Independentemente da dimensão que tenham, a Diretiva SRI 2 é ainda aplicável
Os Estados-Membros podem ainda prever que a presente diretiva, mediante tipificação a efetuar por cada Estado-Membro, se aplique a:
A Diretiva SRI 2 não se aplica às entidades da administração pública que exercem as suas atividades nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a prevenção, investigação, deteção e repressão de infrações penais. Exclui-se desta possibilidade o caso em que uma entidade atua como prestador de serviços de confiança.
Os Estados-Membros podem também isentar entidades específicas que exerçam atividades nos domínios da defesa, da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a prevenção, investigação, deteção e repressão de infrações penais, ou que ofereçam serviços exclusivamente às entidades da administração pública a que se refere o n.º 7 do artigo 2.º da Diretiva SRI 2, de cumprir as obrigações estabelecidas no artigo 21.º (Medidas de gestão dos riscos de cibersegurança) ou 23.º (Obrigações de notificação), no que diz respeito a essas atividades. Os Estados-Membros podem decidir também isentar essas entidades das obrigações previstas nos artigos 3.º (Entidades essenciais e importantes) e 27.º (Registo de entidades) da Diretiva SRI 2. Exclui-se desta possibilidade de isenção de tais obrigações os casos em que uma entidade atua como prestador de serviços de confiança.
A Diretiva SRI 2 não se aplica, também, às entidades que os Estados-Membros tenham excluído do âmbito de aplicação do Regulamento (UE) 2022/2554 em conformidade com o artigo 2.º, n.º 4, do referido Regulamento.
Os setores, subsetores e tipologias de entidades no âmbito da Diretiva SRI 2, estão previstos nos anexos I e II desta Diretiva, e podem ser consultados na Matriz de Classificação de Entidades.
A Diretiva SRI 2 aplica-se também a entidades da Administração Pública
A Diretiva SRI 2 aplica-se também às entidades identificadas como entidades críticas, nos termos da Diretiva (UE) 2022/2557, e às entidades prestadoras de serviços de registo de nomes de domínio.
Os Estados-Membros podem também prever que a transposição da Diretiva SRI 2 se aplique a entidades da administração pública a nível local e a instituições de ensino, em especial, quando realizam atividades críticas no domínio da investigação.
Nos termos dos n.ºs 3 e 4 do artigo 3.º da Diretiva SRI 2, até 17 de abril de 2025, os Estados-Membros estabelecem uma lista das entidades essenciais e importantes, bem como das entidades que prestam serviços de registo de nomes de domínio.
Os Estados-Membros revêm e, se for caso disso, atualizam essa lista com regularidade e, pelo menos, de dois em dois anos.
Para efeitos do estabelecimento da lista referida acima, os Estados-Membros requerem às entidades referidas nesse número que apresentem às autoridades competentes, pelo menos, as seguintes informações:
As entidades essenciais e importantes, bem como as entidades que prestam serviços de registo de nomes de domínio, como referidas no n.º 3 do artigo 3.º, devem notificar sem demora quaisquer alterações dos dados fornecidos e, em qualquer caso, no prazo de duas semanas a contar da data da alteração.
Os Estados-Membros podem estabelecer mecanismos nacionais que permitam às entidades registarem-se por si próprias enquanto entidades abrangidas pela Diretiva SRI 2.
Nos termos do artigo 3.º da Diretiva SRI 2, consideram-se entidades essenciais as seguintes entidades:
A designação das entidades dos tipos referidos nos termos das alíneas d) a g) dependem de designação por parte de cada Estado-Membro.
São consideradas importantes as entidades dentro do âmbito de aplicação da Diretiva SRI 2 que correspondam a um dos tipos referidos no anexo I ou II da Diretiva SRI 2 e não sejam consideradas entidades essenciais nos termos elencados supra nas alíneas a) a g) do n.º 1 do artigo 3.º da Diretiva SRI 2. Tal inclui as entidades que tenham sido identificadas pelos Estados-Membros como entidades importantes nos termos do artigo 2.º, n.º 2, alíneas b) a e) da Diretiva SRI 2:
A fim de evitar que as entidades que têm empresas parceiras ou que são empresas associadas sejam consideradas entidades essenciais ou importantes se tal for desproporcionado, os Estados-Membros podem ter em conta o grau de independência de que goza uma entidade em relação às suas empresas parceiras ou associadas aquando da aplicação do artigo 6.º, n.º 2, do anexo da Recomendação 2003/361/CE, como referido nos termos do Considerando 16, da Diretiva SRI 2.
Assim, os Estados-Membros podem ter em conta o facto de uma entidade ser independente das suas empresas parceiras ou associadas em termos de sistemas de rede e informação que essa entidade utiliza na prestação dos seus serviços e em termos dos serviços que presta. Os Estados-Membros podem assim, considerar que tal entidade não é uma média empresa nos termos do artigo 2.º do anexo da Recomendação 2003/361/CE, ou não excede os limiares relativos a uma média empresa previstos no n.º 1 desse artigo, se, após ter em conta o grau de independência dessa entidade, essa entidade não fosse considerada uma média empresa ou não excedesse esses limiares no caso de apenas serem tidos em conta os seus próprios dados.
De acordo com o citado considerando 16, tal não afeta as obrigações previstas na Diretiva SRI 2 para as empresas parceiras e associadas abrangidas pelo seu âmbito de aplicação.
Nos termos do n. 1 do artigo 2.º da Diretiva SRI 2, com a epígrafe “Âmbito de aplicação”, esta Diretiva aplica-se às entidades públicas ou privadas de um dos tipos referidos no anexo I ou II, que sejam consideradas médias empresas nos termos do artigo 2.º do anexo da Recomendação 2003/361/CE, ou que excedam os limiares relativos às médias empresas previstos no n.º 1 desse artigo, e que prestem os seus serviços ou exerçam as suas atividades na União.
De acordo com o indicado, o artigo 2.º do anexo da Recomendação 2003/361/CE, define os limiares para a classificação da dimensão das empresas.
Em termos concretos, as médias empresas são definidas como aquelas que empregam menos de 250 pessoas e cujo volume de negócios anual não excede 50 milhões de euros ou balanço total (ativo líquido) anual não excede 43 milhões de euros, e que não estão classificadas como pequena empresa e/ou microempresa.
As grandes empresas são definidas como aquelas que excedem estes limiares, isto é, aquelas que empregam 250 ou mais pessoas ou aquelas que apresentam volume de negócios anual superior a 50 milhões de euros e balanço total (ativo líquido) anual superior a 43 milhões de euros.
Nos termos do artigo 21.º da Diretiva SRI 2, as entidades essenciais e importantes tomam medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos que se colocam à segurança dos sistemas de rede e informação que utilizam nas suas operações ou na prestação dos seus serviços e para impedir ou minimizar o impacto de incidentes nos destinatários dos seus serviços e noutros serviços.
Estas medidas devem garantir um nível de segurança dos sistemas de rede e informação adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes e, se aplicáveis, as normas europeias e internacionais pertinentes, bem como os custos de execução. Ao avaliar a proporcionalidade dessas medidas, deve ser tido em devida conta o grau de exposição da entidade aos riscos, a dimensão da entidade e a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto social e económico.
As medidas de gestão dos riscos de cibersegurança, a implementar pelas entidades no âmbito de aplicação da Diretiva SRI 2, devem basear-se numa abordagem que abranja todos os riscos e que vise proteger os sistemas de rede e informação, bem como o seu ambiente físico contra incidentes, e devem abranger pelo menos os seguintes aspetos:
Relativamente às medidas para a segurança da cadeia de abastecimento, incluindo aspetos de segurança respeitantes às relações entre cada entidade e os respetivos fornecedores ou prestadores de serviços diretos, ao ponderarem a adequação das medidas a tomar, as entidades têm em conta:
As entidades são ainda obrigadas a ter em conta os resultados das avaliações coordenadas dos riscos de segurança das cadeias de abastecimento críticas realizadas a nível do Grupo de Cooperação da Diretiva SRI 2, em cooperação com a ENISA e com a Comissão Europeia (conforme previstas no artigo 22.º da Diretiva SRI 2), para avaliarem a adequação das medidas.
Uma entidade que conclua que não cumpre as medidas de gestão dos riscos estabelecidas toma todas as medidas corretivas necessárias, adequadas e proporcionadas, sem demora injustificada.
O Quadro Nacional de Referência para a Cibersegurança disponibilizado pelo CNCS constitui um guia de cibersegurança que sistematiza um conjunto de medidas que abrangem todos os aspetos da gestão dos riscos de cibersegurança, a implementar pelas entidades no âmbito de aplicação da Diretiva SRI 2.
O Guia para Gestão dos Riscos em matérias de Segurança da Informação e Cibersegurança, também disponibilizado pelo CNCS, é um referencial que tem como objetivo definir uma abordagem sistematizada e coerente ao processo de identificação, análise, avaliação e tratamento periódico dos riscos de cibersegurança e pretende, assim, orientar as diversas entidades nacionais para a realização de um processo de gestão dos riscos ao nível organizacional.
A Comissão Europeia elaborou uma proposta de Regulamento de Implementação da Diretiva SRI 2, nos termos previstos no n.º 5 do artigo 21.º e do n.º 11 do artigo 23.º da mesma Diretiva, para estabelecimento dos requisitos técnicos e metodológicos das medidas de gestão dos riscos de cibersegurança e para especificação dos casos em que um incidente deve ser considerado significativo aplicáveis a determinados tipos de entidades. Esta proposta dirige-se exclusivamente às entidades do setor da gestão de serviços TIC, às entidades do setor dos prestadores de serviços digitais, e às entidades do setor das infraestruturas digitais, exceto os fornecedores de pontos de troca de tráfego, os fornecedores de redes públicas de comunicações eletrónicas e os prestadores de serviços de comunicações eletrónicas acessíveis ao público.
A proposta de Regulamento pode ser consultada na página da Comissão Europeia em:
Prevê-se que este Regulamento seja adotado e publicado no terceiro trimestre de 2024.
Em conformidade com o artigo 23.º da Diretiva SRI 2, as entidades essenciais e importantes notificam e reportam às autoridades competentes, sem demora injustificada, qualquer incidente que tenha um impacto significativo na prestação dos seus serviços.
De acordo com o artigo 23.º n.º 3 da Diretiva SRI 2, um incidente é considerado significativo se:
A entidade deverá ainda notificar os seus clientes de incidentes significativos que possam afetar a prestação dos seus serviços.
O reporte de incidentes pode ainda ser apresentado voluntariamente às autoridades competentes, de acordo com o disposto no artigo 30.º da Diretiva SRI 2, por:
A legislação portuguesa de transposição da Diretiva SRI 2 aplicar-se-á às entidades que se encontrem estabelecidas em Portugal, exceto:
O Regulamento (EU) n.º 2022/2554 (Regulamento DORA), relativo à resiliência operacional digital do setor financeiro vem estabelecer normas especiais com o objetivo de assegurar a cibersegurança e a resiliência das redes e dos serviços que suportam a atividade das entidades do sector financeiro na União Europeia.
Por conseguinte, os requisitos estabelecidos no Regulamento DORA em matéria de gestão de riscos e de notificação de incidentes aplicam-se aos seguintes tipos de entidades abrangidas no âmbito de aplicação da Diretiva SRI 2, nomeadamente:
Neste sentido, veja-se o considerando 28 da Diretiva SRI 2: “O Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho deverá ser considerado um ato jurídico setorial da União para efeitos da presente diretiva no que diz respeito às entidades financeiras.
As disposições do Regulamento (UE) 2022/2554 relativas às medidas de gestão dos riscos no domínio das tecnologias da informação e comunicação (TIC), à gestão de incidentes relacionados com TIC e, em especial, às obrigações de notificação de incidentes de caráter severo relacionados com as TIC, bem como as relativas a testes de resiliência operacional digital, acordos de partilha de informações e riscos de terceiros no domínio das TIC, deverão ser aplicadas em vez das disposições previstas na presente diretiva. Por conseguinte, os Estados-Membros não deverão aplicar as disposições da presente diretiva em matéria de obrigações de gestão dos riscos de cibersegurança e de notificação, e em matéria de supervisão e execução, relativas às entidades financeiras abrangidas pelo Regulamento (UE) 2022/2554.”
Estabelece o artigo 27.º da Diretiva SRI 2 que determinadas tipologias de entidades têm de fornecer elementos identificativos à Autoridade Nacional de Cibersegurança, que em Portugal é o Centro Nacional de Cibersegurança, conforme determina o Artigo 7.º, n.º 1 da Lei n.º46/2018, que estabelece o Regime Jurídico da Segurança do Ciberespaço. O mesmo artigo 27.º estabelece ainda que estes elementos identificativos têm de ser comunicados pelas entidades o mais tardar até 17 de janeiro de 2025.
As tipologias de entidades que deverão proceder ao envio destes elementos ao Centro Nacional de Cibersegurança, são as seguintes:
Os elementos a enviar ao Centro Nacional de Cibersegurança pelas entidades acima identificadas são os seguintes (serão indicados atempadamente os meios e procedimentos para envio desta informação):
As entidades referidas notificam a autoridade competente de alterações das informações que forneceram, sem demora e, em qualquer caso, no prazo de três meses a contar da data da alteração.
Nos termos do artigo 28.º da Diretiva SRI 2, os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio recolhem e mantêm dados exatos e completos relativos ao registo de nomes de domínio numa base de dados específica.
Esta base de dados relativos ao registo de nomes de domínio deve conter as informações necessárias para identificar e contactar os titulares dos nomes de domínio e os pontos de contacto que administram os nomes de domínio sob o TLD. Estas informações devem incluir:
Os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio devem dispor de políticas e procedimentos, incluindo procedimentos de verificação, para assegurar que as bases de dados relativos ao registo de nomes de domínio, a que se refere o n.º 1 do art.º 28 da Diretiva SRI 2, contêm informações exatas e completas. Estas políticas e procedimentos devem também ser tornados públicos.
Os dados relativos ao registo de nomes de domínio que não sejam dados pessoais, devem também ser tornados públicos.
Devem também ser garantidos os pedidos de acesso a dados, desde que os pedidos sejam lícitos e devidamente fundamentados. Os registos de nomes de TLD e as entidades que prestam serviços de registo de nomes de domínio devem responder sem demora injustificada e, em qualquer caso, no prazo de 72 horas a contar da receção dos pedidos de acesso.
Nos termos do Considerando 30 e do artigo 2.º, n.º 3 da Diretiva SRI 2, as entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557 deverão ser consideradas entidades essenciais no âmbito da Diretiva SRI 2, sendo especificado que, independentemente da dimensão que tenham, a Diretiva SRI 2 é aplicável às entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557.
Assim, as entidades críticas, identificadas nos termos da Diretiva (UE) 2022/2557, são consideradas entidades essenciais para efeito de aplicação da Diretiva SRI 2, de acordo com o previsto no artigo 3.º, n.º 1, alínea f), desta Diretiva.
Decorre da Diretiva SRI 2 que as entidades identificadas como críticas, no âmbito da Diretiva (UE) 2022/2557, estão sujeitas às obrigações da Diretiva SRI 2, incluindo nos casos onde a entidade identificada como crítica não corresponda a uma tipologia de entidade tal como prevista nos Anexos I e II da Diretiva SRI 2.
De acordo com o artigo 1.º, n.º 2, al. b) da Diretiva SRI 2, indica-se que esta estabelece medidas de gestão dos riscos de cibersegurança e obrigações de notificação às entidades do tipo referido no anexo I ou II, bem como às entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557.
Nos termos do Considerando 31 da Diretiva SRI 2, as entidades pertencentes ao setor das infraestruturas digitais baseiam-se nos sistemas de rede e informação, pelo que as obrigações impostas a essas entidades nos termos da Diretiva SRI 2 deverão atender de forma abrangente à segurança física desses sistemas, no quadro das suas medidas de gestão dos riscos de cibersegurança e das obrigações de notificação. Uma vez que essas matérias são abrangidas pela Diretiva SRI 2, as obrigações estabelecidas nos capítulos III, IV e VI da Diretiva (UE) 2022/2557 não se aplicam a tais entidades.
Nos termos do Considerando 79 da Diretiva SRI 2, as medidas de gestão dos riscos de cibersegurança deverão resolver também problemas de segurança física e ambiental dos sistemas de rede e informação, incluindo, para tal, medidas para proteger estes sistemas contra falhas do sistema, erros humanos, ações maliciosas ou fenómenos naturais, em conformidade com as normas europeias e internacionais, como as que integram a família de normas ISO/IEC 27000. Assim, as entidades essenciais e importantes deverão, no quadro das suas medidas de gestão dos riscos de cibersegurança, atender também à segurança dos recursos humanos e dispor de políticas adequadas de controlo do acesso. Estas medidas deverão ser coerentes com a Diretiva (UE) 2022/2557.
Contacte por favor o CNCS, na qualidade de Autoridade Nacional de Cibersegurança e de Autoridade Nacional de Certificação de Cibersegurança para os seguintes endereços de correio eletrónico: