Diretiva SRI 2 (NIS 2)

• Exigir que os Estados-Membros garantam um elevado nível de cibersegurança;
• Reforçar a cooperação europeia entre as autoridades competentes pela cibersegurança;
• Exigir que os principais operadores dos sectores-chave da nossa sociedade adotem as medidas de segurança necessárias e notifiquem às autoridades competentes qualquer incidente que tenha um impacto significativo na prestação dos seus serviços.

• O âmbito de aplicação da Diretiva SRI 2 foi amplamente alargado
  • Foram adicionados novos setores e novos tipos de entidades, dentro dos setores existentes;
• A estruturação dos setores abrangidos foi alterada
  • Existem dois grupos de setores, os Setores de importância crítica (constantes no Anexo I da Diretiva SRI 2) e os Outros setores críticos (constantes no Anexo II da Diretiva SRI 2);
• A categorização das entidades abrangidas foi alterada
  • Na Diretiva SRI 2, as entidades abrangidas dividem-se entre entidades essenciais e entidades importantes;
• Maior precisão e reforço das medidas de gestão dos riscos de cibersegurança a adotar pelas entidades;
• Consideração da cibersegurança da cadeia de abastecimento;
• Regras mais detalhadas, específicas e otimizadas quanto ao reporte de incidentes de cibersegurança;
• Maior especificação dos poderes de supervisão das autoridades de cibersegurança;
• Atribuição de responsabilidade às pessoas singulares responsáveis por entidades abrangida e preocupação na sua formação em cibersegurança;
• Quadro sancionatório harmonizado a nível da União Europeia, mais robusto e com coimas mais elevadas.

1. os serviços são prestados por:

1. 1. fornecedores de redes públicas de comunicações eletrónicas ou prestadores de serviços de comunicações eletrónicas acessíveis ao público,
   2. prestadores de serviços de confiança,
   3. registos de nomes de domínio de topo e prestadores de serviços de sistemas de nomes de domínio;

1. A entidade é o único prestador, num Estado-Membro, de um serviço que é essencial para a manutenção de atividades societais ou económicas críticas;
2. Uma perturbação do serviço prestado pela entidade possa afetar consideravelmente a segurança pública, a proteção pública ou a saúde pública;
3. Uma perturbação do serviço prestado pela entidade possa gerar riscos sistémicos consideráveis, especialmente para os setores onde tal perturbação possa ter um impacto transfronteiriço;
4. A entidade é crítica devido à sua importância específica, a nível nacional ou regional, para o setor ou o tipo de serviço em causa, ou para outros setores interdependentes no Estado-Membro;
5. A entidade é uma entidade da administração pública:
   1. do governo central, tal como definida por um Estado-Membro em conformidade com o direito nacional, ou
   2. a nível regional, tal como definida por um Estado-Membro em conformidade com o direito nacional, que, na sequência de uma avaliação baseada no risco, presta serviços cuja perturbação seria suscetível de ter um impacto significativo nas atividades societais ou económicas críticas.

Independentemente da dimensão que tenham, a Diretiva SRI 2 é ainda aplicável

• às entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557;
• às entidades prestadoras de serviços de registo de nomes de domínio.

Os Estados-Membros podem ainda prever que a presente diretiva, mediante tipificação a efetuar por cada Estado-Membro, se aplique a:

1. Entidades da administração pública a nível local;
2. Instituições de ensino, em especial quando realizam atividades críticas no domínio da investigação.

A Diretiva SRI 2 não se aplica às entidades da administração pública que exercem as suas atividades nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a prevenção, investigação, deteção e repressão de infrações penais. Exclui-se desta possibilidade o caso em que uma entidade atua como prestador de serviços de confiança.

Os Estados-Membros podem também isentar entidades específicas que exerçam atividades nos domínios da defesa, da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a prevenção, investigação, deteção e repressão de infrações penais, ou que ofereçam serviços exclusivamente às entidades da administração pública a que se refere o n.º 7 do artigo 2.º da Diretiva SRI 2, de cumprir as obrigações estabelecidas no artigo 21.º (Medidas de gestão dos riscos de cibersegurança) ou 23.º (Obrigações de notificação), no que diz respeito a essas atividades. Os Estados-Membros podem decidir também isentar essas entidades das obrigações previstas nos artigos 3.º (Entidades essenciais e importantes) e 27.º (Registo de entidades) da Diretiva SRI 2. Exclui-se desta possibilidade de isenção de tais obrigações os casos em que uma entidade atua como prestador de serviços de confiança.

A Diretiva SRI 2 não se aplica, também, às entidades que os Estados-Membros tenham excluído do âmbito de aplicação do Regulamento (UE) 2022/2554 em conformidade com o artigo 2.º, n.º 4, do referido Regulamento.

Os setores, subsetores e tipologias de entidades no âmbito da Diretiva SRI 2, estão previstos nos anexos I e II desta Diretiva, e podem ser consultados na Matriz de Classificação de  Entidades.

A Diretiva SRI 2 aplica-se também a entidades da Administração Pública

• do governo central, tal como definido no direito nacional;
• a nível regional, tal como seja definido em conformidade com o direito nacional, que prestam serviços cuja perturbação seria suscetível de ter um impacto significativo nas atividades societais ou económicas críticas na sequência de uma avaliação baseada no risco.

A Diretiva SRI 2 aplica-se também às entidades identificadas como entidades críticas, nos termos da Diretiva (UE) 2022/2557, e às entidades prestadoras de serviços de registo de nomes de domínio.

Os Estados-Membros podem também prever que a transposição da Diretiva SRI 2 se aplique a entidades da administração pública a nível local e a instituições de ensino, em especial, quando realizam atividades críticas no domínio da investigação.

Nos termos dos n.ºs 3 e 4 do artigo 3.º da Diretiva SRI 2, até 17 de abril de 2025, os Estados-Membros estabelecem uma lista das entidades essenciais e importantes, bem como das entidades que prestam serviços de registo de nomes de domínio.

Os Estados-Membros revêm e, se for caso disso, atualizam essa lista com regularidade e, pelo menos, de dois em dois anos.

Para efeitos do estabelecimento da lista referida acima, os Estados-Membros requerem às entidades referidas nesse número que apresentem às autoridades competentes, pelo menos, as seguintes informações:

1. Nome da entidade;
2. O endereço e os dados de contacto atualizados, incluindo os endereços de correio eletrónico, as gamas de endereços IP e os números de telefone;
3. Se aplicável, o setor e subsetor pertinentes referidos no anexo I ou II; e
4. Se aplicável, uma lista dos Estados-Membros em que prestam serviços abrangidos pelo âmbito de aplicação da Diretiva SRI 2.

As entidades essenciais e importantes, bem como as entidades que prestam serviços de registo de nomes de domínio, como referidas  no n.º 3 do artigo 3.º, devem notificar sem demora quaisquer alterações dos dados fornecidos e, em qualquer caso, no prazo de duas semanas a contar da data da alteração.

Os Estados-Membros podem estabelecer mecanismos nacionais que permitam às entidades registarem-se por si próprias enquanto entidades abrangidas pela Diretiva SRI 2.

Nos termos do artigo 3.º da Diretiva SRI 2, consideram-se entidades essenciais as seguintes entidades:

1. Entidades de um dos tipos referidos no anexo I da Diretiva SRI 2 que excedam os limiares para as médias empresas previstos no artigo 2.º, n.º 1, do anexo da Recomendação 2003/361/CE;
2. Prestadores de serviços de confiança qualificados e registos de nomes de domínio de topo, bem como prestadores de serviços de DNS, independentemente da sua dimensão;
3. Fornecedores de redes públicas de comunicações eletrónicas ou prestadores de serviços de comunicações eletrónicas acessíveis ao público que sejam considerados médias empresas nos termos do artigo 2.º do anexo da Recomendação 2003/361/CE;
4. Entidades da administração pública a que se refere o artigo 2.º, n.º 2, alínea f), subalínea i) da Diretiva SRI 2;
5. Qualquer outra entidade de um dos tipos referidos no anexo I ou II da Diretiva SRI 2 que um Estado-Membro tenha identificado como entidade essencial nos termos do artigo 2.º, n.º 2, alíneas b) a e);
6. Entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557 a que se refere o artigo 2.º, n.º 3, da presente Diretiva SRI 2;
7. Se o Estado-Membro assim o estabelecer, as entidades que o Estado-Membro em causa tenha identificado antes de 16 de janeiro de 2023 como operadores de serviços essenciais nos termos da Diretiva (UE) 2016/1148 ou do direito nacional.

A designação das entidades dos tipos referidos nos termos das alíneas d) a g) dependem de designação por parte de cada Estado-Membro.

São consideradas importantes as entidades dentro do âmbito de aplicação da Diretiva SRI 2 que correspondam a um dos tipos referidos no anexo I ou II da Diretiva SRI 2 e não sejam consideradas entidades essenciais nos termos elencados supra nas alíneas a) a g) do n.º 1 do artigo 3.º da Diretiva SRI 2. Tal inclui as entidades que tenham sido identificadas pelos Estados-Membros como entidades importantes nos termos do artigo 2.º, n.º 2, alíneas b) a e) da Diretiva SRI 2:

1. A entidade é o único prestador, num Estado-Membro, de um serviço que é essencial para a manutenção de atividades societais ou económicas críticas;
2. Uma perturbação do serviço prestado pela entidade que possa afetar consideravelmente a segurança pública, a proteção pública ou a saúde pública;
3. Uma perturbação do serviço prestado pela entidade possa gerar riscos sistémicos consideráveis, especialmente para os setores onde tal perturbação que possa ter um impacto transfronteiriço;
4. A entidade é crítica devido à sua importância específica, a nível nacional ou regional, para o setor ou o tipo de serviço em causa, ou para outros setores interdependentes no Estado-Membro.

A fim de evitar que as entidades que têm empresas parceiras ou que são empresas associadas sejam consideradas entidades essenciais ou importantes se tal for desproporcionado, os Estados-Membros podem ter em conta o grau de independência de que goza uma entidade em relação às suas empresas parceiras ou associadas aquando da aplicação do artigo 6.º, n.º 2, do anexo da Recomendação 2003/361/CE, como referido nos termos do Considerando 16, da Diretiva SRI 2.

Assim, os Estados-Membros podem ter em conta o facto de uma entidade ser independente das suas empresas parceiras ou associadas em termos de sistemas de rede e informação que essa entidade utiliza na prestação dos seus serviços e em termos dos serviços que presta. Os Estados-Membros podem assim, considerar que tal entidade não é uma média empresa nos termos do artigo 2.º do anexo da Recomendação 2003/361/CE, ou não excede os limiares relativos a uma média empresa previstos no n.º 1 desse artigo, se, após ter em conta o grau de independência dessa entidade, essa entidade não fosse considerada uma média empresa ou não excedesse esses limiares no caso de apenas serem tidos em conta os seus próprios dados.

De acordo com o citado considerando 16, tal não afeta as obrigações previstas na Diretiva SRI 2 para as empresas parceiras e associadas abrangidas pelo seu âmbito de aplicação.

Nos termos do n. 1 do artigo 2.º da Diretiva SRI 2, com a epígrafe “Âmbito de aplicação”, esta Diretiva aplica-se às entidades públicas ou privadas de um dos tipos referidos no anexo I ou II, que sejam consideradas médias empresas nos termos do artigo 2.º do anexo da Recomendação 2003/361/CE, ou que excedam os limiares relativos às médias empresas previstos no n.º 1 desse artigo, e que prestem os seus serviços ou exerçam as suas atividades na União.

De acordo com o indicado, o artigo 2.º do anexo da Recomendação 2003/361/CE, define os limiares para a classificação da dimensão das empresas.

Em termos concretos, as médias empresas são definidas como aquelas que empregam menos de 250 pessoas e cujo volume de negócios anual não excede 50 milhões de euros ou balanço total (ativo líquido) anual não excede 43 milhões de euros, e que não estão classificadas como pequena empresa e/ou microempresa.
As grandes empresas são definidas como aquelas que excedem estes limiares, isto é, aquelas que empregam 250 ou mais pessoas ou aquelas que apresentam volume de negócios anual superior a 50 milhões de euros e balanço total (ativo líquido) anual superior a 43 milhões de euros.

Nos termos do artigo 21.º da Diretiva SRI 2, as entidades essenciais e importantes tomam medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos que se colocam à segurança dos sistemas de rede e informação que utilizam nas suas operações ou na prestação dos seus serviços e para impedir ou minimizar o impacto de incidentes nos destinatários dos seus serviços e noutros serviços.

Estas medidas devem garantir um nível de segurança dos sistemas de rede e informação adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes e, se aplicáveis, as normas europeias e internacionais pertinentes, bem como os custos de execução. Ao avaliar a proporcionalidade dessas medidas, deve ser tido em devida conta o grau de exposição da entidade aos riscos, a dimensão da entidade e a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto social e económico.

As medidas de gestão dos riscos de cibersegurança, a implementar pelas entidades no âmbito de aplicação da Diretiva SRI 2, devem basear-se numa abordagem que abranja todos os riscos e que vise proteger os sistemas de rede e informação, bem como o seu ambiente físico contra incidentes, e devem abranger pelo menos os seguintes aspetos:

1. Políticas de análise dos riscos e de segurança dos sistemas de informação;
2. Tratamento de incidentes;
3. Continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises;
4. Segurança da cadeia de abastecimento, incluindo aspetos de segurança respeitantes às relações entre cada entidade e os respetivos fornecedores ou prestadores de serviços diretos;
5. Segurança na aquisição, desenvolvimento e manutenção dos sistemas de rede e informação, incluindo o tratamento e a divulgação de vulnerabilidades;
6. Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança;
7. Práticas básicas de ciber-higiene e formação em cibersegurança;
8. Políticas e procedimentos relativos à utilização de criptografia e, se for caso disso, de cifragem;
9. Segurança dos recursos humanos, políticas seguidas em matéria de controlo do acesso e gestão de ativos;
10. Utilização de soluções de autenticação multifatores ou de autenticação contínua, comunicações seguras de voz, vídeo e texto e sistemas seguros de comunicações de emergência no seio da entidade, se for caso disso.

Relativamente às medidas para a segurança da cadeia de abastecimento, incluindo aspetos de segurança respeitantes às relações entre cada entidade e os respetivos fornecedores ou prestadores de serviços diretos, ao ponderarem a adequação das medidas a tomar, as entidades têm em conta:

• As vulnerabilidades específicas de cada fornecedor direto e de cada prestador de serviços;
• A qualidade global dos produtos e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os respetivos procedimentos de desenvolvimento seguro.

As entidades são ainda obrigadas a ter em conta os resultados das avaliações coordenadas dos riscos de segurança das cadeias de abastecimento críticas realizadas a nível do Grupo de Cooperação da Diretiva SRI 2, em cooperação com a ENISA e com a Comissão Europeia (conforme previstas no artigo 22.º da Diretiva SRI 2), para avaliarem a adequação das medidas.

Uma entidade que conclua que não cumpre as medidas de gestão dos riscos estabelecidas toma todas as medidas corretivas necessárias, adequadas e proporcionadas, sem demora injustificada.

O Quadro Nacional de Referência para a Cibersegurança disponibilizado pelo CNCS constitui um guia de cibersegurança que sistematiza um conjunto de medidas que abrangem todos os aspetos da gestão dos riscos de cibersegurança, a implementar pelas entidades no âmbito de aplicação da Diretiva SRI 2.

O Guia para Gestão dos Riscos em matérias de Segurança da Informação e Cibersegurança, também disponibilizado pelo CNCS, é um referencial que tem como objetivo definir uma abordagem sistematizada e coerente ao processo de identificação, análise, avaliação e tratamento periódico dos riscos de cibersegurança e pretende, assim, orientar as diversas entidades nacionais para a realização de um processo de gestão dos riscos ao nível organizacional.

A Comissão Europeia elaborou uma proposta de Regulamento de Implementação da Diretiva SRI 2, nos termos previstos no n.º 5 do artigo 21.º e do n.º 11 do artigo 23.º da mesma Diretiva, para estabelecimento dos requisitos técnicos e metodológicos das medidas de gestão dos riscos de cibersegurança e para especificação dos casos em que um incidente deve ser considerado significativo aplicáveis a determinados tipos de entidades. Esta proposta dirige-se exclusivamente às entidades do setor da gestão de serviços TIC, às entidades do setor dos prestadores de serviços digitais, e às entidades do setor das infraestruturas digitais, exceto os fornecedores de pontos de troca de tráfego, os fornecedores de redes públicas de comunicações eletrónicas e os prestadores de serviços de comunicações eletrónicas acessíveis ao público.

A proposta de Regulamento pode ser consultada na página da Comissão Europeia em:

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14241-Cybersecurity-risk-management-reporting-obligations-for-digital-infrastructure-providers-and-ICT-service-managers_en  

Prevê-se que este Regulamento seja adotado e publicado no terceiro trimestre de 2024.

Em conformidade com o artigo 23.º da Diretiva SRI 2, as entidades essenciais e importantes notificam e reportam às autoridades competentes, sem demora injustificada, qualquer incidente que tenha um impacto significativo na prestação dos seus serviços.

De acordo com o artigo 23.º n.º 3 da Diretiva SRI 2, um incidente é considerado significativo se:

1. Tiver causado ou for suscetível de causar graves perturbações operacionais dos serviços ou perdas financeiras à entidade em causa;
2. Tiver afetado ou for suscetível de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis.

A entidade deverá ainda notificar os seus clientes de incidentes significativos que possam afetar a prestação dos seus serviços.

O reporte de incidentes pode ainda ser apresentado voluntariamente às autoridades competentes, de acordo com o disposto no artigo 30.º da Diretiva SRI 2, por:

1. Entidades essenciais e importantes em caso de incidentes, ciberameaças e quase incidentes;
2. Entidades que, independentemente de serem ou não abrangidas pelo âmbito de aplicação da presente diretiva, em caso de incidentes significativos, ciberameaças e quase incidentes.

• as entidades essenciais, “num montante máximo não inferior a 10 000 000 EUR ou montante máximo não inferior a 2 % do volume de negócios anual a nível mundial, no exercício financeiro anterior, da empresa a que a entidade essencial pertence, consoante o montante que for mais elevado.” (de acordo com o artigo 34.º n.º 4)
• as entidades importantes, “ num montante máximo não inferior a 7 000 000 EUR ou num montante máximo não inferior a 1,4 % do volume de negócios anual a nível mundial, no exercício financeiro anterior, da empresa a que a entidade importante pertence, consoante o montante que for mais elevado.” (de acordo com o artigo 34.º n.º 5).

A legislação portuguesa de transposição da Diretiva SRI 2 aplicar-se-á às entidades que se encontrem estabelecidas em Portugal, exceto:

1. Os fornecedores de redes públicas de comunicações eletrónicas ou os fornecedores de serviços públicos de comunicações eletrónicas, que ficam sujeitos à jurisdição do Estado-Membro em que oferecem os seus serviços;
2. Os prestadores de serviços de DNS, os registos de nomes de TLD, as entidades que prestam serviços de registo de nomes de domínio, os prestadores de serviços de computação em nuvem, os prestadores de serviços de centro de dados, os fornecedores de redes de distribuição de conteúdos, os prestadores de serviços geridos, os prestadores de serviços de segurança geridos, bem como os prestadores de serviços de mercados em linha, de motores de pesquisa em linha ou de plataformas de serviços de redes sociais, que devem ser considerados como estando sob a jurisdição do Estado-Membro em que têm o seu estabelecimento principal na União, nos termos do n.º 2 do artigo 26.º;
3. As entidades da administração pública, que devem ser consideradas como estando sob a jurisdição do Estado-Membro que as estabeleceu.

O Regulamento (EU) n.º 2022/2554 (Regulamento DORA), relativo à resiliência operacional digital do setor financeiro vem estabelecer normas especiais com o objetivo de assegurar a cibersegurança e a resiliência das redes e dos serviços que suportam a atividade das entidades do sector financeiro na União Europeia.

Por conseguinte,  os requisitos estabelecidos no Regulamento DORA em matéria de gestão de riscos e de notificação de incidentes aplicam-se aos seguintes tipos de entidades abrangidas no âmbito de aplicação da Diretiva SRI 2, nomeadamente:

1. Dentro do setor bancário, de acordo com o n.º 3 do Anexo I, as instituições de crédito, tal como definidas no artigo 4.º, ponto 1, do Regulamento (UE) n.º 575/2013 do Parlamento Europeu e do Conselho;
2. Dentro do setor das infraestruturas do mercado financeiro, de acordo com o n.º 3 do Anexo I, os operadores de plataformas de negociação na aceção do artigo 4.º, ponto 24, da Diretiva 2014/65/UE do Parlamento Europeu e do Conselho e as contrapartes centrais (CCP) na aceção do artigo 2.º, ponto 1, do Regulamento (UE) n.º 648/2012 do Parlamento Europeu e do Conselho.

Neste sentido, veja-se o considerando 28 da Diretiva SRI 2: “O Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho deverá ser considerado um ato jurídico setorial da União para efeitos da presente diretiva no que diz respeito às entidades financeiras. 

As disposições do Regulamento (UE) 2022/2554 relativas às medidas de gestão dos riscos no domínio das tecnologias da informação e comunicação (TIC), à gestão de incidentes relacionados com TIC e, em especial, às obrigações de notificação de incidentes de caráter severo relacionados com as TIC, bem como as relativas a testes de resiliência operacional digital, acordos de partilha de informações e riscos de terceiros no domínio das TIC, deverão ser aplicadas em vez das disposições previstas na presente diretiva. Por conseguinte, os Estados-Membros não deverão aplicar as disposições da presente diretiva em matéria de obrigações de gestão dos riscos de cibersegurança e de notificação, e em matéria de supervisão e execução, relativas às entidades financeiras abrangidas pelo Regulamento (UE) 2022/2554.” 

Estabelece o artigo 27.º da Diretiva SRI 2 que determinadas tipologias de entidades têm de fornecer elementos identificativos à Autoridade Nacional de Cibersegurança, que em Portugal é o Centro Nacional de Cibersegurança, conforme determina o Artigo 7.º, n.º 1 da Lei n.º46/2018, que estabelece o Regime Jurídico da Segurança do Ciberespaço. O mesmo artigo 27.º estabelece ainda que estes elementos identificativos têm de ser comunicados pelas entidades o mais tardar até 17 de janeiro de 2025.

As tipologias de entidades que deverão proceder ao envio destes elementos ao Centro Nacional de Cibersegurança, são as seguintes:

• Prestadores de serviços de DNS;
• Registos de nomes de TLD;
• Entidades que prestam serviços de registo de nomes de domínio;
• Prestadores de serviços de computação em nuvem;
• Prestadores de serviços de centro de dados;
• Fornecedores de redes de distribuição de conteúdos;
• Prestadores de serviços geridos;
• Prestadores de serviços de segurança geridos;
• Prestadores de serviços de mercados em linha;
• Motores de pesquisa em linha;
• Plataformas de serviços de redes sociais.

Os elementos a enviar ao Centro Nacional de Cibersegurança pelas entidades acima identificadas são os seguintes (serão indicados atempadamente os meios e procedimentos para envio desta informação):

1. Nome da entidade;
2. Setor, subsetor e tipo de entidade a que se referem o anexo I ou II, se aplicável;
3. Endereço do estabelecimento principal da entidade e dos outros estabelecimentos legais que possui na União ou, se não estiver estabelecida na União, do seu representante designado nos termos do artigo 26.º, n.º 3;
4. Contactos atualizados, incluindo endereços de correio eletrónico e números de telefone da entidade e, se aplicável, do seu representante designado nos termos do artigo 26.º, n.º 3;
5. Estados-Membros onde a entidade presta serviços; e
6. Gamas de endereços IP da entidade.

As entidades referidas notificam a autoridade competente de alterações das informações que forneceram, sem demora e, em qualquer caso, no prazo de três meses a contar da data da alteração.

Nos termos do artigo 28.º da Diretiva SRI 2, os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio recolhem e mantêm dados exatos e completos relativos ao registo de nomes de domínio numa base de dados específica.

Esta base de dados relativos ao registo de nomes de domínio deve conter as informações necessárias para identificar e contactar os titulares dos nomes de domínio e os pontos de contacto que administram os nomes de domínio sob o TLD. Estas informações devem incluir:

1. O nome de domínio;
2. A data de registo;
3. O nome, o endereço de correio eletrónico de contacto e o número de telefone do requerente de registo;
4. O endereço de correio eletrónico de contacto e o número de telefone do ponto de contacto que administra o nome de domínio, caso sejam diferentes dos do requerente de registo.

Os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio devem dispor de políticas e procedimentos, incluindo procedimentos de verificação, para assegurar que as bases de dados relativos ao registo de nomes de domínio, a que se refere o n.º 1 do art.º 28 da Diretiva SRI 2, contêm informações exatas e completas. Estas políticas e procedimentos devem também ser tornados públicos.

Os dados relativos ao registo de nomes de domínio que não sejam dados pessoais, devem também ser tornados públicos.

Devem também ser garantidos os pedidos de acesso a dados, desde que os pedidos sejam lícitos e devidamente fundamentados. Os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio devem responder sem demora injustificada e, em qualquer caso, no prazo de 72 horas a contar da receção dos pedidos de acesso.

Nos termos do Considerando 30 e do artigo 2.º, n.º 3 da Diretiva SRI 2, as entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557 deverão ser consideradas entidades essenciais no âmbito da Diretiva SRI 2, sendo especificado que, independentemente da dimensão que tenham, a Diretiva SRI 2 é aplicável às entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557.

Assim, as entidades críticas, identificadas nos termos da Diretiva (UE) 2022/2557, são consideradas entidades essenciais para efeito de aplicação da Diretiva SRI 2, de acordo com o previsto no artigo 3.º, n.º 1, alínea f), desta Diretiva.

Decorre da Diretiva SRI 2 que as entidades identificadas como críticas, no âmbito da Diretiva (UE) 2022/2557, estão sujeitas às obrigações da Diretiva SRI 2, incluindo nos casos onde a entidade identificada como crítica não corresponda a uma tipologia de entidade tal como prevista nos Anexos I e II da Diretiva SRI 2.

De acordo com o artigo 1.º, n.º 2, al. b) da Diretiva SRI 2, indica-se que esta estabelece medidas de gestão dos riscos de cibersegurança e obrigações de notificação às entidades do tipo referido no anexo I ou II, bem como às entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557.

Nos termos do Considerando 31 da Diretiva SRI 2, as entidades pertencentes ao setor das infraestruturas digitais baseiam-se nos sistemas de rede e informação, pelo que as obrigações impostas a essas entidades nos termos da Diretiva SRI 2 deverão atender de forma abrangente à segurança física desses sistemas, no quadro das suas medidas de gestão dos riscos de cibersegurança e das obrigações de notificação. Uma vez que essas matérias são abrangidas pela Diretiva SRI 2, as obrigações estabelecidas nos capítulos III, IV e VI da Diretiva (UE) 2022/2557 não se aplicam a tais entidades.

Nos termos do Considerando 79 da Diretiva SRI 2, as medidas de gestão dos riscos de cibersegurança deverão resolver também problemas de segurança física e ambiental dos sistemas de rede e informação, incluindo, para tal, medidas para proteger estes sistemas contra falhas do sistema, erros humanos, ações maliciosas ou fenómenos naturais, em conformidade com as normas europeias e internacionais, como as que integram a família de normas ISO/IEC 27000. Assim, as entidades essenciais e importantes deverão, no quadro das suas medidas de gestão dos riscos de cibersegurança, atender também à segurança dos recursos humanos e dispor de políticas adequadas de controlo do acesso. Estas medidas deverão ser coerentes com a Diretiva (UE) 2022/2557.

Contacte por favor o CNCS, na qualidade de Autoridade Nacional de Cibersegurança e de Autoridade Nacional de Certificação de Cibersegurança para os seguintes endereços de correio eletrónico:

• Dúvidas sobre a aplicação da Diretiva SRI 2: segciber@cncs.gov.pt
• Dúvidas sobre certificação da cibersegurança: certificaciber@cncs.gov.pt