Cibersegurança

20-11-2024

Regulamento de Ciber-Resiliência

Medidas destinadas a garantir um elevado nível comum de cibersegurança na União
Produtos importantes e críticos com elementos digitais

(1) Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho, de 23 de outubro de 2024, relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais e que altera os Regulamentos (UE) n.° 168/2013 e (UE) 2019/1020 e a Diretiva (UE) 2020/1828 (Regulamento de Ciber-Resiliência) (Texto relevante para efeitos do EEE) [PE/100/2023/REV/1]. JO L, 2024/2847, 20.11.2024, pp. 1-81. Versão consolidada atual: 20/11/2024

► REGRAS DE EXECUÇÃO previstas no Regulamento de Execução (UE) 2024/482 da Comissão, de 31 de janeiro.

(2) Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (Texto relevante para efeitos do EEE) [PE/86/2018/REV/1]. JO L 151 de 7.6.2019, pp. 15-69. Versão consolidada atual: 04/02/2025

(3) Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.º 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (Texto relevante para efeitos do EEE) [PE/32/2022/REV/2]. JO L 333 de 27.12.2022, p. 80-152.

(4) Regulamento de Execução (UE) 2024/482 da Comissão, de 31 de janeiro de 2024, que estabelece regras de execução do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho no respeitante à adoção do sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns (EUCC) [C/2024/560]. JO L, 2024/482, 07.02.2024, pp. 1-45. Versão consolidada atual: 08/01/2025

(5) Regulamento de Execução (UE) 2025/2392 da Comissão, de 28 de novembro de 2025, relativo à descrição técnica das categorias de produtos importantes e críticos com elementos digitais nos termos do Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho [C/2025/8052]. JO L, 2025/2392, 1.12.2025, pp. 1-11.

/////////////////////////////////////////////////////////////////////////////////////////////////

LEGISLAÇÃO, PROCEDIMENTOS E REGULAMENTAÇÃO

^01-12-2025

Produtos importantes e críticos com elementos digitais

Descrição técnica das categorias

(1) Regulamento de Execução (UE) 2025/2392 da Comissão, de 28 de novembro de 2025, relativo à descrição técnica das categorias de produtos importantes e críticos com elementos digitais nos termos do Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho [C/2025/8052]. JO L, 2025/2392, 1.12.2025, pp. 1-11.

Considerandos (1) a (9),

ADOTOU O PRESENTE REGULAMENTO:

Artigo 1.º

Definições

Para efeitos do presente regulamento, entende-se por:

1) «Critérios Comuns», os Critérios Comuns para a Avaliação da Segurança das Tecnologias da Informação, tal como definidos no artigo 2.º, n.º 1, do Regulamento de Execução (UE) 2024/482 ou estabelecidos nas normas referidas no artigo 3.º, n.º 2, alíneas a) e b), desse regulamento de execução;

2) «Metodologia Comum de Avaliação», a Metodologia Comum para a Avaliação da Segurança das Tecnologias da Informação, tal como definida no artigo 2.º, n.º 2, do Regulamento de Execução (UE) 2024/482 ou estabelecida nas normas referidas no artigo 3.º, n.º 2, alíneas c) e d), desse regulamento de execução.

Artigo 2.º

1. A descrição técnica das categorias de produtos com elementos digitais das classes I e II enumeradas no anexo III do Regulamento (UE) 2024/2847 é estabelecida no anexo I do presente regulamento.

2. A descrição técnica das categorias de produtos com elementos digitais enumeradas no anexo IV do Regulamento (UE) 2024/2847 é estabelecida no anexo II do presente regulamento.

Artigo 3.º

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

ANEXO I

PRODUTOS IMPORTANTES COM ELEMENTOS DIGITAIS

Classe I

Categoria de produtos

Descrição técnica

1.	Sistemas de gestão de identidade e software e hardware de gestão de acesso privilegiado, nomeadamente leitores de autenticação e controlo do acesso, incluindo leitores biométricos

Os sistemas de gestão de identidade são produtos com elementos digitais que disponibilizam mecanismos de autenticação ou autorização e que podem também disponibilizar mecanismos para a gestão do ciclo de vida das credenciais de identidade de pessoas singulares, pessoas coletivas, dispositivos ou sistemas, como o registo, a disponibilização, a manutenção e o cancelamento do registo de identidade. Estes sistemas incluem sistemas de gestão de acesso que controlam o acesso de pessoas singulares, pessoas coletivas, dispositivos ou sistemas a recursos digitais ou a locais físicos.

O software de gestão de acesso privilegiado é um sistema de gestão de acesso que controla e monitoriza os direitos de acesso a sistemas de tecnologia informática ou operacional e a informações sensíveis dentro de uma organização, incluindo sistemas que aplicam políticas diferenciadas de controlo do acesso para utilizadores privilegiados.

Esta categoria inclui, entre outros, os leitores de autenticação e controlo de acesso, os leitores biométricos, o software de autenticação única, o software de gestão de identidade federado, o software de senha de utilização única, os dispositivos de autenticação de hardware, como geradores de códigos de autorização da transação, o software de autenticação e o software de autenticação multifatores.

2.	Navegadores autónomos e incorporados

Produtos de software com elementos digitais que permitem aos utilizadores finais aceder, transmitir e interagir com conteúdos e serviços Web alojados em servidores ligados a redes como a Internet. Normalmente, incluem um motor de navegação para interpretação e visualização de conteúdos escritos em linguagem de marcação (por exemplo, HTML), apoio a protocolos Web (por exemplo, HTTP, HTTPS), a capacidade de executar scripts e gerir as entradas dos utilizadores, bem como o armazenamento de dados temporários ou persistentes de sítios Web (testemunhos de conexão).

Esta categoria inclui, entre outros, as aplicações autónomas que desempenham as funções de navegadores, os navegadores incorporados destinados à integração noutro sistema ou aplicação, bem como os navegadores com integração de agentes de IA.

3.	Gestores de senhas

Produtos com elementos digitais que armazenam senhas, localmente num dispositivo ou num servidor remoto, incluindo atividades como a geração de senhas, a partilha de senhas e a integração com aplicações locais ou de terceiros para a utilização de senhas.

Esta categoria inclui, entre outros, os gestores de senhas locais, os gestores de senhas disponibilizados como extensões do navegador, os gestores de senhas empresariais, bem como os gestores de senhas baseados em hardware.

4.	Software de pesquisa, remoção ou colocação em quarentena de software malicioso

Produtos de software com elementos digitais, geralmente designados por antivírus ou antimalware, que detetam ou pesquisam software ou código malicioso em dispositivos, ou que removem ou colocam em quarentena esse software ou código para manter a integridade, a confidencialidade ou a disponibilidade desses dispositivos.

No contexto desta categoria de produtos, entende-se por software malicioso aquele que contém funcionalidades ou capacidades mal-intencionadas que podem causar danos, direta ou indiretamente, ao utilizador e/ou ao sistema informático, tais como vírus, vermes, software de sequestro, software espião e cavalos de Troia.

Esta categoria inclui, entre outros, o software que deteta ou pesquisa software malicioso em tempo real ou manualmente, software de deteção de dissimuladores de atividade e discos de recuperação com a funcionalidade central de pesquisa, remoção ou colocação em quarentena de software malicioso.

5.	Produtos com elementos digitais com a função de rede privada virtual (VPN)

Produtos com elementos digitais que estabelecem um túnel lógico encriptado, criado a partir dos recursos do sistema de uma rede física ou virtual.

Esta categoria inclui, entre outros, os clientes de redes privadas virtuais, os servidores de redes privadas virtuais e os pontos de acesso às redes privadas virtuais.

6.	Sistemas de gestão de rede

Produtos com elementos digitais que gerem elementos de rede conectados, como servidores, encaminhadores, comutadores, estações de trabalho, impressoras ou dispositivos móveis, monitorizando-os e controlando a sua configuração e operações de rede.

Esta categoria inclui, entre outros, os sistemas de gestão de ponta a ponta e os sistemas específicos de gestão de configuração, como os controladores para a ligação em rede definida por software.

7.	Sistemas de gestão de informações e eventos de segurança (SIEM)

Produtos com elementos digitais que recolhem dados de várias fontes, analisam e correlacionam esses dados e os apresentam como informações práticas para fins relacionados com a cibersegurança, como a deteção de ameaças e incidentes, a análise forense ou a conformidade.

8.	Gestores de arranque

Produtos de software com elementos digitais que gerem o processo de arranque inicial do sistema após a ligação/reinício, iniciando o hardware, carregando ou transferindo o controlo para o ambiente do sistema operativo ou para os recursos do sistema e selecionando opções de arranque.

Esta categoria inclui, entre outros, o firmware UEFI e os carregadores de arranque de uma e de várias fases.

9.	Infraestruturas de chaves públicas e software de emissão de certificados digitais

Produtos com elementos digitais utilizados como parte de uma infraestrutura de chaves públicas (ICP) que gerem a validação, criação, emissão, distribuição, publicação do estado, renovação ou revogação de certificados digitais, ou a geração, armazenamento, caução, troca, destruição ou rotação de chaves criptográficas associadas a esses certificados digitais.

Esta categoria inclui, entre outros, os sistemas de gestão de chaves, os sistemas de gestão de certificados digitais, os respondedores do protocolo de estado dos certificados em linha e as soluções ICP multifuncionais.

10.	Interfaces físicas e virtuais da rede

As interfaces físicas da rede são produtos com elementos digitais que ligam diretamente um dispositivo a uma rede através de uma interface de programação de aplicações (IPA) fornecida pelos controladores da interface, operando normalmente na camada de ligação de dados, e que incluem adaptadores de hardware para os meios de transmissão com firmware correspondente, operando normalmente na camada física e de ligação de dados.

As interfaces virtuais da rede são produtos com elementos digitais que ligam direta ou indiretamente um dispositivo a uma rede através de uma IPA que emula a dos controladores de interfaces físicas da rede, operando normalmente na camada de ligação de dados.

Esta categoria inclui, entre outros, as placas de rede com e sem fios, os controladores e adaptadores nomeadamente para Wi-Fi, Ethernet, IrDA, USB, Bluetooth, NearLink, Zigbee ou Fieldbus, bem como os produtos autónomos puramente virtuais, como as placas de rede virtuais, as interfaces de rede de contentores e as interfaces de VPN.

11.	Sistemas operativos

Produtos de software com elementos digitais que fornecem uma interface abstrata do hardware subjacente e controlam a execução do software, podendo prestar serviços como a gestão e a configuração dos recursos informáticos, a programação, o controlo de entrada/saída, a gestão de dados e a disponibilização de uma interface através da qual as aplicações interagem com os periféricos e os recursos do sistema.

Esta categoria inclui, entre outros, os sistemas operativos em tempo real, os sistemas operativos de aplicação geral e os sistemas operativos de aplicação específica.

12.	Encaminhadores, modems para ligação à Internet e comutadores

Os encaminhadores são produtos com elementos digitais que estabelecem e controlam o fluxo de dados entre diferentes redes, através da seleção de vias ou itinerários com mecanismos e algoritmos de protocolo de encaminhamento, operando normalmente na camada de rede.

Esta categoria inclui, entre outros, os encaminhadores com e sem fios, os encaminhadores virtuais e os encaminhadores com ou sem modems.

Os modems destinados à ligação à Internet são produtos de hardware com elementos digitais que utilizam técnicas de modulação e desmodulação digitais para converter sinais analógicos de e para sinais digitais para comunicações baseadas no IP.

Esta categoria inclui, entre outros, os modems de fibra ótica, os modems de linha de assinante digital (DSL), os modems de cabo (DOCSIS), os modems de satélite e os modems celulares.

Os comutadores são produtos com elementos digitais que asseguram a conectividade entre os dispositivos ligados em rede através de mecanismos de encaminhamento de pacotes e que possuem um plano de gestão, implementado normalmente na camada de ligação de dados ou de rede.

Esta categoria inclui, entre outros, os comutadores geridos, os comutadores inteligentes, os comutadores multicamadas, os comutadores de segurança virtual, os comutadores programáveis para redes definidas por software e as pontes, como os pontos de acesso sem fios.

13.	Microprocessadores com funcionalidades relacionadas com a cibersegurança

Produtos com elementos digitais que são circuitos integrados e que desempenham funções de processamento central assentes em memória externa e periféricos, incluindo microcódigo e outro firmware de baixo nível. Além disso, proporcionam funcionalidades relacionadas com a cibersegurança, como a encriptação, a autenticação, o armazenamento seguro de chaves, a geração de números aleatórios, o ambiente de execução de confiança ou outros mecanismos de proteção baseados em hardware que visam proteger outros produtos, redes ou serviços para além do próprio microprocessador, como a cadeia de arranque seguro, a virtualização ou as interfaces de comunicação seguras.

14.	Microcontroladores com funcionalidades relacionadas com a cibersegurança

Produtos com elementos digitais que são circuitos integrados que desempenham funções de processamento central com memória integrada que permite que o microcontrolador seja programável e, normalmente, também outros periféricos, como o microcódigo e outro firmware de baixo nível. Além disso, proporcionam funcionalidades relacionadas com a cibersegurança, como a encriptação, a autenticação, o armazenamento seguro de chaves, a geração de números aleatórios, o ambiente de execução de confiança ou outros mecanismos de proteção baseados em hardware que visam proteger outros produtos, redes ou serviços para além do próprio microcontrolador, como a cadeia de arranque seguro, a virtualização ou as interfaces de comunicação seguras.

15.	Circuitos integrados de aplicação específica (ASIC) e redes de portas lógicas programáveis (FPGA) com funcionalidades relacionadas com a cibersegurança

Os circuitos integrados de aplicação específica (ASIC) com funcionalidades relacionadas com a cibersegurança são produtos com elementos digitais que são circuitos integrados, total ou parcialmente personalizados para desempenhar uma função específica ou implementar uma aplicação específica, incluindo microcódigo e outro firmware de baixo nível. Além disso, proporcionam funcionalidades relacionadas com a cibersegurança, como a encriptação, a autenticação, o armazenamento seguro de chaves, a geração de números aleatórios, o ambiente de execução de confiança ou outros mecanismos de proteção baseados em hardware que visam proteger outros produtos, redes ou serviços para além dos próprios ASIC, como a cadeia de arranque seguro, a virtualização ou as interfaces de comunicação seguras.

As redes de portas lógicas programáveis (FPGA) com funcionalidades relacionadas com a cibersegurança são produtos com elementos digitais que são circuitos integrados caracterizados por uma matriz de blocos lógicos configuráveis concebidos para serem reprogramáveis após o fabrico para executar uma função específica ou implementar uma aplicação específica, incluindo microcódigo e outro firmware de baixo nível. Além disso, proporcionam funcionalidades relacionadas com a cibersegurança, como a encriptação, a autenticação, o armazenamento seguro de chaves, a geração de números aleatórios, o ambiente de execução de confiança ou outros mecanismos de proteção baseados em hardware que visam proteger outros produtos, redes ou serviços para além das próprias FPGA, como a cadeia de arranque seguro, a virtualização ou as interfaces de comunicação seguras.

16.	Assistentes virtuais de uso geral para residências inteligentes

Produtos com elementos digitais que comunicam na Internet pública, diretamente ou através de outros equipamentos, que processam tarefas, perguntas ou pedidos baseados em instruções de linguagem natural, como entradas em formato áudio ou escrito, e que, com base nessas tarefas, perguntas ou pedidos, proporcionam acesso a outros serviços ou controlam as funções de dispositivos conectados em contextos residenciais.

Esta categoria inclui, entre outros, as colunas inteligentes com um assistente virtual integrado e os assistentes virtuais autónomos que correspondam a esta descrição.

17.	Produtos domésticos inteligentes com funcionalidades de segurança, incluindo fechaduras inteligentes, câmaras de segurança, sistemas de monitorização de bebés e sistemas de alarme

Produtos com elementos digitais que protegem a segurança física dos consumidores num contexto residencial e que podem ser controlados ou geridos remotamente a partir de outros sistemas, bem como hardware e software capazes de controlar centralmente esses produtos.

Esta categoria inclui, entre outros, os dispositivos inteligentes de fecho de portas, os sistemas de monitorização de bebés, os sistemas de alarme e as câmaras de segurança residencial.

18.	Brinquedos ligados à Internet, abrangidos pela Diretiva 2009/48/CE do Parlamento Europeu e do Conselho (1), com características sociais interativas (por exemplo, que falam ou filmam) ou que têm características de localização

Os brinquedos ligados à Internet com características sociais interativas são produtos com elementos digitais abrangidos pela Diretiva 2009/48/CE, que comunicam na Internet pública, diretamente ou através de qualquer outro equipamento, e que dispõem de tecnologias incorporadas que permitem a comunicação de entrada e saída, como teclados, microfones, colunas ou câmaras.

Os brinquedos ligados à Internet com características de localização são produtos com elementos digitais abrangidos pela Diretiva 2009/48/CE, que comunicam na Internet pública, diretamente ou através de qualquer outro equipamento, e que dispõem de tecnologias que permitem rastrear ou inferir a localização geográfica do brinquedo ou do seu utilizador. Quando o brinquedo se limita a detetar a proximidade do utilizador ou de outros brinquedos utilizando tecnologias de deteção, considera-se que o brinquedo não tem características de localização.

19.

Produtos pessoais usáveis, para usar ou colocar no corpo humano, destinados à monitorização do estado de saúde (p. ex., rastreio) e aos quais não se aplicam o Regulamento (UE) 2017/745 (2) ou (UE) 2017/746 (3) do Parlamento Europeu e do Conselho, ou produtos pessoais usáveis, a utilizar por crianças ou a estas destinados

Os produtos pessoais usáveis, para usar ou colocar no corpo humano, destinados à monitorização do estado de saúde são produtos com elementos digitais usados diretamente no corpo ou através de vestuário ou acessórios e que podem, de forma regular ou contínua, detetar e processar informações, incluindo métricas corporais pertinentes para a saúde do utilizador, excluindo os produtos abrangidos pelo âmbito de aplicação do Regulamento (UE) 2017/745 ou do Regulamento (UE) 2017/746.

Esta categoria inclui, entre outros, os monitores de atividade física, os relógios inteligentes, os adornos inteligentes, o vestuário inteligente e o equipamento desportivo que correspondam a esta descrição.

Os produtos pessoais usáveis, a utilizar por crianças ou a estas destinados são produtos com elementos digitais que podem ser usados ou colocados no corpo, diretamente ou através de vestuário ou acessórios, de pessoas com menos de 14 anos.

Esta categoria inclui, entre outros, os dispositivos de segurança usáveis para crianças.

Classe II

Categoria de produtos

Descrição técnica

1.	Hipervisores e sistemas container runtime que permitam a execução virtualizada de sistemas operativos e ambientes semelhantes

Os hipervisores são produtos de software com elementos digitais que asseguram a abstração e/ou a atribuição de recursos informáticos e permitem a execução, gestão e orquestração de máquinas virtuais que estão logicamente separadas entre si e/ou do hardware físico. Os hipervisores podem funcionar diretamente em hardware (bare metal), em complemento de um sistema operativo, ou no interior de outra máquina virtual (virtualização aninhada).

No contexto desta categoria de produtos, uma máquina virtual é uma separação lógica definida pelo software de um ambiente informático, que inclui um conjunto virtualizado de recursos de hardware (por exemplo, CPU, memória, armazenamento, interfaces de rede) e geralmente aloja o seu próprio sistema operativo.

Esta categoria inclui, entre outros, os hipervisores de tipo 1 (bare metal), os hipervisores de tipo 2 (alojados num sistema operativo) e os hipervisores híbridos.

Os sistemas container runtime são produtos de software com elementos digitais que gerem a execução e o ciclo de vida dos contentores que funcionam num único sistema operativo anfitrião enquanto processos isolados, atribuindo recursos e permitindo a gestão e a orquestração de contentores individuais.

No contexto desta categoria de produtos, um contentor é um ambiente de execução baseado em software que encerra um ou mais componentes de software e as suas dependências num único pacote, permitindo-lhe funcionar de forma independente e coerente.

2.	Barreiras de segurança, sistemas de deteção e prevenção de intrusões

As barreiras de segurança são produtos com elementos digitais que protegem um sistema ou rede conectados contra o acesso não autorizado através da monitorização e restrição do tráfego de comunicações de dados de e para essa rede.

Esta categoria inclui, entre outros, as barreiras de segurança da rede e as barreiras de segurança das aplicações, como filtros ou barreiras de segurança de aplicações Web e os pontos de acesso contra o correio eletrónico não solicitado.

Os sistemas de deteção de intrusões são produtos com elementos digitais que monitorizam o tráfego assim que entra no ambiente de rede para localizar atividades suspeitas e detetam ou identificam que foi tentada, está a ocorrer ou já ocorreu uma intrusão num sistema ou rede conectados.

Esta categoria inclui, entre outros, os sistemas de deteção de intrusões baseados na rede e os sistemas de deteção de intrusões baseados no anfitrião.

Os sistemas de prevenção de intrusões são produtos com elementos digitais compostos por um sistema de deteção de intrusões que responde ativamente a uma intrusão num sistema ou rede conectados.

Esta categoria inclui, entre outros, os sistemas de prevenção de intrusões baseados na rede e os sistemas de prevenção de intrusões baseados no anfitrião.

3.	Microprocessadores invioláveis

Produtos com elementos digitais que sejam microprocessadores com funcionalidades relacionadas com a cibersegurança referidos no quadro «Classe I», ponto 13, do presente anexo, incluindo provas de manipulação, resistência ou resposta, e que, adicionalmente, sejam concebidos para proporcionar proteção de nível AVA_VAN 2 ou 3, tal como estabelecido nos Critérios Comuns e na Metodologia Comum de Avaliação.

4.	Microcontroladores invioláveis

Produtos com elementos digitais que sejam microprocessadores com funcionalidades relacionadas com a cibersegurança referidos no quadro «Classe I», ponto 14, do presente anexo, incluindo provas de manipulação, resistência ou resposta, e que, adicionalmente, sejam concebidos para proporcionar proteção de nível AVA_VAN 2 ou 3, tal como estabelecido nos Critérios Comuns e na Metodologia Comum de Avaliação.

ANEXO II

PRODUTOS CRÍTICOS COM ELEMENTOS DIGITAIS

Categoria de produtos

Descrição técnica

1.	Dispositivos de hardware com caixas de segurança

Produtos de hardware com elementos digitais que armazenam, processam ou gerem, de forma segura, dados sensíveis ou realizam operações criptográficas, sendo compostos por múltiplos componentes discretos, incorporando um invólucro físico de hardware que fornece provas de manipulação, resistência ou resposta como contramedidas contra ataques físicos.

Esta categoria inclui, entre outros, os terminais físicos de pagamento, os módulos de segurança de hardware que geram e gerem elementos criptográficos e tacógrafos que correspondam à descrição acima.

Pontos de acesso para contadores inteligentes no âmbito de sistemas de contadores inteligentes, conforme definidos no artigo 2.o, ponto 23, da Diretiva (UE) 2019/944 do Parlamento Europeu e do Conselho (1), e outros dispositivos para fins avançados de segurança, incluindo o criptoprocessamento seguro

Os pontos de acesso para contadores inteligentes são produtos com elementos digitais que controlam a comunicação entre componentes integrados ou ligados a sistemas de contadores inteligentes, na aceção do artigo 2.o, n.o 23, da Diretiva (UE) 2019/944, e terceiros autorizados, como prestadores de serviços públicos. Os pontos de acesso para contadores inteligentes recolhem, processam e armazenam dados do contador ou dados pessoais, protegem os fluxos de dados e informações através do apoio a necessidades criptográficas específicas, como a encriptação e a desencriptação de dados, incorporam funcionalidades de barreira de segurança e proporcionam os meios para controlar outros dispositivos.

Esta categoria inclui, entre outros, os pontos de acesso para contadores inteligentes associados a sistemas de contadores inteligentes que medem a eletricidade, na aceção do artigo 2.o, n.o 23, da Diretiva (UE) 2019/944. Pode também incluir pontos de acesso para contadores inteligentes utilizados noutros sistemas de contadores inteligentes que meçam o consumo de outras fontes de energia como o gás ou o calor, desde que o ponto de acesso corresponda a esta descrição.

3.	Cartões inteligentes ou dispositivos semelhantes, incluindo elementos seguros

Os elementos seguros são microcontroladores ou microprocessadores com funcionalidades relacionadas com a cibersegurança e que incluem provas de manipulação, resistência ou resposta. Normalmente, armazenam, processam ou gerem operações criptográficas ou dados sensíveis, como credenciais de identidade ou credenciais de pagamento. Os elementos seguros são concebidos para assegurar a proteção de, pelo menos, nível AVA_VAN.4, tal como estabelecido nos Critérios Comuns ou na Metodologia Comum de Avaliação. Podem ser silício discreto ou estar integrados em sistemas num chipe (SoC). Os elementos seguros podem integrar um ambiente de aplicação ou um sistema operativo e incluir uma ou mais aplicações.

Esta categoria inclui, entre outros, os módulos de plataformas de confiança e o cartão de circuito integrado universal embutido.

Os cartões inteligentes ou dispositivos semelhantes são elementos seguros integrados num material de suporte, como plástico ou madeira, com a forma de um cartão, ou elementos seguros integrados em materiais de suporte com outras formas.

Esta categoria inclui, entre outros, os documentos de identidade e de viagem, os cartões de assinatura qualificados, os cartões de circuito integrado universais substituíveis, os cartões de pagamento físicos, os cartões de acesso físicos, os cartões tacográficos digitais ou as braceletes de pulso com elementos seguros integrados para pagamento.

(2) Diretiva 2009/48/CE do Parlamento Europeu e do Conselho, de 18 de junho de 2009, relativa à segurança dos brinquedos (JO L 170 de 30.6.2009, p. 1, ELI: http://data.europa.eu/eli/dir/2009/48/oj).

(3) Regulamento (UE) 2017/745 do Parlamento Europeu e do Conselho, de 5 de abril de 2017, relativo aos dispositivos médicos, que altera a Diretiva 2001/83/CE, o Regulamento (CE) n.º 178/2002 e o Regulamento (CE) n.º 1223/2009 e que revoga as Diretivas 90/385/CEE e 93/42/CEE do Conselho (JO L 117 de 5.5.2017, p. 1, ELI: http://data.europa.eu/eli/reg/2017/745/oj).

(4) Regulamento (UE) 2017/746 do Parlamento Europeu e do Conselho, de 5 de abril de 2017, relativo aos dispositivos médicos para diagnóstico in vitro e que revoga a Diretiva 98/79/CE e a Decisão 2010/227/UE da Comissão (JO L 117 de 5.5.2017, p. 176, ELI: http://data.europa.eu/eli/reg/2017/746/oj).

(5) Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (Texto relevante para efeitos do EEE) [PE/86/2018/REV/1]. JO L 151 de 7.6.2019, pp. 15-69. Versão consolidada atual: 04/02/2025

► REGRAS DE EXECUÇÃO previstas no Regulamento de Execução (UE) 2024/482 da Comissão, de 31 de janeiro.

(6) Diretiva (UE) 2019/944 do Parlamento Europeu e do Conselho, de 5 de junho de 2019, relativa a regras comuns para o mercado interno da eletricidade e que altera a Diretiva 2012/27/UE (reformulação) (Texto relevante para efeitos do EEE) [PE/10/2019/REV/1]. JO L 158 de 14.6.2019, pp. 125-199. Versão consolidada atual: 12/10/2025

(7) Regulamento de Execução (UE) 2024/482 da Comissão, de 31 de janeiro de 2024, que estabelece regras de execução do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho no respeitante à adoção do sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns (EUCC) [C/2024/560]. JO L, 2024/482, 07.02.2024, pp. 1-45. Versão consolidada atual: 08/01/2025

(8) Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho, de 23 de outubro de 2024, relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais e que altera os Regulamentos (UE) n.° 168/2013 e (UE) 2019/1020 e a Diretiva (UE) 2020/1828 (Regulamento de Ciber-Resiliência) (Texto relevante para efeitos do EEE) [PE/100/2023/REV/1]. JO L, 2024/2847, 20.11.2024, pp. 1-81. Versão consolidada atual: 20/11/2024

^22-10-2025

Cibersegurança | Diretiva SRI 2

Agência da União Europeia para a Cibersegurança (ENISA) - Entidades essenciais e importantes - Registo de entidades

(1) Lei n.º 59/2025, de 22 de outubro / Assembleia da República. - Autoriza o Governo a transpor a Diretiva (UE) 2022/2555, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União. Diário da República. - Série I - n.º 204 (22-10-2025), p. 3-6.

(2) Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.º 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (Texto relevante para efeitos do EEE) [PE/32/2022/REV/2]. JO L 333 de 27.12.2022, p. 80-152.

► TRANSPOSIÇÃO até 17 de outubro de 2024 (Artigo 41.º)

^20-11-2024

^{Regulamento Ciber-Resiliência}

^{Produtos com elementos digitais}

^{Acesso a dados e a documentação}
^{Ações coletivas}
^{Ações de fiscalização conjuntas}
^{Administrador de software de código-fonte aberto}
^{Autoridades de fiscalização do mercado}
^{Certificado de segurança do software livre e de código-fonte aberto}
^Ciberameaça
^{Cibersegurança}
^{Conexão física}
^{Conexão lógica}
^{Confidencialidade}
^{CSIRT designada coordenadora}
^{Dados pessoais}
^{Disponibilização no mercado}
^{ENISA: carga de trabalho adicional}
^{Fabrico de produtos com elementos digitais}
^{Fiscalização do mercado e controlo dos produtos com elementos digitais no mercado da União}
^{Finalidade prevista}
^{Incidente com impacto na segurança de um produto com elementos digitais}
^{Lista de materiais do software}
^{Livre circulação}
^Mandatários
^{Marcação CE}
^{Obrigações dos distribuidores}
^{Obrigações dos fabricantes}
^{Obrigações dos importadores}
^{Operador económico: o fabricante, o mandatário, o importador, o distribuidor ou outra pessoa relacionada}
^{Período de apoio}
^{Procedimentos a nível nacional e a nível da União}
^{Quase incidente}
^Recolha
^Retirada
^{Risco de cibersegurança significativo}
^Sanções
^{Segurança geral dos produtos}
^{Sistemas de IA de risco elevado}
^{Sistema de informação eletrónico}
^{Software livre e de código-fonte aberto}
^{Tratamento remoto de dados}
^{Utilização indevida razoavelmente previsível}
^{Utilização razoavelmente previsível}
^{Vulnerabilidade passível de ser explorada}

^{(1) Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho, de 23 de outubro de 2024, relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais e que altera os Regulamentos (UE) n.° 168/2013 e (UE) 2019/1020 e a Diretiva (UE) 2020/1828 (Regulamento de Ciber-Resiliência) (Texto relevante para efeitos do EEE) [PE/100/2023/REV/1]. JO L, 2024/2847, 20.11.2024, pp. 1-81. Versão consolidada atual: 20/11/2024}

^{ELI: http://data.europa.eu/eli/reg/2024/2847/oj}
^{PDF: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=OJ:L_202402847}

^{Considerandos (1) a (130),}

^{ADOTARAM O PRESENTE REGULAMENTO:}

^{CAPÍTULO I}

^{DISPOSIÇÕES GERAIS}

^{Artigo 1.º}

^Objeto

^{O presente regulamento estabelece o seguinte:}

^{a) Regras para a disponibilização no mercado de produtos com elementos digitais, a fim de garantir a cibersegurança desses produtos;}

^{b) Requisitos essenciais de cibersegurança para a conceção, o desenvolvimento e a produção de produtos com elementos digitais e as obrigações dos operadores económicos em relação a esses produtos no que diz respeito à cibersegurança;}

^{c) Requisitos essenciais de cibersegurança para os processos de tratamento de vulnerabilidades aplicados pelos fabricantes de modo a garantir a cibersegurança dos produtos com elementos digitais durante o período de utilização prevista dos produtos, bem como as obrigações dos operadores económicos em relação a esses processos;}

^{d) Regras relativas à fiscalização do mercado, designadamente à supervisão, e à aplicação das regras e dos requisitos referidos no presente artigo.}

^{Artigo 2.º}

^{Âmbito de aplicação}

^{1. O presente regulamento é aplicável aos produtos com elementos digitais disponibilizados no mercado cuja finalidade prevista ou utilização razoavelmente previsível inclua uma conexão de dados lógica ou física, direta ou indireta, a um dispositivo ou a uma rede.}

^{2. O presente regulamento não é aplicável aos produtos com elementos digitais aos quais sejam aplicáveis os seguintes atos jurídicos da União:}

^{a) Regulamento (UE) 2017/745;}

^{b) Regulamento (UE) 2017/746;}

^{c) Regulamento (UE) 2019/2144.}

^{3. O presente regulamento não é aplicável aos produtos com elementos digitais que tenham sido certificados nos termos do Regulamento (UE) 2018/1139.}

^{4. O presente regulamento não é aplicável aos equipamentos abrangidos pelo âmbito de aplicação da Diretiva 2014/90/UE do Parlamento Europeu e do Conselho (36).}

^{5. A aplicação do presente regulamento aos produtos com elementos digitais abrangidos por outras regras da União que estabeleçam requisitos que deem resposta à totalidade ou a parte dos riscos abrangidos pelos requisitos essenciais de cibersegurança previstos no anexo I pode ser limitada ou excluída, se:}

^{a) Tal limitação ou exclusão for congruente com o regime regulamentar global aplicável a esses produtos; e}

^{b) As regras setoriais permitirem alcançar o mesmo nível de proteção que o previsto no presente regulamento ou um nível superior.}

^{A Comissão fica habilitada a adotar atos delegados nos termos do artigo 61.o de forma a completar o presente regulamento, especificando se tal limitação ou exclusão é necessária, os produtos e as regras em causa, bem como o âmbito da limitação, se for caso disso.}

^{6. O presente regulamento não se aplica às peças sobresselentes disponibilizadas no mercado para substituir componentes idênticos em produtos com elementos digitais e fabricadas de acordo com especificações iguais às dos componentes que se destinam a substituir.}

^{7. O presente regulamento não é aplicável a produtos com elementos digitais desenvolvidos ou alterados exclusivamente para fins de defesa ou de segurança nacional, nem a produtos especificamente concebidos para o tratamento de informações classificadas.}

^{8. As obrigações previstas no presente regulamento não implicam a prestação de informações cuja divulgação seja contrária aos interesses essenciais dos Estados-Membros no atinente à segurança nacional, à segurança pública ou à defesa.}

^(...)

^{CAPÍTULO VIII}

^{DISPOSIÇÕES TRANSITÓRIAS E FINAIS}

^{Artigo 66.º}

^{Alteração do Regulamento (UE) 2019/1020}

^{Ao anexo I do Regulamento (UE) 2019/1020, é aditado o seguinte ponto:}

^«72.

^{Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho (*1).}

^{Artigo 67.º}

^{Alteração da Diretiva (UE) 2020/1828}

^{Ao anexo I da Diretiva (UE) 2020/1828, é aditado o seguinte ponto:}

^«69)

^{Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho (*2).}

^Artigo 68.o

^{Alteração do Regulamento (UE) n.º 168/2013}

^{À parte C1, no quadro, do anexo II do Regulamento (UE) n.o 168/2013 do Parlamento Europeu e do Conselho (38), é aditada a seguinte entrada:}

^«

¹⁶

¹⁸

^{Proteção de veículos contra ataques cibernéticos}

^»

^{Artigo 71.º}

^{Entrada em vigor e aplicação}

^{1. O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.}

^{2. O presente regulamento é aplicável a partir de 11 de dezembro de 2027.}

^{Todavia, o artigo 14.º é aplicável a partir de 11 de setembro de 2026 e o capítulo IV (artigos 35.º a 51.º) é aplicável a partir de 11 de junho de 2026.}

^{O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.}

^{Feito em Estrasburgo, em 23 de outubro de 2024.}

^{Pelo Parlamento Europeu}
^{A Presidente}
^{R. METSOLA}

^{Pelo Conselho}
^{O Presidente}
^{ZSIGMOND B. P.}

^{(1) JO C 100 de 16.3.2023, p. 101.}

^{(2) Posição do Parlamento Europeu de 12 de março de 2024 (ainda não publicada no Jornal Oficial) e decisão do Conselho de 10 de outubro de 2024.}

^{(3) Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15).}

^{(4) Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.o 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (JO L 333 de 27.12.2022, p. 80).}

^{(5) Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003, relativa à definição de micro, pequenas e médias empresas (JO L 124 de 20.5.2003, p. 36).}

^{(6) JO C 67 de 8.2.2022, p. 81.}

^{(7) Diretiva 2014/24/UE do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, relativa aos contratos públicos e que revoga a Diretiva 2004/18/CE (JO L 94 de 28.3.2014, p. 65).}

^{(8) Diretiva 2014/25/UE do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, relativa aos contratos públicos celebrados pelas entidades que operam nos setores da água, da energia, dos transportes e dos serviços postais e que revoga a Diretiva 2004/17/CE (JO L 94 de 28.3.2014, p. 243).}

^{(9) Regulamento (UE) 2017/745 do Parlamento Europeu e do Conselho, de 5 de abril de 2017, relativo aos dispositivos médicos, que altera a Diretiva 2001/83/CE, o Regulamento (CE) n.o 178/2002 e o Regulamento (CE) n.o 1223/2009 e que revoga as Diretivas 90/385/CEE e 93/42/CEE do Conselho (JO L 117 de 5.5.2017, p. 1).}

^{(10) Regulamento (UE) 2017/746 do Parlamento Europeu e do Conselho, de 5 de abril de 2017, relativo aos dispositivos médicos para diagnóstico in vitro e que revoga a Diretiva 98/79/CE e a Decisão 2010/227/UE da Comissão (JO L 117 de 5.5.2017, p. 176).}

^{(11) Regulamento (UE) 2019/2144 do Parlamento Europeu e do Conselho, de 27 de novembro de 2019, relativo aos requisitos de homologação de veículos a motor e seus reboques e dos sistemas, componentes e unidades técnicas destinados a esses veículos, no que se refere à sua segurança geral e à proteção dos ocupantes dos veículos e dos utentes da estrada vulneráveis, que altera o Regulamento (UE) 2018/858 do Parlamento Europeu e do Conselho e revoga os Regulamentos (CE) n.o 78/2009, (CE) n.o 79/2009 e (CE) n.o 661/2009 do Parlamento Europeu e do Conselho e os Regulamentos (CE) n.o 631/2009, (UE) n.o 406/2010, (UE) n.o 672/2010, (UE) n.o 1003/2010, (UE) n.o 1005/2010, (UE) n.o 1008/2010, (UE) n.o 1009/2010, (UE) n.o 19/2011, (UE) n.o 109/2011, (UE) n.o 458/2011, (UE) n.o 65/2012, (UE) n.o 130/2012, (UE) n.o 347/2012, (UE) n.o 351/2012, (UE) n.o 1230/2012, e (UE) 2015/166 da Comissão (JO L 325 de 16.12.2019, p. 1).}

^{(12) JO L 82 de 9.3.2021, p. 30.}

^{(13) Regulamento (UE) 2018/1139 do Parlamento Europeu e do Conselho, de 4 de julho de 2018, relativo a regras comuns no domínio da aviação civil que cria a Agência da União Europeia para a Segurança da Aviação, altera os Regulamentos (CE) n.o 2111/2005, (CE) n.o 1008/2008, (UE) n.o 996/2010 e (UE) n.o 376/2014 e as Diretivas 2014/30/UE e 2014/53/UE do Parlamento Europeu e do Conselho, e revoga os Regulamentos (CE) n.o 552/2004 e (CE) n.o 216/2008 do Parlamento Europeu e do Conselho e o Regulamento (CEE) n.o 3922/91 do Conselho (JO L 212 de 22.8.2018, p. 1).}

^{(14) Regulamento Delegado (UE) 2022/30 da Comissão, de 29 de outubro de 2021, que complementa a Diretiva 2014/53/UE do Parlamento Europeu e do Conselho no que diz respeito à aplicação dos requisitos essenciais referidos no artigo 3.o, n.o 3, alíneas d), e) e f), dessa diretiva (JO L 7 de 12.1.2022, p. 6).}

^{(15) Diretiva 2014/53/UE do Parlamento Europeu e do Conselho, de 16 de abril de 2014, relativa à harmonização da legislação dos Estados-Membros respeitante à disponibilização de equipamentos de rádio no mercado e que revoga a Diretiva 1999/5/CE (JO L 153 de 22.5.2014, p. 62).}

^{(16) Diretiva (UE) 2024/2853 do Parlamento Europeu do Conselho, de 23 de outubro de 2024, relativa à responsabilidade decorrente dos produtos defeituosos e que revoga a Diretiva 85/374/CEE do Conselho (JO L, 2024/2853, 18.11.2024, ELI: http://data.europa.eu/eli/dir/2024/2853/oj).}

^{(17) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).}

^{(18) Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE (JO L 257 de 28.8.2014, p. 73).}

^{(19) Regulamento (UE) 2024/1781 do Parlamento Europeu e do Conselho, de 13 de junho de 2024, que estabelece um regime para a definição de requisitos de conceção ecológica dos produtos sustentáveis, altera a Diretiva (UE) 2020/1828 e o Regulamento (UE) 2023/1542 e revoga a Diretiva 2009/125/CE (JO L, 2024/1781, 28.6.2024, ELI: http://data.europa.eu/eli/reg/2024/1781/oj).}

^{(20) Regulamento de Execução (UE) 2024/482 da Comissão, de 31 de janeiro de 2024, que estabelece regras de execução do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho no respeitante à adoção do sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns (EUCC) (JO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).}

^{(21) Regulamento (UE) 2023/988 do Parlamento Europeu e do Conselho, de 10 de maio de 2023, relativo à segurança geral dos produtos, que altera o Regulamento (UE) n.o 1025/2012 do Parlamento Europeu e do Conselho e a Diretiva (UE) 2020/1828 do Parlamento Europeu e do Conselho e que revoga a Diretiva 2001/95/CE do Parlamento Europeu e do Conselho e a Diretiva 87/357/CEE do Conselho (JO L 135 de 23.5.2023, p. 1).}

^{(22) Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho, de 13 de junho de 2024 que cria regras harmonizadas em matéria de inteligência artificial e que altera os Regulamentos (CE) n.o 300/2008, (UE) n.o 167/2013, (UE) n.o 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e as Diretivas 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (Regulamento da Inteligência Artificial) (JO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).}

^{(23) Recomendação (UE) 2019/534 da Comissão, de 26 de março de 2019, Cibersegurança das redes 5G (JO L 88 de 29.3.2019, p. 42).}

^{(24) Regulamento (UE) 2023/1230 do Parlamento Europeu e do Conselho, de 14 de junho de 2023, relativo às máquinas e que revoga a Diretiva 2006/42/CE do Parlamento Europeu e do Conselho e a Diretiva 73/361/CEE do Conselho (JO L 165 de 29.6.2023, p. 1).}

^{(25) Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro e que altera os Regulamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 e (UE) 2016/1011 (JO L 333 de 27.12.2022, p. 1).}

^{(26) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37).}

^{(27) Regulamento (UE) 2019/1020 do Parlamento Europeu e do Conselho, de 20 de junho de 2019, relativo à fiscalização do mercado e à conformidade dos produtos e que altera a Diretiva 2004/42/CE e os Regulamentos (CE) n.o 765/2008 e (UE) n.o 305/2011 (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 169 de 25.6.2019, p. 1).}

^{(28) Regulamento (UE) n.o 1025/2012 do Parlamento Europeu e do Conselho, de 25 de outubro de 2012, relativo à normalização europeia, que altera as Diretivas 89/686/CEE e 93/15/CEE do Conselho e as Diretivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE e 2009/105/CE do Parlamento Europeu e do Conselho e revoga a Decisão 87/95/CEE do Conselho e a Decisão n.o 1673/2006/CE do Parlamento Europeu e do Conselho (JO L 316 de 14.11.2012, p. 12).}

^{(29) Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acreditação e que revoga o Regulamento (CEE) n.o 339/93 (JO L 218 de 13.8.2008, p. 30).}

^{(30) Decisão n.o 768/2008/CE do Parlamento Europeu e do Conselho, de 9 de julho de 2008, relativa a um quadro comum para a comercialização de produtos, e que revoga a Decisão 93/465/CEE (JO L 218 de 13.8.2008, p. 82).}

^{(31) JO L 123 de 12.5.2016, p. 1.}

^{(32) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13, ELI: http://data.europa.eu/eli/reg/2011/182/oj).}

^{(33) Diretiva (UE) 2020/1828 do Parlamento Europeu e do Conselho, de 25 de novembro de 2020, relativa a ações coletivas para proteção dos interesses coletivos dos consumidores e que revoga a Diretiva 2009/22/CE (JO L 409 de 4.12.2020, p. 1).}

^{(34) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).}

^{(35) JO C 452 de 29.11.2022, p. 23.}

^{(36) Diretiva 2014/90/UE do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativa aos equipamentos marítimos e que revoga a Diretiva 96/98/CE do Conselho (JO L 257 de 28.8.2014, p. 146).}

^{(37) Diretiva (UE) 2016/943 do Parlamento Europeu e do Conselho, de 8 de junho de 2016, relativa à proteção de know-how e de informações comerciais confidenciais (segredos comerciais) contra a sua aquisição, utilização e divulgação ilegais (JO L 157 de 15.6.2016, p. 1).}

^{(38) Regulamento (UE) n.o 168/2013 do Parlamento Europeu e do Conselho, de 15 de janeiro de 2013, relativo à homologação e fiscalização do mercado dos veículos de duas ou três rodas e dos quadriciclos (JO L 60 de 2.3.2013, p. 52).}

^{ANEXO I}
^{REQUISITOS ESSENCIAIS DE CIBERSEGURANÇA}

^{ANEXO II}
^{INFORMAÇÕES E INSTRUÇÕES DESTINADAS AO UTILIZADOR}

^{ANEXO III}
^{PRODUTOS IMPORTANTES COM ELEMENTOS DIGITAIS}

^{ANEXO IV}
^{PRODUTOS CRÍTICOS COM ELEMENTOS DIGITAIS}

^{ANEXO V}
^{DECLARAÇÃO DE CONFORMIDADE UE}

^{ANEXO VI}
^{DECLARAÇÃO DE CONFORMIDADE UE SIMPLIFICADA}

^{ANEXO VII}
^{TEOR DA DOCUMENTAÇÃO TÉCNICA}

^{ANEXO VIII}
^{PROCEDIMENTOS DE AVALIAÇÃO DA CONFORMIDADE}

^20-11-2024

^{ENISA: carga de trabalho adicional}

^{Declaração comum do Parlamento Europeu, do Conselho e da Comissão (C/2024/6786) [ST/13757/2024/ADD/1]. JO C, C/2024/6786, 20.11.2024, p. 1.}

^{Declaração comum do Parlamento Europeu, do Conselho e da Comissão}

^{(C/2024/6786)}

^{O Parlamento Europeu e o Conselho consideram que o regulamento em apreço confere à ENISA funções adicionais que resultam numa carga de trabalho adicional e exigiriam recursos adicionais, tanto em termos de conhecimentos especializados como de efetivos. Tendo em conta este facto, e a fim de permitir à ENISA desempenhar eficazmente as funções previstas no regulamento em questão, o Parlamento Europeu, o Conselho e a Comissão consideram que pode ser necessário aumentar os seus recursos, e especialmente os seus recursos humanos dotados de um conhecimento especializado adequado. Este aumento pode ser previsto no procedimento anual relacionado com o quadro de pessoal da ENISA. Por conseguinte, a Comissão, que é responsável pela inscrição no projeto de orçamento geral da União das necessidades previstas para o quadro de pessoal da ENISA, no âmbito do processo orçamental previsto no artigo 314.o do TFUE e em conformidade com o procedimento estabelecido no Regulamento Cibersegurança, avaliará as estimativas para o quadro de pessoal da ENISA introduzidas para o primeiro ano após a entrada em vigor do regulamento em apreço, tendo em conta os recursos necessários, em especial os recursos humanos, para que a ENISA possa desempenhar adequadamente as suas funções ao abrigo do presente regulamento}

////////////////////////////////////////////////////////////////////////////////////////////

07-06-2019

Regulamento Cibersegurança

ENISA (Agência da União Europeia para a Cibersegurança) e certificação da cibersegurança das tecnologias da informação e comunicação

(1) Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (Texto relevante para efeitos do EEE) [PE/86/2018/REV/1]. JO L 151 de 7.6.2019, pp. 15-69. Versão consolidada atual: 04/02/2025

► REGRAS DE EXECUÇÃO previstas no Regulamento de Execução (UE) 2024/482 da Comissão, de 31 de janeiro.

(2) Regulamento (UE) n.º 526/2013 do Parlamento Europeu e do Conselho, de 21 de maio de 2013, relativo à Agência da União Europeia para a Segurança das Redes e da Informação (ENISA) e que revoga o Regulamento (CE) n.º 460/2004 (JO L 165 de 18.6.2013, p. 41).

► REVOGAÇÃO pelo artigo 68.º do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril, com efeitos a partir de 27 de junho de 2019.

(3) Regulamento de Execução (UE) 2024/482 da Comissão, de 31 de janeiro de 2024, que estabelece regras de execução do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho no respeitante à adoção do sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns (EUCC) [C/2024/560]. JO L, 2024/482, 07.02.2024, p. 1-45.

(4) Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.º 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (Texto relevante para efeitos do EEE) [PE/32/2022/REV/2]. JO L 333 de 27.12.2022, p. 80-152.

////////////////////////////////////////////////////

27-12-2022

Diretiva SRI 2

Medidas destinadas a garantir um elevado nível comum de cibersegurança na União

Agência da União Europeia para a Cibersegurança (ENISA) - Entidades essenciais e importantes - Registo de entidades

(1) Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.º 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (Texto relevante para efeitos do EEE) [PE/32/2022/REV/2]. JO L 333 de 27.12.2022, p. 80-152.

(2) Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE. JO L 257 de 28.8.2014, p. 73-114. O artigo 19.º (Requisitos de segurança aplicáveis aos prestadores de serviços de confiança) é suprimido pelo artigo 42.º da Diretiva (UE) 2022/2555, de 14 de dezembro, com efeitos a partir de 18 de outubro de 2024.

(3) Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União. JO L 194 de 19.7.2016, p. 1-30. Revogada pelo artigo 44.º da Diretiva (UE) 2022/2555, de 14 de dezembro, com efeitos a partir de 18 de outubro de 2024.

(4) Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2018, que estabelece o Código Europeu das Comunicações Eletrónicas (reformulação) (Texto relevante para efeitos do EEE) [PE/52/2018/REV/1]. JO L 321 de 17.12.2018, p. 36-214. Versão consolidada atual (17/12/2018): 02018L1972 — PT — 17.12.2018 — 000.001/153. Os artigos 40.º (Segurança das redes e dos serviços) e 41.º (Aplicação e execução) são suprimidos pelo artigo 43.º da Diretiva (UE) 2022/2555, de 14 de dezembro, com efeitos a partir de 18 de outubro de 2024.

(5) Comunicação da Comissão «Orientações da Comissão sobre a aplicação do artigo 3.º, n.º 4, da Diretiva (UE) 2022/2555 (Diretiva SRI 2)» (2023/C 324/02) [C/2023/6070]. JO C 324 de 14.9.2023, p. 2-7.

///////////////////////////////////

14-09-2023

Cibersegurança: entidades essenciais e importantes (Diretiva SRI 2)

Administração pública central e regional
Agência da União Europeia para a Cibersegurança (ENISA)
Água potável
Águas residuais
Código Europeu das Comunicações Eletrónicas
Energia
Espaço
Fornecedores de pontos de troca de tráfego
Fornecedores de redes de distribuição de conteúdos
Fornecedores de redes públicas de comunicações eletrónicas
Gestão de resíduos
Gestão de serviços TIC (entre empresas): Prestadores de serviços geridos / Prestadores de serviços de segurança geridos
Identificação eletrónica
Indústria transformadora
Infraestruturas digitais
Motores de pesquisa em linha
Operadores de serviços essenciais em conformidade com o direito nacional
Organismos de investigação
Plataformas de serviços de redes sociais
Prestadores de serviços de DNS
Prestadores de serviços de centro de dados
Prestadores de serviços de computação em nuvem
Prestadores de serviços de comunicações eletrónicas acessíveis ao público
Prestadores de serviços de confiança
Prestadores de serviços de mercados em linha
Produção, fabrico e distribuição de produtos químicos
Produção, transformação e distribuição de produtos alimentares
Registo de entidades
Registos de nomes de TLD
Registo de nomes de domínio
Saúde
Setores de importância crítica
Serviços postais e de estafeta
Transportes

Diretiva (UE) 2022/2555: artigos 2.º, n.º 2, alíneas b) a e), 3.º, 26.º, n.º 3, e 27.º

(1) Comunicação da Comissão «Orientações da Comissão sobre a aplicação do artigo 3.º, n.º 4, da Diretiva (UE) 2022/2555 (Diretiva SRI 2)» (2023/C 324/02) [C/2023/6070]. JO C 324 de 14.9.2023, p. 2-7.

COMUNICAÇÃO DA COMISSÃO

Orientações da Comissão sobre a aplicação do artigo 3.º, n.º 4, da Diretiva (UE) 2022/2555 (Diretiva SRI 2)

(2023/C 324/02)

1. Nos termos do artigo 3.º, n.º 4, da Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União (Diretiva SRI 2), a Comissão, com a assistência da Agência da União Europeia para a Cibersegurança (ENISA), deve fornecer, sem demora injustificada, orientações e modelos relativos às obrigações estabelecidas nessa disposição. O artigo 3.º, n.º 4, da Diretiva (UE) 2022/2555 remete para o artigo 3.º, n.º 3, da mesma diretiva, que exige que os Estados-Membros estabeleçam uma lista das entidades essenciais e importantes, bem como das entidades que prestam serviços de registo de nomes de domínio, até 17 de abril de 2025. Os Estados-Membros devem rever e, se for caso disso, atualizar essa lista com regularidade e, pelo menos, de dois em dois anos.

2. Para efeitos do estabelecimento da lista de entidades essenciais e importantes, os Estados-Membros devem requerer às entidades que apresentem às autoridades competentes, pelo menos, as seguintes informações: o nome, o endereço e os dados de contacto atualizados, incluindo os endereços de correio eletrónico, as gamas de endereços IP e os números de telefone da entidade e, se aplicável, o setor e subsetor pertinentes referidos nos anexos, bem como, se aplicável, uma lista dos Estados-Membros em que prestam serviços abrangidos pelo âmbito da diretiva. O anexo I das presentes orientações estabelece um modelo para a recolha dessas informações para efeitos de elaboração da lista.

3. A fim de facilitar a elaboração e atualização da lista de entidades essenciais e importantes, bem como de entidades que prestam serviços de registo de nomes de domínio, o artigo 3.º, n.º 4, da Diretiva (UE) 2022/2555 prevê que os Estados-Membros devem poder estabelecer mecanismos nacionais que permitam às entidades registarem-se elas próprias.

4. Nos termos do artigo 3.º, n.º 5, da Diretiva (UE) 2022/2555, até 17 de abril de 2025 e, posteriormente, de dois em dois anos, os Estados-Membros devem notificar a Comissão e o grupo de cooperação, pelo menos do número de entidades essenciais e importantes que figuram na lista estabelecida nos termos do artigo 3.º, n.º 3, dessa diretiva para cada um dos setores e subsetores referidos nos anexos I e II da diretiva. Os Estados-Membros devem igualmente notificar a Comissão de informações pertinentes sobre o número de entidades essenciais e importantes identificadas nos termos do artigo 2.º, n.º 2, alíneas b) a e), da Diretiva (UE) 2022/2555, o setor e subsetor a que pertencem, o tipo de serviço que prestam e a disposição ao abrigo da qual foram identificadas. O considerando 19 do preâmbulo da Diretiva (UE) 2022/2555 explica que os Estados-Membros são incentivados a proceder ao intercâmbio de informações com a Comissão sobre entidades essenciais e importantes e, em caso de incidente de cibersegurança em grande escala, informações pertinentes, como o nome da entidade em causa.

5. Para além da lista estabelecida pelos Estados-Membros nos termos do artigo 3.º, n.º 3, da Diretiva (UE) 2022/2555, os Estados-Membros, em conformidade com o artigo 27.º, n.º 2, da mesma diretiva, devem também exigir que certos tipos de entidades a que se refere o artigo 27.º, n.º 1, da diretiva apresentem as seguintes informações às autoridades competentes até 17 de janeiro de 2025: o nome da entidade; o setor, subsetor e tipo de entidade pertinentes a que se referem o anexo I ou II da diretiva, se aplicável; o endereço do estabelecimento principal da entidade e dos outros estabelecimentos legais que possui na União ou, se não estiver estabelecida na União, do seu representante designado nos termos do artigo 26.º, n.º 3, da diretiva; os contactos atualizados, incluindo endereços de correio eletrónico e números de telefone da entidade e, se aplicável, do seu representante designado nos termos do artigo 26.º, n.º 3, da diretiva; os Estados-Membros onde a entidade presta serviços; e as gamas de endereços IP da entidade. Nos termos do artigo 27.º, n.º 3, da Diretiva (UE) 2022/2555, os Estados-Membros devem exigir que as entidades a que se refere o artigo 27.º, n.º 1, da diretiva notifiquem a autoridade competente de quaisquer alterações das informações que tenham fornecido nos termos do artigo 27.º, n.º 2, da diretiva, sem demora e, em qualquer caso, no prazo de três meses a contar da data da alteração.

6. De acordo com o artigo 27.º, n.º 5, da Diretiva (UE) 2022/2555, as informações referidas no artigo 27.º, n.ºs 2 e 3, dessa diretiva devem ser transmitidas através do mecanismo nacional a que se refere o artigo 3.º, n.º 4, da diretiva, se for caso disso. Por conseguinte, a fim de obter maiores ganhos de eficiência administrativa, o modelo que figura em anexo às presentes orientações inclui igualmente os pedidos de informações exigidos tanto para efeitos do artigo 3.º, n.º 3, como do artigo 27.º, n.º 2, da Diretiva (UE) 2022/2555. Este modelo foi criado com a assistência da ENISA.

APÊNDICE

Modelo relativo às informações exigidas para a lista referida no artigo 3.º [Entidades essenciais e importantes], n.º 3, e no artigo 27.º [Registo de entidades], n.º 2, da Diretiva (UE) 2022/2555

1. Setor de atividade ao abrigo da Diretiva (UE) 2022/2555

Anexo

I - Setores de importância crítica

Energia

— Eletricidade

— Empresas de eletricidade

— Operador da rede de distribuição

— Operador da rede de transporte

— Produtores

— Operadores nomeados do mercado da eletricidade

— Participantes no mercado que prestam serviços de agregação, resposta da procura ou armazenamento de energia

— Operadores de um ponto de carregamento que são responsáveis pela gestão e operação de um ponto de carregamento que presta um serviço de carregamento aos utilizadores finais, incluindo em nome e por conta de um prestador de serviços de mobilidade

— Operadores de sistemas de aquecimento e arrefecimento urbano

— Petróleo

— Operadores de oleodutos

— Operadores de instalações de produção, refinamento e tratamento, armazenamento e transporte de petróleo

— Entidades centrais de armazenagem

— Gás

— Empresas de comercialização

— Operadores da rede de distribuição

— Operadores da rede de transporte

— Operadores do sistema de armazenamento

— Operadores da rede de GNL

— Empresas de gás natural

— Operadores de instalações de refinamento e tratamento de gás natural

— Operadores de produção, armazenamento e transporte de hidrogénio

Transportes

— Transporte aéreo

— Transportadoras aéreas

— Entidades gestoras aeroportuárias

— Operadores de controlo da gestão do tráfego aéreo que prestam serviços de controlo de tráfego aéreo (CTA)

Transporte ferroviário

— Gestores de infraestrutura

— Empresas ferroviárias, incluindo os operadores das instalações de serviço

Transporte aquático

— Companhias de transporte por vias navegáveis interiores, marítimo e costeiro de passageiros e de mercadorias, não incluindo os navios explorados por essas companhias

— Entidades gestoras, incluindo as respetivas instalações portuárias e as entidades que gerem as obras e o equipamento existentes dentro dos portos

— Operadores de serviços de tráfego marítimo (VTS)

Transporte rodoviário

— Autoridades rodoviárias responsáveis pelo controlo da gestão do tráfego, com exceção das entidades públicas nas quais a gestão do tráfego ou a gestão de sistemas de transporte inteligentes constituem uma parte não essencial da sua atividade geral

— Operadores de sistemas de transporte inteligentes

Saúde

— Prestadores de cuidados de saúde

— Laboratórios de referência da UE

— Entidades que realizam atividades de investigação e desenvolvimento de medicamentos

— Entidades que fabricam produtos farmacêuticos de base e preparações farmacêuticas referidos na secção C, divisão 21, da NACE Rev. 2

— Entidades que fabricam dispositivos médicos considerados críticos durante uma emergência de saúde pública (lista de dispositivos médicos críticos para a emergência de saúde pública)

Água potável — Fornecedores e distribuidores de água destinada ao consumo humano, excluindo os distribuidores para os quais a distribuição de água para consumo humano constitui uma parte não essencial da sua atividade geral de distribuição de outros produtos de base e mercadorias

Águas residuais — Empresas que recolhem, eliminam ou tratam águas residuais urbanas, domésticas ou industriais, excluindo as empresas para as quais a recolha, eliminação ou tratamento de águas residuais urbanas, domésticas ou industriais constitui uma parte não essencial da sua atividade geral

Infraestruturas digitais

— Fornecedores de pontos de troca de tráfego

— Prestadores de serviços de DNS

— Registos de nomes de TLD

— Prestadores de serviços de computação em nuvem

— Prestadores de serviços de centro de dados

— Fornecedores de redes de distribuição de conteúdos

— Prestadores de serviços de confiança

— Fornecedores de redes públicas de comunicações eletrónicas

— Prestadores de serviços de comunicações eletrónicas acessíveis ao público

Gestão de serviços TIC

(entre empresas)

— Prestadores de serviços geridos

— Prestadores de serviços de segurança geridos

Administração pública

— Entidades da administração pública a nível central

— Entidades da administração pública a nível regional

Espaço

Operadores de infraestruturas terrestres, detidas, geridas e operadas por Estados-Membros ou entidades privadas, que apoiam a prestação de serviços espaciais, excluindo os fornecedores de redes públicas de comunicações eletrónicas

Anexo

II - Outros setores críticos

— Serviços postais e de estafeta

— Gestão de resíduos - Empresas que realizam a gestão de resíduos, mas excluindo as empresas para as quais a gestão de resíduos não constitui a atividade económica principal

— Produção, fabrico e distribuição de produtos químicos — Empresas que realizam a produção de substâncias e empresas que realizam a produção de «artigos» de substâncias ou misturas

— Produção, transformação e distribuição de produtos alimentares — Empresas do setor alimentar que se dedicam à distribuição por grosso e à produção e transformação industriais

— Indústria transformadora

— Fabrico de dispositivos médicos e dispositivos médicos para diagnóstico in vitro

— Fabricação de equipamentos informáticos, equipamentos para comunicação, produtos eletrónicos e óticos

— Fabricação de equipamento elétrico

— Fabricação de máquinas e equipamentos (não especificados)

— Fabricação de veículos automóveis, reboques e semirreboques

— Fabricação de outro equipamento de transporte

— Prestadores de serviços digitais

— Prestadores de serviço de mercados em linha

— Prestadores de serviço de motores de pesquisa em linha

— Prestadores de serviço de plataformas de serviços de redes sociais

— Organismos de investigação

Entidades não incluídas nos anexos

— Entidades que prestam serviços de registo de nomes de domínio

— Outras entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557

— Entidades identificadas como operadores de serviços essenciais em conformidade com o direito nacional.

2. Nome da entidade.

3. Caso a entidade seja referida no artigo 27.º, n.º 1, da Diretiva (UE) 2022/2555 (prestador de serviços de DNS, registo de nomes de TLD, entidade que presta serviços de registo de nomes de domínio, prestador de serviços de computação em nuvem, prestador de serviços de centro de dados, fornecedor de redes de distribuição de conteúdos, prestador de serviços geridos, prestador de serviços de segurança geridos, bem como um prestador de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais), a entidade tem o seu estabelecimento principal na UE neste Estado-Membro ou, caso não exista um estabelecimento legal na UE, tem o seu representante neste Estado-Membro?

4. Endereço do estabelecimento da entidade neste Estado-Membro. Se a entidade for referida no artigo 27.º, n.º 1, da Diretiva (UE) 2022/2555, o endereço do estabelecimento principal da entidade, se estiver localizado neste Estado-Membro, bem como dos outros estabelecimentos legais que possui na UE. Caso não exista estabelecimento, o endereço do representante na UE, designado em conformidade com o artigo 26.º, n.º 3, da Diretiva (UE) 2022/2555, se o representante estiver localizado neste Estado-Membro.

5. Dados de contacto atualizados, incluindo endereços de correio eletrónico e números de telefone neste Estado-Membro.

6. Gamas de endereços IP da entidade para este Estado-Membro.

7. Se a entidade for referida no artigo 27.º, n.º 1, da Diretiva (UE) 2022/2555, uma lista dos Estados-Membros em que a entidade presta serviços abrangidos pelo âmbito de aplicação dessa diretiva.

(5) Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.º 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) (Texto relevante para efeitos do EEE) [PE/32/2022/REV/2]. JO L 333 de 27.12.2022, p. 80-152.

Considerandos (1) a (144).

ADOTARAM A PRESENTE DIRETIVA:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Artigo 1.º

Objeto

1. A presente diretiva estabelece medidas que visam a consecução de um elevado nível comum de cibersegurança na União, com vista a melhorar o funcionamento do mercado interno.

2. Para o efeito, a presente diretiva estabelece:

a) A obrigação de os Estados-Membros adotarem estratégias nacionais de cibersegurança e de designarem ou criarem autoridades competentes, autoridades de gestão de cibercrises, pontos de contacto únicos em matéria de cibersegurança (pontos de contacto únicos) e equipas de resposta a incidentes de segurança informática (CSIRT);

b) Medidas de gestão dos riscos de cibersegurança e obrigações de notificação às entidades do tipo referido no anexo I ou II, bem como às entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557;

c) Regras e obrigações em matéria de partilha de informações sobre cibersegurança;

d) Obrigações em matéria de supervisão e execução para os Estados-Membros.

Artigo 2.º

Âmbito de aplicação

1. A presente diretiva aplica-se às entidades públicas ou privadas de um dos tipos referidos no anexo I ou II, que sejam consideradas médias empresas nos termos do artigo 2.º do anexo da Recomendação 2003/361/CE, ou que excedam os limiares relativos às médias empresas previstos no n.º 1 desse artigo, e que prestem os seus serviços ou exerçam as suas atividades na União.

O artigo 3.º, n.º 4, do anexo da referida recomendação não é aplicável para efeitos da presente diretiva.

2. Independentemente da dimensão que tenham, a presente diretiva também se aplica às entidades de um dos tipos referidos no anexo I ou II, em que:

a) Os serviços são prestados por:

i) fornecedores de redes públicas de comunicações eletrónicas ou prestadores de serviços de comunicações eletrónicas acessíveis ao público,

ii) prestadores de serviços de confiança,

iii) registos de nomes de domínio de topo e prestadores de serviços de sistemas de nomes de domínio;

b) A entidade é o único prestador, num Estado-Membro, de um serviço que é essencial para a manutenção de atividades societais ou económicas críticas;

c) Uma perturbação do serviço prestado pela entidade possa afetar consideravelmente a segurança pública, a proteção pública ou a saúde pública;

d) Uma perturbação do serviço prestado pela entidade possa gerar riscos sistémicos consideráveis, especialmente para os setores onde tal perturbação possa ter um impacto transfronteiriço;

e) A entidade é crítica devido à sua importância específica, a nível nacional ou regional, para o setor ou o tipo de serviço em causa, ou para outros setores interdependentes no Estado-Membro;

f) A entidade é uma entidade da administração pública:

i) do governo central, tal como definida por um Estado-Membro em conformidade com o direito nacional, ou

ii) a nível regional, tal como definida por um Estado-Membro em conformidade com o direito nacional, que, na sequência de uma avaliação baseada no risco, presta serviços cuja perturbação seria suscetível de ter um impacto significativo nas atividades societais ou económicas críticas.

3. Independentemente da dimensão que tenham, a presente diretiva é aplicável às entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557.

4. Independentemente da dimensão que tenham, a presente diretiva é aplicável às entidades prestadoras de serviços de registo de nomes de domínio.

5. Os Estados-Membros podem prever que a presente diretiva se aplique a:

a) Entidades da administração pública a nível local;

b) Instituições de ensino, em especial quando realizam atividades críticas no domínio da investigação.

6. A presente diretiva não prejudica as responsabilidades dos Estados-Membros de salvaguardar a segurança nacional nem os seus poderes para salvaguardar outras funções essenciais do Estado, nomeadamente para garantir a integridade territorial do Estado e manter a ordem pública.

7. A presente diretiva não se aplica às entidades da administração pública que exercem as suas atividades nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a prevenção, investigação, deteção e repressão de infrações penais.

8. Os Estados-Membros podem isentar entidades específicas que exerçam atividades nos domínios da defesa, da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a prevenção, investigação, deteção e repressão de infrações penais, ou que ofereçam serviços exclusivamente às entidades da administração púbica a que se refere o n.º 7 do presente artigo, de cumprir as obrigações estabelecidas no artigo 21.º ou 23.º no que diz respeito a essas atividades. Em tais casos, as medidas de supervisão e de execução referidas no capítulo VII não se aplicam a essas atividades ou serviços específicos. Caso as entidades exerçam atividades ou prestem serviços exclusivamente do tipo referido no presente número, os Estados-Membros podem decidir também isentar essas entidades das obrigações previstas nos artigos 3.º e 27.º.

9. Os n.ºs 7 e 8 não se aplicam quando uma entidade atua como prestador de serviços de confiança.

10. A presente diretiva não se aplica às entidades que os Estados-Membros tenham excluído do âmbito de aplicação do Regulamento (UE) 2022/2554 em conformidade com o artigo 2.º, n.º 4, do referido regulamento.

11. As obrigações previstas na presente diretiva não implicam a prestação de informações cuja divulgação seja contrária aos interesses essenciais dos Estados-Membros em matéria de segurança nacional, segurança pública ou defesa.

12. A presente diretiva é aplicável sem prejuízo do Regulamento (UE) 2016/679, da Diretiva 2002/58/CE, das Diretivas 2011/93/UE (27) e 2013/40/UE do Parlamento Europeu e do Conselho e da Diretiva (UE) 2022/2557.

13. Sem prejuízo do artigo 346.º do TFUE, as informações classificadas como confidenciais nos termos de regras da União ou de regras nacionais, tais como regras em matéria de sigilo comercial, só podem ser trocadas com a Comissão e com outras autoridades competentes, em conformidade com a presente diretiva, nos casos em que esse intercâmbio seja necessário para efeitos de aplicação da presente diretiva. As informações trocadas devem limitar-se ao que for pertinente e proporcionado em relação ao objetivo desse intercâmbio. O intercâmbio de informações deve preservar a confidencialidade dessas informações e salvaguardar a segurança e os interesses comerciais das entidades em causa.

14. As entidades, as autoridades competentes, os pontos de contacto únicos e as CSIRT procedem ao tratamento dos dados pessoais na medida do necessário para efeitos da presente diretiva e em conformidade com o Regulamento (UE) 2016/679, em especial com base no artigo 6.º desse regulamento.

O tratamento de dados pessoais nos termos da presente diretiva por fornecedores de redes públicas de comunicações eletrónicas ou prestadores de serviços de comunicações eletrónicas acessíveis ao público deve ser efetuado em conformidade com o direito da União em matéria de proteção de dados e com o direito da União em matéria de privacidade, nomeadamente a Diretiva 2002/58/CE.

Artigo 3.º

Entidades essenciais e importantes

1. Para efeitos da presente diretiva, consideram-se entidades essenciais as seguintes entidades:

a) Entidades de um dos tipos referidos no anexo I que excedam os limiares para as médias empresas previstos no artigo 2.º, n.º 1, do anexo da Recomendação 2003/361/CE;

b) Prestadores de serviços de confiança qualificados e registos de nomes de domínio de topo, bem como prestadores de serviços de DNS, independentemente da sua dimensão;

c) Fornecedores de redes públicas de comunicações eletrónicas ou prestadores de serviços de comunicações eletrónicas acessíveis ao público que sejam considerados médias empresas nos termos do artigo 2.ºdo anexo da Recomendação 2003/361/CE;

d) Entidades da administração pública a que se refere o artigo 2.º, n.º 2, alínea f), subalínea i);

e) Qualquer outra entidade de um dos tipos referidos no anexo I ou II que um Estado-Membro tenha identificado como entidade essencial nos termos do artigo 2.º, n.º 2, alíneas b) a e);

f) Entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557 a que se refere o artigo 2.º, n.º 3, da presente diretiva;

g) Se o Estado-Membro assim o estabelecer, as entidades que o Estado-Membro em causa tenha identificado antes de 16 de janeiro de 2023 como operadores de serviços essenciais nos termos da Diretiva (UE) 2016/1148 ou do direito nacional.

2. Para efeitos da presente diretiva, são consideradas entidades importantes as entidades de um dos tipos referidos no anexo I ou II que não sejam consideradas entidades essenciais nos termos do n.º 1 do presente artigo. Tal inclui as entidades identificadas pelos Estados-Membros como entidades importantes nos termos do artigo 2.º, n.º 2, alíneas b) a e).

3. Até 17 de abril de 2025, os Estados-Membros estabelecem uma lista das entidades essenciais e importantes, bem como das entidades que prestam serviços de registo de nomes de domínio. Os Estados-Membros revêm e, se for caso disso, atualizam essa lista com regularidade e, pelo menos, de dois em dois anos.

4. Para efeitos do estabelecimento da lista a que se refere o n.º 3, os Estados-Membros requerem às entidades referidas nesse número que apresentem às autoridades competentes, pelo menos, as seguintes informações:

a) Nome da entidade;

b) O endereço e os dados de contacto atualizados, incluindo os endereços de correio eletrónico, as gamas de endereços IP e os números de telefone;

c) Se aplicável, o setor e subsetor pertinentes referidos no anexo I ou II; e

d) Se aplicável, uma lista dos Estados-Membros em que prestam serviços abrangidos pelo âmbito de aplicação da presente diretiva.

As entidades a que se refere o n.º 3 devem notificar sem demora quaisquer alterações dos dados fornecidos nos termos do primeiro parágrafo do presente número e, em qualquer caso, no prazo de duas semanas a contar da data da alteração.

A Comissão, com a assistência da Agência da União Europeia para a Cibersegurança (ENISA), fornece, sem demora injustificada, orientações e modelos no que diz respeito às obrigações estabelecidas no presente número.

Os Estados-Membros podem estabelecer mecanismos nacionais que permitam às entidades registarem-se elas próprias.

5. Até 17 de abril de 2025 e, posteriormente, de dois em dois anos, as autoridades competentes notificam:

a) A Comissão e o grupo de cooperação do número das entidades essenciais e importantes que figuram na lista estabelecida nos termos do n.º 3, para cada um dos setores e subsetores referidos no anexo I ou II; e

b) A Comissão de informações pertinentes sobre o número de entidades essenciais e importantes identificadas nos termos do artigo 2.º, n.º 2, alíneas b) a e), o setor e subsetor referidos no anexo I ou II a que pertencem, o tipo de serviço que prestam e a disposição, de entre as previstas no artigo 2.º, n.º 2, alíneas b) a e), nos termos da qual foram identificadas.

6. Até 17 de abril de 2025 e a pedido da Comissão, os Estados-Membros podem notificar a Comissão dos nomes das entidades essenciais e importantes a que se refere o n.º 5, alínea b).

CAPÍTULO V

COMPETÊNCIA E REGISTO

Artigo 26.º

Competência e territorialidade

1. Considera-se que as entidades abrangidas pelo âmbito de aplicação da presente diretiva estão sob a jurisdição do Estado-Membro em que se encontram estabelecidas, exceto:

a) Os fornecedores de redes públicas de comunicações eletrónicas ou os prestadores de serviços de comunicações eletrónicas acessíveis ao público, que devem ser considerados como estando sob a jurisdição do Estado-Membro em que prestam os seus serviços;

b) Os prestadores de serviços de DNS, os registos de nomes de TLD, as entidades que prestam serviços de registo de nomes de domínio, os prestadores de serviços de computação em nuvem, os prestadores de serviços de centro de dados, os fornecedores de redes de distribuição de conteúdos, os prestadores de serviços geridos, os prestadores de serviços de segurança geridos, bem como os prestadores de serviços de mercados em linha, de motores de pesquisa em linha ou de plataformas de serviços de redes sociais, que devem ser considerados como estando sob a jurisdição do Estado-Membro em que têm o seu estabelecimento principal na União, nos termos do n.º 2;

c) As entidades da administração pública, que devem ser consideradas como estando sob a jurisdição do Estado-Membro que as estabeleceu.

2. Para efeitos da presente diretiva, considera-se que uma entidade tal como referida no n.º 1, alínea b), tem o seu estabelecimento principal na União no Estado-Membro em que são predominantemente tomadas as decisões relacionadas com as medidas de gestão dos riscos de cibersegurança. Se não for possível determinar esse Estado-Membro ou se tais decisões não forem tomadas na União, considera-se que o estabelecimento principal se situa no Estado-Membro em que são levadas a cabo as operações de cibersegurança. Se não for possível determinar esse Estado-Membro, considera-se que o estabelecimento principal se situa no Estado-Membro em que a entidade em causa tem o estabelecimento com o maior número de trabalhadores na União.

3. Se uma entidade a que se refere o n.º 1, alínea b), não estiver estabelecida na União, mas aí oferecer serviços, deve designar um representante na União. O representante deve estar estabelecido num dos Estados-Membros em que os serviços são oferecidos. Considera-se que tal entidade está sob a jurisdição do Estado-Membro em que o representante está estabelecido. Na ausência de um representante na União designado nos termos do presente número, qualquer Estado-Membro em que a entidade preste serviços pode intentar ações judiciais contra essa entidade por infração à presente diretiva.

4. A designação de um representante por parte de uma entidade a que se refere o n.º 1, alínea b), não prejudica as ações judiciais que possam ser intentadas contra a própria entidade.

5. Os Estados-Membros que tenham recebido um pedido de assistência mútua em relação a uma entidade a que se refere o n.º 1, alínea b), podem, dentro dos limites desse pedido, tomar medidas de supervisão e execução adequadas em relação à entidade em causa que presta serviços ou que tem um sistema de rede e informação no seu território.

Artigo 27.º

Registo de entidades

1. A ENISA deve criar e manter um registo de prestadores de serviços de DNS, registos de nomes de TLD, entidades que prestam serviços de registo de nomes de domínio, prestadores de serviços de computação em nuvem, prestadores de serviços de centro de dados, fornecedores de redes de distribuição de conteúdos, prestadores de serviços geridos, prestadores de serviços de segurança geridos, bem como dos prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais, com base nas informações recebidas dos pontos de contacto únicos em conformidade com o n.º 4. Mediante pedido, a ENISA permite o acesso das autoridades competentes a esse registo, assegurando simultaneamente a proteção da confidencialidade das informações, se aplicável.

2. O mais tardar em 17 de janeiro de 2025, os Estados-Membros exigem que as entidades a que se refere o n.º 1 apresentem as seguintes informações às autoridades competentes:

a) Nome da entidade;

b) Setor, subsetor e tipo de entidade a que se referem o anexo I ou II, se aplicável;

c) Endereço do estabelecimento principal da entidade e dos outros estabelecimentos legais que possui na União ou, se não estiver estabelecida na União, do seu representante designado nos termos do artigo 26.º, n.º 3;

d) Contactos atualizados, incluindo endereços de correio eletrónico e números de telefone da entidade e, se aplicável, do seu representante designado nos termos do artigo 26.º, n.º 3;

e) Estados-Membros onde a entidade presta serviços; e

f) Gamas de endereços IP da entidade.

3. Os Estados-Membros devem assegurar que as entidades referidas no n.º 1 notifiquem a autoridade competente de alterações das informações que forneceram nos termos do n.º 2, sem demora e, em qualquer caso, no prazo de três meses a contar da data da alteração.

4. Após a receção das informações a que se referem os n.ºs 2 e 3, exceto as referidas no n.º 2, alínea f), o ponto de contacto único do Estado-Membro em causa deve transmitir essas informações à ENISA sem demora injustificada.

5. Se aplicável, as informações a que se referem os n.ºs 2 e 3 do presente artigo devem ser transmitidas através do mecanismo nacional a que se refere o artigo 3.º, n.º 4, quarto parágrafo.

Artigo 41.º

Transposição

1. Os Estados-Membros devem adotar e publicar, até 17 de outubro de 2024, as disposições necessárias para dar cumprimento à presente diretiva. Do facto informam imediatamente a Comissão.

Os Estados-Membros devem aplicar essas disposições a partir de 18 de outubro de 2024.

2. As disposições adotadas pelos Estados-Membros a que se refere o n.o 1 devem fazer referência à presente diretiva ou devem ser acompanhadas dessa referência aquando da sua publicação oficial. Os Estados-Membros estabelecem o modo como deve ser feita a referência.

Artigo 42.º

Alteração do Regulamento (UE) n.º 910/2014

No Regulamento (UE) n.º 910/2014, é suprimido o artigo 19.º com efeitos a partir de 18 de outubro de 2024.

Artigo 43.º

Alteração da Diretiva (UE) 2018/1972

Na Diretiva (UE) 2018/1972, são suprimidos os artigos 40.º e 41.º com efeitos a partir de 18 de outubro de 2024.

Artigo 44.º

Revogação

A Diretiva (UE) 2016/1148 é revogada com efeitos a partir de 18 de outubro de 2024.

As remissões para a diretiva revogada devem entender-se como remissões para a presente diretiva e devem ser lidas de acordo com a tabela de correspondência constante do anexo III.

Artigo 45.º

Entrada em vigor

A presente diretiva entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

ANEXO I
SETORES DE IMPORTÂNCIA CRÍTICA

ANEXO II
OUTROS SETORES CRÍTICOS

ANEXO III
TABELA DE CORRESPONDÊNCIA
Diretiva (UE) 2016/1148 | Presente diretiva

//////////////////////////////////////////////////////////////

07-06-2019

Regulamento Cibersegurança

(1) Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.o 526/2013 (Regulamento Cibersegurança) (Texto relevante para efeitos do EEE) [PE/86/2018/REV/1]. JO L 151 de 7.6.2019, pp. 15-69. Versão consolidada atual: 04/02/2025

► REGRAS DE EXECUÇÃO previstas no Regulamento de Execução (UE) 2024/482 da Comissão, de 31 de janeiro.

(2) Regulamento de Execução (UE) 2024/482 da Comissão, de 31 de janeiro de 2024, que estabelece regras de execução do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho no respeitante à adoção do sistema europeu de certificação da cibersegurança baseado nos Critérios Comuns (EUCC) [C/2024/560]. JO L, 2024/482, 07.02.2024, p. 1-45.

Considerandos (1) a (110),

ADOTARAM O PRESENTE REGULAMENTO:

TÍTULO I

DISPOSIÇÕES GERAIS

Artigo 1.º

Objeto e âmbito de aplicação

1. Com vista a assegurar o bom funcionamento do mercado interno e, simultaneamente, a alcançar um nível elevado de cibersegurança, de ciber-resiliência e de confiança no seio da União, o presente regulamento estabelece:

a) Os objetivos, as atribuições e os aspetos organizativos da ENISA («Agência da União Europeia para a Cibersegurança»); e

b) Um enquadramento para a criação de sistemas europeus de certificação da cibersegurança com o objetivo de assegurar um nível adequado de cibersegurança para os produtos, os serviços e os processos de TIC na União e de evitar a fragmentação do mercado interno no que toca aos sistemas de certificação da cibersegurança na União.

O enquadramento referido na alínea b) do primeiro parágrafo, é aplicável sem prejuízo de disposições específicas constantes de outros atos jurídicos da União em matéria de certificação de caráter voluntário ou obrigatório.

2. O presente regulamento não prejudica as competências dos Estados-Membros no que toca às suas atividades em matéria de segurança pública, de defesa e de segurança nacional, nem as atividades do Estado no domínio do direito penal.

Artigo 68.º

Revogação e sucessão

1. O Regulamento (UE) n.º 526/2013 é revogado com efeitos a partir de 27 de junho de 2019.

2. As remissões para o Regulamento (UE) n.º 526/2013 e as referências para a ENISA, tal como criada por esse regulamento, entendem-se como remissões para o presente regulamento e como referências para a ENISA, tal como criada pelo presente regulamento.

3. A ENISA tal como criada pelo presente regulamento sucede à ENISA tal como criada pelo Regulamento (UE) n.o 526/2013 no que respeita a todos os direitos de propriedade, acordos, obrigações legais, contratos de trabalho, compromissos financeiros e responsabilidades. As decisões do conselho de administração e da comissão executiva adotadas nos termos do Regulamento (UE) n.o 526/2013 permanecem válidas, desde que cumpram com o presente regulamento.

4. A ENISA é criada por um período indeterminado a partir de 27 de junho de 2019.

5. O diretor executivo nomeado ao abrigo do artigo 24.º, n.º 4, do Regulamento (UE) n.º 526/2013 permanece em funções e exerce as suas atribuições de diretor executivo da ENISA, nos termos do artigo 20.o do presente regulamento, durante o período remanescente do mandato do diretor executivo. As demais condições do seu contrato permanecem inalteradas.

6. Os membros do conselho de administração e respetivos suplentes nomeados ao abrigo do artigo 6.º do Regulamento (UE) n.º 526/2013 permanecem em funções e exercem as funções do conselho de administração, nos termos do artigo 15.º do presente regulamento, durante o período remanescente do seu mandato.

Artigo 69.º

Entrada em vigor

1. O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

2. Os artigos 58.º, 60.º, 61.º, 63.º, 64.º e 65.º são aplicáveis a partir de 28 de junho de 2021.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

ANEXO

REQUISITOS A CUMPRIR PELOS ORGANISMOS DE AVALIAÇÃO DA CONFORMIDADE

______________________________________________________

BIBLIOTECA DA ORDEM DOS ADVOGADOS
Catálogo da Biblioteca | boa@cg.oa.pt | Informação Jurídica
2025-12-01 / 12:02

CIBERSEGURANÇA

LEGISLAÇÃO, PROCEDIMENTOS E REGULAMENTAÇÃO

Contactos

Orgãos

Advogados

Ordem

Pesquisa

Publicações

Siga-nos nas redes sociais