Da Regulação Europeia em matéria de SRI - Segurança das Redes e da Informação, alguns apontamentos breves
Descrição do Produto
14ª Edição 5 de Março Campo Grande, 388 - Lisboa
Da Regulação Europeia em matéria de SRI - Segurança das Redes e da Informação alguns apontamentos breves Prof. Manuel David Masseno
1
TÍTU Da Regulação Europeia em matéria de SRI
I. Desde uma matriz fragmentária...
a Comunidade / União Europeia começou por abordar separadamente as questões da SRI
a) antes de tudo no que se refere à Proteção de Dados Pessoais:
Diretiva 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados
a ser substituída pelo Novo Regulamento Geral sobre Proteção de Dados Pessoais, proposto pela Comissão em 25 de janeiro de 2012
Diretiva 97/66/CE, do Parlamento Europeu e do Conselho, de 15 de dezembro de 1997, relativa à proteção dos dados pessoais e da privacidade nas telecomunicações, substituída pela Diretiva 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas 2
TÍTU Da Regulação Europeia em matéria de SRI
b) também nas comunicações eletrónicas:
Diretiva 2002/21/CE, do Parlamento Europeu e do Conselho de 7 de Março de 2002 relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas
c) assim como nas infraestruturas críticas:
Diretiva 2008/114/CE do Conselho, de 8 de Dezembro de 2008, relativa à identificação e designação das infraestruturas críticas europeias e à avaliação da necessidade de melhorar a sua proteção
d) ou ainda no que se refere à identificação eletrónica:
Diretiva 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de dezembro de 1999, relativa a um quadro legal comunitário para as assinaturas electrónicas, recentemente substituída pelo Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno 3
TÍTU Da Regulação Europeia em matéria de SRI
e) em termos institucionais temos de referir a ENISA:
Regulamento (CE) n.º 460/2004, do Parlamento Europeu e do Conselho, de 10 de Março de 2004, que cria a Agência Europeia para a Segurança das Redes e da Informação, substituído pelo Regulamento (UE) n.º 526/2013, do Parlamento Europeu e do Conselho, de 21 de maio de 2013
f) já um papel à parte tem o combate ao cibercrime:
desde a matriz correspondente à Convenção do Conselho da Europa sobre o Cibercrime, adotada em Budapeste, a 23 de novembro de 2001 passando pela Decisão-Quadro 2005/222/JAI, do Conselho, de 24 de Fevereiro de 2005, relativa a ataques contra os sistemas de informação, que deu lugar à Nova Diretiva 2013/40/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013, relativa aos ataques contra os sistemas de informação sem esquecer o EC3 – Centro Europeu de Cibercrime, lançado em 2010 (COM(2010) 673 final, de 22 de novembro) e em ação desde janeiro de 2013 4
TÍTU Da Regulação Europeia em matéria de SRI
II. Procurando uma resposta transversal
em termos políticos
a) antes:
Comunicação da Comissão ‘‘Segurança das redes e da informação: Proposta de uma abordagem política europeia”, COM(2001) 298 final Estratégia da Comissão “Para uma sociedade da informação segura”. COM(2006) 251 Plano de ação e Comunicação sobre “A proteção das infraestruturas críticas da informação”, COM(2009) 149 final Comunicação da Comissão “Governo da Internet: as próximas etapas”, COM (2009) 277 Comunicação da Comissão “Estratégia de Segurança Interna da UE em Ação: cinco etapas para uma Europa mais ”, COM (2010) 673 final 5
TÍTU Da Regulação Europeia em matéria de SRI
b) agora:
está em andamento a Proposta de uma Nova Estratégia da União Europeia para a cibersegurança: Um ciberespaço aberto, seguro e protegido, JOINT(2013) 1 e uma Proposta de diretiva relativa às medidas destinadas a garantir um elevado nível de segurança das redes e da informação na União (COM(2013) 48 final, de 7 fevereiro de 2013 a Estratégia começa por enunciar os riscos para o conjunto da União Europeia, no domínio dos incidentes de cibersegurança, e depois, enuncia, explicitamente, os Princípios da Cibersegurança: os valores fundamentais da UE aplicam-se tanto no mundo digital como no mundo físico [proteger os direitos fundamentais, a liberdade de expressão, os dados pessoais e a privacidade] acesso para todos à Internet governação multilateral, democrática e eficiente responsabilidade partilhada para garantir a segurança 6
TÍTU Da Regulação Europeia em matéria de SRI
por outras palavras, a CiberSegurança não é um valor em si e por si, estando funcionalizada aos Valores Fundamentais do Estado de Direito em seguida, estabelece as Prioridades Estratégicas e Ações:
garantir a resiliência do ciberespaço reduzir drasticamente a cibercriminalidade
desenvolver a política e as capacidades no domínio da ciberdefesa no quadro da política comum de segurança e defesa (PCSD)
desenvolver os recursos industriais e tecnológicos para a cibersegurança
estabelecer uma política internacional coerente em matéria de ciberespaço para a União Europeia
já a Proposta de Diretiva é uma iniciativa ‘modesta:
o objetivo é um ‘elevado nível de segurança’ mas não se exige mais que uma ‘harmonização mínima’ mas os setores mais relevantes e sensíveis ficaram fora do âmbito de aplicação da Proposta, enquanto microsistemas auto-suficientes 7
TÍTU Da Regulação Europeia em matéria de SRI
só pretende alcançar uma coordenação não muito constringente entre os Estados-membros
apenas a Administração Pública e os ‘‘operadores de mercado” estão abrangidos pelas exigências de segurança e notificação de incidentes
por ‘‘operadore(s) do mercado” entendem-se os ‘‘fornecedor(es) de serviços da sociedade de informação que permitem a prestação de outros serviços da sociedade da informação” [Plataformas de comércio eletrónico, Portais de pagamento pela Internet, Redes sociais, Motores de pesquisa, Serviços de computação em nuvem e Lojas de aplicações em linha] e os ‘‘operador(es) de infraestruturas críticas essenciais para a manutenção de atividades económicas e sociais vitais nos domínios da energia, dos transportes, da banca, da bolsa e da saúde’’
e o papel da ENISA permanece muito secundário, em vez de ser liderante
em conclusão, não se trata sequer de uma consolidação normativa, mas, antes, de uma disciplina de relevância ainda setorial, e tudo indica que os deveres previstos serão ainda mais limitados para os ‘‘fornecedores de serviços’’... 8
TÍTU Da Regulação Europeia em matéria de SRI
III. E um ponto da situação
em sequência, o Processo teve desenvolvimentos:
a) o Parecer do Comité Económico e Social Europeu, de 22 de maio de 2013, sobre a Proposta de diretiva… [COM(2013) 48 final)]
o qual aponta a insuficiência da harmonização e dos poderes de coordenação previstos, designadamente no que se refere ao papel a desempenhar pela ENISA
b) a Resolução legislativa do Parlamento Europeu, de 13 de março de 2014, sobre a proposta de diretiva … (COM (2013)0048 – C7-0035/2013) (Processo legislativo ordinário: primeira leitura)
deixa de parte a Administração Pública e centra-se na situação do “operador de infraestruturas essenciais”, alargando o objeto ao nós de comutação da Internet e à da cadeia de abastecimento alimentar
substancialmente, volta a uma possibilidade descartada, a da extensão do regime das Infraestruturas Críticas ao “sector das Tecnologias da Informação e Comunicação”
e ainda reforço da Segurança dos Dados Pessoais
9
TÍTU Da Regulação Europeia em matéria de SRI
d) o Conselho de Ministros produziu as primeiras conclusões em 25 de junho de 2013 [Doc. 11357/13] e produziu relatórios de progresso em 22 de maio [10097/14] e em 19 novembro de 2014 [Doc. 15639/14])]
difícil posição comum, com alguns Estados-membros, nomeadamente o Reino Unido, a procurarem uma redução do alcance da Diretiva quanto aos setores abrangidos e à obrigatoriedade do reporte de incidentes de segurança, na linha da “Cybersecurity Framework” estabelecida nos EUA pelo NIST National Institute of Standards and Technology
mas, ocorreram progressos na cooperação política entre os Estadosmembros
e) as Negociações Trilaterais foram retomadas, já com a Comissão Juncker, também com base nos compromissos do novo Vice-Presidente Andrus Ansip, em novembro e dezembro últimos
os pontos firmes são a exigência de existirem Estratégias Nacionais de Cibersegurança e CERTs em todos os Estados-membris, assim como a aplicação às infraestruturas críticas da informação
um acordo previsto para o final deste Semestre, sob a Presidência da Letónia
10
Lihat lebih banyak...
Comentários