Regras de execução da Diretiva SRI 2

Regulamento de Execução (UE) 2024/2690 de 17 de outubro de 2024, que estabelece regras de execução da Diretiva (UE) 2022/2555 relativamente aos requisitos técnicos e metodológicos das medidas de gestão dos riscos de cibersegurança e especifica mais pormenorizadamente os casos em que se considera que um incidente é significativo no que respeita aos prestadores de serviços de DNS, aos registos de nomes de TLD, aos prestadores de serviços de computação em nuvem, aos prestadores de serviços de centro de dados, aos fornecedores de redes de distribuição de conteúdos, aos prestadores de serviços geridos, aos prestadores de serviços de segurança geridos, aos prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais e aos prestadores de serviços de confiança.

No que se refere às entidades pertinentes, estabelece requisitos técnicos e metodológicos das medidas de gestão dos riscos de cibersegurança a que se refere o artigo 21.º, n.º 2, alíneas a) a j), da Diretiva (UE) 2022/2555. Ao implementarem e aplicarem os requisitos técnicos e metodológicos das medidas de gestão dos riscos de cibersegurança estabelecidos no anexo do presente regulamento, as entidades pertinentes garantem um nível de segurança dos sistemas de rede e informação adequado aos riscos que se colocam. Para o efeito, ao cumprirem os requisitos técnicos e metodológicos das medidas de gestão dos riscos de cibersegurança estabelecidos no anexo do presente regulamento, essas entidades devem ter em devida conta o seu grau de exposição aos riscos, a sua dimensão e a probabilidade de ocorrência de incidentes, bem como a gravidade destes, incluindo o seu impacto societal e económico. Se o anexo do presente regulamento previr que um requisito técnico ou metodológico de uma medida de gestão de riscos de cibersegurança seja aplicado «se for caso disso», «quando aplicável» ou «na medida do possível», e se uma entidade pertinente considerar que a aplicação de alguns desses requisitos técnicos e metodológicos não é adequada, aplicável ou possível, a entidade pertinente documenta de forma compreensível a sua fundamentação nesse sentido. O Anexo está dividido nos seguintes requisitos:

1.   Política de segurança dos sistemas de rede e informação;
2.   Política de gestão dos riscos;
3.   Tratamento de incidentes;
4.   Continuidade das atividades e gestão de crises;
5.   Segurança da cadeia de abastecimento;
6.   Segurança na aquisição, desenvolvimento e manutenção dos sistemas de rede e informação;
7.   Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança;
8.   Práticas básicas de ciber-higiene e formação em cibersegurança;
9.   Criptografia;
10.   Segurança dos recursos humanos;
11.   Controlo do acesso;
12.   Gestão de ativos;
13.   Segurança ambiental e física.

Também estabelece os critérios para determinar incidentes significativos e incidentes recorrentes, bem como incidentes significativos relacionados com prestadores de serviços de DNS, incidentes significativos relacionados com registos de nomes de TLD, incidentes significativos relacionados com prestadores de serviços de computação em nuvem, incidentes significativos relacionados com prestadores de serviços de centro de dados, incidentes significativos relacionados com fornecedores de redes de distribuição de conteúdos, incidentes significativos relacionados com prestadores de serviços geridos e prestadores de serviços de segurança geridos, incidentes significativos relacionados com prestadores de serviços de mercados em linha, incidentes significativos relacionados com prestadores de serviços de motores de pesquisa em linha, incidentes significativos relacionados com prestadores de plataformas de serviços de redes sociais e incidentes significativos relacionados com prestadores de serviços de confiança.

O presente regulamento entra em vigor 7 de novembro de 2024 e revoga o Regulamento de Execução (UE) 2018/151.