• Nenhum resultado encontrado

4 ORIENTAÇÕES TÉCNICAS

4.5 Gestão da continuidade operacional

A norma ISO 22301:2012 define a continuidade das operações como a capacidade de uma organização continuar a entregar produtos ou serviços com níveis predefinidos aceitáveis, após um incidente causador de distúrbios. Esta norma define a gestão da continuidade das atividades como um processo de gestão abrangente que:

 identifica as potenciais ameaças a uma organização e o impacto nas operações que tais ameaças, caso se concretizem, poderão ter; e

 fornece um quadro para criação de resiliência organizacional, capaz de uma resposta eficaz que salvaguarde os interesses das principais partes interessadas, a reputação, a marca e as atividades de criação de valor.

Dado que a RCE é um sistema descentralizado, com um nó em cada Estado-Membro e na Agência, a continuidade do serviço deve ser assegurada tanto a nível nacional como europeu. Os riscos e os problemas que ameacem o bom funcionamento das diferentes componentes do quadro Eurosur devem ser identificados e avaliados e os CNC e a Agência devem estar preparados para reagir adequadamente se esses riscos se materializarem. Os CNC e a Agência devem prevenir ou, pelo menos, minimizar o potencial impacto de uma ameaça ou risco que coloque em perigo o fluxo de informações na RCE e que tenha impacto na criação, manutenção e distribuição do QSN, do QSE e do QCIA.

 A Agência é responsável por examinar os riscos e as ameaças a que a RCE no seu conjunto poderá estar exposta e assegura a estabilidade e bom funcionamento da mesma.

 Aos CNC compete assegurar a utilização eficiente do respetivo nó Eurosur, introduzir os seus dados na RCE e disponibilizar as instalações necessárias para permitir que o nó da RCE funcione corretamente, bem como assegurar que são adotadas as medidas de segurança necessárias para o proteger. Os CNC devem garantir a ligação às redes CNC e aos respetivos sistemas nacionais, a fim de permitir que os dados sejam utilizados e transferidos na RCE.

Estas obrigações devem ser cumpridas mediante a elaboração de planos de continuidade das atividades na Agência e em cada CNC, conforme descrito no memorando de acordo e com base nos cinco passos principais seguidamente indicados:

58

4.5.1 Análise do impacto

Este passo tem como finalidade identificar os processos e as funções determinantes num sistema e o impacto no caso de ficarem indisponíveis para operações.

A análise abrange as funções e os serviços prestados pela Agência, a RCE e os CNC, classificando-os como:

Funções críticas — não podem ser interrompidas durante mais do que uma hora. A indisponibilidade destas funções deve ser resolvida de imediato, dado que têm um forte impacto no funcionamento de todo o Eurosur.

Funções essenciais — é tolerável uma interrupção com uma duração máxima de um dia. Todavia, as funções devem ser repostas logo que possível e, idealmente, não estar indisponíveis por mais de duas horas.

Funções necessárias — funções que são importantes para o correto funcionamento do Eurosur e cruciais para o desempenho do CNC a longo prazo. Podem ser interrompidas no máximo durante uma semana sem que isso afete os objetivos principais; devem, todavia, ser repostas logo que possível.

Enquanto parte do processo de acreditação, foi realizada uma análise dos riscos operacionais para a RCE.

4.5.2 Gestão dos riscos

A finalidade deste passo consiste em identificar, analisar, controlar e acompanhar os riscos. Os riscos devem ser avaliados relativamente à probabilidade de se poderem vir a concretizar e às respetivas consequências caso efetivamente se concretizem. Os riscos comuns incluem:

 perda de recursos cruciais (sede, equipamento ou infraestruturas);

 perda de pessoal essencial (incluindo a sua indisponibilidade);

 perda de serviços externos subsidiários (por exemplo, prestadores contratuais externos, corte de eletricidade, de água ou de outros serviços).

4.5.3 Elaboração de uma estratégia e de um plano de continuidade das atividades Uma estratégia de continuidade das atividades visa definir os critérios para a aceitação dos riscos e as medidas para atenuar riscos inaceitáveis. Todas as funções críticas, essenciais e necessárias devem dispor de um tempo de recuperação identificado. O plano de continuidade das atividades descreve os procedimentos que orientam as organizações para responderem, recuperarem, retomarem e reporem o funcionamento para um nível predefinido de funcionamento na sequência de uma interrupção. Normalmente, estes planos incluem aspetos relacionados com:

 a finalidade, o âmbito de aplicação e os utilizadores do plano

 documentos de referência

 cenários possíveis

 funções e responsabilidades

 principais contactos

 ativação e desativação do plano

 comunicação

 resposta a incidentes

 ordem de recuperação das atividades

 planos de recuperação para as atividades

 recursos necessários

 reposição e retoma das atividades

Estes planos devem ser integrados no plano geral de continuidade das atividades dos Estados-Membros e da Agência.

4.5.4 Comunicação em caso de interrupção

Se a continuidade das atividades da RCE for interrompida, o CNC e a Agência devem informar-se reciprocamente sobre o incidente e o seu eventual impacto, utilizando os canais de comunicação previstos no memorando de acordo. A notificação deve incluir uma descrição da interrupção, do respetivo impacto na RCE e se o CNC ou a Agência ativaram o plano de continuidade das atividades. Caso a interrupção possa ter um impacto mais vasto, devem ser igualmente informados todos os Estados-Membros quanto ao incidente e ao seu potencial impacto.

Se um Estado-Membro ou a Agência efetuarem testes suscetíveis de ter um impacto no funcionamento geral da RCE, devem informar-se mutuamente com antecedência sobre os testes e os efeitos e duração previstos.

4.5.5 Gestão da manutenção da continuidade das atividades

Os processos e os planos devem ser regularmente atualizados, adaptados e melhorados, de modo a assegurar que são adequados à situação corrente. Tal inclui a realização periódica de testes e exercícios regulares, ações corretivas, intervenções de alteração e a realização de auditorias aos processos e planos.