4. A ENISA promove a coopera\u00e7\u00e3o incluindo a partilha de informa\u00e7\u00f5es e a coordena\u00e7\u00e3o a n\u00edvel da Uni\u00e3o entre os Estados-Membros, as institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o, e as partes interessadas relevantes dos setores p\u00fablico e privado, nas quest\u00f5es relacionadas com a ciberseguran\u00e7a.<\/p>\n\n\n\n
5. A ENISA contribui para aumentar as capacidades em mat\u00e9ria de ciberseguran\u00e7a a n\u00edvel da Uni\u00e3o, a fim de apoiar as a\u00e7\u00f5es dos Estados-Membros na preven\u00e7\u00e3o e resposta a ciberamea\u00e7as, em especial em caso de incidentes transfronteiri\u00e7os.<\/p>\n\n\n\n
6. A ENISA promove o recurso a uma certifica\u00e7\u00e3o europeia da ciberseguran\u00e7a, com vista a evitar a fragmenta\u00e7\u00e3o do mercado interno. A ENISA contribui para a cria\u00e7\u00e3o e a manuten\u00e7\u00e3o de um enquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a, nos termos do t\u00edtulo III do presente regulamento, a fim de aumentar a transpar\u00eancia no que respeita \u00e0 ciberseguran\u00e7a dos produtos, servi\u00e7os e processos de TIC, refor\u00e7ando, assim, a confian\u00e7a no mercado interno digital e a sua competitividade.<\/p>\n\n\n\n
7. A ENISA promove um elevado n\u00edvel de sensibiliza\u00e7\u00e3o em mat\u00e9ria de ciberseguran\u00e7a, designadamente a ciber-higiene e a ciberliteracia dos cidad\u00e3os, das organiza\u00e7\u00f5es e das empresas.<\/p>\n\n\n\n
L 151\/34 Jornal Oficial da Uni\u00e3o Europeia 7.6.2019 PT<\/p>\n\n\n\n
CAP\u00cdTULO II<\/p>\n\n\n\n
Atribui\u00e7\u00f5es<\/p>\n\n\n\n
Artigo 5.o<\/p>\n\n\n\n
Elabora\u00e7\u00e3o e execu\u00e7\u00e3o da pol\u00edtica e do direito da Uni\u00e3o<\/p>\n\n\n\n
A ENISA contribui para a elabora\u00e7\u00e3o e a execu\u00e7\u00e3o da pol\u00edtica e do direito da Uni\u00e3o, nomeadamente:<\/p>\n\n\n\n
1) Prestando assist\u00eancia e aconselhamento no que respeita \u00e0 elabora\u00e7\u00e3o e \u00e0 revis\u00e3o da pol\u00edtica e do direito da Uni\u00e3o no dom\u00ednio da ciberseguran\u00e7a, e \u00e0s iniciativas legislativas e de pol\u00edticas setoriais que envolvam quest\u00f5es relacionadas com a ciberseguran\u00e7a nomeadamente fornecendo pareceres e an\u00e1lises independentes e realizando trabalhos preparat\u00f3rios;<\/p>\n\n\n\n
2) Prestando assist\u00eancia aos Estados-Membros na execu\u00e7\u00e3o coerente da pol\u00edtica e do direito da Uni\u00e3o em mat\u00e9ria de ciberseguran\u00e7a, nomeadamente no que diz respeito \u00e0 Diretiva (UE) 2016\/1148, nomeadamente atrav\u00e9s da emiss\u00e3o de pareceres e orienta\u00e7\u00f5es, da disponibiliza\u00e7\u00e3o de aconselhamento e das melhores pr\u00e1ticas sobre quest\u00f5es como a gest\u00e3o<\/p>\n\n\n\n
do risco, a comunica\u00e7\u00e3o de incidentes e a partilha de informa\u00e7\u00f5es, bem como da facilita\u00e7\u00e3o do interc\u00e2mbio das melhores pr\u00e1ticas entre as autoridades competentes nesse dom\u00ednio;<\/p>\n\n\n\n
3) Prestando assist\u00eancia aos Estados-Membros e \u00e0s institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o na elabora\u00e7\u00e3o e promo\u00e7\u00e3o<\/p>\n\n\n\n
de pol\u00edticas de ciberseguran\u00e7a que apoiem a disponibilidade geral ou a integridade do n\u00facleo p\u00fablico da Internet aberta;<\/p>\n\n\n\n
4) Contribuindo para os trabalhos do grupo de coopera\u00e7\u00e3o, nos termos do artigo 11.o da Diretiva (UE) 2016\/1148, fornecendo conhecimentos especializados e assist\u00eancia;<\/p>\n\n\n\n
5) Apoiando:<\/p>\n\n\n\n
a) A elabora\u00e7\u00e3o e a execu\u00e7\u00e3o da pol\u00edtica da Uni\u00e3o no dom\u00ednio da identifica\u00e7\u00e3o eletr\u00f3nica e dos servi\u00e7os de confian\u00e7a, nomeadamente prestando aconselhamento e emitindo orienta\u00e7\u00f5es t\u00e9cnicas, e facilitando o interc\u00e2mbio das melhores pr\u00e1ticas entre as autoridades competentes;<\/p>\n\n\n\n
b) A promo\u00e7\u00e3o de um refor\u00e7o do n\u00edvel de seguran\u00e7a das comunica\u00e7\u00f5es eletr\u00f3nicas, nomeadamente disponibilizando aconselhamento e conhecimentos especializados, e facilitando o interc\u00e2mbio das melhores pr\u00e1ticas entre as autoridades competentes;<\/p>\n\n\n\n
c) Os Estados-Membros na aplica\u00e7\u00e3o dos aspetos espec\u00edficos de ciberseguran\u00e7a das pol\u00edticas e do direito da Uni\u00e3o em mat\u00e9ria de prote\u00e7\u00e3o de dados e privacidade, incluindo atrav\u00e9s da emiss\u00e3o, a pedido, de parecer dirigido ao Comit\u00e9<\/p>\n\n\n\n
Europeu para a Prote\u00e7\u00e3o de Dados;<\/p>\n\n\n\n
6) Apoiando a an\u00e1lise regular das atividades pol\u00edticas da Uni\u00e3o, elaborando para isso um relat\u00f3rio anual sobre o estado da execu\u00e7\u00e3o do respetivo regime jur\u00eddico, no que diz respeito:<\/p>\n\n\n\n
a) \u00c0s informa\u00e7\u00f5es sobre as notifica\u00e7\u00f5es de incidentes ocorridos nos Estados-Membros apresentadas pelos pontos \u00fanicos de contacto ao grupo de coopera\u00e7\u00e3o, nos termos do artigo 10.o, n.o 3, da Diretiva (UE) 2016\/1148;<\/p>\n\n\n\n
b) Aos resumos das notifica\u00e7\u00f5es de viola\u00e7\u00f5es da seguran\u00e7a ou de perda de integridade recebidas da parte dos prestadores de servi\u00e7os de confian\u00e7a que as entidades supervisoras tenham fornecido \u00e0 ENISA, nos termos do artigo 19.o, n.o 3, do Regulamento (UE) n.o 910\/2014 do Parlamento Europeu e do Conselho (23);<\/p>\n\n\n\n
c) \u00c0s notifica\u00e7\u00f5es de incidentes de seguran\u00e7a transmitidas pelos fornecedores de redes de comunica\u00e7\u00f5es electr\u00f3nicas p\u00fablicas ou de servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico que as autoridades competentes tenham fornecido \u00e0 ENISA, nos termos do artigo 40.o da Diretiva (UE) 2018\/1972.<\/p>\n\n\n\n
Artigo 6.o<\/p>\n\n\n\n
Refor\u00e7o das capacidades<\/p>\n\n\n\n
1. A ENISA presta assist\u00eancia:<\/p>\n\n\n\n
a) Aos Estados-Membros, nos seus esfor\u00e7os para melhorar a preven\u00e7\u00e3o, a dete\u00e7\u00e3o e a an\u00e1lise de ciberamea\u00e7as e incidentes, e a capacidade de resposta a tais ciberamea\u00e7as e incidentes, disponibilizando-lhes conhecimentos especializados;<\/p>\n\n\n\n
b) Aos Estados-Membros e \u00e0s institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o, na elabora\u00e7\u00e3o e execu\u00e7\u00e3o das pol\u00edticas de divulga\u00e7\u00e3o de vulnerabilidades numa base volunt\u00e1ria;<\/p>\n\n\n\n
c) \u00c0s institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o, nos seus esfor\u00e7os para melhorar a preven\u00e7\u00e3o, a dete\u00e7\u00e3o e a an\u00e1lise de ciberamea\u00e7as e incidentes, e melhorar as suas capacidades de resposta a tais ciberamea\u00e7as e incidentes, em particular por meio do apoio adequado \u00e0 (CERT-UE);<\/p>\n\n\n\n
d) Aos Estados-Membros, na cria\u00e7\u00e3o de equipas nacionais de CSIRT, a pedido, nos termos do artigo 9.o, n.o 5, da Diretiva (UE) 2016\/1148;<\/p>\n\n\n\n
e) Aos Estados-Membros, na elabora\u00e7\u00e3o de estrat\u00e9gias nacionais de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o, se a pedido, nos termos do artigo 7.o, n.o 2, da Diretiva (UE) 2016\/1148, e promovendo a divulga\u00e7\u00e3o dessas estrat\u00e9gias e registando os progressos alcan\u00e7ados na sua execu\u00e7\u00e3o em toda a Uni\u00e3o, a fim de promover as melhores pr\u00e1ticas;<\/p>\n\n\n\n
f) \u00c0s institui\u00e7\u00f5es da Uni\u00e3o, na elabora\u00e7\u00e3o e an\u00e1lise das estrat\u00e9gias da Uni\u00e3o em mat\u00e9ria de ciberseguran\u00e7a, promovendo a sua divulga\u00e7\u00e3o e acompanhando o avan\u00e7o da sua execu\u00e7\u00e3o;<\/p>\n\n\n\n
g) \u00c0s CSIRT nacionais e da Uni\u00e3o, na subida do n\u00edvel das suas capacidades, nomeadamente promovendo o di\u00e1logo e o interc\u00e2mbio de informa\u00e7\u00f5es, a fim de assegurar que, tendo em conta o estado da tecnologia, cada CSIRT possua uma base comum de capacidades m\u00ednimas e funcione de acordo com as melhores pr\u00e1ticas;<\/p>\n\n\n\n
h) Aos Estados-Membros, organizando regularmente os exerc\u00edcios de ciberseguran\u00e7a a n\u00edvel da Uni\u00e3o a que se refere o artigo 7.o, n.o 5, pelo menos de dois em dois anos, e emitindo recomenda\u00e7\u00f5es de orienta\u00e7\u00e3o pol\u00edtica com base no processo de avalia\u00e7\u00e3o dos exerc\u00edcios e dos ensinamentos deles retirados;<\/p>\n\n\n\n
i) Aos organismos p\u00fablicos competentes, disponibilizando forma\u00e7\u00e3o em mat\u00e9ria de ciberseguran\u00e7a, quando se justificar em coopera\u00e7\u00e3o com as partes interessadas;<\/p>\n\n\n\n
j) Ao grupo de coopera\u00e7\u00e3o, no interc\u00e2mbio de boas pr\u00e1ticas referentes a riscos e incidentes, em particular no que diz respeito \u00e0 identifica\u00e7\u00e3o pelos Estados-Membros dos operadores de servi\u00e7os essenciais, nos termos do artigo 11.o , n.o 3, al\u00ednea l), da Diretiva (UE) 2016\/1148, nomeadamente quanto \u00e0s depend\u00eancias transfronteiri\u00e7as.<\/p>\n\n\n\n
2. A ENISA apoia a partilha de informa\u00e7\u00f5es nos diferentes setores e entre eles, em particular nos setores enumerados no anexo II da Diretiva (UE) 2016\/1148, atrav\u00e9s da disponibiliza\u00e7\u00e3o de melhores pr\u00e1ticas e orienta\u00e7\u00f5es sobre os instrumentos dispon\u00edveis e os procedimentos, bem como sobre a forma de abordar quest\u00f5es regulamentares relativas \u00e0 partilha de informa\u00e7\u00f5es.<\/p>\n\n\n\n
Artigo 7.o<\/p>\n\n\n\n
Coopera\u00e7\u00e3o operacional a n\u00edvel da Uni\u00e3o<\/p>\n\n\n\n
1. A ENISA apoia a coopera\u00e7\u00e3o operacional entre os Estados-Membros, as institui\u00e7\u00f5es, os \u00f3rg\u00e3os e os organismos da Uni\u00e3o e entre as partes interessadas.<\/p>\n\n\n\n
2. A ENISA coopera a n\u00edvel operacional e estabelece sinergias com as institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o, incluindo a CERT-UE, com os servi\u00e7os que se ocupam da cibercriminalidade e as autoridades supervisoras respons\u00e1veis pela prote\u00e7\u00e3o da privacidade e dos dados pessoais, a fim de dar resposta a quest\u00f5es de interesse comum atrav\u00e9s, nomeadamente:<\/p>\n\n\n\n
a) Do interc\u00e2mbio de compet\u00eancias t\u00e9cnicas e de melhores pr\u00e1ticas;<\/p>\n\n\n\n
b) Da presta\u00e7\u00e3o de aconselhamento e da emiss\u00e3o de orienta\u00e7\u00f5es sobre quest\u00f5es relevantes relacionadas com a ciberseguran\u00e7a;<\/p>\n\n\n\n
c) Do estabelecimento de disposi\u00e7\u00f5es pr\u00e1ticas com vista \u00e0 execu\u00e7\u00e3o de tarefas espec\u00edficas, ap\u00f3s consulta \u00e0 Comiss\u00e3o.<\/p>\n\n\n\n
3. A ENISA assegura os servi\u00e7os de secretariado da rede de CSIRT, nos termos do artigo 12.o, n.o 2, da Diretiva (UE) 2016\/1148 e, nessa qualidade, apoia ativamente a partilha de informa\u00e7\u00f5es e a coopera\u00e7\u00e3o entre os seus membros.<\/p>\n\n\n\n
4. A ENISA apoia os Estados-Membros no que se refere \u00e0 coopera\u00e7\u00e3o operacional no \u00e2mbito da rede de CSIRT, nomeadamente:<\/p>\n\n\n\n
a) Aconselhando-os sobre a forma de refor\u00e7ar as suas capacidades de preven\u00e7\u00e3o, dete\u00e7\u00e3o e resposta a incidentes e, a pedido de um ou mais Estados-Membros, prestando aconselhamento em rela\u00e7\u00e3o a ciberamea\u00e7as espec\u00edficas;<\/p>\n\n\n\n
b) Prestando assist\u00eancia, a pedido de um ou mais Estados-Membros, na avalia\u00e7\u00e3o de incidentes com impacto significativo ou substancial, atrav\u00e9s da disponibiliza\u00e7\u00e3o dos seus conhecimentos especializados e facilitando o tratamento t\u00e9cnico desses incidentes, em particular, atrav\u00e9s do apoio \u00e0 partilha volunt\u00e1ria de informa\u00e7\u00f5es relevantes e de solu\u00e7\u00f5es t\u00e9cnicas entre os Estados-Membros;<\/p>\n\n\n\n
c) Analisando vulnerabilidades e incidentes com base em informa\u00e7\u00f5es publicamente dispon\u00edveis ou em informa\u00e7\u00f5es fornecidas pelos Estados-Membros a t\u00edtulo volunt\u00e1rio para esse efeito; e<\/p>\n\n\n\n
d) Prestando apoio, a pedido de um ou mais Estados-Membros, \u00e0 realiza\u00e7\u00e3o de inqu\u00e9ritos t\u00e9cnicos ex post relativos a incidentes com um impacto significativo ou substancial, na ace\u00e7\u00e3o da Diretiva (UE) 2016\/1148.<\/p>\n\n\n\n
No exerc\u00edcio dessas atribui\u00e7\u00f5es, a ENISA e a CERT-UE encetam uma coopera\u00e7\u00e3o estruturada, a fim de beneficiar de sinergias e evitar a duplica\u00e7\u00e3o de atividades.<\/p>\n\n\n\n
5. A ENISA organiza regularmente exerc\u00edcios de ciberseguran\u00e7a a n\u00edvel da Uni\u00e3o e apoia, a seu pedido, os Estados-Membros e as institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o na organiza\u00e7\u00e3o de exerc\u00edcios de ciberseguran\u00e7a. Tais exerc\u00edcios de ciberseguran\u00e7a a n\u00edvel da Uni\u00e3o podem incluir elementos t\u00e9cnicos, operacionais ou estrat\u00e9gicos. A ENISA organiza um exerc\u00edcio em grande escala com uma regularidade bienal.<\/p>\n\n\n\n
A ENISA contribui tamb\u00e9m para exerc\u00edcios setoriais de ciberseguran\u00e7a e ajuda a organiz\u00e1-los, juntamente com as organiza\u00e7\u00f5es competentes que tamb\u00e9m participam nos exerc\u00edcios de ciberseguran\u00e7a a n\u00edvel da Uni\u00e3o.<\/p>\n\n\n\n
6. A ENISA, em estreita colabora\u00e7\u00e3o com os Estados-Membros, elabora regularmente um relat\u00f3rio aprofundado sobre a situa\u00e7\u00e3o t\u00e9cnica da ciberseguran\u00e7a na UE quanto a incidentes e ciberamea\u00e7as, com base em informa\u00e7\u00f5es publicamente dispon\u00edveis, nas suas pr\u00f3prias an\u00e1lises e em relat\u00f3rios partilhados, nomeadamente pelas CSIRT dos Estados-Membros ou pelos pontos \u00fanicos de contacto criados pela Diretiva (UE) 2016\/1148 (ambos numa base volunt\u00e1ria), pelo EC3 e pela<\/p>\n\n\n\n
CERT-UE.<\/p>\n\n\n\n
7. A ENISA contribui para a prepara\u00e7\u00e3o de uma resposta colaborativa, a n\u00edvel da Uni\u00e3o e dos Estados-Membros, a incidentes de ciberseguran\u00e7a transfronteiri\u00e7os em grande escala ou a crises de ciberseguran\u00e7a, essencialmente:<\/p>\n\n\n\n
a) Agregando e analisando relat\u00f3rios provenientes de fontes nacionais, que sejam p\u00fablicos ou tenham sido partilhados numa base volunt\u00e1ria, com vista a contribuir para estabelecer um conhecimento comum da situa\u00e7\u00e3o;<\/p>\n\n\n\n
b) Assegurando o fluxo eficaz das informa\u00e7\u00f5es e a exist\u00eancia de mecanismos de escalada das decis\u00f5es entre a rede de CSIRT e os decisores t\u00e9cnicos e pol\u00edticos a n\u00edvel da Uni\u00e3o;<\/p>\n\n\n\n
c) A pedido, facilitando o tratamento t\u00e9cnico de tais incidentes ou crises, em particular atrav\u00e9s do apoio \u00e0 partilha volunt\u00e1ria de solu\u00e7\u00f5es t\u00e9cnicas entre Estados-Membros;<\/p>\n\n\n\n
d) Apoiando as institui\u00e7\u00f5es, os \u00f3rg\u00e3os e organismos da Uni\u00e3o e, a seu pedido, os Estados-Membros na comunica\u00e7\u00e3o p\u00fablica relativa a tais incidentes ou crises;<\/p>\n\n\n\n
e) Ensaiando os planos de coopera\u00e7\u00e3o destinados a responder a esses incidentes ou crises a n\u00edvel da Uni\u00e3o e, a seu pedido, prestando apoio aos Estados-Membros no ensaio desses planos ao n\u00edvel nacional.<\/p>\n\n\n\n
Artigo 8.o<\/p>\n\n\n\n
Mercado, certifica\u00e7\u00e3o da ciberseguran\u00e7a e normaliza\u00e7\u00e3o<\/p>\n\n\n\n
1. A ENISA apoia e promove a elabora\u00e7\u00e3o e a execu\u00e7\u00e3o da pol\u00edtica da Uni\u00e3o em mat\u00e9ria de certifica\u00e7\u00e3o da ciberseguran\u00e7a dos produtos, servi\u00e7os e processos de TIC, tal como estabelecido no t\u00edtulo III do presente regulamento:<\/p>\n\n\n\n
a) Acompanhando continuamente a evolu\u00e7\u00e3o nos dom\u00ednios relacionados com a normaliza\u00e7\u00e3o e recomendando especifica\u00e7\u00f5es t\u00e9cnicas adequadas para utiliza\u00e7\u00e3o na cria\u00e7\u00e3o de sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a, por for\u00e7a do artigo 54.o, n.o 1, al\u00ednea c), caso n\u00e3o existam normas estabelecidas;<\/p>\n\n\n\n
b) Elaborando projetos de sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a (\u00abprojetos de sistemas\u00bb) dos produtos, servi\u00e7os e processos de TIC, nos termos do artigo 49.o;<\/p>\n\n\n\n
c) Avaliando os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a adotados, nos termos do artigo 49.o, n.o 8;<\/p>\n\n\n\n
d) Participando nas an\u00e1lises pelos pares, nos termos do artigo 59.o, n.o 4;<\/p>\n\n\n\n
e) Prestando assist\u00eancia \u00e0 Comiss\u00e3o para assegurar os servi\u00e7os de secretariado do GECC, nos termos do artigo 62.o, n.o 5.<\/p>\n\n\n\n
2. A ENISA assegura os servi\u00e7os de secretariado do grupo das partes interessadas para a certifica\u00e7\u00e3o da ciberseguran\u00e7a, nos termos do artigo 22.o, n.o 4.<\/p>\n\n\n\n
3. A ENISA compila e publica orienta\u00e7\u00f5es e desenvolve boas pr\u00e1ticas em mat\u00e9ria de requisitos de ciberseguran\u00e7a dos produtos, servi\u00e7os e processos de TIC, em coopera\u00e7\u00e3o com as autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a e a ind\u00fastria, de modo formal, estruturado e transparente.<\/p>\n\n\n\n
4. A ENISA contribui para o refor\u00e7o de capacidades relacionado com os processos de avalia\u00e7\u00e3o e certifica\u00e7\u00e3o atrav\u00e9s da compila\u00e7\u00e3o e emiss\u00e3o de orienta\u00e7\u00f5es e da presta\u00e7\u00e3o de apoio aos Estados-Membros, a pedido destes.<\/p>\n\n\n\n
5. A ENISA facilita a elabora\u00e7\u00e3o e a ado\u00e7\u00e3o de normas europeias e internacionais em mat\u00e9ria de gest\u00e3o dos riscos e de seguran\u00e7a dos produtos, servi\u00e7os e processos de TIC.<\/p>\n\n\n\n
6. A ENISA elabora, em colabora\u00e7\u00e3o com os Estados-Membros e a ind\u00fastria, recomenda\u00e7\u00f5es e orienta\u00e7\u00f5es relativas aos dom\u00ednios t\u00e9cnicos relacionados com os requisitos de seguran\u00e7a aplic\u00e1veis aos operadores de servi\u00e7os essenciais e aos prestadores de servi\u00e7os digitais, bem como relativas a normas j\u00e1 existentes, incluindo normas nacionais dos Estados-Membros, nos termos do artigo 19.o, n.o 2, da Diretiva (UE) 2016\/1148.<\/p>\n\n\n\n
7. A ENISA analisa regularmente as principais tend\u00eancias do mercado da ciberseguran\u00e7a, tanto na perspetiva da oferta como da procura, e divulga os resultados com vista \u00e0 promo\u00e7\u00e3o do mercado da ciberseguran\u00e7a na Uni\u00e3o.<\/p>\n\n\n\n
Artigo 9.o<\/p>\n\n\n\n
Conhecimento e informa\u00e7\u00e3o<\/p>\n\n\n\n
A ENISA:<\/p>\n\n\n\n
a) Analisa as tecnologias emergentes e avalia as inova\u00e7\u00f5es tecnol\u00f3gicas no dom\u00ednio da ciberseguran\u00e7a especificamente quanto ao seu impacto esperado no plano societal, jur\u00eddico, econ\u00f3mico e regulamentar;<\/p>\n\n\n\n
b) Realiza an\u00e1lises estrat\u00e9gicas de longo prazo das ciberamea\u00e7as e dos incidentes de ciberseguran\u00e7a, a fim de identificar tend\u00eancias emergentes e ajudar a prevenir incidentes;<\/p>\n\n\n\n
c) Em coopera\u00e7\u00e3o com peritos das autoridades dos Estados-Membros e das partes interessadas, presta aconselhamento e disponibiliza orienta\u00e7\u00f5es e melhores pr\u00e1ticas para a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o, em especial para a seguran\u00e7a das infraestruturas de apoio aos setores enumerados no anexo II da Diretiva (UE) 2016\/1148 e das infraestruturas utilizadas pelos prestadores de servi\u00e7os digitais enumerados no anexo III da mesma diretiva;<\/p>\n\n\n\n
d) Atrav\u00e9s de um portal especialmente concebido para o efeito, re\u00fane, organiza e disponibiliza ao p\u00fablico, informa\u00e7\u00f5es sobre ciberseguran\u00e7a fornecidas pelas institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o e, a t\u00edtulo volunt\u00e1rio, informa\u00e7\u00f5es sobre ciberseguran\u00e7a fornecidas pelos Estados-Membros e pelas partes interessadas dos setores p\u00fablico e privado;<\/p>\n\n\n\n
e) Recolhe e analisa informa\u00e7\u00f5es publicamente dispon\u00edveis sobre incidentes importantes e elabora relat\u00f3rios com vista a fornecer orienta\u00e7\u00f5es aos cidad\u00e3os, \u00e0s organiza\u00e7\u00f5es e \u00e0s empresas em toda a Uni\u00e3o.<\/p>\n\n\n\n
Artigo 10.o<\/p>\n\n\n\n
Sensibiliza\u00e7\u00e3o e educa\u00e7\u00e3o<\/p>\n\n\n\n
No que respeita \u00e0 sensibiliza\u00e7\u00e3o e \u00e0 educa\u00e7\u00e3o, a ENISA:<\/p>\n\n\n\n
a) Sensibiliza o p\u00fablico para os riscos para a ciberseguran\u00e7a e fornece orienta\u00e7\u00f5es sobre boas pr\u00e1ticas dos utilizadores destinadas aos cidad\u00e3os, \u00e0s organiza\u00e7\u00f5es e \u00e0s empresas, designadamente no que se refere \u00e0 ciber-higiene e ciberliteracia;<\/p>\n\n\n\n
b) Organiza, em coopera\u00e7\u00e3o com os Estados-Membros, as institui\u00e7\u00f5es, os \u00f3rg\u00e3os e os organismos da Uni\u00e3o e a ind\u00fastria, campanhas de sensibiliza\u00e7\u00e3o regulares, a fim de aumentar a ciberseguran\u00e7a e a sua visibilidade na Uni\u00e3o e de incentivar um amplo debate p\u00fablico;<\/p>\n\n\n\n
c) Presta assist\u00eancia aos Estados-Membros nos seus esfor\u00e7os de sensibiliza\u00e7\u00e3o para a ciberseguran\u00e7a e de promo\u00e7\u00e3o da educa\u00e7\u00e3o para a ciberseguran\u00e7a;<\/p>\n\n\n\n
d) Promove uma coordena\u00e7\u00e3o e um interc\u00e2mbio mais estreitos das melhores pr\u00e1ticas entre os Estados-Membros no que se refere \u00e0 sensibiliza\u00e7\u00e3o e \u00e0 educa\u00e7\u00e3o para a ciberseguran\u00e7a.<\/p>\n\n\n\n
Artigo 11.o<\/p>\n\n\n\n
Investiga\u00e7\u00e3o e inova\u00e7\u00e3o<\/p>\n\n\n\n
No que respeita \u00e0 investiga\u00e7\u00e3o e \u00e0 inova\u00e7\u00e3o, a ENISA:<\/p>\n\n\n\n
a) Presta aconselhamento \u00e0s institui\u00e7\u00f5es, \u00f3rg\u00e3os e organismos da Uni\u00e3o e aos Estados-Membros sobre as necessidades e prioridades de investiga\u00e7\u00e3o no dom\u00ednio da ciberseguran\u00e7a, a fim de lhes permitir responder eficazmente aos riscos e \u00e0s ciberamea\u00e7as atuais e emergentes, nomeadamente no que respeita \u00e0s tecnologias novas e emergentes da informa\u00e7\u00e3o e comunica\u00e7\u00e3o e a fim de utilizar de forma eficaz as tecnologias de preven\u00e7\u00e3o dos riscos;<\/p>\n\n\n\n
b) Participa, se a Comiss\u00e3o lhe conferir os poderes necess\u00e1rios, na fase de execu\u00e7\u00e3o de programas de financiamento da investiga\u00e7\u00e3o e inova\u00e7\u00e3o ou \u00e9 ela pr\u00f3pria benefici\u00e1ria desses programas.<\/p>\n\n\n\n
c) Contribui para a agenda estrat\u00e9gica de investiga\u00e7\u00e3o e inova\u00e7\u00e3o a n\u00edvel da Uni\u00e3o no dom\u00ednio da ciberseguran\u00e7a.<\/p>\n\n\n\n
Artigo 12.o<\/p>\n\n\n\n
Coopera\u00e7\u00e3o internacional<\/p>\n\n\n\n
A ENISA contribui para os esfor\u00e7os de coopera\u00e7\u00e3o da Uni\u00e3o com os pa\u00edses terceiros e organiza\u00e7\u00f5es internacionais, bem como no \u00e2mbito dos quadros de coopera\u00e7\u00e3o internacional relevantes, para promover a coopera\u00e7\u00e3o internacional em mat\u00e9ria de ciberseguran\u00e7a:<\/p>\n\n\n\n
a) Implicando-se, quando se justifique, na qualidade de observadora na organiza\u00e7\u00e3o de exerc\u00edcios internacionais, analisando os resultados desses exerc\u00edcios e deles informando o conselho de administra\u00e7\u00e3o;<\/p>\n\n\n\n
b) Facilitando, a pedido da Comiss\u00e3o, o interc\u00e2mbio das melhores pr\u00e1ticas;<\/p>\n\n\n\n
c) Disponibilizando, a pedido desta, conhecimentos especializados \u00e0 Comiss\u00e3o;<\/p>\n\n\n\n
d) Prestando apoio e aconselhamento \u00e0 Comiss\u00e3o sobre quest\u00f5es relativas a acordos de reconhecimento m\u00fatuo de certificados de ciberseguran\u00e7a com pa\u00edses terceiros, em colabora\u00e7\u00e3o com o GECC criado nos termos do artigo 62.o.<\/p>\n\n\n\n
CAP\u00cdTULO III<\/p>\n\n\n\n
Organiza\u00e7\u00e3o da ENISA<\/p>\n\n\n\n
Artigo 13.o<\/p>\n\n\n\n
Estrutura da ENISA<\/p>\n\n\n\n
A estrutura administrativa e de gest\u00e3o da ENISA \u00e9 composta por:<\/p>\n\n\n\n
a) Um conselho de administra\u00e7\u00e3o;<\/p>\n\n\n\n
b) Uma comiss\u00e3o executiva;<\/p>\n\n\n\n
c) Um diretor executivo;<\/p>\n\n\n\n
d) Um grupo consultivo da ENISA;<\/p>\n\n\n\n
e) Uma rede de agentes de liga\u00e7\u00e3o nacionais.<\/p>\n\n\n\n
Sec\u00e7\u00e3o 1<\/p>\n\n\n\n
Conselho de administra\u00e7\u00e3o<\/p>\n\n\n\n
Artigo 14.o<\/p>\n\n\n\n
Composi\u00e7\u00e3o do conselho de administra\u00e7\u00e3o<\/p>\n\n\n\n
1. O conselho de administra\u00e7\u00e3o \u00e9 composto por um membro nomeado por cada Estado-Membro e dois membros nomeados pela Comiss\u00e3o. Todos os membros t\u00eam direito de voto.<\/p>\n\n\n\n
2. Cada membro do conselho de administra\u00e7\u00e3o tem um suplente. O suplente representa o membro na sua aus\u00eancia.<\/p>\n\n\n\n
3. Os membros do conselho de administra\u00e7\u00e3o e os seus suplentes s\u00e3o nomeados em fun\u00e7\u00e3o dos seus conhecimentos no dom\u00ednio da ciberseguran\u00e7a, tendo em conta as suas compet\u00eancias de gest\u00e3o, administrativas e or\u00e7amentais relevantes.<\/p>\n\n\n\n
A Comiss\u00e3o e os Estados-Membros procuram limitar a rota\u00e7\u00e3o dos seus representantes no conselho de administra\u00e7\u00e3o, a fim de assegurar a continuidade dos trabalhos desse \u00f3rg\u00e3o. A Comiss\u00e3o e os Estados-Membros procuraram assegurar o equil\u00edbrio de g\u00e9nero no conselho de administra\u00e7\u00e3o.<\/p>\n\n\n\n
4. O mandato dos membros efetivos e dos membros suplentes do conselho de administra\u00e7\u00e3o tem a dura\u00e7\u00e3o de quatro anos. O mandato \u00e9 renov\u00e1vel.<\/p>\n\n\n\n
Artigo 15.o<\/p>\n\n\n\n
Compet\u00eancias do conselho de administra\u00e7\u00e3o<\/p>\n\n\n\n
1. Compete ao conselho de administra\u00e7\u00e3o:<\/p>\n\n\n\n
a) Estabelecer a dire\u00e7\u00e3o geral das atividades da ENISA e assegurar que esta funcione de acordo com as regras e os princ\u00edpios estabelecidos no presente regulamento, bem como assegurar a coer\u00eancia do trabalho da ENISA com as atividades realizadas pelos Estados-Membros e a n\u00edvel da Uni\u00e3o;<\/p>\n\n\n\n
b) Adotar o projeto de documento \u00fanico de programa\u00e7\u00e3o da ENISA a que se refere o artigo 24.o, antes da sua apresenta\u00e7\u00e3o \u00e0 Comiss\u00e3o para parecer;<\/p>\n\n\n\n
c) Adotar o documento \u00fanico de programa\u00e7\u00e3o da ENISA tendo em conta o parecer da Comiss\u00e3o;<\/p>\n\n\n\n
d) Supervisionar a execu\u00e7\u00e3o da programa\u00e7\u00e3o anual e plurianual prevista no documento \u00fanico de programa\u00e7\u00e3o;<\/p>\n\n\n\n
e) Adotar o or\u00e7amento anual da ENISA e exercer outras compet\u00eancias respeitantes ao or\u00e7amento da ENISA, nos termos do cap\u00edtulo IV;<\/p>\n\n\n\n
f) Avaliar e adotar o relat\u00f3rio anual consolidado de atividades da ENISA, incluindo as contas da ENISA e uma descri\u00e7\u00e3o do modo como esta cumpriu os seus indicadores de desempenho, enviar esse relat\u00f3rio anual e a respetiva avalia\u00e7\u00e3o, at\u00e9 1 de julho do ano seguinte, ao Parlamento Europeu, ao Conselho, \u00e0 Comiss\u00e3o e ao Tribunal de Contas e publicar o relat\u00f3rio anual;<\/p>\n\n\n\n
g) Adotar as regras financeiras aplic\u00e1veis \u00e0 ENISA, nos termos do artigo 32.o;<\/p>\n\n\n\n
h) Adotar uma estrat\u00e9gia de luta contra a fraude proporcional aos riscos, tendo em conta uma an\u00e1lise de custo-benef\u00edcio das medidas a aplicar;<\/p>\n\n\n\n
i) Adotar regras de preven\u00e7\u00e3o e gest\u00e3o de conflitos de interesses relativamente aos seus membros;<\/p>\n\n\n\n
j) Assegurar o seguimento adequado das conclus\u00f5es e recomenda\u00e7\u00f5es decorrentes dos inqu\u00e9ritos do Organismo Europeu de Luta Antifraude (OLAF) e dos diversos relat\u00f3rios de auditoria e avalia\u00e7\u00f5es a n\u00edvel interno ou externo;<\/p>\n\n\n\n
k) Adotar o seu regulamento interno, incluindo as regras sobre a ado\u00e7\u00e3o de decis\u00f5es provis\u00f3rias a respeito da delega\u00e7\u00e3o de tarefas espec\u00edficas, ao abrigo do artigo 19.o, n.o 7;<\/p>\n\n\n\n
l) Exercer, em rela\u00e7\u00e3o ao pessoal da ENISA, os poderes atribu\u00eddos pelo Estatuto dos Funcion\u00e1rios da Uni\u00e3o Europeia (\u00abEstatuto dos Funcion\u00e1rios\u00bb) e pelo Regime Aplic\u00e1vel aos Outros Agentes da Uni\u00e3o Europeia (\u00abRegime aplic\u00e1vel aos Outros Agentes\u00bb), estabelecido no Regulamento (CEE, Euratom, CECA) n.o 259\/68 do Conselho (24) \u00e0 entidade competente para proceder a nomea\u00e7\u00f5es, e \u00e0 autoridade investida do poder de celebrar contratos (\u00abpoderes da autoridade investida do poder de nomea\u00e7\u00e3o\u00bb), nos termos do n.o 2 do presente artigo;<\/p>\n\n\n\n
m) Adotar regras de execu\u00e7\u00e3o do Estatuto dos Funcion\u00e1rios e do Regime Aplic\u00e1vel aos Outros Agentes da Uni\u00e3o Europeia, pelo procedimento previsto no artigo 110.o do Estatuto dos Funcion\u00e1rios;<\/p>\n\n\n\n
n) Nomear o diretor executivo e, sendo caso disso, prorrogar o seu mandato ou exoner\u00e1-lo das suas fun\u00e7\u00f5es, nos termos do artigo 36.o;<\/p>\n\n\n\n
o) Nomear um contabilista, que pode ser o contabilista da Comiss\u00e3o, o qual \u00e9 totalmente independente no exerc\u00edcio das suas fun\u00e7\u00f5es;<\/p>\n\n\n\n
p) Tomar todas as decis\u00f5es relativas \u00e0 cria\u00e7\u00e3o e, sempre que necess\u00e1rio, \u00e0 altera\u00e7\u00e3o das estruturas internas da ENISA, tendo em considera\u00e7\u00e3o as necessidades decorrentes das atividades desta e uma boa gest\u00e3o or\u00e7amental;<\/p>\n\n\n\n
q) Autorizar a celebra\u00e7\u00e3o de acordos de trabalho, nos termos do artigo 7.o;<\/p>\n\n\n\n
r) Autorizar a celebra\u00e7\u00e3o de acordos de coopera\u00e7\u00e3o nos termos do artigo 42.o.<\/p>\n\n\n\n
2. O conselho de administra\u00e7\u00e3o adota, nos termos do artigo 110.o do Estatuto dos Funcion\u00e1rios, uma decis\u00e3o com base no artigo 2.o, n.o 1, do Estatuto dos Funcion\u00e1rios, e no artigo 6.o do Regime Aplic\u00e1vel aos Outros Agentes, pela qual delega no diretor executivo os poderes relevantes da autoridade investida do poder de nomea\u00e7\u00e3o e determina as condi\u00e7\u00f5es em que essa delega\u00e7\u00e3o de compet\u00eancias pode ser suspensa. O diretor executivo pode subdelegar esses poderes.<\/p>\n\n\n\n
3. Se circunst\u00e2ncias excecionais assim o impuserem, o conselho de administra\u00e7\u00e3o pode adotar uma decis\u00e3o para suspender temporariamente a delega\u00e7\u00e3o de poderes da autoridade investida do poder de nomea\u00e7\u00e3o no diretor executivo e os poderes subdelegados por este \u00faltimo, passando a exerc\u00ea-los ou delegando-os num dos seus membros ou num membro do pessoal, salvo o diretor executivo.<\/p>\n\n\n\n
Artigo 16.o<\/p>\n\n\n\n
Presidente do conselho de administra\u00e7\u00e3o<\/p>\n\n\n\n
O conselho de administra\u00e7\u00e3o elege de entre os seus membros, por maioria de dois ter\u00e7os, um presidente e um vice-presidente. O mandato do presidente e do vice-presidente tem uma dura\u00e7\u00e3o de quatro anos e \u00e9 renov\u00e1vel uma vez.<\/p>\n\n\n\n
Todavia, se os seus mandatos de membros do conselho de administra\u00e7\u00e3o terminarem durante a vig\u00eancia dos respectivos mandatos de presidente e vice-presidente, estes \u00faltimos caducam automaticamente na mesma data. O vice-presidente substitui automaticamente o presidente na sua falta ou impedimento.<\/p>\n\n\n\n
Artigo 17.o<\/p>\n\n\n\n
Reuni\u00f5es do conselho de administra\u00e7\u00e3o<\/p>\n\n\n\n
1. O conselho de administra\u00e7\u00e3o re\u00fane-se por convoca\u00e7\u00e3o do seu presidente.<\/p>\n\n\n\n
2. O conselho de administra\u00e7\u00e3o re\u00fane-se a t\u00edtulo ordin\u00e1rio, pelo menos duas vezes por ano. Al\u00e9m disso, re\u00fane-se a t\u00edtulo extraordin\u00e1rio por iniciativa do seu presidente, a pedido da Comiss\u00e3o, ou a pedido de, pelo menos, um ter\u00e7o dos seus membros.<\/p>\n\n\n\n
3. O diretor executivo participa nas reuni\u00f5es do conselho de administra\u00e7\u00e3o, mas sem direito de voto.<\/p>\n\n\n\n
4. Os membros do grupo consultivo da ENISA podem participar nas reuni\u00f5es do conselho de administra\u00e7\u00e3o, a convite do presidente, mas sem direito de voto.<\/p>\n\n\n\n
5. Os membros do conselho de administra\u00e7\u00e3o e os seus suplentes podem ser assistidos nas reuni\u00f5es do conselho de administra\u00e7\u00e3o por consultores ou peritos, sob reserva do disposto no regulamento interno do conselho de administra\u00e7\u00e3o.<\/p>\n\n\n\n
6. A ENISA assegura os servi\u00e7os de secretariado do conselho de administra\u00e7\u00e3o.<\/p>\n\n\n\n
Artigo 18.o<\/p>\n\n\n\n
Regras de vota\u00e7\u00e3o do conselho de administra\u00e7\u00e3o<\/p>\n\n\n\n
1. O conselho de administra\u00e7\u00e3o delibera por maioria dos seus membros.<\/p>\n\n\n\n
2. \u00c9 necess\u00e1ria uma maioria de dois ter\u00e7os dos membros do conselho de administra\u00e7\u00e3o para a ado\u00e7\u00e3o do documento \u00fanico de programa\u00e7\u00e3o e do or\u00e7amento anual e para a nomea\u00e7\u00e3o do diretor executivo, para a prorroga\u00e7\u00e3o do seu mandato ou para a sua exonera\u00e7\u00e3o.<\/p>\n\n\n\n
3. Cada membro do conselho de administra\u00e7\u00e3o disp\u00f5e de um voto. Na falta de um dos membros, o seu suplente pode exercer o direito de voto.<\/p>\n\n\n\n
4. O presidente do conselho de administra\u00e7\u00e3o participa na vota\u00e7\u00e3o.<\/p>\n\n\n\n
5. O diretor executivo n\u00e3o participa na vota\u00e7\u00e3o.<\/p>\n\n\n\n
6. O regulamento interno do conselho de administra\u00e7\u00e3o estabelece regras de vota\u00e7\u00e3o mais pormenorizadas, em especial as condi\u00e7\u00f5es em que os membros podem agir em nome de outros.<\/p>\n\n\n\n
Sec\u00e7\u00e3o 2<\/p>\n\n\n\n
Comiss\u00e3o Executiva<\/p>\n\n\n\n
Artigo 19.o<\/p>\n\n\n\n
Comiss\u00e3o executiva<\/p>\n\n\n\n
1. O conselho de administra\u00e7\u00e3o \u00e9 assistido por uma comiss\u00e3o executiva.<\/p>\n\n\n\n
2. Compete \u00e0 comiss\u00e3o executiva:<\/p>\n\n\n\n
a) Preparar as decis\u00f5es a adotar pelo conselho de administra\u00e7\u00e3o;<\/p>\n\n\n\n
b) Assegurar, em conjunto com o conselho de administra\u00e7\u00e3o, o seguimento adequado das conclus\u00f5es e recomenda\u00e7\u00f5es decorrentes dos inqu\u00e9ritos do OLAF e dos diversos relat\u00f3rios de auditoria e avalia\u00e7\u00f5es a n\u00edvel interno e externo;<\/p>\n\n\n\n
c) Sem preju\u00edzo das fun\u00e7\u00f5es do diretor executivo estabelecidas no artigo 20.o, prestar assist\u00eancia e aconselhamento ao diretor executivo na execu\u00e7\u00e3o das decis\u00f5es do conselho de administra\u00e7\u00e3o em mat\u00e9ria administrativa e or\u00e7amental, nos termos do artigo 20.o.<\/p>\n\n\n\n
3. A comiss\u00e3o executiva \u00e9 composta por cinco membros. Os membros da comiss\u00e3o executiva s\u00e3o nomeados de entre os membros do conselho de administra\u00e7\u00e3o. Um dos membros \u00e9 o presidente do conselho de administra\u00e7\u00e3o que pode tamb\u00e9m presidir \u00e0 comiss\u00e3o executiva, e outro membro \u00e9 um dos representantes da Comiss\u00e3o. As nomea\u00e7\u00f5es dos membros da comiss\u00e3o executiva devem procurar assegurar o equil\u00edbrio de g\u00e9nero na comiss\u00e3o executiva. O director executivo participa nas reuni\u00f5es da comiss\u00e3o executiva, mas sem direito de voto.<\/p>\n\n\n\n
4. O mandato dos membros da comiss\u00e3o executiva tem a dura\u00e7\u00e3o de quatro anos. O mandato \u00e9 renov\u00e1vel.<\/p>\n\n\n\n
5. A comiss\u00e3o executiva re\u00fane-se, pelo menos, uma vez de tr\u00eas em tr\u00eas meses. O presidente da comiss\u00e3o executiva convoca reuni\u00f5es adicionais a pedido dos seus membros.<\/p>\n\n\n\n
6. O conselho de administra\u00e7\u00e3o estabelece o regulamento interno da comiss\u00e3o executiva.<\/p>\n\n\n\n
7. Se necess\u00e1rio, por motivos de urg\u00eancia, a comiss\u00e3o executiva pode tomar determinadas decis\u00f5es provis\u00f3rias em nome do conselho de administra\u00e7\u00e3o, nomeadamente em mat\u00e9ria de gest\u00e3o administrativa, incluindo a suspens\u00e3o da delega\u00e7\u00e3o de poderes da autoridade investida do poder de nomea\u00e7\u00e3o, e em mat\u00e9ria or\u00e7amental. Estas decis\u00f5es provis\u00f3rias s\u00e3o comunicadas ao conselho de administra\u00e7\u00e3o sem demora injustificada. O conselho de administra\u00e7\u00e3o decide em seguida da aprova\u00e7\u00e3o ou rejei\u00e7\u00e3o das decis\u00f5es provis\u00f3rias, o mais tardar tr\u00eas meses ap\u00f3s a tomada da decis\u00e3o. A comiss\u00e3o executiva n\u00e3o pode tomar decis\u00f5es em nome do conselho de administra\u00e7\u00e3o que tenham de ser aprovadas por maioria de dois ter\u00e7os dos membros do conselho de administra\u00e7\u00e3o.<\/p>\n\n\n\n
Sec\u00e7\u00e3o 3<\/p>\n\n\n\n
Diretor Executivo<\/p>\n\n\n\n
Artigo 20.o<\/p>\n\n\n\n
Fun\u00e7\u00f5es do diretor executivo<\/p>\n\n\n\n
1. A ENISA \u00e9 gerida pelo seu diretor executivo, que desempenha as suas fun\u00e7\u00f5es com independ\u00eancia. O director executivo responde perante o conselho de administra\u00e7\u00e3o.<\/p>\n\n\n\n
2. O diretor executivo apresenta ao Parlamento Europeu relat\u00f3rios sobre o desempenho das suas fun\u00e7\u00f5es, sempre que for convidado a faz\u00ea-lo. O Conselho pode convidar o diretor executivo a apresentar relat\u00f3rios sobre o desempenho das suas fun\u00e7\u00f5es.<\/p>\n\n\n\n
3. Compete ao diretor executivo:<\/p>\n\n\n\n
a) Assegurar a gest\u00e3o corrente da ENISA;<\/p>\n\n\n\n
b) Executar as decis\u00f5es adotadas pelo conselho de administra\u00e7\u00e3o;<\/p>\n\n\n\n
c) Elaborar o projeto de documento \u00fanico de programa\u00e7\u00e3o e apresent\u00e1-lo ao conselho de administra\u00e7\u00e3o para aprova\u00e7\u00e3o antes da sua apresenta\u00e7\u00e3o \u00e0 Comiss\u00e3o;<\/p>\n\n\n\n
d) Executar o documento \u00fanico de programa\u00e7\u00e3o e apresentar relat\u00f3rios ao conselho de administra\u00e7\u00e3o sobre a sua execu\u00e7\u00e3o;<\/p>\n\n\n\n
e) Elaborar o relat\u00f3rio anual consolidado sobre as atividades da ENISA, incluindo a execu\u00e7\u00e3o do programa de trabalho anual da ENISA, e apresent\u00e1-lo ao conselho de administra\u00e7\u00e3o para avalia\u00e7\u00e3o e ado\u00e7\u00e3o;<\/p>\n\n\n\n
f) Preparar um plano de a\u00e7\u00e3o que d\u00ea seguimento \u00e0s conclus\u00f5es das avalia\u00e7\u00f5es retrospetivas e apresentar \u00e0 Comiss\u00e3o, de dois em dois anos, um relat\u00f3rio sobre os progressos realizados;<\/p>\n\n\n\n
g) Elaborar um plano de a\u00e7\u00e3o que d\u00ea seguimento \u00e0s conclus\u00f5es dos relat\u00f3rios das auditorias internas ou externas, assim como dos inqu\u00e9ritos do OLAF, e apresentar relat\u00f3rios sobre os progressos realizados, duas vezes por ano, \u00e0 Comiss\u00e3o, e regularmente ao conselho de administra\u00e7\u00e3o;<\/p>\n\n\n\n
h) Elaborar o projeto das regras financeiras aplic\u00e1veis \u00e0 ENISA referido no artigo 32.o;<\/p>\n\n\n\n
i) Elaborar o projeto de mapa previsional de receitas e despesas da ENISA e executar o seu or\u00e7amento;<\/p>\n\n\n\n
j) Proteger os interesses financeiros da Uni\u00e3o mediante a aplica\u00e7\u00e3o de medidas preventivas contra a fraude, a corrup\u00e7\u00e3o e quaisquer outras atividades il\u00edcitas, a realiza\u00e7\u00e3o de controlos efetivos e, caso sejam detetadas irregularidades, a recupera\u00e7\u00e3o dos montantes indevidamente pagos e, se se justificar, mediante a aplica\u00e7\u00e3o de san\u00e7\u00f5es administrativas e financeiras efetivas, proporcionadas e dissuasivas;<\/p>\n\n\n\n
k) Elaborar uma estrat\u00e9gia antifraude para a ENISA e apresent\u00e1-la ao conselho de administra\u00e7\u00e3o para aprova\u00e7\u00e3o;<\/p>\n\n\n\n
l) Desenvolver e manter o contacto com a comunidade empresarial e com as associa\u00e7\u00f5es de consumidores, a fim de assegurar um di\u00e1logo regular com as partes interessadas;<\/p>\n\n\n\n
m) Manter uma troca regular de opini\u00f5es e informa\u00e7\u00f5es com as institui\u00e7\u00f5es, os \u00f3rg\u00e3os e os organismos da Uni\u00e3o no que se refere \u00e0s suas atividades em mat\u00e9ria de ciberseguran\u00e7a a fim de garantir a coer\u00eancia na elabora\u00e7\u00e3o e na aplica\u00e7\u00e3o da pol\u00edtica da Uni\u00e3o;<\/p>\n\n\n\n
n) Desempenhar outras fun\u00e7\u00f5es que lhe sejam conferidas pelo presente regulamento.<\/p>\n\n\n\n
4. Se necess\u00e1rio, e no \u00e2mbito dos objetivos e das atribui\u00e7\u00f5es da ENISA, o diretor executivo pode criar grupos de trabalho ad hoc compostos por peritos, nomeadamente peritos das autoridades competentes dos Estados-Membros. O diretor executivo informa antecipadamente o conselho de administra\u00e7\u00e3o do facto. Os procedimentos relativos, nomeadamente, \u00e0 composi\u00e7\u00e3o e ao funcionamento dos grupos de trabalho e \u00e0 nomea\u00e7\u00e3o dos peritos que os comp\u00f5em pelo diretor executivo s\u00e3o especificados no regulamento interno da ENISA.<\/p>\n\n\n\n
5. Se necess\u00e1rio, de modo a assegurar o exerc\u00edcio eficaz e eficiente das atribui\u00e7\u00f5es da ENISA e com base numa an\u00e1lise adequada de custo-benef\u00edcio, o diretor executivo pode decidir criar uma ou mais delega\u00e7\u00f5es locais num ou mais Estados-Membros. Antes de decidir criar uma delega\u00e7\u00e3o local, o diretor executivo solicita o parecer do Estado-Membro ou Estados-Membros interessados, incluindo o Estado-Membro onde a ENISA tem sede, e obt\u00e9m o consentimento pr\u00e9vio da Comiss\u00e3o e do conselho de administra\u00e7\u00e3o. Em caso de desacordo durante o processo de consulta entre o director executivo e os Estados-Membros interessados, o assunto \u00e9 levado ao Conselho para debate. O n\u00famero agregado de membros do pessoal em todas as delega\u00e7\u00f5es locais \u00e9 o mais reduzido poss\u00edvel e n\u00e3o pode exceder 40 % do total dos membros do pessoal da ENISA situado no Estado-Membro onde esta tem sede. O n\u00famero de membros do pessoal em cada delega\u00e7\u00e3o local n\u00e3o pode exceder 10 % do total dos membros do pessoal da ENISA situado no Estado-Membro onde esta tem sede.<\/p>\n\n\n\n
A decis\u00e3o de cria\u00e7\u00e3o de uma delega\u00e7\u00e3o local especifica o \u00e2mbito das atividades a realizar pela delega\u00e7\u00e3o local, de modo a evitar custos desnecess\u00e1rios e a duplica\u00e7\u00e3o de fun\u00e7\u00f5es administrativas da ENISA.<\/p>\n\n\n\n
Sec\u00e7\u00e3o 4<\/p>\n\n\n\n
Grupo consultivo da ENISA, Grupo das Partes Interessadas para a Certifica\u00e7\u00e3o da Ciberseguran\u00e7a e Rede dos Agentes Nacionais de Liga\u00e7\u00e3o<\/p>\n\n\n\n
Artigo 21.o<\/p>\n\n\n\n
Grupo consultivo da ENISA<\/p>\n\n\n\n
1. O conselho de administra\u00e7\u00e3o, agindo sob proposta do diretor executivo, cria, com transpar\u00eancia, o grupo consultivo da ENISA, composto por peritos reconhecidos que representam as partes interessadas, nomeadamente a ind\u00fastria de TIC,<\/p>\n\n\n\n
os fornecedores de redes ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas disponibilizados ao p\u00fablico, as PME, os operadores de servi\u00e7os essenciais, as associa\u00e7\u00f5es de consumidores, os peritos acad\u00e9micos no dom\u00ednio da ciberseguran\u00e7a e os representantes das autoridades competentes nacionais notificadas nos termos da Diretiva (UE) 2018\/1972, os organismos europeus de normaliza\u00e7\u00e3o, bem como as autoridades supervisoras respons\u00e1veis pelo controlo da aplica\u00e7\u00e3o da lei e pela prote\u00e7\u00e3o dos dados. O conselho de administra\u00e7\u00e3o tem por objetivo assegurar o equil\u00edbrio adequado entre os g\u00e9neros e as origens geogr\u00e1ficas, bem como o equil\u00edbrio entre os diferentes grupos de partes interessadas.<\/p>\n\n\n\n
2. Os procedimentos relativos ao grupo consultivo da ENISA, nomeadamente quanto \u00e0 sua composi\u00e7\u00e3o, \u00e0 proposta do diretor executivo a que se refere o n.o 1, ao n\u00famero, \u00e0 nomea\u00e7\u00e3o dos seus membros e ao seu funcionamento s\u00e3o especificados no regulamento interno da ENISA e publicados.<\/p>\n\n\n\n
3. O grupo consultivo da ENISA \u00e9 presidido pelo diretor executivo ou por qualquer outra pessoa por este, caso a caso, nomeada.<\/p>\n\n\n\n
4. O mandato dos membros do grupo consultivo da ENISA tem a dura\u00e7\u00e3o de dois anos e meio. Os membros do conselho de administra\u00e7\u00e3o n\u00e3o podem ser membros do grupo consultivo da ENISA. Podem assistir \u00e0s reuni\u00f5es do grupo consultivo da ENISA, e participar nos seus trabalhos, peritos da Comiss\u00e3o e dos Estados-Membros. Podem ser convidados a assistir \u00e0s reuni\u00f5es do grupo consultivo da ENISA, e a participar nos seus trabalhos, representantes de outros organismos que o diretor executivo considere relevantes e que n\u00e3o sejam membros do grupo consultivo da ENISA.<\/p>\n\n\n\n
5. O grupo consultivo da ENISA presta aconselhamento \u00e0 ENISA quanto ao exerc\u00edcio das suas atribui\u00e7\u00f5es, exceto quanto \u00e0 aplica\u00e7\u00e3o do t\u00edtulo III do presente regulamento. Em particular, o grupo presta aconselhamento ao director executivo quanto \u00e0 elabora\u00e7\u00e3o da proposta de programa de trabalho anual da ENISA e \u00e0 comunica\u00e7\u00e3o com as partes interessadas sobre as quest\u00f5es ligadas ao programa de trabalho anual.<\/p>\n\n\n\n
6. O grupo consultivo da ENISA informa regularmente o conselho de administra\u00e7\u00e3o das suas atividades.<\/p>\n\n\n\n
Artigo 22.o<\/p>\n\n\n\n
Grupo das partes interessadas para a certifica\u00e7\u00e3o da ciberseguran\u00e7a<\/p>\n\n\n\n
1. \u00c9 criado o grupo das partes interessadas para a certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
2. O grupo das partes interessadas para a certifica\u00e7\u00e3o da ciberseguran\u00e7a \u00e9 constitu\u00eddo por membros selecionados de entre peritos reconhecidos que representem as partes interessadas. Na sequ\u00eancia de um concurso transparente e aberto, a Comiss\u00e3o seleciona os membros do grupo das partes interessadas para a certifica\u00e7\u00e3o da ciberseguran\u00e7a com base numa proposta da ENISA, garantindo o equil\u00edbrio entre os diferentes grupos de partes interessadas, bem como entre g\u00e9neros e origens geogr\u00e1ficas.<\/p>\n\n\n\n
3. Compete ao grupo das partes interessadas para a certifica\u00e7\u00e3o da ciberseguran\u00e7a:<\/p>\n\n\n\n
a) Aconselhar a Comiss\u00e3o sobre quest\u00f5es estrat\u00e9gicas relacionadas com o enquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a;<\/p>\n\n\n\n
b) Aconselhar a ENISA, a pedido, sobre quest\u00f5es gerais e estrat\u00e9gicas respeitantes \u00e0s atribui\u00e7\u00f5es da ENISA relacionadas com o mercado, a certifica\u00e7\u00e3o da ciberseguran\u00e7a e a normaliza\u00e7\u00e3o;<\/p>\n\n\n\n
c) Assistir a Comiss\u00e3o na elabora\u00e7\u00e3o do programa de trabalho evolutivo da Uni\u00e3o a que se refere o artigo 47.o;<\/p>\n\n\n\n
d) Emitir parecer sobre o programa de trabalho evolutivo da Uni\u00e3o nos termos do artigo 47.o, n.o 4; e<\/p>\n\n\n\n
e) Aconselhar, em casos urgentes, a Comiss\u00e3o e o GCEC sobre a necessidade de dispor de sistemas de certifica\u00e7\u00e3o suplementares n\u00e3o inclu\u00eddos no programa de trabalho evolutivo, conforme indicado nos artigos 47.o e 48.o.<\/p>\n\n\n\n
4. O grupo das partes interessadas para a certifica\u00e7\u00e3o da ciberseguran\u00e7a \u00e9 copresidido pela Comiss\u00e3o e pela ENISA e o seu secretariado \u00e9 assegurado pela ENISA.<\/p>\n\n\n\n
Artigo 23.o<\/p>\n\n\n\n
Rede de agentes nacionais de liga\u00e7\u00e3o<\/p>\n\n\n\n
1. O conselho de administra\u00e7\u00e3o, deliberando sob proposta do diretor executivo, cria uma rede de agentes nacionais de liga\u00e7\u00e3o composta por representantes dos Estados-Membros. Cada Estado-Membro nomeia um representante para a rede de agentes nacionais de liga\u00e7\u00e3o. As reuni\u00f5es da rede de agentes nacionais de liga\u00e7\u00e3o podem realizar-se em diferentes configura\u00e7\u00f5es de peritos.<\/p>\n\n\n\n
2. Em particular, a rede de agentes de liga\u00e7\u00e3o nacionais facilita o interc\u00e2mbio de informa\u00e7\u00f5es entre a ENISA e os Estados-Membros e apoia a ENISA na divulga\u00e7\u00e3o das suas atividades, conclus\u00f5es e recomenda\u00e7\u00f5es \u00e0s partes interessadas em toda a Uni\u00e3o.<\/p>\n\n\n\n
3. Os agentes nacionais de liga\u00e7\u00e3o servem de ponto de contacto focal a n\u00edvel nacional para facilitar a coopera\u00e7\u00e3o entre a ENISA e os peritos nacionais no contexto da execu\u00e7\u00e3o do programa de trabalho anual da ENISA.<\/p>\n\n\n\n
4. Os agentes nacionais de liga\u00e7\u00e3o, apesar de cooperarem estreitamente com os representantes dos respetivos Estados-Membros no conselho de administra\u00e7\u00e3o, n\u00e3o podem, por si s\u00f3, duplicar o trabalho do conselho de administra\u00e7\u00e3o nem o de outra inst\u00e2ncia da Uni\u00e3o.<\/p>\n\n\n\n
5. As fun\u00e7\u00f5es da rede de agentes nacionais de liga\u00e7\u00e3o e os procedimentos que lhe s\u00e3o aplic\u00e1veis s\u00e3o especificados no regulamento interno da ENISA e tornados p\u00fablicos.<\/p>\n\n\n\n
Sec\u00e7\u00e3o 5<\/p>\n\n\n\n
Funcionamento<\/p>\n\n\n\n
Artigo 24.o<\/p>\n\n\n\n
Documento \u00fanico de programa\u00e7\u00e3o<\/p>\n\n\n\n
1. A ENISA exerce as suas atividades de acordo com um documento \u00fanico de programa\u00e7\u00e3o que cont\u00e9m a sua programa\u00e7\u00e3o anual e plurianual e que inclui todas as suas atividades planeadas.<\/p>\n\n\n\n
2. Todos os anos, o diretor executivo elabora um projeto de documento \u00fanico de programa\u00e7\u00e3o contendo a programa\u00e7\u00e3o anual e plurianual e o respetivo planeamento de recursos financeiros e humanos, nos termos do artigo 32.o do Regulamento Delegado (UE) n.o 1271\/2013 da Comiss\u00e3o (25) e tendo em conta as orienta\u00e7\u00f5es fornecidas pela Comiss\u00e3o.<\/p>\n\n\n\n
3. At\u00e9 30 de novembro de cada ano, o conselho de administra\u00e7\u00e3o adota o documento \u00fanico de programa\u00e7\u00e3o referido no n.o 1 e transmite-o ao Parlamento Europeu, ao Conselho e \u00e0 Comiss\u00e3o, at\u00e9 31 de janeiro do ano seguinte, acompanhado de eventuais vers\u00f5es atualizadas.<\/p>\n\n\n\n
4. O documento \u00fanico de programa\u00e7\u00e3o torna-se final ap\u00f3s a aprova\u00e7\u00e3o definitiva do or\u00e7amento geral da Uni\u00e3o, devendo ser adaptado, se necess\u00e1rio.<\/p>\n\n\n\n
5. O programa de trabalho anual prev\u00ea objetivos pormenorizados e os resultados esperados, incluindo indicadores de desempenho. Inclui igualmente uma descri\u00e7\u00e3o das a\u00e7\u00f5es a financiar e uma indica\u00e7\u00e3o dos recursos financeiros e humanos afetados a cada a\u00e7\u00e3o, em conformidade com os princ\u00edpios da or\u00e7amenta\u00e7\u00e3o e gest\u00e3o por atividades. O programa de trabalho anual deve ser coerente com o programa de trabalho plurianual referido no n.o 7. Deve indicar claramente as atribui\u00e7\u00f5es que tenham sido acrescentadas, modificadas ou suprimidas em compara\u00e7\u00e3o com o exerc\u00edcio financeiro anterior.<\/p>\n\n\n\n
6. O conselho de administra\u00e7\u00e3o altera o programa de trabalho anual adotado sempre que seja cometida \u00e0 ENISA uma nova atribui\u00e7\u00e3o. As altera\u00e7\u00f5es substanciais do programa de trabalho anual s\u00e3o adotadas segundo o procedimento aplicado ao programa de trabalho anual inicial. O conselho de administra\u00e7\u00e3o pode delegar no diretor executivo os poderes para efetuar altera\u00e7\u00f5es n\u00e3o substanciais ao programa de trabalho anual.<\/p>\n\n\n\n
7. O programa de trabalho plurianual estabelece a programa\u00e7\u00e3o estrat\u00e9gica global, incluindo os objetivos, os resultados esperados e os indicadores de desempenho. Estabelece igualmente a programa\u00e7\u00e3o dos recursos, incluindo o or\u00e7amento plurianual e o quadro de pessoal.<\/p>\n\n\n\n
8. A programa\u00e7\u00e3o dos recursos \u00e9 atualizada anualmente. A programa\u00e7\u00e3o estrat\u00e9gica \u00e9 atualizada sempre que se justifique, particularmente em fun\u00e7\u00e3o do resultado da avalia\u00e7\u00e3o referida no artigo 67.o.<\/p>\n\n\n\n
Artigo 25.o<\/p>\n\n\n\n
Declara\u00e7\u00e3o de interesses<\/p>\n\n\n\n
1. Os membros do conselho de administra\u00e7\u00e3o, o diretor executivo e os agentes destacados pelos Estados-Membros a t\u00edtulo tempor\u00e1rio fazem uma declara\u00e7\u00e3o de compromisso e uma declara\u00e7\u00e3o que indique a inexist\u00eancia ou a exist\u00eancia de interesses diretos ou indiretos que possam ser considerados prejudiciais para a sua independ\u00eancia. As declara\u00e7\u00f5es devem ser exatas e completas, apresentadas anualmente por escrito e atualizadas sempre que necess\u00e1rio.<\/p>\n\n\n\n
2. Os membros do conselho de administra\u00e7\u00e3o, o diretor executivo e os peritos externos que participem em grupos de trabalho ad hoc declaram de forma exata e completa, o mais tardar no in\u00edcio de cada reuni\u00e3o, os interesses que possam ser considerados prejudiciais para a sua independ\u00eancia em rela\u00e7\u00e3o aos pontos da ordem do dia, e abst\u00eam-se de participar na discuss\u00e3o e na vota\u00e7\u00e3o desses pontos.<\/p>\n\n\n\n
3. A ENISA estabelece, no seu regulamento interno, as disposi\u00e7\u00f5es de execu\u00e7\u00e3o das regras relativas \u00e0s declara\u00e7\u00f5es de interesses referidas nos n.os 1 e 2.<\/p>\n\n\n\n
Artigo 26.o<\/p>\n\n\n\n
Transpar\u00eancia<\/p>\n\n\n\n
1. A ENISA executa as suas atividades com um elevado n\u00edvel de transpar\u00eancia e nos termos do artigo 28.o.<\/p>\n\n\n\n
2. A ENISA assegura que o p\u00fablico e as partes interessadas recebam informa\u00e7\u00f5es adequadas, objetivas, fi\u00e1veis e facilmente acess\u00edveis, nomeadamente no que respeita aos resultados do seu trabalho. A ENISA publica as declara\u00e7\u00f5es de interesses feitas nos termos do artigo 25.o.<\/p>\n\n\n\n
3. O conselho de administra\u00e7\u00e3o, deliberando sob proposta do diretor executivo, pode autorizar partes interessadas a participarem, como observadores, em algumas atividades da ENISA.<\/p>\n\n\n\n
4. A ENISA estabelece, no seu regulamento interno, as disposi\u00e7\u00f5es de execu\u00e7\u00e3o das regras relativas \u00e0 transpar\u00eancia referidas nos n.os 1 e 2.<\/p>\n\n\n\n
Artigo 27.o<\/p>\n\n\n\n
Confidencialidade<\/p>\n\n\n\n
1. Sem preju\u00edzo do disposto no artigo 28.o, a ENISA n\u00e3o divulga a terceiros informa\u00e7\u00f5es por si tratadas ou recebidas em rela\u00e7\u00e3o \u00e0s quais tenha sido apresentado um pedido fundamentado de tratamento confidencial.<\/p>\n\n\n\n
2. Os membros do conselho de administra\u00e7\u00e3o, o diretor executivo, os membros do grupo consultivo da ENISA, os peritos externos que participam nos grupos de trabalho ad hoc e os membros do pessoal da ENISA, incluindo os agentes destacados pelos Estados-Membros a t\u00edtulo tempor\u00e1rio, est\u00e3o sujeitos \u00e0 obriga\u00e7\u00e3o de confidencialidade prevista no artigo 339.o do TFUE, mesmo ap\u00f3s a cessa\u00e7\u00e3o das suas fun\u00e7\u00f5es.<\/p>\n\n\n\n
3. A ENISA estabelece, no seu regulamento interno, as disposi\u00e7\u00f5es de execu\u00e7\u00e3o das regras relativas \u00e0 confidencialidade referidas nos n.os 1 e 2.<\/p>\n\n\n\n
4. Se necess\u00e1rio para o exerc\u00edcio das atribui\u00e7\u00f5es da ENISA, o conselho de administra\u00e7\u00e3o autoriza a ENISA a tratar informa\u00e7\u00f5es classificadas. Nesse caso, a ENISA adota, de comum acordo com os servi\u00e7os da Comiss\u00e3o, regras de seguran\u00e7a que respeitem os princ\u00edpios de seguran\u00e7a estabelecidos nas Decis\u00f5es (UE, Euratom) 2015\/443 (26) e (UE, Euratom) 2015\/444 (27) da Comiss\u00e3o. Essas regras de seguran\u00e7a devem compreender disposi\u00e7\u00f5es relativas ao interc\u00e2mbio, tratamento e armazenamento de informa\u00e7\u00f5es classificadas.<\/p>\n\n\n\n
Artigo 28.o<\/p>\n\n\n\n
Acesso a documentos<\/p>\n\n\n\n
1. O Regulamento (CE) n.o 1049\/2001 \u00e9 aplic\u00e1vel aos documentos na posse da ENISA.<\/p>\n\n\n\n
2. O conselho de administra\u00e7\u00e3o adota disposi\u00e7\u00f5es de execu\u00e7\u00e3o do Regulamento (CE) n.o 1049\/2001 at\u00e9 28 de dezembro de 2019.<\/p>\n\n\n\n
3. As decis\u00f5es tomadas pela ENISA ao abrigo do artigo 8.o do Regulamento (CE) n.o 1049\/2001 podem ser objeto de queixa perante o Provedor de Justi\u00e7a Europeu, nos termos do artigo 228.o do TFUE, ou ser impugnadas perante o Tribunal de Justi\u00e7a da Uni\u00e3o Europeia, nos termos do artigo 263.o do TFUE.<\/p>\n\n\n\n
CAP\u00cdTULO IV<\/p>\n\n\n\n
Elabora\u00e7\u00e3o e estrutura do or\u00e7amento da ENISA<\/p>\n\n\n\n
Artigo 29.o<\/p>\n\n\n\n
Elabora\u00e7\u00e3o do or\u00e7amento da ENISA<\/p>\n\n\n\n
1. O diretor executivo elabora anualmente um projeto de mapa previsional de receitas e despesas da ENISA para o exerc\u00edcio or\u00e7amental seguinte e transmite-o ao conselho de administra\u00e7\u00e3o, acompanhado de um projeto do quadro de pessoal. As receitas e as despesas devem ser equilibradas.<\/p>\n\n\n\n
2. O conselho de administra\u00e7\u00e3o elabora anualmente, com base no projeto de mapa previsional de receitas e despesas, o mapa previsional de receitas e despesas da ENISA para o exerc\u00edcio or\u00e7amental seguinte.<\/p>\n\n\n\n
3. At\u00e9 31 de janeiro de cada ano, o conselho de administra\u00e7\u00e3o envia o mapa previsional, que faz parte do projeto de documento \u00fanico de programa\u00e7\u00e3o, \u00e0 Comiss\u00e3o e aos pa\u00edses terceiros com os quais a Uni\u00e3o tenha celebrado acordos nos termos do artigo 42.o, n.o 2.<\/p>\n\n\n\n
4. Com base no mapa previsional, a Comiss\u00e3o inscreve no projeto de or\u00e7amento geral da Uni\u00e3o as previs\u00f5es que considere necess\u00e1rias no que respeita ao quadro de pessoal e o montante da subven\u00e7\u00e3o a cargo do or\u00e7amento geral da Uni\u00e3o, e apresenta-o ao Parlamento Europeu e ao Conselho, nos termos do artigo 314.o do TFUE.<\/p>\n\n\n\n
5. O Parlamento Europeu e o Conselho autorizam as dota\u00e7\u00f5es a t\u00edtulo da subven\u00e7\u00e3o da Uni\u00e3o destinada \u00e0 ENISA.<\/p>\n\n\n\n
6. O Parlamento Europeu e o Conselho aprovam o quadro de pessoal da ENISA.<\/p>\n\n\n\n
7. O conselho de administra\u00e7\u00e3o adota o or\u00e7amento da ENISA em conjunto com o documento \u00fanico de programa\u00e7\u00e3o. O or\u00e7amento da ENISA torna-se final ap\u00f3s a aprova\u00e7\u00e3o do or\u00e7amento geral da Uni\u00e3o. Se necess\u00e1rio, o conselho de administra\u00e7\u00e3o adapta o or\u00e7amento e o documento \u00fanico de programa\u00e7\u00e3o da ENISA em fun\u00e7\u00e3o do or\u00e7amento geral da<\/p>\n\n\n\n
Uni\u00e3o.<\/p>\n\n\n\n
Artigo 30.o<\/p>\n\n\n\n
Estrutura do or\u00e7amento da ENISA<\/p>\n\n\n\n
1. Sem preju\u00edzo de outros recursos, as receitas da ENISA compreendem:<\/p>\n\n\n\n
a) Uma subven\u00e7\u00e3o proveniente do or\u00e7amento geral da Uni\u00e3o;<\/p>\n\n\n\n
b) Receitas afetadas ao financiamento de despesas espec\u00edficas, nos termos das regras financeiras referidas no artigo 32.o;<\/p>\n\n\n\n
c) Financiamento da Uni\u00e3o sob a forma de acordos de contribui\u00e7\u00e3o ou subven\u00e7\u00f5es ad hoc, nos termos das regras financeiras referidas no artigo 32.o e das disposi\u00e7\u00f5es dos instrumentos relevantes de apoio \u00e0s pol\u00edticas da Uni\u00e3o;<\/p>\n\n\n\n
d) Contribui\u00e7\u00f5es de pa\u00edses terceiros que participem nos trabalhos da ENISA, como referido no artigo 42.o ;<\/p>\n\n\n\n
e) Eventuais contribui\u00e7\u00f5es volunt\u00e1rias dos Estados-Membros, em numer\u00e1rio ou em esp\u00e9cie. Os Estados-Membros que efetuem contribui\u00e7\u00f5es volunt\u00e1rias nos termos do primeiro par\u00e1grafo, al\u00ednea e), n\u00e3o podem reivindicar quaisquer direitos ou servi\u00e7os espec\u00edficos em contrapartida dessas contribui\u00e7\u00f5es.<\/p>\n\n\n\n
2. As despesas da ENISA incluem a remunera\u00e7\u00e3o do pessoal, o apoio administrativo e t\u00e9cnico, as despesas de infraestrutura e de funcionamento e as despesas decorrentes de contratos celebrados com terceiros.<\/p>\n\n\n\n
Artigo 31.o<\/p>\n\n\n\n
Execu\u00e7\u00e3o do or\u00e7amento da ENISA<\/p>\n\n\n\n
1. O diretor executivo \u00e9 respons\u00e1vel pela execu\u00e7\u00e3o do or\u00e7amento da ENISA.<\/p>\n\n\n\n
2. O auditor interno da Comiss\u00e3o exerce, em rela\u00e7\u00e3o \u00e0 ENISA, os mesmos poderes que exerce em rela\u00e7\u00e3o aos servi\u00e7os da Comiss\u00e3o.<\/p>\n\n\n\n
3. O contabilista da ENISA comunica as contas provis\u00f3rias relativas ao exerc\u00edcio financeiro (ano N) ao contabilista da Comiss\u00e3o e ao Tribunal de Contas at\u00e9 1 de mar\u00e7o do exerc\u00edcio financeiro seguinte (1 de mar\u00e7o do ano N+1).<\/p>\n\n\n\n
4. Depois de receber as observa\u00e7\u00f5es do Tribunal de Contas sobre as contas provis\u00f3rias da ENISA, nos termos do artigo 246.o do Regulamento (UE, Euratom) 2018\/1046 do Parlamento Europeu e do Conselho (28), o contabilista da ENISA elabora as contas definitivas desta sob a sua responsabilidade e submete-as \u00e0 aprecia\u00e7\u00e3o do conselho de administra\u00e7\u00e3o para parecer.<\/p>\n\n\n\n
5. O conselho de administra\u00e7\u00e3o emite parecer sobre as contas definitivas da ENISA.<\/p>\n\n\n\n
6. At\u00e9 31 de mar\u00e7o do ano N+1, o diretor executivo transmite o relat\u00f3rio sobre a gest\u00e3o or\u00e7amental e financeira ao Parlamento Europeu, ao Conselho, \u00e0 Comiss\u00e3o e ao Tribunal de Contas.<\/p>\n\n\n\n
7. At\u00e9 1 de julho do ano N+1, o contabilista da ENISA comunica as contas definitivas da ENISA, acompanhadas do parecer do conselho de administra\u00e7\u00e3o, ao Parlamento Europeu, ao Conselho, ao contabilista da Comiss\u00e3o e ao Tribunal de Contas Europeu.<\/p>\n\n\n\n
8. Na mesma data da transmiss\u00e3o das contas definitivas da ENISA, o contabilista da ENISA envia igualmente ao Tribunal de Contas uma carta de representa\u00e7\u00e3o que abrange essas contas definitivas, com c\u00f3pia para o contabilista da Comiss\u00e3o.<\/p>\n\n\n\n
9. At\u00e9 15 de novembro do ano N+1, o diretor executivo publica as contas definitivas da ENISA no Jornal Oficial da Uni\u00e3o Europeia.<\/p>\n\n\n\n
10. At\u00e9 30 de setembro do ano N+1, o diretor executivo envia ao Tribunal de Contas uma resposta \u00e0s suas observa\u00e7\u00f5es e envia uma c\u00f3pia dessa resposta ao conselho de administra\u00e7\u00e3o e \u00e0 Comiss\u00e3o.<\/p>\n\n\n\n
11. O diretor executivo apresenta ao Parlamento Europeu, a pedido deste, todas as informa\u00e7\u00f5es necess\u00e1rias ao bom desenrolar do processo de quita\u00e7\u00e3o relativo ao exerc\u00edcio em causa, nos termos do artigo 261.o, n.o 3 do Regulamento (UE, Euratom) 2018\/1046.<\/p>\n\n\n\n
12. Sob recomenda\u00e7\u00e3o do Conselho, o Parlamento Europeu, antes de 15 de maio do ano N+2, o Parlamento Europeu d\u00e1 quita\u00e7\u00e3o ao diretor executivo quanto \u00e0 execu\u00e7\u00e3o do or\u00e7amento para o ano N.<\/p>\n\n\n\n
Artigo 32.o<\/p>\n\n\n\n
Regras financeiras<\/p>\n\n\n\n
O conselho de administra\u00e7\u00e3o adota as regras financeiras aplic\u00e1veis \u00e0 ENISA, ap\u00f3s consulta \u00e0 Comiss\u00e3o. Estas regras s\u00f3 podem divergir do Regulamento Delegado (UE) n.o 1271\/2013 se o funcionamento da ENISA especificamente o exigir e a Comiss\u00e3o o tiver previamente autorizado.<\/p>\n\n\n\n
Artigo 33.o<\/p>\n\n\n\n
Luta contra a fraude<\/p>\n\n\n\n
1. A fim de facilitar a luta contra a fraude, a corrup\u00e7\u00e3o e outras atividades il\u00edcitas ao abrigo do Regulamento (UE, Euratom) n.o 883\/2013 do Parlamento Europeu e do Conselho (29), a ENISA deve, at\u00e9 28 de dezembro de 2019, aderir ao Acordo Interinstitucional de 25 de maio de 1999 entre o Parlamento Europeu, o Conselho da Uni\u00e3o Europeia e a Comiss\u00e3o das Comunidades Europeias relativo aos inqu\u00e9ritos internos efetuados pelo Organismo Europeu de Luta Antifraude (OLAF) (30). A ENISA deve adotar as disposi\u00e7\u00f5es adequadas aplic\u00e1veis a todo o seu pessoal, utilizando o modelo que figura no anexo desse acordo.<\/p>\n\n\n\n
2. O Tribunal de Contas disp\u00f5e de poderes para auditar, com base em documentos e em inspe\u00e7\u00f5es no local, todos os benefici\u00e1rios de subven\u00e7\u00f5es, contratantes e subcontratantes que tenham recebido fundos da Uni\u00e3o por interm\u00e9dio da<\/p>\n\n\n\n
ENISA.<\/p>\n\n\n\n
3. O OLAF pode realizar inqu\u00e9ritos, incluindo inspe\u00e7\u00f5es e verifica\u00e7\u00f5es no local, de acordo com as disposi\u00e7\u00f5es e os procedimentos estabelecidos no Regulamento (UE, Euratom) n.o 883\/2013 e no Regulamento (Euratom, CE) n.o 2185\/96 do Conselho (31), a fim de determinar a exist\u00eancia de fraude, corrup\u00e7\u00e3o ou outras atividades il\u00edcitas que afetem os interesses financeiros da Uni\u00e3o no \u00e2mbito de uma subven\u00e7\u00e3o ou de um contrato financiado pela ENISA.<\/p>\n\n\n\n
4. Sem preju\u00edzo do disposto nos n.os 1, 2 e 3, os acordos de coopera\u00e7\u00e3o com pa\u00edses terceiros ou com organiza\u00e7\u00f5es internacionais, os contratos, as conven\u00e7\u00f5es e as decis\u00f5es de subven\u00e7\u00e3o da ENISA devem conter disposi\u00e7\u00f5es que confiram expressamente ao Tribunal de Contas e ao OLAF poderes para realizarem essas auditorias e inqu\u00e9ritos, de acordo com as respetivas compet\u00eancias.<\/p>\n\n\n\n
CAP\u00cdTULO V<\/p>\n\n\n\n
Pessoal<\/p>\n\n\n\n
Artigo 34.o<\/p>\n\n\n\n
Disposi\u00e7\u00f5es gerais<\/p>\n\n\n\n
O Estatuto dos Funcion\u00e1rios e o Regime Aplic\u00e1vel aos Outros Agentes, bem como as regras adotadas por acordo entre as institui\u00e7\u00f5es da Uni\u00e3o para aplica\u00e7\u00e3o do Estatuto dos Funcion\u00e1rios e ao Regime Aplic\u00e1vel aos Outros Agentes, aplicam-se ao pessoal da ENISA.<\/p>\n\n\n\n
Artigo 35.o<\/p>\n\n\n\n
Privil\u00e9gios e imunidades<\/p>\n\n\n\n
O Protocolo n.o 7 relativo aos Privil\u00e9gios e Imunidades da Uni\u00e3o Europeia, anexo ao TUE e ao TFUE, \u00e9 aplic\u00e1vel \u00e0 ENISA e ao seu pessoal.<\/p>\n\n\n\n
Artigo 36.o<\/p>\n\n\n\n
Diretor executivo<\/p>\n\n\n\n
1. O diretor executivo \u00e9 contratado como agente tempor\u00e1rio da ENISA, nos termos do artigo 2.o , al\u00ednea a), do Regime Aplic\u00e1vel aos Outros Agentes.<\/p>\n\n\n\n
2. O diretor executivo \u00e9 nomeado pelo conselho de administra\u00e7\u00e3o de entre uma lista de candidatos propostos pela Comiss\u00e3o, na sequ\u00eancia de um processo de sele\u00e7\u00e3o aberto e transparente.<\/p>\n\n\n\n
3. Para efeitos da celebra\u00e7\u00e3o do contrato de trabalho com o diretor executivo, a ENISA \u00e9 representada pelo presidente do conselho de administra\u00e7\u00e3o.<\/p>\n\n\n\n
4. Antes de ser nomeado, o candidato selecionado pelo conselho de administra\u00e7\u00e3o \u00e9 convidado a proferir uma declara\u00e7\u00e3o perante a comiss\u00e3o competente do Parlamento Europeu e a responder a perguntas dos deputados.<\/p>\n\n\n\n
5. O mandato do diretor executivo tem a dura\u00e7\u00e3o de cinco anos. No termo desse per\u00edodo, a Comiss\u00e3o procede a uma avalia\u00e7\u00e3o do trabalho realizado pelo diretor executivo e das futuras atribui\u00e7\u00f5es e desafios da ENISA.<\/p>\n\n\n\n
6. O conselho de administra\u00e7\u00e3o adota as suas decis\u00f5es sobre a nomea\u00e7\u00e3o, a prorroga\u00e7\u00e3o do mandato ou a exonera\u00e7\u00e3o do diretor executivo nos termos do artigo 18.o, n.o 2.<\/p>\n\n\n\n
7. O conselho de administra\u00e7\u00e3o, deliberando sob uma proposta da Comiss\u00e3o que tenha em conta a avalia\u00e7\u00e3o referida no n.o 5, pode prorrogar uma vez o mandato do diretor executivo, por um per\u00edodo de cinco anos.<\/p>\n\n\n\n
8. O conselho de administra\u00e7\u00e3o informa o Parlamento Europeu da sua inten\u00e7\u00e3o de prorrogar o mandato do director executivo. No prazo de tr\u00eas meses antes de tal prorroga\u00e7\u00e3o, o diretor executivo profere, se a tal for convidado, uma declara\u00e7\u00e3o perante a comiss\u00e3o competente do Parlamento Europeu e responde a perguntas dos deputados.<\/p>\n\n\n\n
9. O diretor executivo cujo mandato tenha sido prorrogado n\u00e3o pode participar noutro processo de sele\u00e7\u00e3o para o mesmo lugar.<\/p>\n\n\n\n
10. O diretor executivo s\u00f3 pode ser exonerado por decis\u00e3o do conselho de administra\u00e7\u00e3o, deliberando sob proposta da Comiss\u00e3o.<\/p>\n\n\n\n
Artigo 37.o<\/p>\n\n\n\n
Peritos nacionais destacados e outro pessoal<\/p>\n\n\n\n
1. A ENISA pode recorrer a peritos nacionais destacados ou a outro pessoal n\u00e3o contratado pela ENISA. O Estatuto dos Funcion\u00e1rios e o Regime Aplic\u00e1vel aos Outros Agentes n\u00e3o se aplicam a esse pessoal.<\/p>\n\n\n\n
2. O conselho de administra\u00e7\u00e3o adota uma decis\u00e3o que estabelece as regras aplic\u00e1veis ao destacamento de peritos nacionais para a ENISA.<\/p>\n\n\n\n
CAP\u00cdTULO VI<\/p>\n\n\n\n
Disposi\u00e7\u00f5es gerais relativas \u00e0 ENISA<\/p>\n\n\n\n
Artigo 38.o<\/p>\n\n\n\n
Estatuto jur\u00eddico da ENISA<\/p>\n\n\n\n
1. A ENISA \u00e9 um organismo da Uni\u00e3o dotado de personalidade jur\u00eddica.<\/p>\n\n\n\n
2. A ENISA goza, em cada um dos Estados-Membros, da mais ampla capacidade jur\u00eddica que o respetivo direito nacional reconhece \u00e0s pessoas coletivas. Pode, designadamente, adquirir e alienar bens m\u00f3veis e im\u00f3veis e estar em ju\u00edzo.<\/p>\n\n\n\n
3. A ENISA \u00e9 representada pelo seu diretor executivo.<\/p>\n\n\n\n
Artigo 39.o<\/p>\n\n\n\n
Responsabilidade da ENISA<\/p>\n\n\n\n
1. A responsabilidade contratual da ENISA \u00e9 regulada pelo direito aplic\u00e1vel ao contrato em causa.<\/p>\n\n\n\n
2. O Tribunal de Justi\u00e7a da Uni\u00e3o Europeia \u00e9 competente para se pronunciar por for\u00e7a de cl\u00e1usula de arbitragem constante dos contratos celebrados pela ENISA.<\/p>\n\n\n\n
3. Em mat\u00e9ria de responsabilidade extracontratual, a ENISA procede \u00e0 repara\u00e7\u00e3o dos danos causados por si ou pelo seu pessoal no exerc\u00edcio das suas fun\u00e7\u00f5es, de acordo com os princ\u00edpios gerais comuns ao direito dos Estados-Membros.<\/p>\n\n\n\n
4. O Tribunal de Justi\u00e7a da Uni\u00e3o Europeia \u00e9 competente em qualquer lit\u00edgio relativo \u00e0 repara\u00e7\u00e3o dos danos a que se refere o n.o 3.<\/p>\n\n\n\n
5. A responsabilidade pessoal do pessoal perante a ENISA \u00e9 regulada pelas disposi\u00e7\u00f5es relevantes do regime aplic\u00e1vel ao pessoal da ENISA.<\/p>\n\n\n\n
Artigo 40.o<\/p>\n\n\n\n
Regime lingu\u00edstico<\/p>\n\n\n\n
1. O Regulamento n.o 1 (32) do Conselho \u00e9 aplic\u00e1vel \u00e0 ENISA. Os Estados-Membros e os outros organismos por eles designados podem dirigir-se \u00e0 ENISA e receber resposta na l\u00edngua oficial das institui\u00e7\u00f5es da Uni\u00e3o da sua escolha.<\/p>\n\n\n\n
2. Os servi\u00e7os de tradu\u00e7\u00e3o necess\u00e1rios ao funcionamento da ENISA s\u00e3o assegurados pelo Centro de Tradu\u00e7\u00e3o dos<\/p>\n\n\n\n
Organismos da Uni\u00e3o Europeia.<\/p>\n\n\n\n
Artigo 41.o<\/p>\n\n\n\n
Prote\u00e7\u00e3o de dados pessoais<\/p>\n\n\n\n
1. O tratamento de dados pessoais pela ENISA est\u00e1 sujeito \u00e0s disposi\u00e7\u00f5es do Regulamento (UE) 2018\/1725.<\/p>\n\n\n\n
2. O conselho de administra\u00e7\u00e3o adota as disposi\u00e7\u00f5es de execu\u00e7\u00e3o a que se refere o artigo 45.o, n.o 3, do Regulamento (UE) 2018\/1725. O conselho de administra\u00e7\u00e3o pode adotar medidas adicionais necess\u00e1rias para a aplica\u00e7\u00e3o do Regulamento (UE) 2018\/1725 pela ENISA.<\/p>\n\n\n\n
Artigo 42.o<\/p>\n\n\n\n
Coopera\u00e7\u00e3o com pa\u00edses terceiros e organiza\u00e7\u00f5es internacionais<\/p>\n\n\n\n
1. A ENISA pode, em fun\u00e7\u00e3o do necess\u00e1rio para alcan\u00e7ar os objetivos fixados no presente regulamento, cooperar com as autoridades competentes de pa\u00edses terceiros ou com organiza\u00e7\u00f5es internacionais ou ambas. Para o efeito, a ENISA pode celebrar acordos de trabalho com essas autoridades de pa\u00edses terceiros e organiza\u00e7\u00f5es internacionais, sob reserva da aprova\u00e7\u00e3o pr\u00e9via da Comiss\u00e3o. Esses acordos de trabalho n\u00e3o podem criar obriga\u00e7\u00f5es jur\u00eddicas \u00e0 Uni\u00e3o e aos seus Estados-Membros.<\/p>\n\n\n\n
2. A ENISA est\u00e1 aberta \u00e0 participa\u00e7\u00e3o de pa\u00edses terceiros que tenham celebrado acordos para o efeito com a Uni\u00e3o. Ao abrigo das disposi\u00e7\u00f5es relevantes de tais acordos, s\u00e3o celebrados acordos de trabalho que determinem, nomeadamente, a natureza, o \u00e2mbito e o modo de participa\u00e7\u00e3o desses pa\u00edses terceiros nos trabalhos da ENISA, e que incluam disposi\u00e7\u00f5es relativas \u00e0 participa\u00e7\u00e3o nas iniciativas desenvolvidas pela ENISA, \u00e0s contribui\u00e7\u00f5es financeiras e ao pessoal. No que diz respeito \u00e0s quest\u00f5es de pessoal, esses acordos de trabalho devem, em todo o caso, respeitar o Estatuto dos Funcion\u00e1rios e o Regime Aplic\u00e1vel aos Outros Agentes.<\/p>\n\n\n\n
3. O conselho de administra\u00e7\u00e3o adota uma estrat\u00e9gia para as rela\u00e7\u00f5es com os pa\u00edses terceiros e as organiza\u00e7\u00f5es internacionais em mat\u00e9rias nas quais a ENISA \u00e9 competente. A Comiss\u00e3o assegura que a ENISA exer\u00e7a as suas actividades no \u00e2mbito do seu mandato e do quadro institucional existente mediante a celebra\u00e7\u00e3o de acordos de trabalho adequados com o diretor executivo da ENISA.<\/p>\n\n\n\n
Artigo 43.o<\/p>\n\n\n\n
Regras de seguran\u00e7a em mat\u00e9ria de prote\u00e7\u00e3o de informa\u00e7\u00f5es sens\u00edveis n\u00e3o classificadas e de informa\u00e7\u00f5es classificadas<\/p>\n\n\n\n
Ap\u00f3s consulta com a Comiss\u00e3o, a ENISA adota regras de seguran\u00e7a que apliquem os princ\u00edpios de seguran\u00e7a que constam das regras de seguran\u00e7a da Comiss\u00e3o para a prote\u00e7\u00e3o das informa\u00e7\u00f5es sens\u00edveis n\u00e3o classificadas e das ICUE, enunciadas nas Decis\u00f5es (UE, Euratom) 2015\/443 e 2015\/444. As regras de seguran\u00e7a da ENISA incluem disposi\u00e7\u00f5es relativas ao interc\u00e2mbio, tratamento e armazenamento dessas informa\u00e7\u00f5es.<\/p>\n\n\n\n
Artigo 44.o<\/p>\n\n\n\n
Acordo de sede e condi\u00e7\u00f5es de funcionamento<\/p>\n\n\n\n
1. As disposi\u00e7\u00f5es necess\u00e1rias relativas \u00e0s instala\u00e7\u00f5es a disponibilizar \u00e0 ENISA no Estado-Membro de acolhimento e \u00e0s estruturas que este deve p\u00f4r \u00e0 sua disposi\u00e7\u00e3o, bem como as regras espec\u00edficas aplic\u00e1veis no Estado-Membro de acolhimento ao diretor executivo, aos membros do conselho de administra\u00e7\u00e3o, ao pessoal da ENISA e aos seus familiares, s\u00e3o estabelecidas num acordo de sede entre a ENISA e o Estado-Membro de acolhimento, celebrado ap\u00f3s aprova\u00e7\u00e3o do conselho de administra\u00e7\u00e3o.<\/p>\n\n\n\n
2. O Estado-Membro de acolhimento da ENISA proporciona as melhores condi\u00e7\u00f5es poss\u00edveis para assegurar o bom funcionamento da ENISA, tendo em conta a acessibilidade da localiza\u00e7\u00e3o, a exist\u00eancia de condi\u00e7\u00f5es de ensino apropriadas para os filhos dos membros do seu pessoal e o acesso adequado ao mercado de trabalho, \u00e0 seguran\u00e7a social e a cuidados m\u00e9dicos para os filhos e c\u00f4njuges dos membros do pessoal.<\/p>\n\n\n\n
Artigo 45.o<\/p>\n\n\n\n
Controlo administrativo<\/p>\n\n\n\n
As atividades da ENISA s\u00e3o supervisionadas pelo Provedor de Justi\u00e7a Europeu, nos termos do artigo 228.o do TFUE.<\/p>\n\n\n\n
T\u00cdTULO III<\/p>\n\n\n\n
ENQUADRAMENTO PARA A CERTIFICA\u00c7\u00c3O DA CIBERSEGURAN\u00c7A<\/p>\n\n\n\n
Artigo 46.o<\/p>\n\n\n\n
Enquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a<\/p>\n\n\n\n
1. \u00c9 criado o enquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a a fim de melhorar as condi\u00e7\u00f5es de funcionamento do mercado interno elevando o n\u00edvel de ciberseguran\u00e7a na Uni\u00e3o e permitindo a ado\u00e7\u00e3o de uma abordagem harmonizada a n\u00edvel da Uni\u00e3o relativamente aos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a, tendo em vista criar um mercado \u00fanico digital de produtos, servi\u00e7os e processos de TIC.<\/p>\n\n\n\n
2. O enquadramento europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a prev\u00ea um mecanismo destinado a criar sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a e a atestar que os produtos, servi\u00e7os e processos de TIC que tenham sido avaliados de acordo com esses sistemas cumprem os requisitos de seguran\u00e7a especificados, para efeitos da prote\u00e7\u00e3o da disponibilidade, autenticidade, integridade ou confidencialidade dos dados armazenados, transmitidos ou tratados, ou as fun\u00e7\u00f5es ou servi\u00e7os oferecidos por esses produtos, servi\u00e7os e processos ou acess\u00edveis por seu interm\u00e9dio ao longo do respetivo ciclo de vida.<\/p>\n\n\n\n
Artigo 47.o<\/p>\n\n\n\n
Programa de trabalho evolutivo da Uni\u00e3o para a certifica\u00e7\u00e3o europeia da ciberseguran\u00e7a<\/p>\n\n\n\n
1. A Comiss\u00e3o publica um programa de trabalho evolutivo para a certifica\u00e7\u00e3o europeia da ciberseguran\u00e7a (a seguir designado \u00abprograma de trabalho evolutivo da Uni\u00e3o\u00bb) que aponta as prioridades estrat\u00e9gicas dos futuros sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
2. O programa de trabalho evolutivo da Uni\u00e3o compreende, designadamente, uma lista dos produtos, servi\u00e7os e processos de TIC ou das respetivas categorias, que podem beneficiar da inclus\u00e3o no \u00e2mbito de aplica\u00e7\u00e3o de um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
3. A inclus\u00e3o de um determinado produto, servi\u00e7o ou processo de TIC ou das respetivas categorias no programa de trabalho evolutivo da Uni\u00e3o deve ser justificada com base num ou mais dos seguintes fundamentos:<\/p>\n\n\n\n
a) A disponibilidade e o desenvolvimento de sistemas nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a que abranjam uma categoria espec\u00edfica de produtos, servi\u00e7os ou processos de TIC, em especial no que toca ao risco de fragmenta\u00e7\u00e3o;<\/p>\n\n\n\n
b) A pol\u00edtica ou o direito aplic\u00e1vel na Uni\u00e3o ou no Estado-Membro;<\/p>\n\n\n\n
c) A procura do mercado;<\/p>\n\n\n\n
d) A evolu\u00e7\u00e3o do cen\u00e1rio de ciberamea\u00e7a;<\/p>\n\n\n\n
e) O pedido de elabora\u00e7\u00e3o de um projeto de sistema espec\u00edfico pelo GECC.<\/p>\n\n\n\n
4. A Comiss\u00e3o tem na devida conta os pareceres sobre o projeto de programa evolutivo da Uni\u00e3o emitidos pelo GECC e pelo grupo das partes interessadas para a certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
5. O primeiro programa de trabalho evolutivo da Uni\u00e3o \u00e9 publicado at\u00e9 28 de junho de 2020. O programa de trabalho evolutivo da Uni\u00e3o \u00e9 atualizado, pelo menos de tr\u00eas em tr\u00eas anos, ou com maior regularidade, se necess\u00e1rio.<\/p>\n\n\n\n
Artigo 48.o<\/p>\n\n\n\n
Pedido de sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a<\/p>\n\n\n\n
1. A Comiss\u00e3o pode solicitar \u00e0 ENISA a elabora\u00e7\u00e3o de um projeto de sistema ou a revis\u00e3o de um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a existente com base no programa de trabalho evolutivo da Uni\u00e3o.<\/p>\n\n\n\n
2. Em casos devidamente justificados, a Comiss\u00e3o ou o GECC podem solicitar \u00e0 ENISA a elabora\u00e7\u00e3o de um projeto de sistema ou a revis\u00e3o de um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a existente que n\u00e3o esteja inclu\u00eddo no programa de trabalho evolutivo da Uni\u00e3o. O programa de trabalho evolutivo da Uni\u00e3o \u00e9 atualizado em conformidade.<\/p>\n\n\n\n
Artigo 49.o<\/p>\n\n\n\n
Elabora\u00e7\u00e3o, ado\u00e7\u00e3o e revis\u00e3o de um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a<\/p>\n\n\n\n
1. Na sequ\u00eancia de um pedido da Comiss\u00e3o nos termos do artigo 48.o, a ENISA elabora um projeto de sistema que cumpra os requisitos estabelecidos nos artigos 51.o, 52.o e 54.o.<\/p>\n\n\n\n
2. Na sequ\u00eancia de um pedido do GECC nos termos do artigo 48.o, n.o 2, a ENISA pode elaborar um projeto de sistema que cumpra os requisitos estabelecidos nos artigos 51.o, 52.o e 54.o. Caso a ENISA recuse esse pedido, deve justificar a sua recusa. Todas as decis\u00f5es de recusa de tais pedidos s\u00e3o tomadas pelo conselho de administra\u00e7\u00e3o.<\/p>\n\n\n\n
3. Durante a elabora\u00e7\u00e3o das propostas de sistema, a ENISA consulta todas as partes interessadas atrav\u00e9s de um processo de consulta formal, aberto, transparente e inclusivo.<\/p>\n\n\n\n
4. Para cada proposta de sistema, a ENISA cria um grupo ad hoc nos termos do artigo 20.o, n.o 4, a fim de prestar aconselhamento espec\u00edfico e de disponibilizar conhecimentos especializados \u00e0 ENISA.<\/p>\n\n\n\n
5. A ENISA coopera estreitamente com o GECC. O GECC presta \u00e0 ENISA assist\u00eancia e aconselhamento especializado no que respeita \u00e0 elabora\u00e7\u00e3o do projeto de sistema e adota um parecer sobre esse projeto de sistema.<\/p>\n\n\n\n
6. A ENISA tem na m\u00e1xima conta o parecer do GECC antes de transmitir \u00e0 Comiss\u00e3o o projeto de sistema elaborado nos termos dos n.os 3, 4 e 5. O parecer do GECC n\u00e3o vincula a ENISA e a sua aus\u00eancia n\u00e3o a impede de transmitir o projeto de sistema \u00e0 Comiss\u00e3o.<\/p>\n\n\n\n
7. A Comiss\u00e3o, com base no projeto de sistema apresentado pela ENISA, pode adotar atos de execu\u00e7\u00e3o que estabele\u00e7am um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a de produtos, servi\u00e7os e processos de TIC que cumpram os requisitos estabelecidos nos artigos 51.o, 52.o e 54.o. Os referidos atos de execu\u00e7\u00e3o s\u00e3o adotados pelo procedimento de exame a que se refere o artigo 66.o, n.o 2.<\/p>\n\n\n\n
8. Pelo menos de cinco em cinco anos, a ENISA avalia os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a adotados, tendo em conta as informa\u00e7\u00f5es que tenha recebido das partes interessadas. Se se julgar necess\u00e1rio, a Comiss\u00e3o, ou o GECC, pode solicitar \u00e0 ENISA que d\u00ea in\u00edcio ao processo de elabora\u00e7\u00e3o de um projeto de sistema revisto, nos termos do artigo 48.o e do presente artigo.<\/p>\n\n\n\n
Artigo 50.o<\/p>\n\n\n\n
S\u00edtio Web dos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a<\/p>\n\n\n\n
1. A ENISA mant\u00e9m um s\u00edtio Web especialmente concebido para disponibilizar informa\u00e7\u00f5es sobre os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a, os certificados europeus de ciberseguran\u00e7a e as declara\u00e7\u00f5es UE de conformidade, incluindo informa\u00e7\u00f5es sobre sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a que tenham deixado de ser v\u00e1lidos, declara\u00e7\u00f5es UE de conformidade e certificados europeus de ciberseguran\u00e7a que tenham sido retirados e que tenham caducado e sobre o reposit\u00f3rio de hiperliga\u00e7\u00f5es para informa\u00e7\u00f5es sobre ciberseguran\u00e7a fornecidas nos termos do artigo 55.o, bem como para publicitar esses sistemas, certificados, declara\u00e7\u00f5es e informa\u00e7\u00f5es.<\/p>\n\n\n\n
2. Se for o caso, o s\u00edtio Web referido no n.o 1 indica igualmente os sistemas nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a que tenham sido substitu\u00eddos por um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
Artigo 51.o<\/p>\n\n\n\n
Objetivos de seguran\u00e7a dos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a<\/p>\n\n\n\n
Os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a s\u00e3o concebidos de modo a alcan\u00e7ar, conforme aplic\u00e1vel, pelo menos os seguintes objetivos de seguran\u00e7a:<\/p>\n\n\n\n
a) Proteger os dados armazenados, transmitidos ou sujeitos a qualquer outro tipo de tratamento contra o armazenamento, tratamento, acesso ou divulga\u00e7\u00e3o acidental ou n\u00e3o autorizado ao longo de todo o ciclo de vida do produto, servi\u00e7o ou processo de TIC;<\/p>\n\n\n\n
b) Proteger os dados armazenados, transmitidos ou sujeitos a qualquer outro tipo de tratamento contra a destrui\u00e7\u00e3o, perda ou altera\u00e7\u00e3o acidental ou n\u00e3o autorizada ou a n\u00e3o disponibiliza\u00e7\u00e3o ao longo de todo o ciclo de vida do produto, servi\u00e7o ou processo de TIC;<\/p>\n\n\n\n
c) Garantir que as pessoas, os programas ou as m\u00e1quinas autorizadas s\u00f3 possam aceder aos dados, servi\u00e7os ou fun\u00e7\u00f5es abrangidos pelos seus direitos de acesso;<\/p>\n\n\n\n
d) Identificar e documentar as depend\u00eancias e vulnerabilidades conhecidas;<\/p>\n\n\n\n
e) Registar que dados, servi\u00e7os ou fun\u00e7\u00f5es foram consultados, utilizados ou sujeitos a qualquer outro tipo de tratamento, quando e por quem;<\/p>\n\n\n\n
f) Garantir que seja poss\u00edvel verificar que dados, servi\u00e7os ou fun\u00e7\u00f5es foram consultados, utilizados ou sujeitos a qualquer outro tipo de tratamento, quando e por quem;<\/p>\n\n\n\n
g) Verificar a aus\u00eancia de vulnerabilidades conhecidas em produtos, servi\u00e7os e processos de TIC;<\/p>\n\n\n\n
h) Restabelecer a disponibilidade e o acesso aos dados, servi\u00e7os e fun\u00e7\u00f5es em tempo \u00fatil, no caso de um incidente f\u00edsico ou t\u00e9cnico;<\/p>\n\n\n\n
i) Garantir a seguran\u00e7a dos produtos, servi\u00e7os e processos de TIC por defeito e desde a conce\u00e7\u00e3o;<\/p>\n\n\n\n
j) Garantir que os produtos, servi\u00e7os e processos de TIC sejam fornecidos ou prestados com programas e equipamentos inform\u00e1ticos atualizados que n\u00e3o contenham vulnerabilidades de conhecimento p\u00fablico, e que sejam dotados de mecanismos que permitam atualiza\u00e7\u00f5es seguras.<\/p>\n\n\n\n
Artigo 52.o<\/p>\n\n\n\n
N\u00edveis de garantia dos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a<\/p>\n\n\n\n
1. Os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a podem especificar um ou mais dos seguintes n\u00edveis de garantia de produtos, servi\u00e7os e processos de TIC: \u00abb\u00e1sico\u00bb, \u00absubstancial\u00bb ou \u00abelevado\u00bb. O n\u00edvel de garantia \u00e9 proporcional ao n\u00edvel do risco associado \u00e0 utiliza\u00e7\u00e3o prevista do produto, servi\u00e7o ou processo de TIC, em termos de probabilidade e impacto de ocorr\u00eancia de um incidente.<\/p>\n\n\n\n
2. O certificado europeu de ciberseguran\u00e7a e a declara\u00e7\u00e3o UE de conformidade indicam o n\u00edvel de garantia especificado no sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a ao abrigo do qual \u00e9 emitido o certificado europeu de ciberseguran\u00e7a ou a declara\u00e7\u00e3o UE de conformidade.<\/p>\n\n\n\n
3. Os requisitos de seguran\u00e7a que correspondem a cada n\u00edvel de garantia s\u00e3o fornecidos no sistema europeu de certifica\u00e7\u00e3o da seguran\u00e7a relevante, incluindo as funcionalidades de seguran\u00e7a e o rigor e a exaustividade correspondentes da avalia\u00e7\u00e3o a que deve ser sujeito o produto, servi\u00e7o ou processo de TIC.<\/p>\n\n\n\n
4. O certificado ou a declara\u00e7\u00e3o UE de conformidade faz refer\u00eancia a especifica\u00e7\u00f5es t\u00e9cnicas, normas e procedimentos conexos, incluindo controlos t\u00e9cnicos, cuja finalidade \u00e9 reduzir ou prevenir o risco de incidentes de ciberseguran\u00e7a.<\/p>\n\n\n\n
5. Um certificado europeu de ciberseguran\u00e7a ou uma declara\u00e7\u00e3o UE de conformidade que ateste um n\u00edvel de garantia \u00abb\u00e1sico\u00bb d\u00e1 garantia de que os produtos, servi\u00e7os e processos de TIC objeto desse certificado ou dessa declara\u00e7\u00e3o UE de conformidade cumprem os requisitos de seguran\u00e7a correspondentes, incluindo as funcionalidades de seguran\u00e7a, e de que foram avaliados a um n\u00edvel que visa a redu\u00e7\u00e3o ao m\u00ednimo dos riscos b\u00e1sicos conhecidos de incidentes e ciberataques. As atividades de avalia\u00e7\u00e3o a realizar compreendem, pelo menos, uma an\u00e1lise da documenta\u00e7\u00e3o t\u00e9cnica. Caso tal an\u00e1lise n\u00e3o seja adequada, s\u00e3o realizadas atividades de avalia\u00e7\u00e3o alternativas de efeito equivalente.<\/p>\n\n\n\n
6. Um certificado europeu de ciberseguran\u00e7a que ateste um n\u00edvel de garantia \u00absubstancial\u00bb d\u00e1 garantia de que os produtos, servi\u00e7os e processos de TIC objeto desse certificado cumprem os requisitos de seguran\u00e7a correspondentes, incluindo as funcionalidades de seguran\u00e7a, e de que foram avaliados a um n\u00edvel que visa a redu\u00e7\u00e3o ao m\u00ednimo dos riscos conhecidos para a ciberseguran\u00e7a e do risco de incidentes e ciberataques levados a cabo por autores com compet\u00eancias e recursos limitados. As atividades de avalia\u00e7\u00e3o a realizar compreendem, pelo menos, o seguinte: uma an\u00e1lise para demonstrar a inexist\u00eancia de vulnerabilidades que sejam do conhecimento p\u00fablico e a realiza\u00e7\u00e3o de ensaios para demonstrar que os produtos, servi\u00e7os ou processos de TIC aplicam corretamente as funcionalidades de seguran\u00e7a necess\u00e1rias. Caso tais atividades de avalia\u00e7\u00e3o n\u00e3o sejam adequadas, s\u00e3o realizadas atividades de avalia\u00e7\u00e3o alternativas de efeito equivalente.<\/p>\n\n\n\n
7. Um certificado europeu de ciberseguran\u00e7a que ateste um n\u00edvel de garantia \u00abelevado\u00bb d\u00e1 garantia de que os produtos, servi\u00e7os e processos de TIC objeto desse certificado cumprem os requisitos de seguran\u00e7a correspondentes, incluindo as funcionalidades de seguran\u00e7a, e de que foram avaliados a um n\u00edvel que visa a redu\u00e7\u00e3o ao m\u00ednimo dos riscos de ciberataques sofisticados levados a cabo por autores com compet\u00eancias e recursos significativos. As atividades de avalia\u00e7\u00e3o a realizar compreendem, pelo menos, o seguinte: uma an\u00e1lise para demonstrar a inexist\u00eancia de vulnerabilidades que sejam do conhecimento p\u00fablico, a realiza\u00e7\u00e3o de ensaios para demonstrar que os produtos, servi\u00e7os ou processos de TIC aplicam corretamente as funcionalidades de seguran\u00e7a necess\u00e1rias, ao n\u00edvel tecnol\u00f3gico mais avan\u00e7ado, e uma avalia\u00e7\u00e3o da sua resist\u00eancia a atacantes competentes atrav\u00e9s de ensaios de penetra\u00e7\u00e3o. Caso tais atividades de avalia\u00e7\u00e3o n\u00e3o sejam adequadas, s\u00e3o realizadas atividades de avalia\u00e7\u00e3o alternativas de efeito equivalente.<\/p>\n\n\n\n
8. Um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a pode especificar v\u00e1rios n\u00edveis de avalia\u00e7\u00e3o, em fun\u00e7\u00e3o do rigor e do alcance da metodologia de avalia\u00e7\u00e3o utilizada. Cada n\u00edvel de avalia\u00e7\u00e3o corresponde a um dos n\u00edveis de garantia e \u00e9 definido atrav\u00e9s de uma combina\u00e7\u00e3o adequada de componentes de garantia.<\/p>\n\n\n\n
Artigo 53.o<\/p>\n\n\n\n
Autoavalia\u00e7\u00e3o da conformidade<\/p>\n\n\n\n
1. Os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a podem permitir a realiza\u00e7\u00e3o de uma autoavalia\u00e7\u00e3o da conformidade sob a exclusiva responsabilidade do fabricante de produtos de TIC, do prestador de servi\u00e7os de TIC ou do fornecedor de processos de TIC. A autoavalia\u00e7\u00e3o da conformidade \u00e9 permitida apenas para produtos, servi\u00e7os e processos de TIC com um n\u00edvel de risco baixo, correspondente ao n\u00edvel de garantia \u00abb\u00e1sico\u00bb.<\/p>\n\n\n\n
2. O fabricante de produtos de TIC, o prestador de servi\u00e7os de TIC ou o fornecedor de processos de TIC pode emitir uma declara\u00e7\u00e3o UE de conformidade que indique que foi demonstrado o cumprimento dos requisitos estabelecidos no sistema. Atrav\u00e9s da emiss\u00e3o dessa declara\u00e7\u00e3o, o fabricante de produtos de TIC, o prestador de servi\u00e7os de TIC ou o fornecedor de processos de TIC assume a responsabilidade pela conformidade do produto, servi\u00e7o ou processo de TIC com os requisitos previstos nesse sistema.<\/p>\n\n\n\n
3. O fabricante de produtos de TIC, o prestador de servi\u00e7os de TIC ou o fornecedor de processos de TIC mant\u00e9m \u00e0 disposi\u00e7\u00e3o da autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a a que se refere o artigo 58.o, pelo per\u00edodo fixado no sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a em causa, a declara\u00e7\u00e3o UE de conformidade, a documenta\u00e7\u00e3o t\u00e9cnica e todas as outras informa\u00e7\u00f5es pertinentes relativas \u00e0 conformidade dos produtos, servi\u00e7os ou processos de TIC com o sistema. \u00c9 apresentada \u00e0 autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a e \u00e0 ENISA uma c\u00f3pia da declara\u00e7\u00e3o UE de conformidade.<\/p>\n\n\n\n
4. A declara\u00e7\u00e3o UE de conformidade \u00e9 emitida a t\u00edtulo volunt\u00e1rio, salvo disposi\u00e7\u00e3o em contr\u00e1rio do direito da Uni\u00e3o ou dos Estados-Membros.<\/p>\n\n\n\n
5. As declara\u00e7\u00f5es UE de conformidade s\u00e3o reconhecidas em todos os Estados-Membros.<\/p>\n\n\n\n
Artigo 54.o<\/p>\n\n\n\n
Elementos dos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a<\/p>\n\n\n\n
1. Os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a compreendem, no m\u00ednimo, os seguintes elementos:<\/p>\n\n\n\n
a) O objeto e o \u00e2mbito do sistema de certifica\u00e7\u00e3o, nomeadamente o tipo ou as categorias de produtos, servi\u00e7os e processos de TIC abrangidos;<\/p>\n\n\n\n
b) Uma descri\u00e7\u00e3o clara do objetivo do sistema e do modo como as normas, os m\u00e9todos de avalia\u00e7\u00e3o e os n\u00edveis de garantia selecionados correspondem \u00e0s necessidades dos utilizadores do sistema a que se destinam;<\/p>\n\n\n\n
c) Refer\u00eancias \u00e0s normas internacionais, europeias ou nacionais aplicadas na avalia\u00e7\u00e3o ou, caso essas normas n\u00e3o estejam dispon\u00edveis ou n\u00e3o sejam adequadas \u00e0s especifica\u00e7\u00f5es t\u00e9cnicas que cumprem os requisitos estabelecidos no anexo II do Regulamento (UE) n.o 1025\/2012 ou, na falta destas \u00faltimas, a especifica\u00e7\u00f5es t\u00e9cnicas ou outros requisitos de ciberseguran\u00e7a previstos no sistema europeu de certifica\u00e7\u00e3o de ciberseguran\u00e7a;<\/p>\n\n\n\n
d) Um ou mais n\u00edveis de garantia, se aplic\u00e1vel;<\/p>\n\n\n\n
e) Uma indica\u00e7\u00e3o que precise se a autoavalia\u00e7\u00e3o da conformidade \u00e9 autorizada no \u00e2mbito do sistema;<\/p>\n\n\n\n
f) Se aplic\u00e1vel, os requisitos espec\u00edficos ou adicionais a que est\u00e3o sujeitos os organismos de avalia\u00e7\u00e3o da conformidade, a fim de garantir a sua compet\u00eancia t\u00e9cnica para avaliar os requisitos de ciberseguran\u00e7a;<\/p>\n\n\n\n
g) Os crit\u00e9rios e m\u00e9todos de avalia\u00e7\u00e3o espec\u00edficos, nomeadamente os tipos de avalia\u00e7\u00e3o a utilizar para demonstrar que s\u00e3o alcan\u00e7ados os objetivos de seguran\u00e7a espec\u00edficos referidos no artigo 51.o;<\/p>\n\n\n\n
h) Se aplic\u00e1vel, as informa\u00e7\u00f5es necess\u00e1rias para a certifica\u00e7\u00e3o e que os requerentes devem fornecer ou de qualquer outro modo p\u00f4r \u00e0 disposi\u00e7\u00e3o dos organismos de avalia\u00e7\u00e3o da conformidade;<\/p>\n\n\n\n
i) As condi\u00e7\u00f5es de utiliza\u00e7\u00e3o de marcas ou r\u00f3tulos, caso estas estejam previstas pelo sistema;<\/p>\n\n\n\n
j) As regras para o controlo da conformidade dos produtos, servi\u00e7os ou processos de TIC com os requisitos dos certificados europeus de ciberseguran\u00e7a ou da declara\u00e7\u00e3o UE de conformidade, incluindo mecanismos para demonstrar a conformidade permanente com os requisitos de ciberseguran\u00e7a especificados;<\/p>\n\n\n\n
k) Se aplic\u00e1vel, as condi\u00e7\u00f5es para a emiss\u00e3o, manuten\u00e7\u00e3o, continua\u00e7\u00e3o e renova\u00e7\u00e3o de um certificado europeu de ciberseguran\u00e7a, bem como as condi\u00e7\u00f5es para o alargamento ou a redu\u00e7\u00e3o do \u00e2mbito da certifica\u00e7\u00e3o;<\/p>\n\n\n\n
l) As regras relativas \u00e0s consequ\u00eancias para os produtos, servi\u00e7os e processos de TIC que tenham sido certificados ou para os quais tenha sido emitida uma declara\u00e7\u00e3o UE de conformidade, mas que n\u00e3o cumprem os requisitos do sistema;<\/p>\n\n\n\n
m) As regras relativas ao modo como devem ser comunicadas e tratadas vulnerabilidades de ciberseguran\u00e7a n\u00e3o detectadas anteriormente em produtos, servi\u00e7os e processos de TIC;<\/p>\n\n\n\n
n) Se aplic\u00e1vel, as regras relativas \u00e0 conserva\u00e7\u00e3o de registos por parte dos organismos de avalia\u00e7\u00e3o da conformidade;<\/p>\n\n\n\n
o) A identifica\u00e7\u00e3o dos sistemas nacionais ou internacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a que abranjam os mesmos tipos ou categorias de produtos, servi\u00e7os e processos de TIC, requisitos de seguran\u00e7a, crit\u00e9rios e m\u00e9todos de avalia\u00e7\u00e3o e n\u00edveis de garantia;<\/p>\n\n\n\n
p) O conte\u00fado e formato dos certificados europeus de ciberseguran\u00e7a e das declara\u00e7\u00f5es UE de conformidade a emitir;<\/p>\n\n\n\n
q) O per\u00edodo de disponibilidade da declara\u00e7\u00e3o UE de conformidade, da documenta\u00e7\u00e3o t\u00e9cnica e de todas as outras informa\u00e7\u00f5es relevantes a disponibilizar pelo fabricante de produtos de TIC, o prestador de servi\u00e7os de TIC ou o fornecedor de processos de TIC;<\/p>\n\n\n\n
r) O prazo m\u00e1ximo de validade dos certificados europeus de ciberseguran\u00e7a emitidos ao abrigo do sistema;<\/p>\n\n\n\n
s) A pol\u00edtica de divulga\u00e7\u00e3o dos certificados europeus de ciberseguran\u00e7a emitidos, alterados e retirados ao abrigo do sistema;<\/p>\n\n\n\n
t) As condi\u00e7\u00f5es para o reconhecimento m\u00fatuo de sistemas de certifica\u00e7\u00e3o com pa\u00edses terceiros;<\/p>\n\n\n\n
u) Se aplic\u00e1vel, as regras relativas a um eventual mecanismo de avalia\u00e7\u00e3o pelos pares criado pelo sistema para as autoridades ou organismos que emitem certificados europeus de ciberseguran\u00e7a para o n\u00edvel de garantia \u00abelevado\u00bb nos termos do artigo 56.o, n.o 6. Tal mecanismo n\u00e3o prejudica a an\u00e1lise pelos pares prevista no artigo 59.o;<\/p>\n\n\n\n
v) O formato e os procedimentos a seguir pelos fabricantes de produtos de TIC, prestadores de servi\u00e7os de TIC ou fornecedores de processos de TIC para o fornecimento e a atualiza\u00e7\u00e3o das informa\u00e7\u00f5es complementares sobre ciberseguran\u00e7a nos termos do artigo 55.o.<\/p>\n\n\n\n
2. Os requisitos especificados do sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a s\u00e3o coerentes com os requisitos legais aplic\u00e1veis, em especial requisitos decorrentes do direito da Uni\u00e3o harmonizado.<\/p>\n\n\n\n
3. Se um ato jur\u00eddico espec\u00edfico da Uni\u00e3o assim o previr, o certificado ou a declara\u00e7\u00e3o UE de conformidade emitidos ao abrigo de um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a podem ser utilizados para demonstrar a presun\u00e7\u00e3o de conformidade com os requisitos do ato jur\u00eddico em quest\u00e3o.<\/p>\n\n\n\n
4. Na falta de um direito da Uni\u00e3o harmonizado, um Estado-Membro pode tamb\u00e9m prever que um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a possa ser utilizado para estabelecer a presun\u00e7\u00e3o de conformidade com requisitos legais.<\/p>\n\n\n\n
Artigo 55.o<\/p>\n\n\n\n
Informa\u00e7\u00f5es complementares sobre ciberseguran\u00e7a para os produtos, servi\u00e7os e processos de TIC certificados<\/p>\n\n\n\n
1. O fabricante de produtos de TIC, o prestador de servi\u00e7os de TIC ou o fornecedor de processos de TIC certificados ou de produtos, servi\u00e7os ou processos de TIC para os quais foi emitida uma declara\u00e7\u00e3o UE de conformidade disponibiliza publicamente as seguintes informa\u00e7\u00f5es complementares:<\/p>\n\n\n\n
a) Orienta\u00e7\u00f5es e recomenda\u00e7\u00f5es para ajudar os utilizadores finais na configura\u00e7\u00e3o, instala\u00e7\u00e3o, implanta\u00e7\u00e3o, funcionamento e manuten\u00e7\u00e3o seguros dos produtos de TIC ou servi\u00e7os de TIC;<\/p>\n\n\n\n
b) O per\u00edodo durante o qual \u00e9 oferecido aos utilizadores finais apoio em mat\u00e9ria de seguran\u00e7a, em especial no que diz respeito \u00e0 disponibilidade de atualiza\u00e7\u00f5es relacionadas com a ciberseguran\u00e7a;<\/p>\n\n\n\n
c) Os contactos do fabricante, do prestador ou do fornecedor e os m\u00e9todos aceites para receber informa\u00e7\u00f5es sobre vulnerabilidades comunicadas pelos utilizadores finais ou pelos investigadores em mat\u00e9ria de seguran\u00e7a;<\/p>\n\n\n\n
d) Uma refer\u00eancia a reposit\u00f3rios em linha que enumerem as vulnerabilidades do conhecimento p\u00fablico relacionadas com o produto, servi\u00e7o ou processo de TIC, e conselhos pertinentes em mat\u00e9ria de ciberseguran\u00e7a.<\/p>\n\n\n\n
2. As informa\u00e7\u00f5es referidas no n.o 1 s\u00e3o disponibilizadas em formato eletr\u00f3nico, permanecem dispon\u00edveis e s\u00e3o atualizadas conforme necess\u00e1rio pelo menos at\u00e9 caducar o certificado europeu de ciberseguran\u00e7a ou a declara\u00e7\u00e3o EU de conformidade correspondentes.<\/p>\n\n\n\n
Artigo 56.o<\/p>\n\n\n\n
Certifica\u00e7\u00e3o da ciberseguran\u00e7a<\/p>\n\n\n\n
1. Presume-se que os produtos, servi\u00e7os e processos de TIC que tenham sido certificados ao abrigo de um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a adotado nos termos do artigo 49.o cumprem os requisitos desse sistema.<\/p>\n\n\n\n
2. A certifica\u00e7\u00e3o de ciberseguran\u00e7a \u00e9 volunt\u00e1ria, salvo disposi\u00e7\u00e3o em contr\u00e1rio no direito da Uni\u00e3o ou dos Estados-Membros.<\/p>\n\n\n\n
3. A Comiss\u00e3o avalia regularmente a efici\u00eancia e a utiliza\u00e7\u00e3o dos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a adotados e se algum sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a espec\u00edfico deve passar a ser obrigat\u00f3rio por for\u00e7a do direito aplic\u00e1vel da Uni\u00e3o, a fim de assegurar um n\u00edvel adequado de ciberseguran\u00e7a dos produtos, servi\u00e7os e processos de TIC na Uni\u00e3o e melhorar o funcionamento do mercado interno. A primeira dessas avalia\u00e7\u00f5es deve ser realizada at\u00e9 31 de dezembro de 2023 e as avalia\u00e7\u00f5es subsequentes devem ser efetuadas pelo menos de dois em dois anos. Baseado no resultado dessas avalia\u00e7\u00f5es, a Comiss\u00e3o identifica os produtos, servi\u00e7os e processos de TIC abrangidos por um sistema de certifica\u00e7\u00e3o existente que devem ser abrangidos por um sistema de certifica\u00e7\u00e3o obrigat\u00f3rio.<\/p>\n\n\n\n
A Comiss\u00e3o concentra-se prioritariamente nos setores enumerados no anexo II da Diretiva (UE) 2016\/1148, que s\u00e3o avaliados o mais tardar dois anos ap\u00f3s a ado\u00e7\u00e3o do primeiro sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
Ao preparar a avalia\u00e7\u00e3o, a Comiss\u00e3o:<\/p>\n\n\n\n
a) Toma em considera\u00e7\u00e3o o impacto das medidas para os fabricantes de produtos de TIC, os prestadores de servi\u00e7os de TIC e os fornecedores de processos de TIC e para os utilizadores em termos de custos dessas medidas, e os benef\u00edcios societais ou econ\u00f3micos decorrentes do refor\u00e7o previsto do n\u00edvel de seguran\u00e7a para os produtos, servi\u00e7os e processos visados;<\/p>\n\n\n\n
b) Tem em conta a exist\u00eancia e a aplica\u00e7\u00e3o do direito aplic\u00e1vel do Estado-Membro e do pa\u00eds terceiro;<\/p>\n\n\n\n
c) Procede a uma consulta aberta, transparente e inclusiva de todas as partes interessadas e Estados-Membros;<\/p>\n\n\n\n
d) Toma em considera\u00e7\u00e3o os prazos de aplica\u00e7\u00e3o, as medidas e os per\u00edodos de transi\u00e7\u00e3o, tendo especialmente em conta o eventual impacto da medida para os fabricantes de produtos de TIC, os prestadores de servi\u00e7os de TIC e os fornecedores de processos de TIC, incluindo as PME;<\/p>\n\n\n\n
e) Prop\u00f5e a forma mais c\u00e9lere e eficaz de efetuar a transi\u00e7\u00e3o dos sistemas de certifica\u00e7\u00e3o volunt\u00e1rios para os obrigat\u00f3rios.<\/p>\n\n\n\n
4. Os organismos de avalia\u00e7\u00e3o da conformidade a que se refere o artigo 60.o emitem certificados europeu de ciberseguran\u00e7a, nos termos do presente artigo, atestando um n\u00edvel de garantia \u00abb\u00e1sico\u00bb ou \u00absubstancial\u00bb, com base nos crit\u00e9rios inclu\u00eddos no sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a adotado pela Comiss\u00e3o, nos termos do artigo 49.o.<\/p>\n\n\n\n
5. Em derroga\u00e7\u00e3o do n.o 4, em casos devidamente justificados um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a pode prever que os certificados europeus de ciberseguran\u00e7a ao abrigo desse sistema s\u00f3 possam ser emitidos por um organismo p\u00fablico. Esse organismo deve ser um dos seguintes:<\/p>\n\n\n\n
a) Uma autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a a que se refere o artigo 58.o, n.o 1; ou<\/p>\n\n\n\n
b) Um organismo p\u00fablico acreditado como organismo de avalia\u00e7\u00e3o da conformidade nos termos do artigo 60.o, n.o 1.<\/p>\n\n\n\n
6. Nos casos em que um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a adotado nos termos do artigo 49.o exija um n\u00edvel de garantia \u00abelevado\u00bb, o certificado europeu de ciberseguran\u00e7a ao abrigo desse sistema s\u00f3 pode ser emitido por uma autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a ou, nos casos a seguir indicadas, por um organismo de avalia\u00e7\u00e3o:<\/p>\n\n\n\n
a) Mediante aprova\u00e7\u00e3o pr\u00e9via pela autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a para cada certificado europeu de ciberseguran\u00e7a individual emitido por um organismo de avalia\u00e7\u00e3o da conformidade; ou<\/p>\n\n\n\n
b) Com base numa delega\u00e7\u00e3o geral pr\u00e9via do poder de emitir esses certificados europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a pela autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a no organismo de avalia\u00e7\u00e3o da conformidade.<\/p>\n\n\n\n
7. As pessoas singulares ou coletivas que submetem os seus produtos, servi\u00e7os ou processos de TIC \u00e0 certifica\u00e7\u00e3o disponibilizam \u00e0 autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a a que se refere o artigo 58.o, quando essa autoridade for o organismo que emite o certificado europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a ou o organismo de avalia\u00e7\u00e3o da conformidade a que se refere o artigo 60.o, todas as informa\u00e7\u00f5es necess\u00e1rias para efetuar a certifica\u00e7\u00e3o.<\/p>\n\n\n\n
8. O titular de um certificado europeu de ciberseguran\u00e7a informa a autoridade ou o organismo referido no n.o 7 de quaisquer vulnerabilidades ou irregularidades posteriormente detetadas relativas \u00e0 seguran\u00e7a do produto, servi\u00e7o ou processo de TIC certificado que possam ter um impacto na conformidade do produto, servi\u00e7o ou processo de TIC com os requisitos relacionados com a certifica\u00e7\u00e3o. Essa autoridade ou organismo transmite essas informa\u00e7\u00f5es sem demora injustificada \u00e0 autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
9. Os certificados europeus de ciberseguran\u00e7a s\u00e3o emitidos pelo per\u00edodo definido pelo sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a em causa e podem ser renovados, desde que continuem a ser cumpridos os requisitos aplic\u00e1veis.<\/p>\n\n\n\n
10. Os certificados europeus de ciberseguran\u00e7a emitidos ao abrigo do presente artigo s\u00e3o reconhecidos em todos os<\/p>\n\n\n\n
Estados-Membros.<\/p>\n\n\n\n
Artigo 57.o<\/p>\n\n\n\n
Sistemas e certificados nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a<\/p>\n\n\n\n
1. Sem preju\u00edzo do disposto no n.o 3 do presente artigo, os sistemas nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a e os procedimentos conexos relativos aos produtos, servi\u00e7os e processos de TIC abrangidos por um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a deixam de produzir efeitos a partir da data estabelecida no ato de execu\u00e7\u00e3o adotado ao abrigo do artigo 49.o, n.o 7. Os sistemas nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a e os procedimentos conexos relativos aos produtos de TIC, servi\u00e7os de TIC e processos de TIC que n\u00e3o sejam abrangidos por um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a continuam a existir.<\/p>\n\n\n\n
2. Os Estados-Membros n\u00e3o podem introduzir novos sistemas nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a relativos aos produtos, servi\u00e7os e processos de TIC abrangidos por um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a em vigor.<\/p>\n\n\n\n
3. Os certificados em vigor emitidos ao abrigo de sistemas nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a e abrangidos por um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a permanecem v\u00e1lidos at\u00e9 \u00e0 respetiva data de caducidade.<\/p>\n\n\n\n
4. A fim de evitar a fragmenta\u00e7\u00e3o do mercado interno, os Estados-Membros comunicam \u00e0 Comiss\u00e3o e ao GECC a inten\u00e7\u00e3o de elaborar novos sistemas nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
Artigo 58.o<\/p>\n\n\n\n
Autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a<\/p>\n\n\n\n
1. Cada Estado-Membro designa uma ou mais autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a no seu territ\u00f3rio ou, com o acordo de outro Estado-Membro, designa uma ou mais autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a estabelecidas nesse outro Estado-Membro como respons\u00e1veis pelas atribui\u00e7\u00f5es de supervis\u00e3o no Estado-Membro que procede \u00e0 designa\u00e7\u00e3o.<\/p>\n\n\n\n
2. Os Estados-Membros informam a Comiss\u00e3o da identidade das autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a designadas. Se designarem mais do que uma autoridade, os Estados-Membros informam igualmente a Comiss\u00e3o das atribui\u00e7\u00f5es conferidas a cada uma.<\/p>\n\n\n\n
3. Sem preju\u00edzo do disposto no artigo 56.o, n.o 5, al\u00ednea a), e no artigo 56.o, n.o 6, as autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a s\u00e3o independentes das entidades que supervisionam, no que se refere \u00e0 organiza\u00e7\u00e3o, \u00e0s decis\u00f5es de financiamento, \u00e0 estrutura jur\u00eddica e \u00e0 tomada de decis\u00f5es.<\/p>\n\n\n\n
4. Os Estados-Membros garantem que as atividades das autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a relacionadas com a emiss\u00e3o de certificados europeus de ciberseguran\u00e7a a que se refere o artigo 56.o, n.o 5, al\u00ednea a), e o artigo 56.o, n.o 6, estejam rigorosamente separadas das suas atividades de supervis\u00e3o previstas no presente artigo, e que sejam exercidas independentemente uma da outra.<\/p>\n\n\n\n
5. Os Estados-Membros asseguram que as autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a disponham dos recursos adequados ao exerc\u00edcio das suas compet\u00eancias e \u00e0 realiza\u00e7\u00e3o eficaz e eficiente das suas atribui\u00e7\u00f5es.<\/p>\n\n\n\n
6. A fim de permitir a aplica\u00e7\u00e3o efetiva do presente regulamento, \u00e9 conveniente que as autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a participem de uma forma ativa, eficaz, eficiente e segura no GECC.<\/p>\n\n\n\n
7. Compete \u00e0s autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a:<\/p>\n\n\n\n
a) Supervisionar e fazer aplicar as regras inclu\u00eddas nos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a, nos termos do artigo 54.o, n.o 1, al\u00ednea j), para efetuar o controlo da conformidade dos produtos, servi\u00e7os e processos de TIC com os requisitos dos certificados europeus de ciberseguran\u00e7a emitidos nos respetivos territ\u00f3rios, em coopera\u00e7\u00e3o com outras autoridades de fiscaliza\u00e7\u00e3o de mercado competentes;<\/p>\n\n\n\n
b) Controlar o cumprimento das obriga\u00e7\u00f5es do fabricante de produtos de TIC, do prestador de servi\u00e7os de TIC ou do fornecedor de processos de TIC estabelecidos nos respetivos territ\u00f3rios e que efetuem a autoavalia\u00e7\u00e3o da conformidade e fazer executar essas obriga\u00e7\u00f5es, em especial, as obriga\u00e7\u00f5es estabelecidas no artigo 53.o, n.os 2 e 3, e no respectivo sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a;<\/p>\n\n\n\n
c) Sem preju\u00edzo do disposto no artigo 60.o, n.o 3, prestar ativamente assist\u00eancia e apoio aos organismos nacionais de acredita\u00e7\u00e3o no controlo e na supervis\u00e3o das atividades dos organismos de avalia\u00e7\u00e3o da conformidade para efeitos do presente regulamento;<\/p>\n\n\n\n
d) Controlar e supervisionar as atividades dos organismos p\u00fablicos a que se refere o artigo 56.o, n.o 5;<\/p>\n\n\n\n
e) Se aplic\u00e1vel, autorizar os organismos de avalia\u00e7\u00e3o da conformidade nos termos do artigo 60.o, n.o 3, e restringir, suspender ou retirar a autoriza\u00e7\u00e3o existente caso esses organismos violem o disposto no presente regulamento;<\/p>\n\n\n\n
f) Tratar as reclama\u00e7\u00f5es apresentadas por pessoas singulares ou coletivas relativamente a certificados europeus de ciberseguran\u00e7a emitidos pela autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a ou a certificados europeus de ciberseguran\u00e7a emitidos por organismos de avalia\u00e7\u00e3o da conformidade nos termos do artigo 56.o, n.o 6, ou em rela\u00e7\u00e3o a declara\u00e7\u00f5es UE de conformidade emitidas ao abrigo do artigo 53.o, e investigar, na medida do necess\u00e1rio, o objecto das reclama\u00e7\u00f5es e informar os autores das reclama\u00e7\u00f5es do andamento e do resultado da investiga\u00e7\u00e3o num prazo razo\u00e1vel;<\/p>\n\n\n\n
g) Fornecer \u00e0 ENISA e ao GECC um relat\u00f3rio anual de s\u00edntese das atividades realizadas, nos termos das al\u00edneas b), c) e d) do presente n\u00famero ou do n.o 8;<\/p>\n\n\n\n
h) Cooperar com outras autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a ou outras autoridades p\u00fablicas, inclusive atrav\u00e9s da partilha de informa\u00e7\u00f5es sobre a eventual n\u00e3o conformidade de produtos, servi\u00e7os e processos de TIC com os requisitos do presente regulamento ou de sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a espec\u00edficos; e<\/p>\n\n\n\n
i) Acompanhar factos novos relevantes no dom\u00ednio da certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
8. Cada autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a disp\u00f5e, no m\u00ednimo, das compet\u00eancias para:<\/p>\n\n\n\n
a) Solicitar aos organismos de avalia\u00e7\u00e3o da conformidade, aos titulares de certificados europeus de ciberseguran\u00e7a e aos emitentes de declara\u00e7\u00f5es UE de conformidade que lhe forne\u00e7am as informa\u00e7\u00f5es de que necessite para o exerc\u00edcio das suas compet\u00eancias;<\/p>\n\n\n\n
b) Conduzir investiga\u00e7\u00f5es, sob a forma de auditorias, aos organismos de avalia\u00e7\u00e3o da conformidade, aos titulares de certificados europeus de ciberseguran\u00e7a e aos emitentes de declara\u00e7\u00f5es de conformidade da UE, a fim de verificar se cumprem o disposto no presente t\u00edtulo;<\/p>\n\n\n\n
c) Tomar as medidas adequadas, de acordo com o direito nacional, a fim de garantir que os organismos de avalia\u00e7\u00e3o da conformidade, os titulares de certificados europeus de ciberseguran\u00e7a, e os emitentes de declara\u00e7\u00f5es UE de conformidade cumprem o disposto no presente regulamento ou num sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a;<\/p>\n\n\n\n
d) Obter acesso a todas as instala\u00e7\u00f5es dos organismos de avalia\u00e7\u00e3o da conformidade ou dos titulares de certificados europeus de ciberseguran\u00e7a com o objetivo de conduzir investiga\u00e7\u00f5es de acordo com o direito processual da Uni\u00e3o ou dos Estados-Membros em causa;<\/p>\n\n\n\n
e) Retirar, de acordo com o direito nacional, os certificados europeus de ciberseguran\u00e7a emitidos pelas autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a, ou os certificados europeus de ciberseguran\u00e7a emitidos pelos organismos de avalia\u00e7\u00e3o da conformidade nos termos do artigo 56.o, n.o 6, que n\u00e3o cumpram o disposto no presente regulamento ou num sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a;<\/p>\n\n\n\n
f) Aplicar san\u00e7\u00f5es, de acordo com o direito nacional, como previsto no artigo 65.o, e exigir a cessa\u00e7\u00e3o imediata da viola\u00e7\u00e3o das obriga\u00e7\u00f5es estabelecidas no presente regulamento.<\/p>\n\n\n\n
9. As autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a cooperam entre si e com a Comiss\u00e3o e, em particular, partilham informa\u00e7\u00f5es, experi\u00eancias e boas pr\u00e1ticas em mat\u00e9ria de certifica\u00e7\u00e3o da ciberseguran\u00e7a e de quest\u00f5es t\u00e9cnicas relacionadas com a ciberseguran\u00e7a dos produtos de TIC, servi\u00e7os de TIC e de processos de TIC.<\/p>\n\n\n\n
Artigo 59.o<\/p>\n\n\n\n
An\u00e1lise pelos pares<\/p>\n\n\n\n
1. A fim de alcan\u00e7ar a equival\u00eancia das normas na Uni\u00e3o no que se refere aos certificados europeus de ciberseguran\u00e7a emitidos e \u00e0s declara\u00e7\u00f5es UE de conformidade, as autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a s\u00e3o sujeitas a an\u00e1lise pelos pares.<\/p>\n\n\n\n
2. A an\u00e1lise pelos pares deve ser realizada com base em crit\u00e9rios e procedimentos de avalia\u00e7\u00e3o s\u00f3lidos e transparentes, especialmente no que se refere aos requisitos estruturais, de recursos humanos e processuais, \u00e0 confidencialidade e \u00e0s reclama\u00e7\u00f5es.<\/p>\n\n\n\n
3. A an\u00e1lise pelos pares avalia os seguintes elementos:<\/p>\n\n\n\n
a) Se aplic\u00e1vel, se as atividades da autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a relacionadas com a emiss\u00e3o de certificados europeus de ciberseguran\u00e7a, nos termos do artigo 56.o, n.o 5, al\u00ednea a), e n.o 6, est\u00e3o rigorosamente separadas das atividades de supervis\u00e3o previstas no artigo 58.o, e se essas atividades s\u00e3o exercidas independentemente uma da outra;<\/p>\n\n\n\n
b) Os procedimentos destinados a supervisionar e controlar a aplica\u00e7\u00e3o das regras relativas ao controlo da conformidade dos produtos, servi\u00e7os e processos de TIC com os certificados europeus de ciberseguran\u00e7a nos termos do artigo 58.o, n.o 7, al\u00ednea a);<\/p>\n\n\n\n
c) Os procedimentos destinados a controlar o cumprimento das obriga\u00e7\u00f5es dos fabricantes de produtos de TIC, dos prestadores de servi\u00e7os de TIC e dos fornecedores de processos de TIC nos termos do artigo 58.o, n.o 7, e a fazer executar essas obriga\u00e7\u00f5es;<\/p>\n\n\n\n
d) Os procedimentos destinados a controlar, autorizar e supervisionar as atividades dos organismos de avalia\u00e7\u00e3o da conformidade;<\/p>\n\n\n\n
e) Se aplic\u00e1vel, se o pessoal das autoridades ou organismos que emitem certificados atestando um n\u00edvel de garantia \u00abelevado\u00bb nos termos do artigo 56.o, n.o 6 possuem os conhecimentos especializados adequados.<\/p>\n\n\n\n
4. A an\u00e1lise pelos pares \u00e9 realizada pelo menos por duas autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a de outros Estados-Membros e pela Comiss\u00e3o, no m\u00ednimo, uma vez de cinco em cinco anos. A ENISA pode participar na an\u00e1lise pelos pares.<\/p>\n\n\n\n
5. A Comiss\u00e3o pode adotar atos de execu\u00e7\u00e3o que estabele\u00e7am um plano para as an\u00e1lises pelos pares que cubra um per\u00edodo de pelo menos cinco anos, e defina os crit\u00e9rios para a composi\u00e7\u00e3o da equipa de an\u00e1lise pelos pares, a metodologia a seguir na an\u00e1lise, o calend\u00e1rio, a frequ\u00eancia e outras tarefas relacionadas com a an\u00e1lise pelos pares. Ao adotar esses atos de execu\u00e7\u00e3o, a Comiss\u00e3o tem devidamente em conta as opini\u00f5es do GECC. Os referidos atos de execu\u00e7\u00e3o s\u00e3o adotados pelo procedimento de exame a que se refere o artigo 66.o, n.o 2.<\/p>\n\n\n\n
6. Os resultados das an\u00e1lises pelos pares s\u00e3o examinados pelo GECC, que elabora s\u00ednteses que podem ser disponibilizadas ao p\u00fablico e que, se necess\u00e1rio, emite orienta\u00e7\u00f5es ou recomenda\u00e7\u00f5es relativas a a\u00e7\u00f5es ou medidas a tomar pelas entidades em causa.<\/p>\n\n\n\n
Artigo 60.o<\/p>\n\n\n\n
Organismos de avalia\u00e7\u00e3o da conformidade<\/p>\n\n\n\n
1. Os organismos de avalia\u00e7\u00e3o da conformidade s\u00e3o acreditados pelos organismos nacionais de acredita\u00e7\u00e3o designados nos termos do Regulamento (CE) n.o 765\/2008. A acredita\u00e7\u00e3o s\u00f3 \u00e9 emitida se o organismo de avalia\u00e7\u00e3o da conformidade cumprir os requisitos estabelecidos no anexo do presente regulamento.<\/p>\n\n\n\n
2. Caso seja emitido um certificado europeu de ciberseguran\u00e7a por uma autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a nos termos do artigo 56.o, n.o 5, al\u00ednea a), e n.o 6, o organismo de certifica\u00e7\u00e3o da autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a \u00e9 acreditado como organismo de avalia\u00e7\u00e3o da conformidade nos termos do n.o 1 do presente artigo.<\/p>\n\n\n\n
3. Caso os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a estabele\u00e7am requisitos espec\u00edficos ou suplementares nos termos do artigo 54.o, n.o 1, al\u00ednea f), s\u00f3 os organismos de avalia\u00e7\u00e3o da conformidade que cumpram esses requisitos podem ser autorizados pela autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a a executar tarefas no \u00e2mbito destes sistemas.<\/p>\n\n\n\n
4. A acredita\u00e7\u00e3o dos organismos de avalia\u00e7\u00e3o da conformidade referida no n.o 1 \u00e9 emitida por um prazo m\u00e1ximo de cinco anos e pode ser renovada nas mesmas condi\u00e7\u00f5es, desde que o organismo de avalia\u00e7\u00e3o da conformidade continue a cumprir os requisitos estabelecidos no presente artigo. Os organismos nacionais de acredita\u00e7\u00e3o tomam todas as medidas adequadas num prazo razo\u00e1vel para restringir, suspender ou revogar a acredita\u00e7\u00e3o de um organismo de avalia\u00e7\u00e3o da conformidade que tenha sido emitida nos termos do n.o 1, se as condi\u00e7\u00f5es para a acredita\u00e7\u00e3o n\u00e3o tiverem sido cumpridas ou deixarem de ser cumpridas, ou se o organismo de avalia\u00e7\u00e3o da conformidade violar o disposto no presente regulamento.<\/p>\n\n\n\n
Artigo 61.o<\/p>\n\n\n\n
Notifica\u00e7\u00e3o<\/p>\n\n\n\n
1. As autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a notificam a Comiss\u00e3o, relativamente a cada sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a, dos organismos de avalia\u00e7\u00e3o da conformidade acreditados e, se for o caso, autorizados nos termos do artigo 60.o, n.o 3 para efeitos da emiss\u00e3o de certificados europeus de ciberseguran\u00e7a atestando os n\u00edveis de garantia especificados, conforme referido no artigo 52.o. As autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a notificam a Comiss\u00e3o sem demora injustificada, de quaisquer altera\u00e7\u00f5es posteriores.<\/p>\n\n\n\n
2. Um ano ap\u00f3s a entrada em vigor de um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a, a Comiss\u00e3o publica no Jornal Oficial da Uni\u00e3o Europeia uma lista dos organismos de avalia\u00e7\u00e3o da conformidade notificados no \u00e2mbito desse sistema.<\/p>\n\n\n\n
3. Se receber uma notifica\u00e7\u00e3o ap\u00f3s o termo do prazo referido no n.o 2, a Comiss\u00e3o publica as altera\u00e7\u00f5es da lista dos organismos de avalia\u00e7\u00e3o da conformidade notificados no Jornal Oficial da Uni\u00e3o Europeia num prazo de dois meses a contar da data da rece\u00e7\u00e3o da notifica\u00e7\u00e3o.<\/p>\n\n\n\n
4. As autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a podem apresentar \u00e0 Comiss\u00e3o um pedido para que retire da lista referida no n.o 2 um organismo de avalia\u00e7\u00e3o da conformidade notificado pela autoridade em causa. A Comiss\u00e3o publica as altera\u00e7\u00f5es correspondentes da referida lista no Jornal Oficial da Uni\u00e3o Europeia no prazo de um m\u00eas a contar da data de rece\u00e7\u00e3o do pedido da autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n\n\n\n
5. A Comiss\u00e3o pode adotar atos de execu\u00e7\u00e3o para estabelecer as circunst\u00e2ncias, os formatos e os procedimentos da notifica\u00e7\u00e3o referida no n.o 1 do presente artigo. Os referidos atos de execu\u00e7\u00e3o s\u00e3o adotados pelo procedimento de exame a que se refere o artigo 66.o, n.o 2.<\/p>\n\n\n\n
Artigo 62.o<\/p>\n\n\n\n
Grupo europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a<\/p>\n\n\n\n
1. \u00c9 criado o grupo europeu para a certifica\u00e7\u00e3o da ciberseguran\u00e7a (a seguir designado \u00abGECC\u00bb).<\/p>\n\n\n\n
2. O grupo \u00e9 composto por representantes das autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a ou representantes de outras autoridades nacionais competentes. Um membro do GECC n\u00e3o pode representar mais de dois Estados-<\/p>\n\n\n\n
-Membros.<\/p>\n\n\n\n
3. Podem ser convidados a assistir \u00e0s reuni\u00f5es do GECC e a participar nos seus trabalhos as partes e os terceiros interessados relevantes.<\/p>\n\n\n\n
4. O GECC tem as seguintes atribui\u00e7\u00f5es:<\/p>\n\n\n\n
a) Aconselhar e assistir a Comiss\u00e3o no seu trabalho de assegurar a execu\u00e7\u00e3o e aplica\u00e7\u00e3o coerentes do presente t\u00edtulo, nomeadamente no que se refere ao programa de trabalho evolutivo da Uni\u00e3o, \u00e0s quest\u00f5es da pol\u00edtica de certifica\u00e7\u00e3o da ciberseguran\u00e7a, \u00e0 coordena\u00e7\u00e3o das abordagens pol\u00edticas e \u00e0 elabora\u00e7\u00e3o de sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a;<\/p>\n\n\n\n
b) Assistir, aconselhar e cooperar com a ENISA no que se refere \u00e0 elabora\u00e7\u00e3o de propostas de sistemas, nos termos do<\/p>\n\n\n\n
artigo 49.o;<\/p>\n\n\n\n
c) Adotar pareceres sobre as propostas de sistemas elaboradas pela ENISA, nos termos do artigo 49.o;<\/p>\n\n\n\n
d) Solicitar \u00e0 ENISA que elabore projetos de sistemas nos termos do artigo 48.o, n.o 2;<\/p>\n\n\n\n
e) Adotar pareceres dirigidos \u00e0 Comiss\u00e3o relativos \u00e0 manuten\u00e7\u00e3o e revis\u00e3o de sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a em vigor;<\/p>\n\n\n\n
f) Analisar a evolu\u00e7\u00e3o relevante no dom\u00ednio da certifica\u00e7\u00e3o da ciberseguran\u00e7a e proceder ao interc\u00e2mbio de informa\u00e7\u00f5es e de boas pr\u00e1ticas em mat\u00e9ria de sistemas de certifica\u00e7\u00e3o da ciberseguran\u00e7a;<\/p>\n\n\n\n
g) Facilitar a coopera\u00e7\u00e3o entre as autoridades nacionais de certifica\u00e7\u00e3o da ciberseguran\u00e7a a que se refere o presente t\u00edtulo mediante o refor\u00e7o de capacidades e o interc\u00e2mbio de informa\u00e7\u00f5es, nomeadamente atrav\u00e9s do estabelecimento de m\u00e9todos eficientes de interc\u00e2mbio de informa\u00e7\u00f5es relativas a todas a quest\u00f5es no dom\u00ednio da certifica\u00e7\u00e3o da ciberseguran\u00e7a;<\/p>\n\n\n\n
h) Apoiar a aplica\u00e7\u00e3o dos mecanismos de avalia\u00e7\u00e3o pelos pares, de acordo com as regras estabelecidas por um sistema europeu de certifica\u00e7\u00e3o da ciberseguran\u00e7a nos termos do artigo 54.o, n.o 1, al\u00ednea u);<\/p>\n\n\n\n
i) Facilitar o alinhamento dos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a pelas normas reconhecidas a n\u00edvel internacional, nomeadamente avaliando os sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a existentes e, se necess\u00e1rio, formulando recomenda\u00e7\u00f5es \u00e0 aten\u00e7\u00e3o da ENISA para que colabore com os organismos internacionais de normaliza\u00e7\u00e3o competentes, a fim de sanar insufici\u00eancias ou lacunas nas normas existentes reconhecidas internacionalmente.<\/p>\n\n\n\n
5. Com a assist\u00eancia da ENISA, a Comiss\u00e3o preside ao GECC e assegura a presta\u00e7\u00e3o dos seus servi\u00e7os de secretariado ao GECC, tal como previsto no artigo 8.o, n.o 1, al\u00ednea e).<\/p>\n\n\n\n
Artigo 63.o<\/p>\n\n\n\n
Direito de apresentar reclama\u00e7\u00e3o<\/p>\n\n\n\n
1. As pessoas singulares ou coletivas t\u00eam o direito de apresentar uma reclama\u00e7\u00e3o junto da entidade emissora dos certificados europeus de ciberseguran\u00e7a ou, no caso de a reclama\u00e7\u00e3o se referir a um certificado europeu de ciberseguran\u00e7a emitido por um organismo de avalia\u00e7\u00e3o da conformidade agindo nos termos do artigo 56.o, n.o 6, junto da autoridade nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a competente.<\/p>\n\n\n\n
2. A autoridade ou o organismo ao qual tiver sido apresentada a reclama\u00e7\u00e3o informa o seu autor do andamento e do resultado da mesma, e informa-o do direito a um recurso judicial efetivo nos termos do artigo 64.o.<\/p>\n\n\n\n
Artigo 64.o<\/p>\n\n\n\n
Direito a um recurso judicial efetivo<\/p>\n\n\n\n
1. N\u00e3o obstante os recursos administrativos ou vias extrajudiciais, as pessoas singulares e coletivas t\u00eam direito a um recurso judicial efetivo no que respeita:<\/p>\n\n\n\n
a) \u00c0s decis\u00f5es adotadas pela autoridade ou por um organismo referido no artigo 63.o, n.o 1, inclusive, se aplic\u00e1vel, em rela\u00e7\u00e3o \u00e0 emiss\u00e3o indevida, \u00e0 omiss\u00e3o de emiss\u00e3o de certificados ou ao reconhecimento de certificados europeus de ciberseguran\u00e7a na posse das referidas pessoas singulares e coletivas;<\/p>\n\n\n\n
b) \u00c0 omiss\u00e3o de a\u00e7\u00e3o relativamente a uma reclama\u00e7\u00e3o apresentada junto de uma autoridade ou de um organismo referido no artigo 63.o, n.o 1.<\/p>\n\n\n\n
2. Os recursos ao abrigo do presente artigo s\u00e3o interpostos perante os tribunais do Estado-Membro onde est\u00e1 situada a autoridade ou o organismo contra o qual s\u00e3o interpostos.<\/p>\n\n\n\n
Artigo 65.o<\/p>\n\n\n\n
San\u00e7\u00f5es<\/p>\n\n\n\n
Os Estados-Membros estabelecem as regras relativas \u00e0s san\u00e7\u00f5es aplic\u00e1veis em caso de viola\u00e7\u00e3o do disposto no presente t\u00edtulo e nos sistemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a e tomam as medidas necess\u00e1rias para garantir a sua aplica\u00e7\u00e3o. As san\u00e7\u00f5es previstas devem ser efetivas, proporcionadas e dissuasivas. Os Estados-Membros notificam, sem demora, a Comiss\u00e3o dessas regras e medidas, e notificam-na de qualquer altera\u00e7\u00e3o subsequente das mesmas.<\/p>\n\n\n\n
T\u00cdTULO IV<\/p>\n\n\n\n
DISPOSI\u00c7\u00d5ES FINAIS<\/p>\n\n\n\n
Artigo 66.o<\/p>\n\n\n\n
Procedimento de comit\u00e9<\/p>\n\n\n\n
1. A Comiss\u00e3o \u00e9 assistida por um comit\u00e9. Este comit\u00e9 \u00e9 um comit\u00e9 na ace\u00e7\u00e3o do Regulamento (UE) n.o 182\/2011.<\/p>\n\n\n\n
2. Caso se remeta para o presente n\u00famero, aplica-se o artigo 5.o, n.o 4, al\u00ednea b), do Regulamento (UE) n.o 182\/2011.<\/p>\n\n\n\n
Artigo 67.o<\/p>\n\n\n\n
Avalia\u00e7\u00e3o e revis\u00e3o<\/p>\n\n\n\n
1. At\u00e9 28 de junho de 2024, e, da\u00ed em diante, de cinco em cinco anos, a Comiss\u00e3o avalia o impacto, a efic\u00e1cia e a efici\u00eancia da ENISA e dos seus m\u00e9todos de trabalho, a eventual necessidade de alterar o mandato da ENISA e as consequ\u00eancias financeiras dessa altera\u00e7\u00e3o. A avalia\u00e7\u00e3o tem em conta todas as informa\u00e7\u00f5es comunicadas \u00e0 ENISA em resposta \u00e0s suas atividades. Se entender que manter a ENISA, tendo em conta os seus objetivos, mandato e atribui\u00e7\u00f5es, deixou de se justificar, a Comiss\u00e3o pode propor que o presente regulamento seja alterado no que diz respeito \u00e0s disposi\u00e7\u00f5es relativas \u00e0 ENISA.<\/p>\n\n\n\n
2. A avalia\u00e7\u00e3o visa igualmente o impacto, a efic\u00e1cia e a efici\u00eancia das disposi\u00e7\u00f5es do t\u00edtulo III do presente regulamento, no que respeita aos objetivos de assegurar um n\u00edvel adequado de ciberseguran\u00e7a dos produtos, servi\u00e7os e processos de TIC na Uni\u00e3o e de melhorar o funcionamento do mercado interno.<\/p>\n\n\n\n
3. A avalia\u00e7\u00e3o deve verificar se s\u00e3o necess\u00e1rios requisitos de ciberseguran\u00e7a essenciais para o acesso ao mercado interno, a fim de impedir que produtos, servi\u00e7os e processos de TIC que n\u00e3o cumpram os requisitos b\u00e1sicos de ciberseguran\u00e7a entrem no mercado da Uni\u00e3o.<\/p>\n\n\n\n
4. At\u00e9 28 de junho de 2024 e, da\u00ed em diante, de cinco em anos, a Comiss\u00e3o envia o relat\u00f3rio da avalia\u00e7\u00e3o, acompanhado das suas conclus\u00f5es, ao Parlamento Europeu, ao Conselho e ao conselho de administra\u00e7\u00e3o. As conclus\u00f5es desse relat\u00f3rio s\u00e3o publicadas.<\/p>\n\n\n\n
Artigo 68.o<\/p>\n\n\n\n
Revoga\u00e7\u00e3o e sucess\u00e3o<\/p>\n\n\n\n
1. O Regulamento (UE) n.o 526\/2013 \u00e9 revogado com efeitos a partir de 27 de junho de 2019.<\/p>\n\n\n\n
2. As remiss\u00f5es para o Regulamento (UE) n.o 526\/2013 e as refer\u00eancias para a ENISA, tal como criada por esse regulamento, entendem-se como remiss\u00f5es para o presente regulamento e como refer\u00eancias para a ENISA, tal como criada pelo presente regulamento.<\/p>\n\n\n\n
3. A ENISA tal como criada pelo presente regulamento sucede \u00e0 ENISA tal como criada pelo Regulamento (UE) n.o 526\/2013 no que respeita a todos os direitos de propriedade, acordos, obriga\u00e7\u00f5es legais, contratos de trabalho, compromissos financeiros e responsabilidades. As decis\u00f5es do conselho de administra\u00e7\u00e3o e da comiss\u00e3o executiva adotadas nos termos do Regulamento (UE) n.o 526\/2013 permanecem v\u00e1lidas, desde que cumpram com o presente regulamento.<\/p>\n\n\n\n
4. A ENISA \u00e9 criada por um per\u00edodo indeterminado a partir de 27 de junho de 2019.<\/p>\n\n\n\n
5. O diretor executivo nomeado ao abrigo do artigo 24.o, n.o 4, do Regulamento (UE) n.o 526\/2013 permanece em fun\u00e7\u00f5es e exerce as suas atribui\u00e7\u00f5es de diretor executivo da ENISA, nos termos do artigo 20.o do presente regulamento, durante o per\u00edodo remanescente do mandato do diretor executivo. As demais condi\u00e7\u00f5es do seu contrato permanecem inalteradas.<\/p>\n\n\n\n
6. Os membros do conselho de administra\u00e7\u00e3o e respetivos suplentes nomeados ao abrigo do artigo 6.o do Regulamento (UE) n.o 526\/2013 permanecem em fun\u00e7\u00f5es e exercem as fun\u00e7\u00f5es do conselho de administra\u00e7\u00e3o, nos termos do artigo 15.o do presente regulamento, durante o per\u00edodo remanescente do seu mandato.<\/p>\n\n\n\n
Artigo 69.o<\/p>\n\n\n\n
Entrada em vigor<\/p>\n\n\n\n
1. O presente regulamento entra em vigor no vig\u00e9simo dia seguinte ao da sua publica\u00e7\u00e3o no Jornal Oficial da Uni\u00e3o Europeia.<\/p>\n\n\n\n
2. Os artigos 58.o, 60.o, 61.o, 63.o, 64.o e 65.o s\u00e3o aplic\u00e1veis a partir de 28 de junho de 2021.<\/p>\n\n\n\n
O presente regulamento \u00e9 obrigat\u00f3rio em todos os seus elementos e diretamente aplic\u00e1vel em todos os Estados-Membros.<\/p>\n\n\n\n
Feito em Estrasburgo, em 17 de abril de 2019.<\/p>\n\n\n\n
Pelo Parlamento Europeu<\/p>\n\n\n\n
O Presidente<\/p>\n\n\n\n
A. TAJANI<\/p>\n\n\n\n
Pelo Conselho<\/p>\n\n\n\n
O Presidente<\/p>\n\n\n\n
G. CIAMBA<\/p>\n\n\n\n
ANEXO<\/p>\n\n\n\n
REQUISITOS A CUMPRIR PELOS ORGANISMOS DE AVALIA\u00c7\u00c3O DA CONFORMIDADE<\/p>\n\n\n\n
Os organismos de avalia\u00e7\u00e3o da conformidade que pretendam ser acreditados devem cumprir os seguintes requisitos:<\/p>\n\n\n\n
1. Os organismos de avalia\u00e7\u00e3o da conformidade devem estar constitu\u00eddos nos termos do direito nacional e ser dotados de personalidade jur\u00eddica.<\/p>\n\n\n\n
2. Os organismos de avalia\u00e7\u00e3o da conformidade devem ser organismos terceiros independentes da organiza\u00e7\u00e3o ou dos produtos, servi\u00e7os ou processos de TIC que avaliam.<\/p>\n\n\n\n
3. Os organismos que perten\u00e7am a organiza\u00e7\u00f5es empresariais ou associa\u00e7\u00f5es profissionais que representem empresas envolvidas nas atividades de conce\u00e7\u00e3o, fabrico, fornecimento, montagem, utiliza\u00e7\u00e3o ou manuten\u00e7\u00e3o de produtos, servi\u00e7os ou processos de TIC por si avaliados podem ser considerados organismos de avalia\u00e7\u00e3o da conformidade, desde que demonstrem a respetiva independ\u00eancia e a inexist\u00eancia de conflitos de interesses.<\/p>\n\n\n\n
4. Os organismos de avalia\u00e7\u00e3o da conformidade, os seus quadros superiores e o pessoal encarregado de executar as tarefas de avalia\u00e7\u00e3o da conformidade n\u00e3o podem ser o projetista, o fabricante, o fornecedor, o instalador, o comprador, o propriet\u00e1rio, o utilizador ou o respons\u00e1vel pela manuten\u00e7\u00e3o dos produtos, servi\u00e7os ou processos de TIC a avaliar, ou o representante autorizado de uma dessas partes. Esta proibi\u00e7\u00e3o n\u00e3o obsta \u00e0 utiliza\u00e7\u00e3o de produtos de TIC avaliados que sejam necess\u00e1rios \u00e0s atividades do organismo de avalia\u00e7\u00e3o da conformidade, nem \u00e0 utiliza\u00e7\u00e3o desses produtos de TIC para fins pessoais.<\/p>\n\n\n\n
5. Os organismos de avalia\u00e7\u00e3o da conformidade, os seus quadros superiores e o pessoal encarregado de executar as tarefas de avalia\u00e7\u00e3o da conformidade n\u00e3o podem intervir diretamente na conce\u00e7\u00e3o, no fabrico ou na constru\u00e7\u00e3o, na comercializa\u00e7\u00e3o, na instala\u00e7\u00e3o, na utiliza\u00e7\u00e3o nem na manuten\u00e7\u00e3o dos produtos, servi\u00e7os ou processos de TIC que s\u00e3o objeto da avalia\u00e7\u00e3o. Os organismos de avalia\u00e7\u00e3o da conformidade, os seus quadros superiores e o pessoal encarregado de executar as tarefas de avalia\u00e7\u00e3o da conformidade n\u00e3o podem exercer qualquer atividade suscet\u00edvel de comprometer a independ\u00eancia do seu julgamento ou a sua integridade no exerc\u00edcio das atividades de avalia\u00e7\u00e3o da conformidade. Essa proibi\u00e7\u00e3o \u00e9 aplic\u00e1vel, nomeadamente, aos servi\u00e7os de consultoria.<\/p>\n\n\n\n
6. Se os organismos de avalia\u00e7\u00e3o da conformidade forem propriedade de entidades ou institui\u00e7\u00f5es p\u00fablicas, ou geridos por tais entidades ou institui\u00e7\u00f5es, devem ser garantidas e documentadas a independ\u00eancia e a inexist\u00eancia de conflitos de interesses entre a autoridade nacional de certifica\u00e7\u00e3o de ciberseguran\u00e7a e o organismo de avalia\u00e7\u00e3o da conformidade.<\/p>\n\n\n\n
7. Os organismos de avalia\u00e7\u00e3o da conformidade devem assegurar que as atividades das suas filiais ou subcontratantes n\u00e3o afetem a confidencialidade, a objetividade ou a imparcialidade das respetivas atividades de avalia\u00e7\u00e3o da conformidade.<\/p>\n\n\n\n
8. Os organismos de avalia\u00e7\u00e3o da conformidade e o seu pessoal devem executar as atividades de avalia\u00e7\u00e3o da conformidade com a maior integridade profissional e a maior compet\u00eancia t\u00e9cnica necess\u00e1ria no dom\u00ednio espec\u00edfico em causa, e n\u00e3o podem estar sujeitos a quaisquer press\u00f5es ou incentivos, incluindo de natureza financeira, suscet\u00edveis de influenciar o seu julgamento ou os resultados das suas atividades de avalia\u00e7\u00e3o da conformidade, em especial por parte de pessoas ou grupos de pessoas interessadas nos resultados dessas atividades.<\/p>\n\n\n\n
9. Os organismos de avalia\u00e7\u00e3o da conformidade devem ter capacidade para executar todas as tarefas de avalia\u00e7\u00e3o de conformidade que lhes sejam atribu\u00eddas ao abrigo do presente regulamento, quer essas tarefas sejam executadas pelos pr\u00f3prios organismos de avalia\u00e7\u00e3o da conformidade ou em seu nome e sob a sua responsabilidade. A subcontrata\u00e7\u00e3o ou consulta a pessoal externo deve ser devidamente documentada, n\u00e3o pode envolver intermedi\u00e1rios e deve estar subordinada a um acordo escrito que abranja, entre outros aspetos, a confidencialidade e os conflitos de interesses. O organismo de avalia\u00e7\u00e3o da conformidade em causa assume a responsabilidade plena pelas tarefas executadas.<\/p>\n\n\n\n
10. Para cada procedimento de avalia\u00e7\u00e3o da conformidade e para cada tipo, categoria ou subcategoria de produtos, servi\u00e7os ou processos de TIC, os organismos de avalia\u00e7\u00e3o da conformidade devem sempre dispor de:<\/p>\n\n\n\n
a) Pessoal com conhecimentos t\u00e9cnicos e experi\u00eancia suficiente e adequada para executar as tarefas de avalia\u00e7\u00e3o da conformidade;<\/p>\n\n\n\n
b) Descri\u00e7\u00f5es dos procedimentos pelos quais deve ser avaliada a conformidade a fim de assegurar a sua transpar\u00eancia e a sua reprodutibilidade. Devem dispor de uma pol\u00edtica e de procedimentos adequados que distingam as tarefas que executam na qualidade de organismos notificados nos termos do artigo 61.o das suas outras atividades;<\/p>\n\n\n\n
c) Procedimentos que permitam o exerc\u00edcio das suas atividades, tendo devidamente em conta a dimens\u00e3o, o setor e a estrutura das empresas, o grau de complexidade da tecnologia do produto, servi\u00e7o ou processo de TIC em causa e a natureza do processo de produ\u00e7\u00e3o em massa ou em s\u00e9rie.<\/p>\n\n\n\n
11. Os organismos de avalia\u00e7\u00e3o da conformidade devem dispor dos meios necess\u00e1rios para a boa execu\u00e7\u00e3o das tarefas t\u00e9cnicas e administrativas relacionadas com as atividades de avalia\u00e7\u00e3o da conformidade e ter acesso a todos os equipamentos e instala\u00e7\u00f5es necess\u00e1rios.<\/p>\n\n\n\n
12. O pessoal respons\u00e1vel por executar as atividades de avalia\u00e7\u00e3o da conformidade deve dispor de:<\/p>\n\n\n\n
a) Uma s\u00f3lida forma\u00e7\u00e3o t\u00e9cnica e profissional, que abranja todas as atividades de avalia\u00e7\u00e3o da conformidade;<\/p>\n\n\n\n
b) Um conhecimento satisfat\u00f3rio dos requisitos das avalia\u00e7\u00f5es de conformidade que efetua e a autoridade necess\u00e1ria para as efetuar;<\/p>\n\n\n\n
c) Um conhecimento e compreens\u00e3o adequados dos requisitos e das normas de ensaio aplic\u00e1veis;<\/p>\n\n\n\n
d) Aptid\u00e3o necess\u00e1ria para redigir os certificados, registos e relat\u00f3rios comprovativos da realiza\u00e7\u00e3o das avalia\u00e7\u00f5es de conformidade.<\/p>\n\n\n\n
13. Deve ser garantida a imparcialidade dos organismos de avalia\u00e7\u00e3o da conformidade, dos seus quadros superiores, das pessoas respons\u00e1veis por executar as atividades de avalia\u00e7\u00e3o da conformidade e dos subcontratantes.<\/p>\n\n\n\n
14. A remunera\u00e7\u00e3o dos quadros superiores e das pessoas respons\u00e1veis por executar as atividades de avalia\u00e7\u00e3o da conformidade n\u00e3o pode depender do n\u00famero de avalia\u00e7\u00f5es de conformidade realizadas nem do seu resultado.<\/p>\n\n\n\n
15. Os organismos de avalia\u00e7\u00e3o da conformidade devem subscrever um seguro de responsabilidade civil, salvo se essa responsabilidade for assumida pelo Estado-Membro nos termos do direito nacional, ou se o pr\u00f3prio Estado-Membro for diretamente respons\u00e1vel pelas avalia\u00e7\u00f5es da conformidade.<\/p>\n\n\n\n
16. Os organismos de avalia\u00e7\u00e3o da conformidade e o seu pessoal, os seus comit\u00e9s, as suas filiais, os seus subcontratantes, e qualquer outro organismo associado ou o pessoal externo de organismos de avalia\u00e7\u00e3o da conformidade, devem manter a confidencialidade e respeitar o sigilo profissional no que se refere a todas as informa\u00e7\u00f5es obtidas no cumprimento das suas tarefas de avalia\u00e7\u00e3o da conformidade no \u00e2mbito do presente regulamento ou de qualquer disposi\u00e7\u00e3o do direito nacional que lhe d\u00ea aplica\u00e7\u00e3o, salvo nos casos em que a divulga\u00e7\u00e3o seja exigida pelo direito da Uni\u00e3o ou do Estado-Membro ao qual essas pessoas est\u00e3o sujeitas, e exceto em rela\u00e7\u00e3o \u00e0s autoridades competentes do Estado-Membro em que exercem as suas atividades. Os direitos de propriedade intelectual devem ser protegidos. Os organismos de avalia\u00e7\u00e3o da conformidade devem dispor de procedimentos documentados referentes aos requisitos do presente ponto.<\/p>\n\n\n\n
17. Com exce\u00e7\u00e3o do ponto 16, os requisitos estabelecidos no presente anexo em nada obstam ao interc\u00e2mbio de informa\u00e7\u00f5es t\u00e9cnicas e de orienta\u00e7\u00f5es regulamentares entre organismos de avalia\u00e7\u00e3o da conformidade e pessoas que apresentem, ou ponderem apresentar, pedidos de certifica\u00e7\u00e3o.<\/p>\n\n\n\n
18. Os organismos de avalia\u00e7\u00e3o da conformidade devem funcionar de acordo com um conjunto de condi\u00e7\u00f5es coerentes, justas e razo\u00e1veis, tendo em conta os interesses das PME no que respeita \u00e0s taxas.<\/p>\n\n\n\n
19. Os organismos de avalia\u00e7\u00e3o da conformidade devem cumprir os requisitos da norma aplic\u00e1vel harmonizada, nos termos do Regulamento (CE) n.o 765\/2008 para a acredita\u00e7\u00e3o de organismos de avalia\u00e7\u00e3o da conformidade que certifiquem produtos, servi\u00e7os ou processos de TIC.<\/p>\n\n\n\n
20. Os organismos de avalia\u00e7\u00e3o da conformidade devem assegurar que os laborat\u00f3rios de ensaio utilizados para fins de avalia\u00e7\u00e3o da conformidade cumpram os requisitos da norma aplic\u00e1vel harmonizada, nos termos do Regulamento (CE) n.o 765\/2008 para a acredita\u00e7\u00e3o de laborat\u00f3rios que realizem ensaios.<\/p>\n\n\n\n
(1) JO C 227 de 28.6.2018, p. 86.<\/p>\n\n\n\n
(2) JO C 176 de 23.5.2018, p. 29.<\/p>\n\n\n\n
(3) Posi\u00e7\u00e3o do Parlamento Europeu de 12 de mar\u00e7o de 2019 (ainda n\u00e3o publicada no Jornal Oficial) e decis\u00e3o do Conselho de 9 de abril de 2019.<\/p>\n\n\n\n
(4) Recomenda\u00e7\u00e3o da Comiss\u00e3o, de 6 de maio de 2003, relativa \u00e0 defini\u00e7\u00e3o de micro, pequenas e m\u00e9dias empresas (JO L 124 de 20.5.2003, p. 36).<\/p>\n\n\n\n
5) Regulamento (UE) n.o 526\/2013 do Parlamento Europeu e do Conselho, de 21 de maio de 2013, relativo \u00e0 Ag\u00eancia da Uni\u00e3o Europeia para a Seguran\u00e7a das Redes e da Informa\u00e7\u00e3o (ENISA) e que revoga o Regulamento (CE) n.o 460\/2004 (JO L 165 de 18.6.2013, p. 41).<\/p>\n\n\n\n
(6) Regulamento (CE) n.o 460\/2004 do Parlamento Europeu e do Conselho, de 10 de mar\u00e7o de 2004, que cria a Ag\u00eancia Europeia para a Seguran\u00e7a das Redes e da Informa\u00e7\u00e3o (JO L 77 de 13.3.2004, p. 1).<\/p>\n\n\n\n
(7) Regulamento (CE) n.o 1007\/2008 do Parlamento Europeu e do Conselho, de 24 de setembro de 2008, que altera o Regulamento<\/p>\n\n\n\n
(CE) n.o 460\/2004, que cria a Ag\u00eancia Europeia para a Seguran\u00e7a das Redes e da Informa\u00e7\u00e3o, no que respeita \u00e0 dura\u00e7\u00e3o da ag\u00eancia (JO L 293 de 31.10.2008, p. 1).<\/p>\n\n\n\n
(8) Regulamento (UE) n.o 580\/2011 do Parlamento Europeu e do Conselho, de 8 de junho de 2011, que altera o Regulamento (CE) n.o 460\/2004, que cria a Ag\u00eancia Europeia para a Seguran\u00e7a das Redes e da Informa\u00e7\u00e3o, no que respeita \u00e0 dura\u00e7\u00e3o da ag\u00eancia (JO L 165 de 24.6.2011, p. 3).<\/p>\n\n\n\n
(9) Diretiva (UE) 2016\/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016 relativa a medidas destinadas a garantir um elevado n\u00edvel comum de seguran\u00e7a das redes e da informa\u00e7\u00e3o em toda a Uni\u00e3o (JO L 194 de 19.7.2016, p. 1).<\/p>\n\n\n\n
(10) Regulamento (UE) 2016\/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo \u00e0 prote\u00e7\u00e3o das pessoas<\/p>\n\n\n\n
singulares no que diz respeito ao tratamento de dados pessoais e \u00e0 livre circula\u00e7\u00e3o desses dados e que revoga a Diretiva 95\/46\/CE(Regulamento Geral sobre a Prote\u00e7\u00e3o de Dados) (JO L 119 de 4.5.2016, p. 1).<\/p>\n\n\n\n
(11) Diretiva 2002\/58\/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e \u00e0 prote\u00e7\u00e3o da privacidade no setor das comunica\u00e7\u00f5es eletr\u00f3nicas (Diretiva relativa \u00e0 privacidade e \u00e0s comunica\u00e7\u00f5es eletr\u00f3nicas) (JO L 201 de 31.7.2002, p. 37).<\/p>\n\n\n\n
(12) Diretiva (UE) 2018\/1972 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2018, que estabelece o C\u00f3digo Europeu das Comunica\u00e7\u00f5es Eletr\u00f3nicas (JO L 321 de 17.12.2018, p. 36).<\/p>\n\n\n\n
(13) Decis\u00e3o 2004\/97\/CE, Euratom, tomada de comum acordo pelos Representantes dos Estados-Membros, reunidos a n\u00edvel de Chefe de Estado ou de Governo, de 13 de dezembro de 2003, sobre a localiza\u00e7\u00e3o das sedes de certos servi\u00e7os e ag\u00eancias de Uni\u00e3o Europeia (JO L 29 de 3.2.2004, p. 15).<\/p>\n\n\n\n
(14) JO C 12 de 13.1.2018, p. 1.<\/p>\n\n\n\n
(15) Recomenda\u00e7\u00e3o (UE) 2017\/1584 da Comiss\u00e3o, de 13 de setembro de 2017, sobre a resposta coordenada a incidentes e crises deciberseguran\u00e7a em grande escala (JO L 239 de 19.9.2017, p. 36).<\/p>\n\n\n\n
(16) Regulamento (CE) n.o 765\/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acredita\u00e7\u00e3o e fiscaliza\u00e7\u00e3o do mercado relativos \u00e0 comercializa\u00e7\u00e3o de produtos e que revoga o Regulamento (CEE) n.o 339\/93 (JO L 218 de 13.8.2008, p. 30).<\/p>\n\n\n\n
(17) Regulamento (CE) n.o 1049\/2001 do Parlamento Europeu e do Conselho, de 30 de maio de 2001, relativo ao acesso do p\u00fablico aos documentos do Parlamento Europeu, do Conselho e da Comiss\u00e3o (JO L 145 de 31.5.2001, p. 43).<\/p>\n\n\n\n
(18) Regulamento (UE) 2018\/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo \u00e0 prote\u00e7\u00e3o das pessoas singulares no que diz respeito ao tratamento dos dados pessoais por parte das institui\u00e7\u00f5es, \u00f3rg\u00e3os, organismos e ag\u00eancias da Uni\u00e3o e \u00e0 livre circula\u00e7\u00e3o desses dados e que revoga o Regulamento (CE) n.o 45\/2001 e a Decis\u00e3o n.o 1247\/2002\/CE (JO L 295 de 21.11.2018, p. 39).<\/p>\n\n\n\n
(19) Regulamento (UE) n.o 1025\/2012 do Parlamento Europeu e do Conselho, de 25 de outubro de 2012, relativo \u00e0 normaliza\u00e7\u00e3o europeia, que altera as Diretivas 89\/686\/CEE e 93\/15\/CEE do Conselho e as Diretivas 94\/9\/CE, 94\/25\/CE, 95\/16\/CE, 97\/23\/CE, 98\/34\/CE, 2004\/22\/CE, 2007\/23\/CE, 2009\/23\/CE e 2009\/105\/CE do Parlamento Europeu e do Conselho e revoga a Decis\u00e3o 87\/95\/CEE do Conselho e a Decis\u00e3o n.o 1673\/2006\/CE do Parlamento Europeu e do Conselho (JO L 316 de 14.11.2012, p. 12).<\/p>\n\n\n\n
(20) Diretiva (UE) 2015\/1535 do Parlamento Europeu e do Conselho, de 9 de setembro de 2015, relativa a um procedimento de informa\u00e7\u00e3o no dom\u00ednio das regulamenta\u00e7\u00f5es t\u00e9cnicas e das regras relativas aos servi\u00e7os da sociedade da informa\u00e7\u00e3o (JO L 241 de 17.9.2015, p. 1).<\/p>\n\n\n\n
(21) Diretiva 2014\/24\/UE do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, relativa aos contratos p\u00fablicos e que revoga a Diretiva 2004\/18\/CE (JO L 94 de 28.3.2014, p. 65).<\/p>\n\n\n\n
(22) Regulamento (UE) n.o 182\/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princ\u00edpios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exerc\u00edcio das compet\u00eancias de execu\u00e7\u00e3o pela Comiss\u00e3o (JO L 55 de 28.2.2011, p. 13).<\/p>\n\n\n\n
(23) Regulamento (UE) n.o 910\/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo \u00e0 identifica\u00e7\u00e3o eletr\u00f3nica e aos servi\u00e7os de confian\u00e7a para as transa\u00e7\u00f5es eletr\u00f3nicas no mercado interno e que revoga a Diretiva 1999\/93\/CE (JO L 257 de 28.8.2014, p. 73).<\/p>\n\n\n\n
(24) JO L 56 de 4.3.1968, p. 1.<\/p>\n\n\n\n
(25) Regulamento Delegado (UE) n.o 1271\/2013 da Comiss\u00e3o, de 30 de setembro de 2013, que institui o regulamento financeiro quadro dos organismos referidos no artigo 208.o do Regulamento (UE, Euratom) n.o 966\/2012 do Parlamento Europeu e do Conselho<\/p>\n\n\n\n
(26) Decis\u00e3o (UE, Euratom) 2015\/443 da Comiss\u00e3o, de 13 de mar\u00e7o de 2015, relativa \u00e0 seguran\u00e7a na Comiss\u00e3o (JO L 72 de 17.3.2015, p. 41).<\/p>\n\n\n\n
(27) Decis\u00e3o (UE, Euratom) 2015\/444 da Comiss\u00e3o, de 13 de mar\u00e7o de 2015, relativa \u00e0s regras de seguran\u00e7a aplic\u00e1veis \u00e0 prote\u00e7\u00e3o das informa\u00e7\u00f5es classificadas da UE (JO L 72 de 17.3.2015, p. 53).<\/p>\n\n\n\n
(28) Regulamento (UE, Euratom) 2018\/1046 do Parlamento Europeu e do Conselho, de 18 de julho de 2018, relativo \u00e0s disposi\u00e7\u00f5es financeiras aplic\u00e1veis ao or\u00e7amento geral da Uni\u00e3o, que altera os Regulamentos (UE) n.o 1296\/2013, (UE) n.o 1301\/2013, (UE) n.o 1303\/2013, (UE) n.o 1304\/2013, (UE) n.o 1309\/2013, (UE) n.o 1316\/2013, (UE) n.o 223\/2014 e (UE) n.o 283\/2014, e a Decis\u00e3o n.o 541\/2014\/UE, e revoga o Regulamento (UE, Euratom) n.o 966\/2012 (JO L 193 de 30.7.2018, p. 1).<\/p>\n\n\n\n
(29) Regulamento (UE, Euratom) n.o 883\/2013 do Parlamento Europeu e do Conselho, de 11 de setembro de 2013, relativo aos inqu\u00e9ritos efetuados pelo Organismo Europeu de Luta Antifraude (OLAF) e que revoga o Regulamento (CE) n.o 1073\/1999 do Parlamento Europeu e do Conselho e o Regulamento (Euratom) n.o 1074\/1999 do Conselho (JO L 248 de 18.9.2013, p. 1).<\/p>\n\n\n\n
(30) JO L 136 de 31.5.1999, p. 15.<\/p>\n\n\n\n
(31) Regulamento (Euratom, CE) n.o 2185\/96 do Conselho, de 11 de novembro de 1996, relativo \u00e0s inspe\u00e7\u00f5es e verifica\u00e7\u00f5es no local efetuadas pela Comiss\u00e3o para proteger os interesses financeiros das Comunidades Europeias contra a fraude e outras irregularidades (JO L 292 de 15.11.1996, p. 2).<\/p>\n\n\n\n
(32) Regulamento n.o 1 do Conselho que estabelece o regime lingu\u00edstico da Comunidade Econ\u00f3mica Europeia (JO 17 de 6.10.1958, p. 385).<\/p>\n","protected":false},"excerpt":{"rendered":"
Regulamento (UE) 2019\/881 , de 17 de abril – Ag\u00eancia da Uni\u00e3o Europeia para a Ciberseguran\u00e7a (ENISA), certifica\u00e7\u00e3o da ciberseguran\u00e7a das TIC, e revoga\u00e7\u00e3o do Regulamento Ciberseguran\u00e7a Relativo \u00e0 ENISA (Ag\u00eancia da Uni\u00e3o Europeia para a Ciberseguran\u00e7a) e \u00e0 certifica\u00e7\u00e3o da ciberseguran\u00e7a das tecnologias da informa\u00e7\u00e3o e comunica\u00e7\u00e3o e que revoga o Regulamento (UE) n.o […]<\/p>\n","protected":false},"author":1,"featured_media":56,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"off","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[6,3],"tags":[],"_links":{"self":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/79"}],"collection":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/comments?post=79"}],"version-history":[{"count":1,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/79\/revisions"}],"predecessor-version":[{"id":80,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/79\/revisions\/80"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media\/56"}],"wp:attachment":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media?parent=79"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/categories?post=79"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/tags?post=79"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}