Segurança na Comissão

Novas regras em matéria de segurança da informação

Proposta de regulamento relativo à segurança da informação nas instituições, órgãos e organismos da União

Contexto

Devido ao número crescente de informações sensíveis não classificadas e de informações classificadas da União Europeia (ICUE) que as instituições, órgãos e organismos da União têm de partilhar entre si, e tendo em conta a evolução dramática do panorama das ameaças, a administração europeia está exposta a ataques em todas as suas áreas de atividade. As informações tratadas pelas nossas instituições, órgãos e organismos são muito valiosas para muitos dos diferentes perpetradores de ameaças e têm de ser devidamente protegidas.

Os Estados-Membros já solicitaram às nossas instituições que ajam nesse sentido. Uma característica fundamental da Agenda Estratégica para 2019-2024, adotada pelo Conselho Europeu em junho de 2019, é proteger as nossas sociedades das ameaças às informações tratadas pela administração europeia. Nas suas conclusões, o Conselho Europeu convidou «as instituições da UE a trabalharem, em conjunto com os Estados-Membros, em medidas para reforçar a resiliência e melhorar a cultura de segurança da UE contra ciberameaças e ameaças híbridas provenientes do exterior da UE, bem como para proteger melhor as redes de informação e comunicação da UE, e os seus processos de tomada de decisões, de todo o tipo de atividades mal-intencionadas».

Em julho de 2020, a Comissão adotou a Estratégia da UE para a União da Segurança, na qual se comprometeu a complementar os esforços nacionais no domínio da segurança. Deste compromisso faz parte a iniciativa para harmonizar os quadros jurídicos internos em matéria de segurança da informação em todas as instituições, órgãos e organismos da União.

Objetivos

O objetivo geral da presente proposta é criar um conjunto normalizado de regras de segurança da informação de alto nível para todas as instituições, órgãos e organismos da União, a fim de assegurar um nível de proteção reforçado e coerente face às ameaças em constante evolução que afetam essa informação.

Este objetivo geral traduz-se em quatro objetivos específicos:

• Estabelecer categorias de informações harmonizadas e abrangentes com base no nível de confidencialidade;
• Identificar as lacunas de segurança e aplicar as medidas necessárias;
• Criar um espaço de discussão eficiente sobre a segurança da informação entre as instituições, órgãos e organismos da União;
• Modernizar as políticas de segurança da informação, tendo em conta as tendências atuais, tais como a transformação digital e o teletrabalho.

Perguntas e respostas

Por que propõe a Comissão um Regulamento relativo à segurança da informação nas instituições, órgãos e organismos da União?

Atualmente, as regras de segurança da informação são inexistentes ou próprias a cada instituição, órgão e organismo da União. A fragmentação do quadro jurídico aplicável resultou em diferenças significativas entre os níveis de segurança da informação garantidos por estes organismos. Esta situação aumenta os riscos de os perpetradores de ataques violarem a segurança no elo mais fraco da cadeia e aproveitarem essa vulnerabilidade como ponto de partida para novos ataques a outras instituições ou órgãos.

Ao criar um conjunto único de regras em matéria de segurança da informação comum a todas as instituições, órgãos e organismos da União, a Comissão propõe uma base comum de normas exigentes para a proteção das informações tratadas. Além disso, as regras harmonizadas facilitarão a partilha de informações entre as instituições, órgãos e organismos, bem como com os Estados-Membros.

A quem se aplicará o regulamento proposto?

A presente proposta estabelece as regras aplicáveis à administração da União (instituições, órgãos e organismos). Indiretamente, pode impor obrigações às pessoas que desempenham funções em nome desta administração ou numa base contratual (excluindo os comissários, os representantes dos Estados-Membros no Conselho, os deputados do Parlamento Europeu, os juízes dos tribunais da União ou os membros do Tribunal de Contas Europeu).

A presente proposta de regulamento não se aplica aos Estados-Membros.

Que categorias de informações são abrangidas pela presente proposta de regulamento?

A presente proposta abrange as informações não classificadas e as informações classificadas da UE e aplica-se aos seguintes níveis de confidencialidade:

• Três níveis de informações não classificadas: para uso público, normais e sensíveis não classificadas;
• Quatro níveis de ICUE: RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET, TRES SECRET UE/EU TOP SECRET.

Está prevista uma revisão das regras propostas?

De cinco em cinco anos a contar da data de início da aplicação, a Comissão avaliará o regulamento a fim de aferir os seus efeitos reais e a necessidade de novas medidas.

Além disso, a Comissão apresentará regularmente ao Parlamento Europeu e ao Conselho um relatório sobre a execução do regulamento.

Quais são as próximas etapas?

A proposta da Comissão seguirá o processo legislativo ordinário no Parlamento Europeu e no Conselho com vista à sua adoção.

Na reunião informal dos ministros das telecomunicações, realizada em Nevers, em 9 de março de 2022, incitou-se as instituições, as agências e os organismos da UE a continuar a reforçar a cibersegurança e a segurança da informação que tratam, tendo em conta o papel estratégico fundamental da UE na cena internacional, que torna imperativo que os seus dados e redes sejam protegidos contra ciberameaças.

Documentos

Impact analysis accompanying the proposal

JRC study on information security in the age of EU institutions digitalisation

Ligações conexas

Comunicado de imprensa

Text of the proposal

The EU Security Union Strategy: European Security Union

Decisões da Comissão

Estratégia da UE para a União da Segurança: União Europeia da Segurança | Comissão Europeia (europa.eu)

O objetivo da segurança na Comissão é permitir que esta funcione num ambiente seguro e protegido. Por conseguinte, a Comissão tem de garantir a segurança das pessoas, bens e informações na Comissão com base na Decisão (UE, Euratom) 2015/443 da Comissão relativa à segurança na Comissão e na Decisão (UE, Euratom) 2015/444 da Comissão relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE. Aqui se inclui, em particular, a integridade física de pessoas e bens, a integridade, a confidencialidade e a disponibilidade das informações e dos sistemas de comunicação e informação, bem como o desempenho sem entraves das funções da Comissão.

Neste contexto, a Comissão poderá ter de tratar dados pessoais. As atividades de tratamento de dados cumprem o disposto no Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.° 45/2001 e a Decisão n.° 1247/2002/CE (Texto relevante para efeitos do EEE.).

As declarações de privacidade sobre os procedimentos relevantes em matéria de segurança são enumeradas a seguir: