MESTRADO EM DIREITO - FDUP

DIREITO DA UNIÃO EUROPEIA

PROFESSORA: GRAÇA ENES
ALUNA: GABRIELLA FRANÇA HERMENEGILDO

“CIBERSEGURANÇA NA
EUROPA” – DIRETIVA 2016/1148
 CIBERSEGURANÇA NA EUROPA
 Noções introdutórias

 A Diretiva UE 2016/1148 / Diretiva SRI (Segurança

das Redes e Sistemas de Informação)

 A Transposição da Diretiva SRI

 As Diretivas no Direito Comunitário Europeu

 Conclusões
 INTRODUÇÃO
O que é a cibersegurança?
Todas as garantias e medidas necessárias para segurança e defesa dos sistemas
informáticos para evitar, prevenir, corrigir e resistir aos ataques e danos, de forma a
assegurar a disponibilidade, confidencialidade e a integridade dos dados.
 Tipos de ciberataques
Malware: provocar danos em dispositivos ou redes.
Vírus, cavalos de Troia, worms (vermes), adware
(software de publicidade não solicitada) e spyware
(software espião).
Ransomware (software de sequestro): encripta os
dados, impedindo que os utilizadores acedam aos
ficheiros até que seja pago um resgate.
DDoS - ataques distribuídos de negação de serviço:
tornam os serviços ou recursos indisponíveis através
do envio em massa de mais pedidos do que
conseguem tratar.
Phishing: método mais comum.
Ameaças persistentes avançadas:
associada a ciberespionagem,
agressores se envolvem a longo
prazo na vigilância e roubo de
dados, por vezes com intuitos
destrutivos (¼ dos Cibericidentes).
 CIBERSEGURANÇA
O problema é grave?
 Aumento da sofisticação dos ataques x diminuição da eficácia dos mecanismos de
defesa.
 Calcula-se que os ciberataques tenham um impacto de 400 mil milhões de euros por
ano.
 O impacto económico da cibercriminalidade quintuplicou entre 2013 e 2017, atingindo
tanto governos como empresas, de grande como de pequena dimensão.
 Os ataques perpetrados por meio de software de sequestro (ransomware) triplicaram
entre 2015 e 2017.
 Os ataques à escala global do ransomware WannaCry e do malware de apagamento
NotPetya, em 2017, atingiram em conjunto mais de 320.000 vítimas em cerca de 150
países.

Fonte TCE: Desafios à eficácia da política de cibersegurança da UE. Documento informativo TCE, mar/2019.
Fonte: Comissão Europeia, dados de 2017 (https://www.consilium.europa.eu/pt/policies/cyber-security/)
 O problema é grave?
 Disparidade alarmante entre o custo de lançar um ataque e o custo da prevenção,
investigação e reparação.
 Difícil apreender o impacto da falta de preparação para um ciberataque.
 Um terço das organizações preferiria pagar um resgate ao criminoso do que investir
em cibersegurança.
 Apesar de 80% das empresas da UE terem tido pelo menos um incidente de

cibersegurança em 2016, a consciencialização sobre os riscos ainda é reduzida.

69% não estão ou estão pouco cientes da sua exposição; e
60% nunca estimaram as potenciais perdas financeiras.
UE em matéria de cibersegurança
Quem intervém?
 UE em matéria de cibersegurança
 Avanço legislativo e políticas:

Estratégia para a Cibersegurança, de 2013: com a finalidade de tornar

o ambiente digital da UE o mais seguro do mundo, defendendo, ao
mesmo tempo, os valores e liberdades fundamentais. 5 prioridades:

i) aumentar a ciber-resiliência;
ii) reduzir a cibercriminalidade;
iii) desenvolver a política e as capacidades no domínio da ciberdefesa;
iv) desenvolver recursos industriais e tecnológicos para a
cibersegurança;
v) estabelecer uma política internacional em matéria de ciberespaço
alinhada com os valores fundamentais da UE.
 UE em matéria de cibersegurança

 Agenda Europeia para a Segurança (2015);

 Estratégia para o Mercado Único Digital (2015);
 Estratégia Global de 2016;
 Aprovação da Diretiva SRI em 6 de julho de
2016, como principal pilar da estratégia para a
cibersegurança de 2013;
 Em 2017, a Comissão apresentou um novo
pacote para a cibersegurança, atualizando a
estratégia de 2013.
 Diretiva SRI
 Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho:
 Elemento jurídico central e o primeiro ato legislativo à escala
da UE em matéria de cibersegurança.
 Em vigor a partir agosto de 2016.
 Período de transposição até maio de 2018.

Artigo 1.
Objeto e âmbito de aplicação
1. A presente diretiva estabelece medidas destinadas a alcançar
um elevado nível comum de segurança das redes e dos sistemas de
informação na União, a fim de melhorar o funcionamento do
mercado interno.
 Diretiva SRI – Principais Pontos
 Reforçar o nível SRI com vista a proteger serviços vitais
para a sociedade e economia da UE.

 Estabelece aos EM a adoção de uma estratégia nacional de SRI;

(Art.7)

 Cria um grupo de cooperação: para facilitar estratégia, intercâmbio

de informações e confiança entre os EM; (Art.11)

 Cria uma rede de equipas de resposta a incidentes de segurança

informática («rede de CSIRT») promover cooperação operacional e Grupo de cooperação: é
resposta célere e eficaz a incidentes; (Art. 12) composto por representantes
dos EM responsáveis pela (SRI),
 Estabelece requisitos de segurança e de notificação para os pela Comissão Europeia e pela
operadores de serviços essenciais (Art. 14) e para os prestadores de ENISA.
Rede CSIRT: é composta por
serviços digitais (Art. 16);
representantes das CSIRT dos
EM e da CERT-UE. A Comissão
 Estabelece a obrigação de os EM designarem as autoridades como observadora. A ENISA
nacionais competentes, os pontos de contacto únicos e as CSIRT assegura os serviços de
com atribuições relacionadas com a segurança das redes e dos secretariado e apoia a
sistemas de informação. (Art. 8, 9, 10 e Anexo I) cooperação entre as CSIRT.
 Diretiva SRI – Principais Pontos
 Harmonização mínima: Estados-Membros podem
adotar ou manter disposições destinadas a atingir um
nível mais elevado de SRI. (art. 3)
 Estabelece obrigações para operadores que prestam
serviços essenciais e pelos prestadores de serviços
digitais:
1. tomar as medidas de segurança apropriadas; e
2. notificar as autoridades nacionais competentes ou as
CSIRT de qualquer incidente grave.
 Os EM devem identificar os operadores de serviços
essenciais até Novembro/2018. (revisar a cada 2 anos)
Operadores de Serviços Essenciais
 Notificação de Incidentes
 Serviços Essenciais - Parâmetros para determinar a importância do
impacto de um incidente:
a) O número de utilizadores afetados pela perturbação do serviço essencial;
b) A duração do incidente;
c) A distribuição geográfica, no que se refere à zona afetada pelo incidente.

 Prestadores de Serviços Digitais (a, b, c):

d) o nível de gravidade da perturbação do funcionamento do serviço;
e) A extensão do impacto nas atividades económicas e societais.

 Notificação voluntária (Art. 20): as entidades que não tenham sido

identificadas podem notificar, a título voluntário, os incidentes com
impacto importante na continuidade dos serviços por si prestados. Não
pode dar origem à imposição de obrigações a que não estariam sujeitas por
força da Diretiva.

 Sanções (art. 21): EM estabelecem as regras, devem ser efetivas,

proporcionadas e dissuasivas.
Complementaridades entre o RGPD e a
Diretiva SRI (Fonte: TCE)
 Transposição da Diretiva SRI
 Lei n.º 46/2018 de 13 de agosto: Regime Jurídico da Segurança do
Ciberespaço (RJSC).
 Aplica-se a:
 Administração Pública;
 Operadores de infraestruturas críticas;
 Operadores de serviços essenciais;
 Prestadores de serviços digitais, cuja sede se situe em território nacional, e
que prestem: (i) serviços de mercado em linha, (ii) serviços de motor de
pesquisa em linha e (iii) serviços de computação em nuvem;
 Quaisquer outras entidades que utilizem redes e sistemas de informação.
(Ps. Algumas entidades estão excluídas como as micro e pequenas empresas, militares...)
 Sanções: valor máximo das coimas pode atingir €50.000,
negligência é punível, produto das coimas 60 % para o Estado e
40 % para o CNCS.
 Transposição da Diretiva SRI
 CNCS (Centro Nacional de Cibersegurança) – Autoridade Nacional de
Cibersegurança e ponto único de contacto. (funciona no Gabinete Nacional
de Segurança)
 CERT.PT - Equipa de Resposta a Incidentes de Segurança Informática
Nacional. (funciona no CNCS)
Obrigações de implementação de medidas de segurança e de notificação de incidentes,
obrigatórias 6 (seis) meses após a publicação do RJSC, ou seja, a partir de 13 de fevereiro de 2019.
 As Diretivas no Direito Comunitário
Europeu
O Sistema legislativo da UE:
capacidade de harmonizar de forma
eficaz X interferir nas ordens jurídicas
na medida necessária.

Incidência em diferentes graus (art.

288, TFUE) - regulamentos, diretivas,
decisões, recomendações e
pareceres.

A diretiva vincula o EM quanto aos

resultados, mas eles tem a
competência quanto à forma e aos
meios.

FONTE: ABC do direito da União Europeia» pode ser encontrada na Internet em

https://publications.europa.eu/fr/publication-detail/-/publication/f8d9b32e-
6a03-4137-9e5a-9bbaba7d1d40
 As Diretivas no Direito Comunitário
Europeu
 Conciliar a necessária unidade do direito da União com a
manutenção das diversas peculiaridades nacionais.
 Objetivo não é a unificação do direito, mas uma aproxi­
mação das diversas legislações, diminuição/supressão das
diferenças, de modo a criar condições harmônicas em toda
UE.
 É um dos instrumentos básicos para a consecução do
mercado interno.
 2 fases: Estabelecimento do objetivo e prazo determinado
pra transposição, depois a realização dos objetivos e forma
de transposição caberá a cada EM pela aplicação do direito
nacional.
 CONCLUSÕES
 Proposta de reforma da cibersegurança na Europa que prevê:
Regulamento de Cibersegurança, uma certificação de cibersegurança a
nível da UE, fortalecimento da ENISA e a rápida implementação da
Diretiva SRI.

 Realização do mercado único digital da UE.

 Níveis de cooperação para incidentes de cibersegurança complexo e com

muitos intervenientes;

 Resposta coordenada a grandes incidentes difícil.

 Será essencial assegurar que o roteiro é prático e que todos os

intervenientes sabem qual o seu papel, o que necessitará de testes
alargados nos próximos anos.

 A legislação não garante a resiliência. Embora a Diretiva SRI tenha por

finalidade atingir um elevado nível de segurança em toda a UE, centra-se
explicitamente em alcançar uma harmonização mínima e não máxima.
 CONCLUSÕES
 Crescente assimetria entre os conhecimentos necessários
para cometer um cibercrime ou lançar um ciberataque e as
competências necessárias para se defender dele.
 Problema da atribuição.
 Muitas organizações têm relutância em admitir e
comunicar ciberincidentes, por recaírem danos à sua
reputação.
 Ainda não existem suficientes incentivos legais e
económicos para que as organizações comuniquem e
partilhem informações sobre incidentes.
 Muitas preferem lidar discretamente com os ciberataques
ou pagar aos seus autores, permanecendo por averiguar a
eficácia da Diretiva SRI no aumento do número de
notificações.
 CONCLUSÕES
 A Diretiva SRI visa aumentar o grau de preparação nos principais
setores responsáveis pelas infraestruturas de importância crítica.

 Excluídos alguns setores (indústrias centrais, infraestruturas

eleitorais, cidadãos comuns, etc) .

 Em maio de 2019, cerca de 400 milhões de eleitores irão às urnas

nas eleições para o Parlamento Europeu. Importante proteger a
integridade democrática das eleições contra a desinformação e as
interferências nas infraestruturas eleitorais.

 Ausência de uma abordagem comum à ciberespionagem e de uma

política industrial claramente definida no domínio da
cibersegurança.

 UE é grande importadora de produtos e serviços de

cibersegurança, o que aumenta dependência tecnológica e de
vulnerabilidade.
FIM