RECOMENDAÇÃO DA COMISSÃO. de sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala

Transcrição

1 COMISSÃO EUROPEIA Bruxelas, C(2017) 6100 final RECOMENDAÇÃO DA COMISSÃO de sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala PT PT

2 RECOMENDAÇÃO DA COMISSÃO de sobre a resposta coordenada a incidentes e crises de cibersegurança em grande escala A COMISSÃO EUROPEIA, Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 292.º, Considerando o seguinte: (1) A utilização e a dependência de tecnologias da informação e comunicação tornaram-se características fundamentais de todos os setores de atividade económica, uma vez que as nossas empresas e os nossos cidadãos nunca estiveram tão interligados e dependentes de outros setores e países. Um incidente de cibersegurança suscetível de afetar organizações de mais do que um Estado-Membro, ou mesmo de toda a União, e de contribuir para perturbações graves no mercado interno e, de um modo mais geral, nas redes e sistemas de informação dos quais dependem a economia, a democracia e a sociedade da União, é um cenário para o qual os Estados-Membros e as instituições da UE têm de estar devidamente preparados. (2) Pode considerar-se que um incidente de cibersegurança é uma crise a nível da União quando as perturbações dele decorrentes são demasiado extensas para que um Estado- Membro afetado seja capaz de as resolver sozinho, ou quando o incidente afeta dois ou mais Estados-Membros, causando um impacto de tão grande alcance, com repercussões a nível técnico e político, que exija uma coordenação e uma resposta a nível político da União. (3) Os incidentes de cibersegurança podem desencadear uma crise de maior dimensão, afetando setores de atividade além das redes e sistemas de informação e das redes de comunicação; qualquer resposta adequada deve assentar em atividades de atenuação a nível cibernético e a outros níveis. (4) Os incidentes de cibersegurança são imprevisíveis, ocorrem e evoluem, frequentemente, num curto espaço de tempo, pelo que as entidades afetadas e os responsáveis pela reação e atenuação dos efeitos do incidente devem coordenar rapidamente as suas ações de resposta. Além disso, muitas vezes os incidentes de cibersegurança não se confinam a uma área geográfica específica, podendo ocorrer em simultâneo ou propagar-se imediatamente por vários países. (5) Uma resposta efetiva a incidentes e crises de cibersegurança em grande escala a nível da UE exige a cooperação rápida e eficaz entre todas as partes interessadas pertinentes e depende do estado de preparação e das capacidades de cada Estado-Membro, bem como de uma ação conjunta coordenada, apoiada por recursos da União. Por conseguinte, a prontidão e a eficácia da resposta a incidentes dependem da existência de procedimentos e mecanismos de cooperação previamente estabelecidos e, tanto quanto possível, devidamente ensaiados, que definam claramente as competências e as responsabilidades dos principais intervenientes a nível nacional e da União. PT 2 PT

3 (6) Nas suas conclusões 1 sobre a proteção das infraestruturas críticas da informação, de 27 de maio de 2011, o Conselho convida os Estados-Membros da União Europeia a que «reforcem a cooperação entre os Estados-Membros e contribuam, com base nas experiências e resultados obtidos a nível nacional em matéria de gestão de crises e em colaboração com a ENISA, para o desenvolvimento de mecanismos de cooperação sobre incidentes a testar no âmbito do próximo exercício de cibersegurança europeia (CyberEuropa) em 2012». (7) A comunicação de 2016 intitulada «Reforçar o sistema de ciber-resiliência da Europa e promover uma indústria de cibersegurança competitiva e inovadora» 2 incentiva os Estados-Membros a tirarem o máximo partido dos mecanismos de cooperação previstos na Diretiva SRI 3 e a reforçarem a cooperação transfronteiriça relacionada com a preparação para ciberincidentes em grande escala. Além disso, acrescenta que uma abordagem coordenada para a cooperação em situações de crise entre os diversos elementos do ecossistema da cibersegurança, a definir num «plano de ação», deverá melhorar o estado de preparação, e que esse plano deverá igualmente assegurar a criação de sinergias e a coerência com os atuais mecanismos de gestão de crises. (8) Nas conclusões do Conselho 4 sobre a comunicação acima referida, os Estados- Membros instaram a Comissão a apresentar esse plano de ação para apreciação pelos órgãos competentes e por outras partes interessadas pertinentes. No entanto, a Diretiva SRI não prevê um quadro de cooperação da União em caso de incidentes e crises de cibersegurança em grande escala. (9) A Comissão ouviu os Estados-Membros em dois seminários de consulta distintos realizados em Bruxelas, em 5 de abril e 4 de julho de 2017, com a presença de representantes dos Estados-Membros oriundos das equipas de resposta a incidentes de segurança informática (CSIRT), do grupo de cooperação criado pela Diretiva SRI e do Grupo Horizontal das Questões do Ciberespaço do Conselho, bem como de representantes do Serviço Europeu para a Ação Externa (SEAE), da ENISA, do Centro Europeu da Cibercriminalidade (EC3) da Europol e do Secretariado-Geral do Conselho (SGC). (10) O presente plano de ação para uma resposta coordenada a incidentes e crises de cibersegurança em grande escala a nível da União, que consta do anexo da presente recomendação, é o resultado das consultas acima referidas e complementa a comunicação «Reforçar o sistema de ciber-resiliência da Europa e promover uma indústria de cibersegurança competitiva e inovadora». (11) O plano descreve e define os objetivos e as formas de cooperação entre os Estados- Membros e as instituições, organismos, gabinetes e agências da UE (a seguir designadas por «instituições da UE»), com vista a dar resposta a incidentes e crises de cibersegurança em grande escala e esclarecer como os atuais mecanismos de gestão de crises podem aproveitar plenamente as entidades responsáveis em matéria de cibersegurança existentes a nível da UE Conclusões do Conselho sobre a proteção das infraestruturas críticas da informação «Realizações e próximas etapas: para uma cibersegurança global», documento 10299/11, Bruxelas, de 27 de maio de COM(2016) 410 final, de 5 de julho de Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União. Documento 14540/16, de 15 de novembro de PT 3 PT

4 (12) Na resposta a uma crise de cibersegurança, na aceção do considerando 2, a coordenação a nível político da União, no Conselho, deverá fazer uso do Mecanismo Integrado da UE de Resposta Política a Situações de Crise (IPCR) 5 ; a Comissão utilizará o sistema de alto nível para a coordenação de crises transetoriais, ARGUS 6. Se a crise implicar uma dimensão externa ou a nível da política comum de segurança e defesa (PCSD) relevante, será ativado o mecanismo de resposta a situações de crise (CRM) do Serviço Europeu para a Ação Externa (SEAE) 7. (13) Em determinados domínios, os mecanismos de gestão de crises setoriais a nível da UE preveem a cooperação em caso de incidentes ou crises de cibersegurança. A título de exemplo, no quadro do sistema global de navegação por satélite (GNSS) europeu, a Decisão 2014/496/PESC do Conselho, de 22 de julho de 2014, sobre os aspetos da exploração do sistema europeu de radionavegação por satélite que afetam a segurança da União Europeia já define as competências respetivas do Conselho, do Alto Representante, da Comissão, da Agência do GNSS Europeu e dos Estados-Membros no âmbito da cadeia de responsabilidades operacionais criada para reagir a uma ameaça para a União, os Estados-Membros ou o GNSS, incluindo no caso de ciberataques. Por conseguinte, a presente recomendação não deve prejudicar esses mecanismos. (14) Os Estados-Membros são os principais responsáveis pela resposta a incidentes ou crises de cibersegurança em grande escala que os afetem. A Comissão, o Alto Representante e outras instituições ou serviços da UE têm, no entanto, um papel importante que decorre do direito da União ou da possibilidade de os incidentes e crises de cibersegurança afetarem todos os setores da atividade económica no âmbito do mercado único, a segurança e as relações internacionais da União, bem como as próprias instituições. (15) A nível da União, os principais intervenientes envolvidos na resposta às crises de cibersegurança incluem as estruturas e os mecanismos recentemente criados ao abrigo da Diretiva SRI, nomeadamente a rede de equipas de resposta a incidentes de segurança informática (CSIRT), bem como as agências e organismos competentes, nomeadamente a Agência da União Europeia para a Segurança das Redes e da Informação (ENISA), o Centro Europeu da Cibercriminalidade (EC3) da Europol, o Centro de Análise de Informações da UE (INTCEN), a Direção de Informações do Estado-Maior (EMUE INT) e a Sala de Situação da UE, que trabalham em conjunto enquanto SIAC (Capacidade Única de Análise de Informações), a Célula de Fusão da UE contra as ameaças híbridas (com base no INTCEN), a Equipa de Resposta a Emergências Informáticas para as instituições e agências da UE (CERT-UE) e o Centro de Coordenação de Resposta de Emergência da Comissão Europeia. (16) A cooperação entre Estados-Membros na resposta a nível técnico a incidentes de cibersegurança é assegurada pela rede de CSIRT criada pela Diretiva SRI. A ENISA assegura os serviços de secretariado da rede e apoia ativamente a cooperação entre as CSIRT. As CSIRT nacionais e a CERT-UE cooperam e trocam informações, a título voluntário, incluindo, sempre que necessário, na resposta a incidentes de cibersegurança que afetem um ou mais Estados-Membros. A pedido de um Podem ser encontradas mais informações na secção 3.1. do apêndice sobre gestão de crises, mecanismos de cooperação e intervenientes a nível da UE. Ibidem. Ibidem. PT 4 PT

5 representante de uma CSIRT de um Estado-Membro, podem discutir e, se possível, definir uma resposta coordenada a um incidente identificado no âmbito da jurisdição desse Estado-Membro. Os procedimentos pertinentes serão definidos no âmbito dos procedimentos operacionais normalizados (PON) da rede CSIRT 8. (17) A rede de CSIRT está também incumbida de discutir, analisar e identificar outras formas de cooperação operacional, nomeadamente no que se refere às categorias de riscos e de incidentes, aos alertas rápidos, à assistência mútua, aos princípios e às formas de coordenação na resposta dos Estados-Membros a riscos e incidentes de dimensão transfronteiriça. (18) O grupo de cooperação criado pelo artigo 11.º da Diretiva SRI está incumbido de fornecer orientações estratégicas para as atividades da rede de CSIRT e de discutir as capacidades e o grau de preparação dos Estados-Membros e, numa base voluntária, avaliar as estratégias nacionais de segurança das redes e dos sistemas de informação e a eficácia das CSIRT, e identificar as boas práticas. (19) Uma vertente de trabalho específica no âmbito do grupo de cooperação é, nos termos do artigo 14.º, n.º 7, da Diretiva SRI, preparar orientações sobre a notificação de incidentes no que respeita às circunstâncias em que os operadores de serviços essenciais são obrigados a notificar incidentes, em conformidade com o artigo 14.º, n.º 3, e ao formato e procedimento para o envio dessas notificações 9. (20) A perceção e a compreensão da situação em tempo real, da exposição aos riscos e das ameaças, adquiridas por meio de relatórios, avaliações, estudos, investigação e análise, são fundamentais para permitir a tomada de decisões fundamentadas. Este «conhecimento da situação» por parte de todas as partes interessadas é essencial para assegurar uma resposta coordenada eficaz. O conhecimento da situação inclui elementos sobre as causas, bem como sobre o impacto e a origem do incidente. Reconhece-se que este conhecimento depende do intercâmbio e da partilha de informações entre as partes interessadas, num formato adequado, utilizando uma taxonomia comum para descrever o incidente com a segurança necessária. (21) A resposta a incidentes de cibersegurança pode assumir várias formas, que vão da identificação de medidas técnicas que podem implicar uma investigação conjunta, por duas ou mais entidades, das causas técnicas do incidente (por exemplo, análise de programas maliciosos), ou da identificação de formas pelas quais as organizações podem avaliar se foram afetadas (por exemplo, indicadores de comprometimento), às decisões operacionais sobre a aplicação dessas medidas e, a nível político, à decisão sobre a utilização de outros instrumentos, como o quadro para uma resposta conjunta a ciberatividades maliciosas 10 ou o protocolo operacional da UE contra as ameaças híbridas 11, em função do incidente em causa. (22) A confiança dos cidadãos europeus e das empresas europeias é essencial para a criação de um mercado único digital próspero. Por conseguinte, a comunicação em situações de crise assume um papel particularmente importante na atenuação dos efeitos negativos de incidentes e crises de cibersegurança. A comunicação pode igualmente Em elaboração; deverão ser adotados até ao final de As orientações deverão estar concluídas até ao final de Conclusões do Conselho sobre um quadro para uma resposta diplomática conjunta da UE às ciberatividades maliciosas («instrumentos de ciberdiplomacia»), documento 9916/17. Documento de trabalho conjunto dos serviços da Comissão «Protocolo operacional da UE para fazer face às ameaças híbridas, EU Playbook», SWD(2016) 227 final, de PT 5 PT

6 ser utilizada no contexto do quadro para uma resposta diplomática conjunta como meio para influenciar o comportamento de (potenciais) agressores que atuem a partir de países terceiros. Alinhar a comunicação pública para que atenue os efeitos negativos de incidentes e crises de cibersegurança e influencie agressores é essencial para a eficácia de uma resposta política. (23) A divulgação ao público de informações sobre a forma de reduzir, a nível organizacional e do utilizador, os efeitos de um incidente (por exemplo, instalando uma correção ou adotando ações complementares para evitar a ameaça, etc.) poderá constituir uma medida eficaz para reduzir os incidentes ou crises de cibersegurança em grande escala. (24) A Comissão, por intermédio da infraestrutura de serviços digitais em matéria de cibersegurança do Mecanismo Interligar a Europa (MIE), está a desenvolver um mecanismo de cooperação da plataforma de serviços de base, conhecido por MeliCERTes, entre as CSIRT dos Estados-Membros participantes, a fim de melhorar os respetivos níveis de preparação, cooperação e resposta a ciberameaças emergentes e a ciberincidentes. A Comissão está a cofinanciar as CSIRT dos Estados-Membros, por meio de convites à apresentação de propostas em regime de concurso para a atribuição de subvenções ao abrigo do MIE, com vista a melhorar as suas capacidades operacionais a nível nacional. (25) É essencial realizar exercícios de cibersegurança a nível da UE a fim de estimular e melhorar a cooperação entre os Estados-Membros e o setor privado. Para este efeito, a ENISA organiza regularmente, desde 2010, exercícios pan-europeus de simulação de ciberincidentes («Cyber Europe»). (26) As conclusões do Conselho 12 sobre a implementação da Declaração Conjunta do Presidente do Conselho Europeu, do Presidente da Comissão Europeia e do Secretário- Geral da Organização do Tratado do Atlântico Norte, apelam para o reforço da cooperação nos ciberexercícios através da participação recíproca do pessoal nos respetivos exercícios, incluindo, em especial, no Cyber Coalition e no Cyber Europe. (27) O cenário de ameaças em constante evolução e os recentes incidentes de cibersegurança são um indício do risco crescente enfrentado pela União, pelo que os Estados-Membros devem agir de acordo com a presente recomendação, sem demora e o mais tardar até ao final de 2018, ADOTOU A PRESENTE RECOMENDAÇÃO: 1. Os Estados-Membros e as instituições da UE devem criar um quadro de resposta da UE a crises de cibersegurança que integre os objetivos e as formas de cooperação apresentados no plano de ação, de acordo com os princípios orientadores nele descritos. 2. O quadro de resposta da UE a crises de cibersegurança deve identificar, nomeadamente, os intervenientes, as instituições da UE e as autoridades dos Estados- Membros pertinentes, a todos os níveis necessários, ou seja, técnico, operacional, estratégico e político, e estabelecer, sempre que necessário, procedimentos operacionais normalizados que definam as formas de cooperação no contexto dos mecanismos de gestão de crises da UE. Deve ser atribuído especial relevo ao 12 ST 15283/16, de 6 de dezembro de PT 6 PT

7 intercâmbio de informações sem demoras injustificadas e à coordenação da resposta durante a ocorrência de incidentes e crises de cibersegurança em grande escala. 3. Para o efeito, as autoridades competentes dos Estados-Membros devem trabalhar em conjunto no sentido de especificarem melhor os protocolos de cooperação e de partilha de informações. O grupo de cooperação deve proceder ao intercâmbio de experiências sobre estas questões com instituições da UE pertinentes. 4. Os Estados-Membros devem assegurar que os respetivos mecanismos nacionais de gestão de crises respondem de forma adequada aos incidentes de cibersegurança e preveem os procedimentos necessários para a cooperação a nível da UE no âmbito do quadro da UE. 5. No que se refere aos atuais mecanismos de gestão de crises da UE, em consonância com o plano de ação, os Estados-Membros devem, juntamente com os serviços da Comissão e o SEAE, estabelecer orientações práticas de execução no que se refere à integração das respetivas entidades e procedimentos nacionais em matéria de cibersegurança e de gestão de crises com os atuais mecanismos de gestão de crises da UE, nomeadamente o IPCR e o mecanismo de resposta a situações de crise (CRM) do SEAE. Em especial, os Estados-Membros devem assegurar a existência de estruturas adequadas que permitam um fluxo eficaz de informações entre as respetivas autoridades nacionais de gestão de crises e os seus representantes a nível da UE, no âmbito dos mecanismos europeus de gestão de crises. 6. Os Estados-Membros devem aproveitar plenamente as oportunidades oferecidas pelo programa de infraestruturas de serviços digitais (ISD) em matéria de cibersegurança, no âmbito do Mecanismo Interligar a Europa (MIE), e colaborar com a Comissão no sentido de garantir que o mecanismo de cooperação da plataforma de serviços de base, atualmente em desenvolvimento, oferece as funcionalidades necessárias e satisfaz também as suas necessidades de cooperação no decurso de crises de cibersegurança. 7. Os Estados-Membros, com o apoio da ENISA e com base em anteriores trabalhos neste domínio, devem cooperar na elaboração e adoção de uma taxonomia comum e de modelos para os relatórios de situação que permitam descrever as causas técnicas e os impactos dos incidentes de cibersegurança de modo a reforçar a sua cooperação técnica e operacional no decurso de situações de crise. A este respeito, os Estados- Membros devem ter em conta os trabalhos em curso no âmbito do grupo de cooperação sobre orientações relativas à notificação de incidentes e, em especial, aos aspetos relacionados com o formato das notificações nacionais. 8. Os procedimentos previstos no quadro devem ser ensaiados e, se necessário, revistos na sequência dos ensinamentos retirados da participação dos Estados-Membros em exercícios de cibersegurança a nível nacional, regional e da União, bem como em exercícios promovidos no âmbito da ciberdiplomacia e da NATO. Em particular, devem ser ensaiados no contexto dos exercícios Cyber Europe, organizados pela ENISA. O Cyber Europe 2018 constitui uma primeira oportunidade para tal. PT 7 PT

8 9. Os Estados-Membros e as instituições da UE devem treinar regularmente a sua resposta a crises e incidentes de cibersegurança em grande escala a nível nacional e europeu, incluindo a sua resposta política, sempre que necessário, e com a participação de entidades do setor privado, se for caso disso. Feito em Bruxelas, em Pela Comissão Mariya GABRIEL Membro da Comissão PT 8 PT