RECOMENDAÇÕES. Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 292. o,

Transcrição

1 L 239/36 RECOMENDAÇÕES RECOMENDAÇÃO (UE) 2017/1584 DA COMISSÃO de 13 de setembro de 2017 sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala A COMISSÃO EUROPEIA, Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 292. o, Considerando o seguinte: (1) A utilização e a dependência de tecnologias da informação e comunicação tornaram-se características fundamentais de todos os setores de atividade económica, uma vez que as nossas empresas e os nossos cidadãos nunca estiveram tão interligados e dependentes de outros setores e países. Um incidente de cibersegurança suscetível de afetar organizações de mais do que um Estado-Membro, ou mesmo de toda a União, e de contribuir para perturbações graves no mercado interno e, de um modo mais geral, nas redes e sistemas de informação dos quais dependem a economia, a democracia e a sociedade da União, é um cenário para o qual os Estados- -Membros e as instituições da UE têm de estar devidamente preparados. (2) Pode considerar-se que um incidente de cibersegurança é uma crise a nível da União quando as perturbações dele decorrentes são demasiado extensas para que um Estado-Membro afetado seja capaz de as resolver sozinho, ou quando o incidente afeta dois ou mais Estados-Membros, causando um impacto de tão grande alcance, com repercussões a nível técnico e político, que exija uma coordenação e uma resposta a nível político da União. (3) Os incidentes de cibersegurança podem desencadear uma crise de maior dimensão, afetando setores de atividade além das redes e sistemas de informação e das redes de comunicação; qualquer resposta adequada deve assentar em atividades de atenuação a nível cibernético e a outros níveis. (4) Os incidentes de cibersegurança são imprevisíveis, ocorrem e evoluem, frequentemente, num curto espaço de tempo, pelo que as entidades afetadas e os responsáveis pela reação e atenuação dos efeitos do incidente devem coordenar rapidamente as suas ações de resposta. Além disso, muitas vezes os incidentes de cibersegurança não se confinam a uma área geográfica específica, podendo ocorrer em simultâneo ou propagar-se imediatamente por vários países. (5) Uma resposta efetiva a incidentes e crises de cibersegurança em grande escala a nível da UE exige a cooperação rápida e eficaz entre todas as partes interessadas pertinentes e depende do estado de preparação e das capacidades de cada Estado-Membro, bem como de uma ação conjunta coordenada, apoiada por recursos da União. Por conseguinte, a prontidão e a eficácia da resposta a incidentes dependem da existência de procedimentos e mecanismos de cooperação previamente estabelecidos e, tanto quanto possível, devidamente ensaiados, que definam claramente as competências e as responsabilidades dos principais intervenientes a nível nacional e da União. (6) Nas suas conclusões ( 1 ) sobre a proteção das infraestruturas críticas da informação, de 27 de maio de 2011, o Conselho convida os Estados-Membros da União Europeia a que «reforcem a cooperação entre os Estados- -Membros e contribuam, com base nas experiências e resultados obtidos a nível nacional em matéria de gestão de crises e em colaboração com a ENISA, para o desenvolvimento de mecanismos de cooperação sobre incidentes a testar no âmbito do próximo exercício de cibersegurança europeia (CyberEuropa) em 2012». (7) A comunicação de 2016 intitulada «Reforçar o sistema de ciber-resiliência da Europa e promover uma indústria de cibersegurança competitiva e inovadora» ( 2 ) incentiva os Estados-Membros a tirarem o máximo partido dos mecanismos de cooperação previstos na Diretiva SRI ( 3 ) e a reforçarem a cooperação transfronteiriça relacionada ( 1 ) Conclusões do Conselho sobre a proteção das infraestruturas críticas da informação «Realizações e próximas etapas: para uma cibersegurança global», documento 10299/11, Bruxelas, de 27 de maio de ( 2 ) COM(2016) 410 final, de 5 de julho de ( 3 ) Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (JO L 194 de , p. 1).

2 L 239/37 com a preparação para ciberincidentes em grande escala. Além disso, acrescenta que uma abordagem coordenada para a cooperação em situações de crise entre os diversos elementos do ecossistema da cibersegurança, a definir num «plano de ação», deverá melhorar o estado de preparação, e que esse plano deverá igualmente assegurar a criação de sinergias e a coerência com os atuais mecanismos de gestão de crises. (8) Nas conclusões do Conselho ( 1 ) sobre a comunicação acima referida, os Estados-Membros instaram a Comissão a apresentar esse plano de ação para apreciação pelos órgãos competentes e por outras partes interessadas pertinentes. No entanto, a Diretiva SRI não prevê um quadro de cooperação da União em caso de incidentes e crises de cibersegurança em grande escala. (9) A Comissão ouviu os Estados-Membros em dois seminários de consulta distintos realizados em Bruxelas, em 5 de abril e 4 de julho de 2017, com a presença de representantes dos Estados-Membros oriundos das equipas de resposta a incidentes de segurança informática (CSIRT), do grupo de cooperação criado pela Diretiva SRI e do Grupo Horizontal das Questões do Ciberespaço do Conselho, bem como de representantes do Serviço Europeu para a Ação Externa (SEAE), da ENISA, do Centro Europeu da Cibercriminalidade (EC3) da Europol e do Secretariado-Geral do Conselho (SGC). (10) O presente plano de ação para uma resposta coordenada a incidentes e crises de cibersegurança em grande escala a nível da União, que consta do anexo da presente recomendação, é o resultado das consultas acima referidas e complementa a comunicação «Reforçar o sistema de ciber-resiliência da Europa e promover uma indústria de cibersegurança competitiva e inovadora». (11) O plano descreve e define os objetivos e as formas de cooperação entre os Estados-Membros e as instituições, organismos, gabinetes e agências da UE (a seguir designadas por «instituições da UE»), com vista a dar resposta a incidentes e crises de cibersegurança em grande escala e esclarecer como os atuais mecanismos de gestão de crises podem aproveitar plenamente as entidades responsáveis em matéria de cibersegurança existentes a nível da UE. (12) Na resposta a uma crise de cibersegurança, na aceção do considerando 2, a coordenação a nível político da União, no Conselho, deverá fazer uso do Mecanismo Integrado da UE de Resposta Política a Situações de Crise (IPCR) ( 2 ); a Comissão utilizará o sistema de alto nível para a coordenação de crises transetoriais, ARGUS ( 3 ). Se a crise implicar uma dimensão externa ou a nível da política comum de segurança e defesa (PCSD) relevante, será ativado o mecanismo de resposta a situações de crise (CRM) do Serviço Europeu para a Ação Externa (SEAE) ( 3 ). (13) Em determinados domínios, os mecanismos de gestão de crises setoriais a nível da UE preveem a cooperação em caso de incidentes ou crises de cibersegurança. A título de exemplo, no quadro do sistema global de navegação por satélite (GNSS) europeu, a Decisão 2014/496/PESC do Conselho ( 4 ) já define as competências respetivas do Conselho, do Alto Representante, da Comissão, da Agência do GNSS Europeu e dos Estados-Membros no âmbito da cadeia de responsabilidades operacionais criada para reagir a uma ameaça para a União, os Estados-Membros ou o GNSS, incluindo no caso de ciberataques. Por conseguinte, a presente recomendação não deve prejudicar esses mecanismos. (14) Os Estados-Membros são os principais responsáveis pela resposta a incidentes ou crises de cibersegurança em grande escala que os afetem. A Comissão, o Alto Representante e outras instituições ou serviços da UE têm, no entanto, um papel importante que decorre do direito da União ou da possibilidade de os incidentes e crises de cibersegurança afetarem todos os setores da atividade económica no âmbito do mercado único, a segurança e as relações internacionais da União, bem como as próprias instituições. (15) A nível da União, os principais intervenientes envolvidos na resposta às crises de cibersegurança incluem as estruturas e os mecanismos recentemente criados ao abrigo da Diretiva SRI, nomeadamente a rede de equipas de resposta a incidentes de segurança informática (CSIRT), bem como as agências e organismos competentes, nomeadamente a Agência da União Europeia para a Segurança das Redes e da Informação (ENISA), o Centro Europeu da Cibercriminalidade (EC3) da Europol, o Centro de Análise de Informações da UE (INTCEN), a Direção de Informações do Estado-Maior (EMUE INT) e a Sala de Situação da UE, que trabalham em conjunto enquanto SIAC (Capacidade Única de Análise de Informações), a Célula de Fusão da UE contra as ameaças híbridas (com base no INTCEN), a Equipa de Resposta a Emergências Informáticas para as instituições e agências da UE (CERT-UE) e o Centro de Coordenação de Resposta de Emergência da Comissão Europeia. (16) A cooperação entre Estados-Membros na resposta a nível técnico a incidentes de cibersegurança é assegurada pela rede de CSIRT criada pela Diretiva SRI. A ENISA assegura os serviços de secretariado da rede e apoia ativamente ( 1 ) Documento 14540/16, de 15 de novembro de ( 2 ) Podem ser encontradas mais informações na secção 3.1. do apêndice sobre gestão de crises, mecanismos de cooperação e intervenientes a nível da UE. ( 3 ) Ibidem. ( 4 ) Decisão 2014/496/PESC do Conselho, de 22 de julho de 2014, sobre os aspetos da exploração do sistema europeu de radionavegação por satélite que afetam a segurança da União Europeia (JO L 219 de , p. 53).

3 L 239/38 a cooperação entre as CSIRT. As CSIRT nacionais e a CERT-UE cooperam e trocam informações, a título voluntário, incluindo, sempre que necessário, na resposta a incidentes de cibersegurança que afetem um ou mais Estados-Membros. A pedido de um representante de uma CSIRT de um Estado-Membro, podem discutir e, se possível, definir uma resposta coordenada a um incidente identificado no âmbito da jurisdição desse Estado- -Membro. Os procedimentos pertinentes serão definidos no âmbito dos procedimentos operacionais normalizados (PON) da rede CSIRT ( 1 ). (17) A rede de CSIRT está também incumbida de discutir, analisar e identificar outras formas de cooperação operacional, nomeadamente no que se refere às categorias de riscos e de incidentes, aos alertas rápidos, à assistência mútua, aos princípios e às formas de coordenação na resposta dos Estados-Membros a riscos e incidentes de dimensão transfronteiriça. (18) O grupo de cooperação criado pelo artigo 11. o da Diretiva SRI está incumbido de fornecer orientações estratégicas para as atividades da rede de CSIRT e de discutir as capacidades e o grau de preparação dos Estados- -Membros e, numa base voluntária, avaliar as estratégias nacionais de segurança das redes e dos sistemas de informação e a eficácia das CSIRT, e identificar as boas práticas. (19) Uma vertente de trabalho específica no âmbito do grupo de cooperação é, nos termos do artigo 14. o, n. o 7, da Diretiva SRI, preparar orientações sobre a notificação de incidentes no que respeita às circunstâncias em que os operadores de serviços essenciais são obrigados a notificar incidentes, em conformidade com o artigo 14. o, n. o 3, e ao formato e procedimento para o envio dessas notificações ( 2 ). (20) A perceção e a compreensão da situação em tempo real, da exposição aos riscos e das ameaças, adquiridas por meio de relatórios, avaliações, estudos, investigação e análise, são fundamentais para permitir a tomada de decisões fundamentadas. Este «conhecimento da situação» por parte de todas as partes interessadas é essencial para assegurar uma resposta coordenada eficaz. O conhecimento da situação inclui elementos sobre as causas, bem como sobre o impacto e a origem do incidente. Reconhece-se que este conhecimento depende do intercâmbio e da partilha de informações entre as partes interessadas, num formato adequado, utilizando uma taxonomia comum para descrever o incidente com a segurança necessária. (21) A resposta a incidentes de cibersegurança pode assumir várias formas, que vão da identificação de medidas técnicas que podem implicar uma investigação conjunta, por duas ou mais entidades, das causas técnicas do incidente (por exemplo, análise de programas maliciosos), ou da identificação de formas pelas quais as organizações podem avaliar se foram afetadas (por exemplo, indicadores de comprometimento), às decisões operacionais sobre a aplicação dessas medidas e, a nível político, à decisão sobre a utilização de outros instrumentos, como o quadro para uma resposta conjunta a ciberatividades maliciosas ( 3 ) ou o protocolo operacional da UE contra as ameaças híbridas ( 4 ), em função do incidente em causa. (22) A confiança dos cidadãos europeus e das empresas europeias é essencial para a criação de um mercado único digital próspero. Por conseguinte, a comunicação em situações de crise assume um papel particularmente importante na atenuação dos efeitos negativos de incidentes e crises de cibersegurança. A comunicação pode igualmente ser utilizada no contexto do quadro para uma resposta diplomática conjunta como meio para influenciar o comportamento de (potenciais) agressores que atuem a partir de países terceiros. Alinhar a comunicação pública para que atenue os efeitos negativos de incidentes e crises de cibersegurança e influencie agressores é essencial para a eficácia de uma resposta política. (23) A divulgação ao público de informações sobre a forma de reduzir, a nível organizacional e do utilizador, os efeitos de um incidente (por exemplo, instalando uma correção ou adotando ações complementares para evitar a ameaça, etc.) poderá constituir uma medida eficaz para reduzir os incidentes ou crises de cibersegurança em grande escala. (24) A Comissão, por intermédio da infraestrutura de serviços digitais em matéria de cibersegurança do Mecanismo Interligar a Europa (MIE), está a desenvolver um mecanismo de cooperação da plataforma de serviços de base, conhecido por MeliCERTes, entre as CSIRT dos Estados-Membros participantes, a fim de melhorar os respetivos níveis de preparação, cooperação e resposta a ciberameaças emergentes e a ciberincidentes. A Comissão está a cofinanciar as CSIRT dos Estados-Membros, por meio de convites à apresentação de propostas em regime de concurso para a atribuição de subvenções ao abrigo do MIE, com vista a melhorar as suas capacidades operacionais a nível nacional. ( 1 ) Em elaboração; deverão ser adotados até ao final de ( 2 ) As orientações deverão estar concluídas até ao final de ( 3 ) Conclusões do Conselho sobre um quadro para uma resposta diplomática conjunta da UE às ciberatividades maliciosas («instrumentos de ciberdiplomacia»), documento 9916/17. ( 4 ) Documento de trabalho conjunto dos serviços da Comissão «Protocolo operacional da UE para fazer face às ameaças híbridas, EU Playbook», SWD(2016) 227 final, de 5 de julho de 2016.

4 L 239/39 (25) É essencial realizar exercícios de cibersegurança a nível da UE a fim de estimular e melhorar a cooperação entre os Estados-Membros e o setor privado. Para este efeito, a ENISA organiza regularmente, desde 2010, exercícios pan-europeus de simulação de ciberincidentes («Cyber Europe»). (26) As conclusões do Conselho ( 1 ) sobre a implementação da Declaração Conjunta do Presidente do Conselho Europeu, do Presidente da Comissão Europeia e do Secretário-Geral da Organização do Tratado do Atlântico Norte, apelam para o reforço da cooperação nos ciberexercícios através da participação recíproca do pessoal nos respetivos exercícios, incluindo, em especial, no Cyber Coalition e no Cyber Europe. (27) O cenário de ameaças em constante evolução e os recentes incidentes de cibersegurança são um indício do risco crescente enfrentado pela União, pelo que os Estados-Membros devem agir de acordo com a presente recomendação, sem demora e o mais tardar até ao final de 2018, ADOTOU A PRESENTE RECOMENDAÇÃO: 1. Os Estados-Membros e as instituições da UE devem criar um quadro de resposta da UE a crises de cibersegurança que integre os objetivos e as formas de cooperação apresentados no plano de ação, de acordo com os princípios orientadores nele descritos. 2. O quadro de resposta da UE a crises de cibersegurança deve identificar, nomeadamente, os intervenientes, as instituições da UE e as autoridades dos Estados-Membros pertinentes, a todos os níveis necessários, ou seja, técnico, operacional, estratégico e político, e estabelecer, sempre que necessário, procedimentos operacionais normalizados que definam as formas de cooperação no contexto dos mecanismos de gestão de crises da UE. Deve ser atribuído especial relevo ao intercâmbio de informações sem demoras injustificadas e à coordenação da resposta durante a ocorrência de incidentes e crises de cibersegurança em grande escala. 3. Para o efeito, as autoridades competentes dos Estados-Membros devem trabalhar em conjunto no sentido de especificarem melhor os protocolos de cooperação e de partilha de informações. O grupo de cooperação deve proceder ao intercâmbio de experiências sobre estas questões com instituições da UE pertinentes. 4. Os Estados-Membros devem assegurar que os respetivos mecanismos nacionais de gestão de crises respondem de forma adequada aos incidentes de cibersegurança e preveem os procedimentos necessários para a cooperação a nível da UE no âmbito do quadro da UE. 5. No que se refere aos atuais mecanismos de gestão de crises da UE, em consonância com o plano de ação, os Estados- -Membros devem, juntamente com os serviços da Comissão e o SEAE, estabelecer orientações práticas de execução no que se refere à integração das respetivas entidades e procedimentos nacionais em matéria de cibersegurança e de gestão de crises com os atuais mecanismos de gestão de crises da UE, nomeadamente o IPCR e o mecanismo de resposta a situações de crise (CRM) do SEAE. Em especial, os Estados-Membros devem assegurar a existência de estruturas adequadas que permitam um fluxo eficaz de informações entre as respetivas autoridades nacionais de gestão de crises e os seus representantes a nível da UE, no âmbito dos mecanismos europeus de gestão de crises. 6. Os Estados-Membros devem aproveitar plenamente as oportunidades oferecidas pelo programa de infraestruturas de serviços digitais (ISD) em matéria de cibersegurança, no âmbito do Mecanismo Interligar a Europa (MIE), e colaborar com a Comissão no sentido de garantir que o mecanismo de cooperação da plataforma de serviços de base, atualmente em desenvolvimento, oferece as funcionalidades necessárias e satisfaz também as suas necessidades de cooperação no decurso de crises de cibersegurança. 7. Os Estados-Membros, com o apoio da ENISA e com base em anteriores trabalhos neste domínio, devem cooperar na elaboração e adoção de uma taxonomia comum e de modelos para os relatórios de situação que permitam descrever as causas técnicas e os impactos dos incidentes de cibersegurança de modo a reforçar a sua cooperação técnica e operacional no decurso de situações de crise. A este respeito, os Estados-Membros devem ter em conta os trabalhos em curso no âmbito do grupo de cooperação sobre orientações relativas à notificação de incidentes e, em especial, aos aspetos relacionados com o formato das notificações nacionais. 8. Os procedimentos previstos no quadro devem ser ensaiados e, se necessário, revistos na sequência dos ensinamentos retirados da participação dos Estados-Membros em exercícios de cibersegurança a nível nacional, regional e da União, bem como em exercícios promovidos no âmbito da ciberdiplomacia e da NATO. Em particular, devem ser ensaiados no contexto dos exercícios Cyber Europe, organizados pela ENISA. O Cyber Europe 2018 constitui uma primeira oportunidade para tal. ( 1 ) ST 15283/16, de 6 de dezembro de 2016.

5 L 239/40 9. Os Estados-Membros e as instituições da UE devem treinar regularmente a sua resposta a crises e incidentes de cibersegurança em grande escala a nível nacional e europeu, incluindo a sua resposta política, sempre que necessário, e com a participação de entidades do setor privado, se for caso disso. Feito em Bruxelas, em 13 de setembro de Pela Comissão Mariya GABRIEL Membro da Comissão

6 L 239/41 ANEXO Plano de ação para a resposta coordenada a incidentes e crises de cibersegurança transfronteiriços em larga escala INTRODUÇÃO Este plano aplica-se a incidentes de cibersegurança que causam perturbações demasiado extensas para que um Estado- -Membro afetado seja capaz de as resolver sozinho ou que afetem dois ou mais Estados-Membros ou instituições da UE, causando um impacto de tão grande alcance e com repercussões a nível técnico e político que exija uma coordenação e uma resposta a nível político da União. Os incidentes de cibersegurança em tão larga escala são considerados uma «crise» de cibersegurança. Em caso de crise a nível da UE com elementos de cibersegurança, a coordenação a nível político da resposta da União será exercida pelo Conselho, por intermédio do Mecanismo Integrado da UE de Resposta Política a Situações de Crise (IPCR). Na Comissão, a coordenação será feita em conformidade com o sistema ARGUS de alerta rápido. Se a crise implicar uma importante dimensão externa ou a nível da política comum de segurança e defesa (PCSD), será ativado o mecanismo de resposta a situações de crise do Serviço Europeu para a Ação Externa (SEAE). O presente plano descreve como estes bem estabelecidos mecanismos de gestão de crises devem fazer pleno uso das entidades responsáveis em matéria de cibersegurança existentes a nível da UE, bem como dos mecanismos de cooperação entre os Estados-Membros. Ao fazê-lo, o plano tem em conta um conjunto de princípios orientadores (proporcionalidade, subsidiariedade, complementaridade e confidencialidade de informações), apresenta os principais objetivos da cooperação (resposta eficaz, conhecimento partilhado da situação, comunicação pública) a três níveis (estratégico/político, operacional e técnico), os mecanismos e os intervenientes envolvidos, bem como as atividades para alcançar os referidos objetivos fundamentais. O plano não abrange todo o ciclo de gestão de crises (prevenção/atenuação, preparação, resposta e recuperação), mas concentra-se na resposta. No entanto, são visadas certas atividades, em especial as relacionadas com a obtenção de um conhecimento partilhado da situação. É também importante notar que os incidentes de cibersegurança podem estar na origem ou ser parte de uma crise mais ampla, com impacto noutros setores. Dado que a maior parte das crises de cibersegurança são suscetíveis de ter efeitos no mundo físico, uma resposta adequada deve assentar em atividades de atenuação a nível cibernético e a outros níveis. As atividades de resposta a situações de crise de cibersegurança devem ser coordenadas com outros mecanismos de gestão de crises a nível da UE, nacional ou setorial. Por último, o plano não substitui nem prejudica os mecanismos, acordos ou instrumentos existentes que abrangem setores ou políticas específicas, tais como o criado no âmbito do programa para um sistema global de navegação por satélite (GNSS) europeu ( 1 ). Princípios orientadores Nos seus esforços em prol dos objetivos, na identificação das atividades necessárias e na atribuição de competências e responsabilidades aos respetivos intervenientes ou mecanismos, foram aplicados os seguintes princípios orientadores que também devem ser respeitados, de futuro, na preparação de orientações de execução. Proporcionalidade: a grande maioria dos incidentes de cibersegurança que afetam os Estados-Membros tem uma dimensão muito inferior ao que se pode considerar uma «crise» nacional e, muito menos, europeia. As bases da cooperação entre os Estados-Membros na resposta a tais incidentes são prestadas pela rede de equipas de resposta a incidentes de segurança informática (CSIRT) criada pela Diretiva SRI ( 2 ). As CSIRT nacionais cooperam e trocam voluntariamente informações numa base diária, incluindo, quando necessário, em resposta a incidentes de cibersegurança que afetam um ou mais Estados-Membros, em conformidade com os procedimentos operacionais normalizados (PON) da rede de CSIRT. O plano deve, por conseguinte, utilizar plenamente esses PON e quaisquer funções específicas adicionais em matéria de crises de cibersegurança devem neles refletir-se. ( 1 ) Decisão 2014/496/PESC. ( 2 ) Diretiva (UE) 2016/1148.

7 L 239/42 Subsidiariedade: o princípio da subsidiariedade é fundamental. Os Estados-Membros são os principais responsáveis pela resposta aos incidentes ou crises de cibersegurança em grande escala que os afetem. A Comissão, o Serviço Europeu para a Ação Externa e outras instituições, organismos, gabinetes e agências da UE têm, no entanto, um papel importante. Este papel é claramente definido no mecanismo IPCR, mas deriva também do direito da União ou simplesmente do facto de os incidentes de cibersegurança e as crises poderem afetar todos os setores da atividade económica no âmbito do mercado único, a segurança e as relações internacionais da União, bem como as próprias instituições europeias. Complementaridade: o plano tem plenamente em conta os atuais mecanismos de gestão de crises a nível da UE, nomeadamente, o Mecanismo Integrado da UE de Resposta Política a Situações de Crise (IPCR), o ARGUS e o mecanismo de resposta a situações de crise do SEAE, e integra estruturas e mecanismos da nova Diretiva SRI, nomeadamente a rede de CSIRT, bem como as agências e organismos competentes, nomeadamente a Agência da União Europeia para a Segurança das Redes e da Informação (ENISA), o Centro Europeu da Cibercriminalidade (EC3) da Europol, o Centro de Análise de Informações da UE (INTCEN), a Direção de Informações do Estado-Maior da UE (EUMS INT) e a Sala de Situação (SITROOM) do INTCEN, trabalhando em conjunto como SIAC (Capacidade Única de Análise de Informações); a célula de fusão da UE contra as ameaças híbridas (com base no INTCEN); e a Equipa de Resposta a Emergências Informáticas para as instituições e agências da UE (CERT-UE). Para o efeito, o plano deve igualmente assegurar que a sua interação e cooperação garantem a máxima complementaridade e a mínima sobreposição. Confidencialidade das informações: todos os intercâmbios de informações no contexto do plano devem ser conformes com as regras aplicáveis em matéria de segurança ( 1 ), a proteção de dados pessoais e o protocolo «sinalização luminosa» para a partilha de informações ( 2 ). Para o intercâmbio de informações classificadas, independentemente do sistema de classificação aplicado, devem ser utilizadas ferramentas acreditadas e disponíveis ( 3 ). No que diz respeito ao tratamento de dados pessoais, este respeitará as normas da UE, nomeadamente o Regulamento geral sobre a proteção de dados ( 4 ), a Diretiva Privacidade Eletrónica ( 5 ), bem como o regulamento ( 6 )«relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, organismos, gabinetes e agências da União e à livre circulação desses dados». Objetivos fundamentais A cooperação no âmbito do presente plano segue a abordagem de três níveis acima mencionada política, operacional e técnica. Em cada nível, a cooperação pode incluir o intercâmbio de informações e ações conjuntas, e visa alcançar os seguintes objetivos fundamentais. Permitir uma resposta eficaz: a resposta pode assumir muitas formas, que vão da identificação de medidas técnicas que podem implicar uma investigação conjunta, por duas ou mais entidades, das causas técnicas do incidente (por exemplo, análise de programas maliciosos), ou da identificação de formas pelas quais as organizações podem avaliar se foram afetadas (por exemplo, indicadores de compromisso), às decisões operacionais sobre a aplicação dessas medidas técnicas e, a nível político, à decisão de recorrer a outros instrumentos como a resposta diplomática conjunta da UE às ciberatividades maliciosas («instrumentos de ciberdiplomacia») ou o protocolo operacional da UE contra as ameaças híbridas, em função do incidente em causa. Partilhar o conhecimento da situação: uma boa compreensão dos acontecimentos à medida que estes se vão desenrolando, por todas as partes interessadas pertinentes e em todos os níveis (técnico, operacional, político), é essencial para uma resposta coordenada. O conhecimento da situação pode incluir elementos tecnológicos sobre as causas, bem como sobre o impacto e a origem do incidente. Como os incidentes de cibersegurança podem afetar uma grande variedade de setores (finanças, energia, transportes, saúde, etc.) é imperativo que as informações importantes cheguem a todas as partes interessadas, no formato adequado e em tempo útil. ( 1 ) Decisão (UE, Euratom) 2015/443, de 13 de março de 2015, relativa à segurança na Comissão (JO L 72 de , p. 41); Decisão (UE, Euratom) 2015/444, de 13 de março de 2015, relativa às regras para a proteção de informações classificadas (JO L 72 de , p. 53); Decisão da Alta-Representante da União Europeia para os Negócios Estrangeiros e a Política de Segurança, de 19 de abril de 2013, relativa às regras de segurança aplicáveis ao Serviço Europeu para a Ação Externa (JO C 190 de , p. 1); Decisão 2013/488/UE do Conselho de 23 de setembro de 2013, relativa às regras de segurança para a proteção de informações classificadas da UE (JO L 274 de , p. 1). ( 2 ) ( 3 ) Em junho de 2016, estes canais de transmissão incluíam o CIMS (Sistema de Gestão de Informações Classificadas), o ACID (algoritmo de encriptação), o RUE (sistema seguro para criar, trocar e armazenar documentos restritos da UE RESTREINT UE/EU RESTRICTED) e o SOLAN. Outros meios de transmissão de informações classificadas incluem, por exemplo, o PGP ou S/MIME. ( 4 ) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de , p. 1). ( 5 ) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de , p. 37). ( 6 ) Regulamento (CE) n. o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de , p. 1) atualmente objeto de reexame.

8 L 239/43 Chegar a acordo sobre as principais mensagens da comunicação pública ( 1 ): as comunicações em situação de crise desempenham um papel importante na atenuação dos efeitos negativos de incidentes e crises de cibersegurança, mas podem também ser utilizadas como meio para influenciar o comportamento de (potenciais) agressores. Uma mensagem adequada pode também servir para sinalizar claramente as consequências prováveis de uma resposta diplomática, de modo a influenciar o comportamento dos agressores. Alinhar a comunicação pública para que atenue os efeitos negativos de incidentes e crises de cibersegurança e influencie agressores é essencial para a eficácia de uma resposta política. Um fator particularmente importante em matéria de cibersegurança é a divulgação de informações práticas exatas sobre o modo como o público pode atenuar os efeitos de um incidente (por exemplo, instalação de uma correção, adoção de ações complementares para evitar a ameaça, etc.). COOPERAÇÃO ENTRE ESTADOS-MEMBROS E ENTRE ESTES E OS INTERVENIENTES DA UE A NÍVEL TÉCNICO, OPERACIONAL E ESTRATÉGICO/POLÍTICO Uma resposta eficaz a incidentes ou crises de cibersegurança em grande escala a nível da UE depende da cooperação eficaz a nível técnico, operacional e estratégico/político. Em cada nível, os intervenientes devem realizar atividades específicas no que respeita à concretização dos três objetivos fundamentais: Resposta coordenada Conhecimento partilhado da situação Comunicações públicas Durante o incidente ou crise, os níveis inferiores de cooperação alertarão, informarão e apoiarão os níveis superiores e estes fornecerão orientações ( 2 ) e decisões aos níveis inferiores, conforme adequado. Cooperação a nível técnico Âmbito das atividades: Tratamento dos incidentes ( 3 ) durante uma crise de cibersegurança. Acompanhamento e vigilância de incidentes, incluindo a análise contínua das ameaças e dos riscos. Potenciais intervenientes A nível técnico, o mecanismo central para a cooperação identificado pelo presente plano é a rede de CSIRT, presidida pela Presidência e cujos serviços de secretariado são assegurados pela ENISA. Estados-Membros: Autoridades competentes e pontos de contacto únicos criados pela Diretiva SRI CSIRT Organismos/gabinetes/agências da UE ENISA Europol/EC3 CERT-EU ( 1 ) Neste contexto, é importante notar que a comunicação pública pode referir-se tanto à comunicação sobre o incidente em geral, como à comunicação de informações mais técnicas ou operacionais com setores críticos e/ou com aqueles que tenham sido afetados. Isto pode exigir a utilização de canais de divulgação confidenciais e de ferramentas/plataformas técnicas específicas. Em qualquer dos casos, a comunicação aos operadores e ao público em geral no território dos Estados-Membros é da responsabilidade e constitui uma prerrogativa destes. Por conseguinte, em conformidade com o princípio da subsidiariedade acima exposto, os Estados-Membros e as CSIRT nacionais têm responsabilidade final pelas informações difundidas no interior do seu território e aos seus constituintes, respetivamente. ( 2 ) «Autorização para atuar» perante uma crise de cibersegurança, os tempos de reação curtos são de importância crucial para que se possam definir medidas de atenuação adequadas. A fim de permitir esses tempos de reação curtos, um Estado-Membro pode emitir, voluntariamente, «autorizações para atuar» a um outro, autorizando esse Estado-Membro a atuar de imediato, sem ter de consultar níveis ou instituições da UE superiores e passar por todos os canais oficiais normalmente exigidos, se tal não for exigido no caso de um determinado incidente (por exemplo, uma CSIRT não deve ter de consultar níveis superiores para transmitir informações valiosas a uma CSIRT de outro Estado-Membro). ( 3 ) Entende-se por «tratamento de incidentes» todos os procedimentos de apoio à deteção, análise e contenção de um incidente, e a resposta ao incidente;

9 L 239/44 Comissão Europeia O Centro de Coordenação de Resposta de Emergência (CCRE serviço operacional a tempo inteiro situado na DG ECHO) e o serviço responsável designado (a escolher entre a DG CONNECT e a DG HOME, consoante a natureza particular do incidente), o Secretariado Geral (secretariado ARGUS), a DG RH (Direção de Segurança), a DG DIGIT (Operações de Segurança Informática) No caso das restantes agências da UE ( 1 ), a respetiva DG de tutela na Comissão ou o SEAE (primeiro ponto de contacto) SEAE SIAC (Capacidade Única de Análise de Informações: INTCEN da UE e EUMS INT) Sala de Situação da UE e serviços geográficos ou temáticos designados. Célula de fusão da UE contra as ameaças híbridas (parte do INTCEN da UE cibersegurança num contexto híbrido) Conhecimento partilhado da situação: No âmbito da constante cooperação a nível técnico para apoiar o conhecimento da situação da União, a ENISA deve elaborar periodicamente um relatório sobre a situação técnica da cibersegurança na UE relativo aos incidentes e ameaças, baseando-se em informações publicamente disponíveis, nas suas próprias análises e em relatórios partilhados pelas CSIRT dos Estados-Membros (numa base voluntária) ou pelos pontos de contacto únicos no âmbito da Diretiva SRI, pelo Centro Europeu da Cibercriminalidade (EC3) da Europol e pela CERT-UE e, se for caso disso, pelo Centro de Análise de Informações da União Europeia (INTCEN) que integra o Serviço Europeu para a Ação Externa (SEAE). O relatório deve ser disponibilizado às instâncias competentes do Conselho, da Comissão, do Alto Representante e Vice-Presidente e da rede de CSIRT. Em caso de incidente grave, o presidente da rede de CSIRT, com a assistência da ENISA, elabora um relatório sobre a situação de incidentes de cibersegurança da UE ( 2 ) que é apresentado à Presidência, à Comissão e ao Alto Representante e Vice-Presidente por intermédio da CSIRT do Estado-Membro que assume a presidência rotativa. Todas as outras agências da UE informarão as respetivas DG de tutela, que, por sua vez, reportarão ao serviço responsável da Comissão. O CERT-UE providencia relatórios técnicos à rede de CSIRT, às instituições e agências da UE (conforme for adequado) e ao sistema ARGUS (se ativado). O Europol/EC3 ( 3 ) e a CERT-EU providenciam análises forenses especializadas de artefactos técnicos e outras informações técnicas à rede de CSIRT. SIAC do SEAE: a célula de fusão da UE contra as ameaças híbridas reporta aos serviços pertinentes do SEAE, em nome do INTCEN. Resposta: A rede de CSIRT procede ao intercâmbio de pormenores e análises técnicas sobre o incidente, tais como endereços de IP, indicadores de comprometimento ( 4 ), etc. Essas informações devem ser prestadas sem demora à ENISA, e, o mais tardar, 24 horas após a deteção do incidente. Em conformidade com os procedimentos operacionais normalizados da rede de CSIRT, os seus membros cooperam nos esforços para analisar os artefactos e outras informações técnicas disponíveis relativas ao incidente, com vista a determinar as causas e possíveis medidas técnicas de atenuação. A ENISA ajuda a rede de CSIRT nas suas atividades técnicas, recorrendo aos seus conhecimentos especializados e em conformidade com o seu mandato ( 5 ). ( 1 ) Consoante a natureza e o impacto do incidente em diferentes setores de atividade (finanças, transportes, energia, saúde, etc.), serão envolvidas as agências ou organismos competentes da UE. ( 2 ) O relatório sobre a situação de incidentes de cibersegurança da UE é composto por uma agregação de relatórios nacionais fornecidos pelas CSIRT nacionais. O formato do relatório deve ser descrito nos PON da rede de CSIRT. ( 3 ) Em conformidade e ao abrigo das condições e procedimentos estabelecidos no quadro jurídico do EC3. ( 4 ) Indicador de comprometimento (COI) em informática forense, é uma anomalia observada numa rede ou num sistema operativo, que, com um índice elevado de confiança, revela uma intrusão informática. Os OIC típicos são assinaturas de vírus e endereços de IP, endereçamentos MD5 de ficheiros maliciosos ou URL ou nomes de domínio de comando «botnet» e servidores de controlo. ( 5 ) Proposta de Regulamento relativo à ENISA, Agência da União Europeia para a Cibersegurança, e à certificação da cibersegurança das tecnologias da informação e comunicação («Regulamento Cibersegurança»), e que revoga o Regulamento (UE) n. o 526/2013, de 13 de setembro de 2017.

10 L 239/45 As CSIRT dos Estados-Membros coordenam as suas atividades de resposta técnica, com a assistência da ENISA e da Comissão. SIAC do SEAE: a célula de fusão da UE contra as ameaças híbridas inicia, em nome do INTCEN, o processo de recolha das provas iniciais. Comunicações públicas: As CSIRT elaboram conselhos técnicos ( 1 ) e alertas de vulnerabilidade ( 2 ) e divulgam-nos às suas comunidades e ao público na sequência dos procedimentos de autorização aplicáveis em cada caso. A ENISA promove a produção e a difusão de comunicações comuns da rede de CSIRT. A ENISA coordena as suas atividades de comunicação pública com a rede de CSIRT e o serviço do porta-voz da Comissão. A ENISA e o EC3 coordenam as suas atividades de comunicação pública com base no conhecimento partilhado da situação acordado entre os Estados-Membros. Ambos coordenam as suas atividades de comunicação pública com o serviço do porta-voz da Comissão. Se a crise implicar uma dimensão externa ou a nível da política comum de segurança e defesa (PCSD), a comunicação pública deve ser coordenada com o SEAE e o serviço do porta-voz do AR/VP. Cooperação a nível operacional Âmbito das atividades: Preparar a tomada de decisões a nível político Coordenar a gestão da crise de cibersegurança (consoante o caso) Avaliar as consequências e impacto a nível da UE e propor eventuais medidas de atenuação Potenciais intervenientes Estados-Membros: Autoridades competentes e pontos de contacto únicos criados pela Diretiva SRI Rede de CSIRT, agências de cibersegurança Outras autoridades setoriais nacionais (em caso de incidentes ou crises multissetoriais) Organismos/gabinetes/agências da UE ENISA Europol/EC3 CERT-EU Comissão Europeia Secretário-Geral (Adjunto) SG (processo ARGUS) DG CNECT/HOME Autoridade de Segurança da Comissão Outras DG (em caso de incidentes ou crises multissetoriais) ( 1 ) Aconselhamento de caráter técnico quanto às causas do incidente e eventuais medidas de atenuação. ( 2 ) Informação sobre a vulnerabilidade técnica que está a ser aproveitada para exercer um impacto negativo nos sistemas informáticos.

11 L 239/46 SEAE Secretário-Geral (Adjunto) para a Resposta a Situações de Crise SIAC (INTCEN da UE e EUMS INT) Célula de fusão da UE contra as ameaças híbridas Conselho Presidência (Presidente do Grupo Horizontal das Questões do Ciberespaço ou Coreper ( 1 )), apoiada pelo SGC, ou pelo CPS ( 2 ) e se for acionado com o apoio do mecanismo IPCR; Conhecimento da situação: Apoiar a elaboração de relatórios sobre a situação a nível político/estratégico [por exemplo, relatórios de conhecimento e análise integrados da situação (ISAA) em caso de ativação do IPCR]. O Grupo Horizontal das Questões do Ciberespaço do Conselho prepara a reunião do Coreper ou, se for caso disso, do CPS. Em caso de ativação do IPCR: A Presidência pode convocar mesas-redondas para apoiar a preparação da reunião do Coreper ou do CPS, reunindo partes interessadas pertinentes dos Estados-Membros, das instituições, das agências e de terceiros, tais como países terceiros e organizações internacionais. Estas são reuniões de crise com o propósito de identificar pontos de bloqueio e apresentar propostas de ação para questões transversais. O serviço responsável da Comissão ou o SEAE, enquanto responsável pelo relatório ISAA, prepara o relatório com contribuições da ENISA, da rede de CSIRT, do Europol/EC3, do INTCEN, da EUMS INT e de todos os outros intervenientes relevantes. O relatório ISAA constitui uma avaliação à escala da UE, tendo por base a correlação entre incidentes técnicos e avaliação das crises (análise das ameaças, avaliação dos riscos, consequências e efeitos não técnicos, aspetos do incidente ou crise não relacionados com a cibersegurança, etc.), que é adaptada às necessidades dos níveis operacional e político. Em caso de ativação do processo ARGUS: A CERT-EU e o EC3 ( 3 ) contribuem diretamente para o intercâmbio de informações no âmbito da Comissão. Em caso de ativação do mecanismo de resposta a situações de crise do SEAE: A SIAC intensificará a recolha de informações, agregará a informação de todas as fontes e preparará uma análise e avaliação do incidente. Resposta (mediante pedido do nível político): Cooperação transfronteiriça com o ponto de contacto único e com as autoridades nacionais competentes (Diretiva SRI) para atenuar as consequências e efeitos. Ativação de todas as medidas técnicas de atenuação e coordenar as capacidades técnicas necessárias para impedir ou reduzir o impacto dos ataques aos sistemas de informação visados. Cooperação e, se assim for decidido, coordenação de capacidades técnicas para uma resposta conjunta ou colaborativa em conformidade com os PON da rede de CSIRT. Avaliação da necessidade de cooperar com terceiros relevantes. Tomada de decisão no âmbito do processo ARGUS (quando ativado). Preparação das decisões e coordenação ao abrigo do mecanismo IPCR (quando ativado). Apoio à tomada de decisões do SEAE por intermédio do mecanismo de resposta a situações de crise do SEAE (quando ativado), nomeadamente no que se refere aos contactos com países terceiros e organizações internacionais, bem como qualquer medida destinada a proteger as missões e operações da PCSD e as delegações da UE. ( 1 ) O Comité de Representantes Permanentes ou Coreper (artigo 240. o do Tratado sobre o Funcionamento da União Europeia TFUE) é responsável pela preparação dos trabalhos do Conselho da União Europeia. ( 2 ) O Comité Político e de Segurança é um Comité do Conselho da União Europeia que lida com a política externa e de segurança comum (PESC) a que se refere o artigo 38. o do Tratado da União Europeia. ( 3 ) Em conformidade e ao abrigo das condições e procedimentos estabelecidos no quadro jurídico do EC3.

12 L 239/47 Comunicações públicas: Chegar a acordo sobre as mensagens públicas relativas ao incidente. Se a crise implicar uma dimensão externa ou a nível da política comum de segurança e defesa (PCSD), a comunicação pública deve ser coordenada com o SEAE e o serviço do porta-voz do AR/VP. Cooperação a nível estratégico/político Potenciais intervenientes Pelos Estados-Membros, os ministros responsáveis pela cibersegurança Pelo Conselho Europeu, o Presidente Pelo Conselho, a Presidência rotativa Se as medidas se incluírem no âmbito dos «instrumentos de ciberdiplomacia», o CPS e o Grupo Horizontal Pela Comissão Europeia, o Presidente ou o Vice-Presidente/Comissário delegado. O Alto-Representante da União para os Negócios Estrangeiros e a Política de Segurança/Vice-Presidente da Comissão. Âmbito das atividades: Gestão estratégica e política dos aspetos cibernéticos e não cibernéticos da crise, incluindo as medidas ao abrigo do quadro para uma resposta diplomática comum da UE às ciberatividades maliciosas. Conhecimento partilhado da situação: Identificar os impactos das perturbações causadas pela crise sobre o funcionamento da União. Resposta: Ativar os mecanismos/instrumentos adicionais de gestão de crises, dependendo da natureza e do impacto do incidente. Estes podem incluir, por exemplo, o Mecanismo de Proteção Civil. Tomar medidas no âmbito do quadro para uma resposta diplomática comum da UE às ciberatividades maliciosas. Disponibilizar ajuda de emergência aos Estados-Membros afetados, por exemplo, ativando o Fundo de Resposta de Emergência para a Cibersegurança ( 1 ), quando aplicável. Cooperação e coordenação, se for caso disso, com organizações internacionais, tais como as Nações Unidas (ONU), a Organização para a Segurança e a Cooperação na Europa (OSCE) e, em especial, a OTAN. Avaliar as implicações em matéria de segurança e defesa nacional. Comunicações públicas: Decidir sobre uma estratégia comum de comunicação para o público. RESPOSTA COORDENADA COM OS ESTADOS-MEMBROS A NÍVEL DA UE, NO QUADRO DO MECANISMO IPCR De acordo com o princípio da complementaridade a nível da UE, a presente secção apresenta e centra-se, em particular, no objetivo fundamental e nas responsabilidades e atividades das autoridades dos Estados-Membros, da rede de CSIRT, da ENISA, da CERT-UE, do Europol/EC3, do INTCEN, da célula de fusão da UE contra as ameaças híbridas, e do Grupo Horizontal das Questões do Ciberespaço do Conselho, no âmbito do processo IPCR. Pressupõe-se que os intervenientes devem atuar em conformidade com os procedimentos estabelecidos a nível da UE ou a nível nacional. É essencial referir que, como ilustrado na figura 1, independentemente da ativação dos mecanismos de gestão de crises da UE, as atividades a nível nacional, bem como a cooperação no âmbito da rede de CSIRT (quando necessária), ocorrem, durante qualquer incidente/crise, de acordo com os princípios da subsidiariedade e da proporcionalidade. ( 1 ) O Fundo de Resposta de Emergência para a Cibersegurança é uma ação proposta ao abrigo da comunicação conjunta «Resiliência, dissuasão e defesa: Reforçar a cibersegurança na UE», JOIN (2017) 450/1.

13 L 239/48 Figura 1 Resposta a incidentes/crises de cibersegurança a nível da UE Todas as atividades descritas a seguir devem ser realizadas em conformidade com os procedimentos operacionais normalizados/regras dos mecanismos de cooperação envolvidos e em linha com os mandatos e competências dos vários intervenientes e instituições. Estas regras/procedimentos podem necessitar de alguns aditamentos ou alterações a fim de alcançar a melhor cooperação possível e a eficácia de resposta a incidentes e crises de cibersegurança em grande escala. Nem todos os intervenientes a seguir apresentados podem ser obrigados a tomar medidas durante um determinado incidente. No entanto, o plano e os procedimentos operacionais normalizados pertinentes dos mecanismos de cooperação devem prever a sua eventual participação. Tendo em conta os diferentes graus de impacto na sociedade que um incidente ou crise de cibersegurança pode ter, obter um elevado grau de flexibilidade no que se refere à participação de intervenientes setoriais a todos os níveis e formular uma resposta adequada dependerão de atividades de atenuação de cariz cibernético e não cibernético. Gestão de crises de cibersegurança Integração da cibersegurança no processo IPCR O mecanismo IPCR, descrito nos PON do IPCR ( 1 ), segue sequencialmente as etapas descritas abaixo (a observância de algumas destas etapas dependerá da situação). São especificadas as atividades e intervenientes específicos em matéria de cibersegurança para cada etapa. Por razões de comodidade de leitura, em cada etapa, o texto dos PON do IPCR é seguido pelas atividades específicas do plano. Esta abordagem progressiva permite igualmente a identificação clara das lacunas existentes em termos de capacidades necessárias e de procedimentos que dificultam uma resposta eficaz às crises de cibersegurança. A figura 2 (abaixo ( 2 )) é uma representação gráfica do processo IPCR, na qual os novos elementos introduzidos estão assinalados a azul. ( 1 ) Documento 12607/15 «Procedimentos Operacionais Normalizados do IPCR», acordado pelo Grupo dos Amigos da Presidência e levado ao conhecimento do Coreper em outubro de ( 2 ) Está disponível, no apêndice, uma versão maior da figura.