Para fortalecer a solidariedade e as capacidades da UE para detectar, preparar e responder a ameaças e incidentes de segurança cibernética, o Conselho adotou nesta segunda-feira, 2, duas novas leis que fazem parte do "pacote" legislativo de segurança cibernética.
A nova lei estabelece capacidades da UE para tornar a Europa mais resiliente diante de ameaças cibernéticas, ao mesmo tempo em que fortalece os mecanismos de cooperação. Ela estabelece, entre outros, um "sistema de alerta de segurança cibernética", uma infraestrutura paneuropeia composta por centros cibernéticos nacionais e transfronteiriços em toda a UE.
São entidades responsáveis ??por compartilhar informações e incumbidas de detectar e agir sobre ameaças cibernéticas. Os centros cibernéticos usarão tecnologia de ponta, como inteligência artificial (IA) e análise avançada de dados, para detectar e compartilhar alertas oportunos sobre ameaças cibernéticas e incidentes entre fronteiras. Eles fortalecerão a estrutura europeia existente e, por sua vez, as autoridades e entidades relevantes poderão responder de forma mais eficiente e eficaz a incidentes de segurança cibernética.
O novo regulamento também prevê a criação de um mecanismo de emergência de segurança cibernética para aumentar a preparação e aprimorar as capacidades de resposta a incidentes na UE. Ele dará suporte a:
* ações de preparação, incluindo testar entidades em setores altamente críticos (saúde, transportes, energia, etc.) para potenciais vulnerabilidades, com base em cenários de risco e metodologias comuns
* uma nova reserva de cibersegurança da UE constituída por serviços de resposta a incidentes do setor privado, prontos a intervir a pedido de um Estado-Membro ou de instituições, organismos e agências da UE, bem como de países terceiros associados, em caso de incidente de cibersegurança significativo ou em grande escala
Assistência técnica mútua
Por fim, a nova lei estabelece um mecanismo de revisão de incidentes para avaliar, entre outros, a eficácia das ações do mecanismo de emergência cibernética e a utilização da reserva de segurança cibernética, bem como a contribuição desta regulamentação para o fortalecimento da posição competitiva dos setores da indústria e dos serviços.
A alteração específica à lei de segurança cibernética de 2019
Esta alteração direcionada visa aumentar a resiliência cibernética da UE ao permitir a futura adoção de esquemas de certificação europeus para os chamados "serviços de segurança gerenciados". A nova lei reconhece a crescente importância dos serviços de segurança gerenciados na prevenção, detecção, resposta e recuperação de incidentes de segurança cibernética. Esses serviços podem consistir, por exemplo, em tratamento de incidentes, testes de penetração, auditorias de segurança e consultoria relacionada ao suporte técnico.
Aguardando os resultados da avaliação do CSA, esta emenda direcionada permitirá o estabelecimento de esquemas de certificação europeus para esses serviços de segurança gerenciados. Ela ajudará a aumentar sua qualidade e comparabilidade, promover o surgimento de provedores de serviços de segurança cibernética confiáveis ??e evitar a fragmentação do mercado interno, dado que alguns estados-membros já começaram a adotar esquemas nacionais de certificação para serviços de segurança gerenciados.
Próximos passos
Após a assinatura pelos presidentes do Conselho e do Parlamento Europeu, ambos os atos legislativos serão publicados no jornal oficial da UE nas próximas semanas e entrarão em vigor 20 dias após essa publicação.
Fundo
Em 18 de abril de 2023, a Comissão adotou a proposta de regulamento que estabelece medidas para fortalecer a solidariedade e as capacidades na UE para detectar, preparar e responder a ameaças e incidentes de segurança cibernética, o chamado "Cyber ??solidarity act", juntamente com uma proposta de alteração direcionada ao cybersecurity act (CSA). O CSA, adotado em 2019, estabeleceu a primeira estrutura de certificação de segurança cibernética para todos os estados-membros.
A primeira proposta da Comissão introduz um "escudo cibernético europeu", composto por centros de operações (SOCs), reunidos em várias plataformas SOC multinacionais financiadas pelo programa Europa Digital. A segunda proposta visa uma alteração específica do âmbito do CSA, permitindo à Comissão adotar atos de execução sobre regimes europeus de certificação de cibersegurança para serviços de segurança geridos, além de produtos de informação e tecnologia (TIC), serviços de TIC e processos de TIC, que são abrangidos pelo CSA atual. Em 6 de março de 2024, os colegisladores chegaram a um acordo provisório sobre ambas as propostas, alterando as noções de "escudo cibernético europeu" e "SOCs" em comparação com a proposta inicial da Comissão.
