Políticas de cibersegurança

A Comissão Europeia e o alto representante da União para os Negócios Estrangeiros e a Política de Segurança apresentaram uma nova Estratégia da UE para a Cibersegurança no final de 2020.

A estratégia abrange a segurança de serviços essenciais, como hospitais, redes de energia e caminhos de ferro. Também abrange a segurança do número cada vez maior de objetos conectados nas nossas casas, escritórios e fábricas.

A estratégia centra-se na criação de capacidades coletivas para responder a ciberataques graves e no trabalho com parceiros de todo o mundo para garantir a segurança e a estabilidade internacionais no ciberespaço.

Diretiva relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União (Diretiva SRI 2)

As ameaças à cibersegurança são quase sempre transfronteiriças e um ciberataque às instalações críticas de um país pode afetar a UE no seu conjunto. Os países da UE devem dispor de organismos governamentais fortes que supervisionem a cibersegurança no seu país e que trabalhem em conjunto com os seus homólogos de outros Estados-Membros através da partilha de informações. Este aspeto é particularmente importante para setores críticos para as nossas sociedades.

A primeira diretiva relativa à segurança das redes e da informação (DiretivaSRI)assegura a criação e a cooperação desses organismos governamentais. Esta diretiva foi revista no final de 2020, conduzindo à proposta e adoção da Diretiva SRI 2. Os Estados-Membros tinham até 18 de outubro de 2024 para transpor e aplicar integralmente a SRI2.

ENISA – Agência da UE para a Cibersegurança

A ENISA é a Agência da União Europeia para a Cibersegurança, criada em 2005. O mandato foi revisto em 2019 e, desde então, a Agência tem um mandato permanente. 

Os principais objetivos e atribuições da ENISA estão estabelecidos no ato de base, a saber, o Regulamento Cibersegurança (CSA). A ENISA presta apoio aos Estados-Membros, às instituições da UE e às empresas em domínios fundamentais, incluindo a aplicação da Diretiva SRI, do Regulamento Ciber-Resiliência e do Regulamento Cibersolidariedade. A Agência está também a apoiar o processo de certificação da cibersegurança de produtos, serviços e processos de TIC, tal como estabelecido no título III do APC. 

Regulamento Cibersegurança

O Regulamento Cibersegurança foi adotado em 2019 e reforçou o papel da Agência da União Europeia para a Cibersegurança (ENISA). Conferiu à agência um mandato permanente e habilitou-a a contribuir para o reforço da cooperação operacional e da gestão de crises em toda a UE. Dispõe também de mais recursos financeiros e humanos do que anteriormente.

O Regulamento Cibersegurança estabeleceu igualmente o Quadro Europeu de Certificação da Cibersegurança (ECCF), que estabelece requisitos comuns de cibersegurança e critérios de avaliação para a certificação de produtos, serviços e processos de TIC. Para mais informações, consulte o sítio Web específico da ENISA.

Uma alteração específica do Regulamento Cibersegurança, adotada em 15 de janeiro de 2025, alargou o âmbito da certificação aos serviços de segurança geridos.

Em 11 de abril de 2025, a Comissão lançou uma consulta pública para recolher contributos para avaliar e rever o Regulamento Cibersegurança.
 

Regulamento Ciber-Resiliência

Regulamento Cibersolidariedade

O Regulamento Cibersolidariedade entrou em vigor em 4 de fevereiro de 2025, com o objetivo de melhorar a preparação, a deteção e a resposta a incidentes de cibersegurança em toda a UE.

O Plano de Ação Cibernético

Em 24 de fevereiro de 2025, foi publicado um projeto de recomendação do Conselho sobre o Plano de Ação da UE para a Gestão de Crises de Cibersegurança (Plano de Ação para a Cibersegurança). O objetivo da presente recomendação é apresentar de forma clara, simples e acessível o quadro da UE para a gestão de cibercrises. O plano proposto atualiza o quadro abrangente da UE para a gestão de crises de cibersegurança e faz um levantamento dos intervenientes pertinentes da UE, descrevendo os seus papéis ao longo de todo o ciclo de vida da crise. Tal inclui a preparação e o conhecimento partilhado da situação para antecipar ciberincidentes, bem como as capacidades de deteção necessárias para os identificar, incluindo os instrumentos de resposta e recuperação necessários para atenuar, dissuadir e conter esses incidentes.

Plano de recuperação

A cibersegurança é uma das prioridades da Comissão na sua resposta à crise do coronavírus, uma vez que houve um aumento dos ciberataques durante o confinamento. O Plano de Recuperação da Europa inclui investimentos adicionais em cibersegurança.

Apoio à investigação e inovação: Horizonte 2020 e PPPc; Horizonte Europa

A investigação sobre segurança digital é essencial para a construção de soluções inovadoras que possam proteger-nos contra as mais recentes e avançadas ciberameaças. É por esta razão que a cibersegurança é uma parte importante do Horizonte 2020 e do seu sucessor, o Horizonte Europa. 

No Horizonte Europa, para o período 2021-2027, a cibersegurança faz parte do agregado «Segurança Civil para a Sociedade». 

No âmbito do Horizonte 2020, a Comissão cofinanciou investigação e inovação em temas como a preparação para a cibersegurança através de cibergamas e simulação, a cibersegurança para as pequenas e médias empresas, a cibersegurança no sistema elétrico e energético e a cibersegurança e proteção de dados em setores críticos. Estes temas inserem-se no agregado «Sociedades seguras — Proteger a liberdade e a segurança da Europa e dos seus cidadãos».

Em 2016, foi criada a parceria público-privada contratual (PPPc) do Horizonte 2020 em matéria de cibersegurança entre a Comissão Europeia e a Organização Europeia para a Cibersegurança (ECSO), uma associação composta por membros da ciberindústria, do meio académico, das administrações públicas e outros.

Apoio às cibercapacidades e à implantação

As nossas infraestruturas físicas e digitais estão estreitamente interligadas. Por conseguinte, a Comissão também investiu na cibersegurança no âmbito do seu programa de financiamento do investimento em infraestruturas, o Mecanismo Interligar a Europa (MIE), para o período 2014-2020.

O apoio do MIE foi prestado às equipas de resposta a incidentes de segurança informática, aos operadores de serviços essenciais (OES), aos prestadores de serviços digitais (DSP), aos pontos de contacto únicos (SPOC) e às autoridades nacionais competentes (ANC). Tal reforça as capacidades de cibersegurança e a colaboração transfronteiriça na UE, apoiando a execução da Estratégia da UE para a Cibersegurança.

O Programa Europa Digital, para o período 2021-2027, é um programa ambicioso que prevê investir 1,9 mil milhões de EUR na capacidade de cibersegurança e na ampla implantação de infraestruturas e ferramentas de cibersegurança em toda a UE para as administrações públicas, as empresas e os cidadãos.

A cibersegurança também faz parte do InvestEU, que é um programa geral que reúne muitos instrumentos financeiros e utiliza o investimento público para garantir mais investimento do setor privado. O seu mecanismo de investimento estratégico apoiará as principais cadeias de valor no domínio da cibersegurança. Trata-se de uma parte importante do pacote de recuperação em resposta à crise do coronavírus.

Atlas da cibersegurança

O centro europeu de competências industriais, tecnológicas e de investigação em cibersegurança reunirá conhecimentos especializados e alinhará o desenvolvimento e a implantação europeus de tecnologias de cibersegurança. Trabalhará com a indústria, a comunidade académica e outros intervenientes para criar uma agenda comum de investimentos em cibersegurança e decidir sobre as prioridades de financiamento para a investigação, o desenvolvimento e a implantação de soluções de cibersegurança através dos programas Horizonte Europa e Europa Digital.

Atualmente, estão em curso quatro projetos-piloto para lançar as bases do Centro de Competências e da Rede. São mais de 170 parceiros.

Para obter uma melhor panorâmica dos conhecimentos especializados e das capacidades em matéria de cibersegurança em toda a UE, a Comissão desenvolveu uma plataforma abrangente denominada Atlas da Cibersegurança.

Implantação segura de redes 5G na UE

As redes 5G representam uma infraestrutura digital fundamental, uma vez que são a espinha dorsal de muitos serviços críticos. É essencial garantir a cibersegurança e a resiliência desta infraestrutura crítica. Com base numa avaliação coordenada dos riscos, os Estados-Membros do grupo de cooperação SRI, juntamente com a Comissão e a ENISA, desenvolveram o conjunto de instrumentos da UE em matéria de cibersegurança das redes 5G, que estabelece medidas para reforçar os requisitos de segurança das redes 5G, aplicar as restrições pertinentes aos fornecedores de alto risco e assegurar a diversificação dos fornecedores.

O ponto da situação da aplicação do conjunto de instrumentos 5G pelos Estados-Membros é descrito no segundo relatório intercalar de junho de 2023 do grupo de cooperação SRI. A Comissão também efetuou a sua própria avaliação dos fornecedores de 5G, que está disponível na Comunicação de junho de 2023. 

Garantir o processo eleitoral

As nossas democracias europeias tornaram-se cada vez mais digitais: as campanhas políticas realizam-se em linha e as próprias eleições realizam-se através do voto eletrónico em muitos países. 

A Comissão emitiu recomendações para a cibersegurança das eleições para o Parlamento Europeu, no âmbito de um pacote mais vasto de recomendações destinadas a apoiar eleições europeias livres e justas. Um mês antes das eleições europeias de 2019, o Parlamento Europeu, os países da UE, a Comissão e a ENISA realizaram um teste em direto da sua preparação.

Cibersegurança dos hospitais e dos prestadores de cuidados de saúde

A digitalização está a revolucionar os cuidados de saúde, permitindo melhores serviços aos doentes. No entanto, os ciberataques podem perturbar estes serviços vitais. Em 15 de janeiro de 2025, a Comissão apresentou um plano de ação europeu sobre a cibersegurança dos hospitais e dos prestadores de cuidados de saúde, como uma das iniciativas prioritárias estabelecidas nas orientações políticas para a Comissão 2024/29.

O plano de ação propõe, nomeadamente, que a ENISA, a agência da UE para a cibersegurança, crie um centro pan-europeu de apoio à cibersegurança para hospitais e prestadores de cuidados de saúde, fornecendo-lhes orientações, ferramentas, serviços e formação adaptados. A iniciativa baseia-se no quadro mais vasto da UE para reforçar a cibersegurança em todas as infraestruturas críticas.

Em 7 de abril de 2025, a Comissão lançou uma consulta específica sobre o plano de ação para a cibersegurança dos hospitais e dos prestadores de cuidados de saúde, convidando as partes interessadas a partilharem os seus pontos de vista. Os resultados da consulta serão tidos em conta para outras recomendações que a Comissão tenciona apresentar até ao final do ano.

Competências para a força de trabalho

Só podemos garantir a segurança digital se dispusermos de especialistas com os conhecimentos e competências adequados, e atualmente não há o suficiente. É por esta razão que a Comissão está a tomar medidas para estimular o desenvolvimento de competências em matéria de cibersegurança e aumentar a mão de obra da União Europeia.

As competências em cibersegurança, que se inserem na agenda geral da Comissão em matéria de competências digitais, continuarão a ocupar um lugar de destaque na agenda política da Comissão, estando a União das Competências prevista nas orientações políticas da Comissão para 2024-2029. Os projetos continuarão a ser financiados ao abrigo de vários programas, nomeadamente o Programa Europa Digital e o Erasmus+, a fim de colmatar o défice de mão de obra na União Europeia. A Comissão continuará a utilizar os instrumentos políticos existentes, como o Programa Década Digital para 2030 e a possibilidade que oferece de criar projetos plurinacionais que abordem as competências em matéria de cibersegurança, tal como previsto na Comunicação da Comissão intitulada «Colmatar o défice de talentos no domínio da cibersegurança para impulsionar a competitividade, o crescimento e a resiliência da UE» («Academia de Competências em Cibersegurança»).

Academia de Competências em Cibersegurança

A Academia de Competências de Cibersegurança, lançada no âmbito do Ano Europeu das Competências 2023, reúne iniciativas privadas e públicas a nível europeu e nacional para colmatar o fosso crescente na mão de obra no domínio da cibersegurança. A Academia, alojada em linha na plataforma digital de empregos e competências da Comissão, conta com o apoio de todas as partes interessadas, nomeadamente da indústria, através de um mecanismo de compromissos, e do meio académico, com uma imitação emblemática do êxito da Academia: Rede Indústria-Academia.

Comunicação sobre a Academia de Cibercompetências da UE

Ficha informativa da Academia de Cibercompetências da UE

Sensibilização

O fator humano é frequentemente o elo fraco da cibersegurança: alguém que clica num link de phishing pode ter enormes consequências. Por conseguinte, a Comissão sensibiliza para a cibersegurança e promove boas práticas junto do público em geral. Por exemplo, uma vez por ano, organiza o Mês Europeu da Cibersegurança em conjunto com a ENISA.

ENISA – Agência da UE para a Cibersegurança

A ENISA é a agência da UE que lida com a cibersegurança. Presta apoio aos Estados-Membros, às instituições da UE e às empresas em domínios fundamentais, incluindo a aplicação da Diretiva SRI.

ISACs

Os Centros de Partilha e Análise de Informações (ISAC) promovem a colaboração entre a comunidade de cibersegurança em diferentes setores da economia. O desenvolvimento dos ISAC, tanto a nível da UE como a nível nacional, constitui uma prioridade para a Comissão. Em colaboração com a ENISA, a Comissão promove igualmente a criação de novos CITA em setores não abrangidos. O «consórcio de capacitação dos ISAC da UE», supervisionado pela Comissão, presta apoio jurídico, técnico e organizacional aos ISAC.

CCI

O Centro Comum de Investigação (JRC) da Comissão está a contribuir ativamente para a cibersegurança na UE. Por exemplo, o JRC desenvolveu uma taxonomia da cibersegurança. Tal alinha a terminologia utilizada na cibersegurança, para que possamos ter uma visão mais clara das capacidades de cibersegurança na UE.

O JRC também publicou recentemente um relatório que fornece informações sobre o atual panorama da cibersegurança na UE e a sua história, intitulado «Cibersegurança– a nossa âncora digital».

CSIRT/CERT

Nos termos da Diretiva SRI 2, os Estados-Membros da UE são obrigados a assegurar o bom funcionamento das suas equipas de resposta a incidentes de segurança informática («CSIRT»), também conhecidas como equipas de resposta a emergências informáticas («CERT»). Estas equipas lidam com incidentes e riscos de cibersegurança na prática. Cooperam entre si a nível da UE e também trabalham em conjunto com o setor privado.

Todos os tipos de operadores de serviços essenciais e prestadores de serviços digitais têm de ser abrangidos pelas CSIRT designadas.

As principais tarefas das CSIRT são:

• Monitorização de incidentes a nível nacional;
• Fornecer alertas precoces, alertas, anúncios e outras informações sobre riscos e incidentes às partes interessadas pertinentes;
• resposta a incidentes;
• Disponibilização de análises dinâmicas de riscos e incidentes e conhecimento da situação;
• participação na rede de CSIRT.

ECSO

A Organização Europeia para a Cibersegurança (ECSO) foi criada em 2016 para atuar como contraparte da Comissão numa parceria público-privada contratual que abrange o Horizonte 2020 nos anos de 2016 a 2020. A maioria dos 250 membros da ECSO pertence à indústria da cibersegurança ou a instituições académicas e de investigação neste domínio. Em menor grau, os membros da ECSO também incluem intervenientes do setor público e indústrias do lado da procura.

Para além de formular recomendações sobre o Horizonte 2020, a ECSO realiza várias atividades destinadas à criação de comunidades e ao desenvolvimento industrial a nível europeu.

Women4Cyber

É importante destacar o papel das mulheres na comunidade de cibersegurança, que estão sub-representadas. É por esta razão que a Comissão criou o Registo Women4Cyber, em cooperação com a iniciativa Women4Cyber da ECSO. Torna mais fácil para os meios de comunicação social, os organizadores de eventos e outros encontrarem as muitas mulheres talentosas que trabalham na cibersegurança, para que estas mulheres se tornem mais visíveis e proeminentes na comunidade cibernética e no debate público.

A UE trabalha com parceiros para promover interesses comuns na política de cibersegurança. O 9.o ciberdiálogo UE-EUA teve lugar em Bruxelas, em dezembro de 2023. A UE e os EUA desenvolveram a cooperação em domínios como a ciberdiplomacia, a gestão de crises, o reforço das capacidades, a cibersegurança das infraestruturas críticas (incluindoa comunicaçãode incidentes), a cibersegurança dos produtos de hardware e software (incluindo oPlano de Ação Conjunto sobre Produtos Ciberseguros)e os aspetos de cibersegurança das tecnologias emergentes, como a IA. 

Desde 2021, a UE e a Ucrânia realizaram três ciberdiálogos. Em 2023, a Agência da UE para a Cibersegurança (ENISA) formalizou um acordo de trabalho com homólogos ucranianos para promover o reforço das capacidades, o intercâmbio de boas práticas e o conhecimento da situação. A UE deu igualmente início a ciberdiálogos com a Índia, o Japão, a República da Coreia e o Brasil. O primeiro ciberdiálogo UE-Reino Unido teve lugar em Bruxelas, em dezembro de 2023, o segundo um ano mais tarde, em 6 de dezembro de 2024.

A cibersegurança é também debatida no contexto das parcerias digitais e dos diálogos digitais bilaterais, bem como da Aliança Digital UE-ALC, do diálogo regulamentar UE-Balcãs Ocidentais, do diálogo estruturado UE-OTAN sobre resiliência e do diálogo estruturado UE-OTAN sobre cibersegurança e defesa. Em 2023, o Grupo de Trabalho UE-OTAN para a Resiliência das Infraestruturas Críticas publicou um relatórioque mapeou importantes setores transversais. 

Em 11 de novembro de 2024, a UE e o Japão realizaramo seusexto ciberdiálogo em Tóquio, onde trocaram pontos de vista sobre o panorama das ameaças e a resposta a ciberatividades maliciosas, forneceram informações atualizadas sobre os seus últimos desenvolvimentos políticos e legislativos em matéria de cibersegurança, bem como nos domínios das tecnologias emergentes, da gestão de cibercrises e da ciberdefesa.

Em 20 de março de 2025, a UE e a Índia realizaram o seu oitavo ciberdiálogo em Nova Deli, onde trocaram pontos de vista sobre o panorama das ciberameaças e forneceram informações atualizadas sobre a evolução recente da política e da legislação em matéria de cibersegurança. Abordaram igualmente a segurança da cadeia de abastecimento, a cibersegurança dos produtos e as tecnologias emergentes.

Em 20 de maio de 2025, a UE e a República da Coreia realizaram o seu sétimo ciberdiálogo em Seul, onde trocaram pontos de vista sobre a evolução da política em matéria de ciberameaças e debateram o panorama das ciberameaças e os respetivos quadros para prevenir, dissuadir e dar resposta às ciberameaças. Abordaram igualmente a cibersegurança e a resiliência.

Cibercriminalidade

Os criminosos comuns recorrem a ciberataques que ameaçam os europeus. O Departamento da Migração e dos Assuntos Internos da Comissão acompanha e atualiza a legislação da UE em matéria de cibercriminalidade e apoia a capacidade de aplicação da lei. A Comissão também trabalha em conjunto com o Centro Europeu da Cibercriminalidade na Europol.

Ciberdiplomacia

A UE está a envidar esforços para se proteger contra ciberameaças provenientes do exterior das suas fronteiras. Neste contexto, a Comissão trabalha em conjunto com o Serviço Europeu para a Ação Externa e os Estados-Membros na aplicação de uma resposta diplomática conjunta às ciberatividades maliciosas («conjunto de instrumentos de ciberdiplomacia»). Esta resposta inclui a cooperação e o diálogo diplomáticos, medidas preventivas contra os ciberataques e sanções contra as pessoas envolvidas em ciberataques que ameaçam a UE.

A Comissão presta assistência na tomada de decisões sobre a resposta a ciberameaças externas, sempre que necessário. Financia também diretamente a Iniciativa de Apoio à Ciberdiplomacia da UE em curso.

Ciberdefesa

Em 10 de novembro de 2022, a Comissão e o alto representante apresentaram uma comunicação conjunta sobre uma política de ciberdefesa da UE para fazer face à deterioração do ambiente de segurança na sequência da agressão da Rússia contra a Ucrânia e reforçar a capacidade da UE para proteger os seus cidadãos e infraestruturas.  

A política de ciberdefesa da UE articula-se em torno de quatro pilares que abrangem uma vasta gama de iniciativas que ajudarão a UE e os Estados-Membros a serem mais capazes de detetar, dissuadir e defender-se contra ciberataques:

1. Agir em conjunto para reforçar a ciberdefesa da UE

2. Garantir o ecossistema de defesa

3. Investir em capacidades de ciberdefesa

4. Parceiros para enfrentar desafios comuns

A nova política exige investimentos emcapacidades de ciberdefesa de pleno espetro e reforçará a coordenação e a cooperação entre as cibercomunidades militares e civis da UE. Reforçará a cooperação com o setor privado e a gestão eficiente das cibercrises na União. A nova política contribuirá igualmente para reduzir as nossas dependências estratégicas em matéria de cibertecnologias críticas e reforçar a base industrial tecnológica de defesa europeia (BTIDE). Estimulará a formação, a atração e a retenção de talentos cibernéticos.

A UE coopera em matéria de defesa no ciberespaço através das atividades da Comissão Europeia, do Serviço Europeu para a Ação Externa (SEAE),da Agência Europeia de Defesa, bem como da ENISA e da Agência da União Europeia para a Cooperação Policial (Europol).

Reforço das cibercapacidades em países terceiros

A UE coopera com outros países para ajudar a reforçar a sua capacidade de defesa contra as ameaças à cibersegurança. A Comissão apoia vários programas de cibersegurança nos países do alargamento, bem como noutros países de todo o mundo, através do seu departamento de Cooperação Internacional e Desenvolvimento.