• Nenhum resultado encontrado

PUBLIC CONSELHODA UNIÃOEUROPEIA. Bruxelas,22demaiode2014(28.05) (OR.en) 10097/14. Dosiêinterinstitucional: 2013/0027(COD) LIMITE

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "PUBLIC CONSELHODA UNIÃOEUROPEIA. Bruxelas,22demaiode2014(28.05) (OR.en) 10097/14. Dosiêinterinstitucional: 2013/0027(COD) LIMITE"

Copied!
10
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 10 páginas )

Texto

(1)

PU

BLI

C

CONSELHO DA

UNIÃO EUROPEIA Bruxe(OR.en) las, 22 de maio de 2014 (28.05)

Dossiêinterinstitucional: 2013/0027 (COD) 10097/14 LIMITE TELECOM 118 DATAPROTECT 77 CYBER 31 MI 446 CSC 111 CODEC 1338 NOTA de: Presidência para: Delegações

n.º prop. Com.: 6342/13 TELECOM 24 DATAPROTECT 14 CYBER 2 MI 104 CODEC 313 + ADD1 +ADD2

n.º doc. ant.: 9757/14 TELECOM 111 DATAPROTECT 69 CYBER 27 MI 419 CSC 103 CODEC 1264

Assunto: Proposta de diretiva do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação emtoda a União

– Relatóriointercalar

A elaboração do presente relatório é da responsabilidade da Presidência helénica. Nele se descreve otrabalho realizado até à data pelasinstâncias preparatórias do Conselho e sefaz o ponto da situação da análise da proposta em epígrafe,traçando-se orientações e abordagens com vista à preparaçãotanto de uma versão alterada dotexto da proposta como das negociações com o PE em devido tempo.

(2)

ASPETOS PROCESSUAIS

1. Em 12 de fevereiro de 2013, a Comissão apresentou uma proposta de diretiva do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de

segurança das redes e da informação em toda a União (adiante designada por "Diretiva SRI"),

que tem como base jurídica o artigo 114.º do TFUE.1 A proposta faz parte da Estratégia da União Europeia para a Cibersegurança: Um ciberespaço aberto, seguro e protegido2, sobre a qual o Conselho adotou conclusões em 25 de junho de 2013.3 Nas reuniões de 6 de junho4 e 5 de dezembro5 o Conselho TTE tomou nota da forma como tem evoluído a análise da proposta de Diretiva SRI.

2. O Comité Económico e Social Europeu6 e o Comité das Regiões7 adotaram pareceres sobre a proposta a 22 de maio e 3-4 de julho de 2013, respetivamente. A 13 de março de 2014, o Parlamento Europeu adotou, em primeira leitura, uma resolução legislativa e um total de 138 alterações, elaboradas pela Comissão do Mercado Interno (IMCO), na sua qualidade de comissão parlamentar principal, e pelas Comissões da Indústria (ITRE) e das Liberdades Cívicas (LIBE) na qualidade de "comissões associadas".8

1 Doc. 6342/13. 2 Doc. 6225/13. 3 Doc. 11357/13. 4 Doc. 10076/13 e doc. 10457/13. 5 Doc. 16630/13 e doc. 17341/13. 6 TEN/513 7 2013/C 280/05 8 Doc. 7451/14.

(3)

3. Durante a Presidência helénica, o Grupo das Telecomunicações e da Sociedade da Informação dedicou seis reuniões à continuação da análise da proposta artigo a artigo9. Com base nos trabalhos do Grupo, para os quais a Presidência elaborara documentos de debate10, e nas observações escritas apresentadas pela maioria dos Estados-Membros, a Presidência helénica elaborou o presente relatório intercalar, em que se expõem as principais questões suscitadas na proposta e, sempre que possível, se identificam os pontos relativamente aos quais as posições dos Estados-Membros convergem, em princípio, quanto à linha de rumo a seguir. Paralelamente ao presente relatório intercalar, a Presidência elaborou, a título ilustrativo, uma primeira versão alterada do texto da proposta11, que apresentou em 26 de maio ao Grupo das Telecomunicações e da Sociedade da Informação e com base na qual se poderá continuar a trabalhar durante a Presidência italiana por forma a encetar negociações com o PE em devido tempo.

4. Dado o objetivo, o âmbito de aplicação e o conteúdo de toda a proposta foi levantada a questão se a base jurídica proposta (artigo 114.º do TFUE) é suficiente. Será necessário aprofundar a reflexão e o debate a este respeito. O Serviço Jurídico do Conselho irá emitir um parecer escrito.

QUESTÕES DE FUNDO

Capítulo I: disposições gerais (artigos 1.º – 3.º):

5. De um modo geral, as delegações apoiam o objeto e o âmbito de aplicação do artigo 1.º

("objeto") e consideram que a diretiva proposta constituirá um elemento essencial da estratégia global da UE em matéria de cibersegurança. A Presidência está convicta de que a maioria dos Estados-Membros poderá aceitar que se introduzam no artigo 1.º pequenas alterações do seguinte teor:

No n.º 1, a palavra "garantir" seria substituída por "atingir" ou "facilitar", de molde a

refletir a impossibilidade de os Estados-Membros "garantirem" inteiramente, a título individual ou coletivo, um nível de SRI absolutamente impenetrável.

9 27/2, 13 e 28/3, 10 e 28/4 e 21/5 2014. 10 Doc. 7404/14.

(4)

Mais do que criar um novo "mecanismo de cooperação" entre os Estados-Membros, o

n.º 2, alínea b), deverá, com base no sistema existente, "congregar" os esforços de todos os Estados-Membros para que a diretiva seja implementada no plano estratégico e político. Poder-se-á também ponderar a possibilidade de instituir formas mais concretas de

cooperação operacional, possivelmente voluntária, por exemplo no âmbito das CERT12

e/ou das autoridades competentes.

Caberá aos Estados-Membros afetados por um incidente e/ou às respetivas CERT decidir

partilhar ou não – e até que ponto – informações relevantes (e eventualmente dados pessoais), tendo em conta os interesses nacionais em matéria de segurança e a legislação aplicável, especialmente no tocante à proteção de dados pessoais e aos ataques contra os seus sistemas de informação.

Relativamente à necessidade da clarificação jurídica referida no n.º 4 supra, é necessário

também esclarecer se, e em que medida, as "administrações públicas" devem ser incluídas no âmbito de aplicação da proposta ou dela excluídas (artigo 14.º em particular).

6. De um modo geral, o artigo 2.º ("harmonização mínima") merece o apoio das delegações. 7. No que respeita às "definições" constantes do artigo 3.º, e reconhecendo embora que estas terão

de ser novamente analisadas à medida que os trabalhos forem avançando, a Presidência está convicta de que, de um modo geral, as delegações apoiam a seguinte abordagem:

Deverá ser acrescentada à lista uma nova definição de "serviços essenciais", que

permitirá identificar mais facilmente os intervenientes que prestam esses serviços "essenciais" e avaliar o risco ou a "ameaça" para a segurança e a continuidade de tais serviços.

A diretiva deverá fazer referência a uma lista de setores comuns de infraestruturas críticas

e definir critérios que permitam determinar os operadores dessas infraestruturas.

• Os Estados-Membros terão ainda de definir melhor a sua posição quanto ao grau de

pormenor da diretiva (e sobretudo do ANEXO II), nomeadamente se, e em que medida, os "serviços da sociedade da informação" e os "fornecedores de serviços pela Internet"

também deverão ser abrangidos pela diretiva.

Haverá também que ponderar a necessidade de introduzir outras definições,

nomeadamente sobre serviços críticos de TI, plano nacional de gestão de riscos, estratégia e plano de cooperação em matéria de SRI.

12 CERT é a abreviatura de "equipa de resposta a emergências informáticas". Colocou-se a

questão de, uma vez que "CERT" é uma marca registada da UE, haver eventualmente necessidade de utilizar terminologia diferente na diretiva, p.ex. "equipa de resposta a incidentes de segurança informática" (CSIRT).

(5)

Capítulo II: quadros nacionais para a segurança das redes e da informação (artigos 4.º – 7.º)

8. De um modo geral, as delegações concordam com a supressão do artigo 4.º ("princípio"). 9. Em relação ao artigo 5.º ("estratégia nacional em matéria de SRI"), a Presidência verificou que

existia um amplo apoio relativamente à seguinte orientação:

Se bem que o desenvolvimento de uma estratégia em matéria de SRI – e, designadamente,

de um plano de cooperação – seja, em princípio, objeto de apoio, a redação deste artigo deverá incidir mais em princípios gerais "à prova do tempo" do que em requisitos

concretos para a estratégia e o plano de cooperação em matéria de SRI, abordagem essa que melhor contribuirá para gerar confiança.

10. No que respeita ao artigo 6.º ("autoridade competente"), e tendo em mente o princípio da subsidiariedade, as delegações parecem defender uma abordagem que atenda devidamente às práticas atualmente seguidas nos Estados-Membros:

A diretiva deverá dar aos Estados-Membros flexibilidade suficiente para designarem ou

manterem uma ou várias autoridades competentes por setores específicos e domínios de atividade.

Caberá, porém, aos Estados-Membros designar um "ponto de contacto único", cujas

tarefas necessitam de ser definidas mais aprofundadamente.

11. Quanto ao artigo 7.º ("CERT"), os Estados-Membros apoiam, de um modo geral, a exigência prevista na diretiva relativamente à criação ou manutenção de uma ou várias CERT, que poderá coincidir com a "autoridade competente" ou o "ponto de contacto único", e concordam com as orientações propostas em relação às CERT no doc. 7404/14, especialmente com a seguinte: • Em termos de organização técnica e de recursos financeiros e humanos das CERT, os

Estados-Membros deverão dispor de suficiente margem de flexibilidade, o que se deverá repercutir na redação deste artigo e do ANEXO I, embora a diretiva deva estabelecer disposições firmes no que respeita ao grau de ambição a atingir e aos requisitos a aplicar às CERT e à cooperação a estabelecer entre elas.

(6)

Capítulo III: cooperação (artigos 8.º – 13.º)

12. O Capítulo III da proposta incide sobre a arquitetura de cooperação em matéria de SRI. Segundo a Presidência, todos os Estados-Membros reconhecem que, através de um certo tipo de

cooperação, será possível atingir em toda a UE níveis semelhantes e mais elevados de

preparação em matéria de SRI, o que também poderá ajudar a facilitar, em caso de necessidade, uma resposta comum e coordenada aos desafios que se coloquem nessa área. Importará ainda, contudo, definir melhor a forma que deverá assumir essa rede de cooperação estratégica e política e o papel que a mesma poderá vir a desempenhar, se necessário for, em termos de resposta operacional coordenada a ciberincidentes de caráter nacional e, eventualmente, transfronteiras.

13. No que toca ao artigo 8.º ("rede de cooperação"), a Presidência está convicta de que as delegações concordam, de um modo geral, com a seguinte abordagem:

No que respeita à rede (ou "grupo") de cooperação, a diretiva deverá definir uma

orientação política e estratégica que, por um lado, assente nas capacidades a desenvolver no quadro do Capítulo II supra e, por outro – sempre que necessário –, dê orientações para o estabelecimento de formas concretas de cooperação operacional nas instâncias pertinentes.

Em caso de emergência, a responsabilidade da reação é dos organismos nacionais, como

as CERT e/ou as autoridades competentes, podendo-se, se necessário – em casos (transfronteiras) ainda a especificar melhor –, estabelecer uma cooperação de caráter voluntário no âmbito de uma comunidade de cooperação operacional que integre as 28 CERT nacionais, possivelmente facilitando uma resposta coordenada a nível da UE.

A avaliação das capacidades e do grau de preparação da rede de cooperação a efetuar

pelos pares deverá ter lugar numa base voluntária.

14. Relativamente ao artigo 9.º ("sistema seguro de partilha de informações"), a Presidência

registou um fraco apoio dos Estados-Membros a que a diretiva estabeleça requisitos obrigatórios no que respeita à partilha de informações (sensíveis ou confidenciais do ponto de vista

comercial) através da rede de cooperação, à criação ou funcionamento de uma infraestrutura dedicada e segura, e relativamente ao papel que se propõe atribuir à Comissão neste contexto. Face ao acima exposto, a Presidência entende que este artigo deverá ser reformulado nos seguintes moldes:

A diretiva não deverá prever requisitos obrigatórios no que toca à partilha de

informações, o que se deverá repercutir no texto do artigo 9.º; em alternativa, o artigo poderá ser suprimido, uma vez que se poderá proceder ao intercâmbio de informações não sensíveis e não classificadas através da rede de cooperação e de informações relevantes através das CERT e/ou das autoridades competentes.

(7)

15. No que diz respeito ao artigo 10.º ("alerta rápido"), na generalidade as delegações podem aparentemente apoiar as orientações gerais constantes do doc. 7404/14 e, em especial:

A disposição relativa ao alerta rápido deverá continuar a ser de aplicação voluntária e o

intercâmbio de informações na rede de cooperação deverá antes de mais contribuir para estimular a confiança entre o setor privado e as autoridades nacionais competentes, bem como entre as próprias autoridades nacionais competentes.

Uma vez que o intercâmbio de informações sobre infrações penais relativas a ataques

contra os sistemas de informação está abrangido pela Diretiva 2013/40, não é necessário que a diretiva trate este aspeto (i.e., supressão do n.º 4).

Os Estados-Membros deverão decidir se prestam informações e quais as informações a

prestar à rede de coordenação (i.e., supressão do n.º 5).

O alerta rápido não deverá entravar nem atrasar as ações nacionais destinadas a tratar as

ameaças e os incidentes.

16. Também no que diz respeito ao artigo 11.º ("resposta coordenada"), a Presidência registou um amplo apoio às orientações constantes do doc. 7404/14 e, em especial:

Em vez de se criar uma competência europeia de facto para coordenar uma resposta da

UE a incidentes (nacionais), é necessário prosseguir os debates para clarificar se, quando e em que circunstâncias será necessária uma "resposta coordenada da UE": em caso de cibercrises transfronteiras graves ou também em caso de incidentes mais limitados do dia a dia?

Tendo em mente a competência nacional em matéria de segurança, a diretiva deverá, com

base no sistema existente, levar à consecução da coordenação política a nível da UE em caso de cibercrises transfronteiras de grande escala, em vez de criar novos mecanismos potencialmente lentos.

Além da coordenação política a nível da UE, a diretiva deverá facilitar a cooperação

técnica e prática (p.ex. entre as CERT), podendo para esse efeito ser desenvolvidos novos requisitos para uma resposta operacional a cibercrises.

17. A Presidência regista que, muito embora a posição final dos Estados-Membros sobre o artigo 12.º ("plano da União em matéria de SRI") esteja dependente dos resultados sobre os artigos 8.º-11.º, a maior parte das delegações poderá apoiar a integração da seguinte

metodologia no texto da proposta:

Em vez de estabelecer um "plano", a diretiva poderá estabelecer um "quadro" de SRI da

União em matéria de cooperação, centrado na coordenação e no desenvolvimento das políticas, que utilize plenamente as competências relevantes da ENISA e que será periodicamente revisto pela rede de cooperação estabelecida no artigo 8.º.

(8)

O "quadro" de cooperação deverá abranger tópicos tais como modalidades de

comunicação entre as CERT, intercâmbio de boas práticas, sensibilização, exercícios, formação, e beneficiar das competências da ENISA nessas matérias.

18. No que diz respeito ao artigo 13.º ("cooperação internacional"), a Presidência registou a vontade manifestada pelos Estados-Membros no sentido de deixar patente no texto que todos os

membros participantes no quadro de cooperação deverão acordar na participação de países terceiros ou organizações internacionais nesse mesmo quadro.

Capítulo IV: segurança das redes (artigos 14.º-16.º), Capítulo V: disposições finais (artigos 17.º-23.º) e Anexos I e II: CERT e operadores do mercado

19. No que diz respeito ao artigo 14.º ("exigências de segurança e notificação de incidentes"), a Presidência registou que os Estados-Membros cuja prática nacional de notificação voluntária obteve uma cooperação satisfatória entre as partes interessadas e as autoridades públicas

preferiam que a diretiva se baseasse nessa experiência. Outros Estados-Membros perguntam se, além disso, deverão ser introduzidos requisitos em matéria de comunicação obrigatória. Todos os Estados-Membros estão de acordo quanto à necessidade de uma maior clarificação no que respeita aos vários requisitos de notificação, que estão disseminados em vários diplomas da legislação da UE. Tendo em conta o acima exposto, a Presidência recomenda que a seguinte metodologia seja considerada mais aprofundadamente:

A diretiva poderá estabelecer requisitos de comunicação obrigatórios em caso de

incidentes com um impacto transfronteiras significativo que envolvam vários Estados--Membros.

Em caso de incidentes internos de impacto limitado, os Estados-Membros deverão ter

flexibilidade para determinar, nos termos do n.º 2, se e de que modo deverão comunicar a nível nacional.

A Diretiva deverá estabelecer parâmetros para determinar o impacto dos incidentes (por

setores específicos), cabendo porém aos Estados-Membros decidir, com base nesses parâmetros, se determinado incidente deverá ser comunicado.

Os Estados-Membros deverão ter flexibilidade quanto às modalidades de comunicação às

autoridades competentes de determinados setores específicos e/ou ao "ponto de contacto único".

(9)

20. No que diz respeito ao artigo 15.º ("aplicação e execução"), e com base nas opiniões das delegações, a Presidência propõe que:

A diretiva preveja uma margem suficiente para as soluções nacionais tendo por objetivo

um maior envolvimento do setor privado do que o atualmente previsto, p.ex. no que diz respeito às auditorias de segurança, ao desenvolvimento de capacidades técnicas, aos cursos de formação, etc.

A diretiva deverá ainda prever a autorização, se for caso disso, de múltiplas autoridades

competentes por setores específicos, igualmente dotadas de responsabilidades em matéria de aplicação e execução.

21. No que diz respeito à questão da "normalização" no artigo 16.º, a Presidência conclui que é necessário considerar aprofundadamente a reformulação desse artigo.

22. No que diz respeito ao artigo 17.º ("sanções") e em especial ao n.º 2, é necessário prosseguir a análise de modo a clarificar melhor a ligação entre a Diretiva SRI e o próximo Regulamento Proteção de Dados.

23. Por último, a Presidência registou que as delegações pretendiam voltar a analisar a questão do "prazo de transposição" e da "entrada em vigor" (artigos 21.º e 22.º) numa fase posterior, e que a ultimação do ANEXO I respeitante ao âmbito das tarefas e obrigações a cumprir pela CERT e do ANEXO II respeitante aos setores e entidades a incluir numa lista "exaustiva" ou indicativa" precisaria de voltar a ser analisada, sob reserva das negociações sobre as questões substantivas dos artigos da proposta.

CONCLUSÃO

24. A Presidência helénica observou que todos os Estados-Membros, sem exceção, estavam perfeitamente conscientes da necessidade urgente de melhorar a segurança das redes e da informação e de tomar medidas a esse respeito a nível da UE. Neste contexto, os

Estados--Membros dedicaram a maior atenção à análise da proposta da Comissão, tendo-se realizado nos últimos meses consideráveis progressos na identificação do rumo a seguir para o

(10)

25. Quanto às disposições relativas aos Capítulos I, II e IV e com base nos debates efetuados nas instâncias preparatórias do Conselho, a Presidência está convicta de que as orientações e abordagens propostas no presente relatório intercalar deverão constituir uma base suficiente para prosseguir o desenvolvimento da proposta sob a próxima Presidência italiana. As orientações e abordagens foram articuladas tendo em mente a necessidade de atingir o justo equilíbrio entre melhorar a cibersegurança, gerar a confiança necessária e, por razões de eficiência, fazer pleno uso da experiência existente, bem como evitar a duplicação das competências especializadas dos organismos e mecanismos existentes.

26. Quanto ao Capítulo III, tal como referido supra (ponto 12), os Estados-Membros acordam efetivamente na necessidade de reforçar a cooperação estratégica e política em matéria de SRI a nível da UE. Vários Estados-Membros consideram que a diretiva deverá estabelecer critérios e requisitos mais específicos para a cooperação operacional em caso de incidentes de SRI. Todavia, a maior parte dos Estados-Membros considera que a cooperação estratégica e política constitui a primeira prioridade para gerar a confiança necessária, podendo, ao mesmo tempo, as modalidades de cooperação operacional ser mais desenvolvidas no contexto dos mecanismos e organismos existentes. Tal como proposto supra (pontos 12-18), a Presidência não considera que a cooperação estratégica e política e a cooperação operacional sejam opções que se excluam mutuamente, estando porém convicta de que a prioridade da diretiva deverá ser posta na

cooperação estratégica e política, dando-se ao mesmo tempo orientações aos organismos e mecanismos existentes no que diz respeito à cooperação operacional.

* * *

Depois de analisado no COREPER de 28 de maio, a Presidência apresentará o presente relatório intercalar ao Conselho, convidando-o a tomar conhecimento do mesmo.

Referências

Descarregar agora ( PDF - 10 páginas - 371.48 KB )

Documentos relacionados

Universidade Federal do Pará. Núcleo de Teoria e Pesquisa do Comportamento. Programa de Pós-Graduação em Teoria e Pesquisa do Comportamento

3.2) Agarrar por trás: comportamento de cortejo onde um animal abraça outro por trás e permanece abraçado por alguns segundos. 3.2) Aproximação: comportamento amigável onde o

SIGNO SIGNO SIGNO SIGNO SIGNO SIGNO SIGNO SIGNO SIGNO

Este estudo analisa o conto “A causa secreta”, de Machado de Assis, cujo enredo gira em torno do personagem Fortunato, que se mostra uma figura muito solidária perante os

PUBLIC CONSELHODA UNIÃOEUROPEIA. Bruxelas,7deJunhode2010(14.06) (OR.en) 10390/10 Dosierinterinstitucional: 2009/0157(COD) LIMITE JUSTCIV113 CODEC499

A emissão do certificado pelo tribunal ou outra autoridade competente a que se refere o n.º 2 (a seguir designados por "autoridade emissora") processa-se nos termos do

O impacto da má qualidade de dados no resultado de suas ações

Para implantar uma estratégia de qualidade de dados, as empresas precisam entender primeiro os erros mais comuns dentro de seus bancos de dados.. Cada empresa terá seus

AS DIFERENÇAS DOUTRINÁRIAS DO CALVINISMO E DO ARMINIANISMO 1. The doctrinal differences of Calvinism and Arminianism. Jeverson Nascimento 2 RESUMO

Então, o Sínodo de Dort formulou os cinco pontos do calvinismo: total depravação do homem, eleição incondicional, expiação limitada, graça irresistível e perseverança dos

Atuação da equipe de nutrição em pacientes de longa permanência de internação no Hospital Israelita Albert Einstein

Os autores informam ainda que o estudo foi realizado pelo departamento de nutrição na unidade de pacientes de longa permanência de internação do Hospital Israelita Albert

EDITAL: Certificação em Neuropsicologia Instituto Brasileiro de Neuropsicologia e Comportamento Sociedade Brasileira de Neuropsicologia

◆ Participação em congressos nos últimos 2 anos: 2 pontos para cada participação em Congresso Internacional na área de Neuropsicologia ou Neurociências (incluíndo

PUBLIC. Bruxelas,18desetembrode2013 (OR.en) CONSELHODA UNIÃOEUROPEIA /13 Dosiêinterinstitucional: 2012/0011(COD) LIMITE

Em vez de se concentrar certos poderes de decisão nas mãos de uma única autoridade de controlo do Estado-Membro do estabelecimento principal, foi sugerido que as autoridades