Cibersegurança da UE: estratégia e principais políticas

Estratégia de Cibersegurança da UE

Em outubro de 2020, os dirigentes da UE apelaram aos Estados-Membros para que:

• protejam a UE das ciberameaças
• proporcionem um ambiente de comunicação seguro, especialmente através da encriptação quântica
• assegurem o acesso a dados para fins judiciais e de aplicação da lei.

Uma resposta mais forte em matéria de cibersegurança para construir um ciberespaço aberto e seguro pode gerar uma maior confiança dos cidadãos nas ferramentas e nos serviços digitais. A cibersegurança protege as redes e os sistemas de informação, os seus utilizadores e outras pessoas afetadas por ciberameaças.

• Conselho Europeu extraordinário, 1-2 de outubro de 2020

Em dezembro de 2020, a Comissão Europeia e o Serviço Europeu para a Ação Externa (SEAE) apresentaram uma nova estratégia da UE para cibersegurança. O objetivo é reforçar a resiliência da Europa contra as ciberameaças e garantir que todos os cidadãos e empresas beneficiem plenamente de serviços e ferramentas digitais fiáveis e credíveis.

• Estratégia da UE para a Cibersegurança (Serviço Europeu para a Ação Externa)

Em 22 de março de 2021, o Conselho adotou conclusões sobre a Estratégia de Cibersegurança, nas quais salienta que a cibersegurança é essencial para construir uma Europa resiliente, ecológica e digital. Os ministros da UE estabeleceram como objetivo fundamental alcançar a autonomia estratégica, preservando ao mesmo tempo uma economia aberta. Passa isso por reforçar a capacidade de fazer escolhas autónomas no domínio da cibersegurança, consolidando ao mesmo tempo a liderança digital da UE e as suas capacidades estratégicas.

• Conselho adota conclusões sobre a Estratégia de Cibersegurança da UE (comunicado de imprensa, 22 de março de 2021)

Principais políticas da UE em matéria de cibersegurança

Plano de Ação para a Cibersegurança

Em 6 de junho de 2025, o Conselho adotou um plano de ação da UE para a gestão de crises de cibersegurança.

O plano proporciona um quadro abrangente e pormenorizado para a gestão de cibercrises a nível da UE, com base no Plano de Ação para a Cibersegurança de 2017.

O plano de ação para a cibersegurança visa:

• assegurar uma resposta eficaz e eficiente a ciberincidentes em grande escala
• promover uma cooperação mais estruturada entre intervenientes civis e militares
• explicar o que é uma crise cibernética e o que desencadeia um mecanismo de cibercrise

• UE adota plano de ação para melhor gerir cibercrises e incidentes de cibersegurança na Europa (comunicado de imprensa, 6 de junho de 2025)

Regulamento de Cibersolidariedade da UE

Em 2 de dezembro de 2024, o Conselho adotou o Regulamento de Cibersolidariedade. Este regulamento estabelece as capacidades a nível da UE para tornar a Europa mais resiliente e reativa face às ciberameaças, reforçando ao mesmo tempo os mecanismos de cooperação.

As novas regras:

• estabelecem um sistema de alerta em matéria de cibersegurança, uma infraestrutura pan-europeia composta por plataformas de cibersegurança nacionais e transfronteiriças destinadas a apoiar a deteção de ciberameaças e ciberincidentes
• preveem a criação de um mecanismo de emergência em matéria de cibersegurança para reforçar a preparação e proteger as entidades críticas e os serviços essenciais, como hospitais e serviços públicos
• reforçam a solidariedade a nível da UE, a gestão concertada de crises e as capacidades de resposta em todos os Estados-Membros
• contribuem para garantir um panorama digital seguro e protegido para os cidadãos e as empresas.

O Regulamento de Cibersolidariedade entrou em vigor em 4 de fevereiro de 2025.

• Pacote para a cibersegurança: Conselho adota novos atos legislativos para reforçar as capacidades de cibersegurança na UE (comunicado de imprensa, 2 de dezembro de 2024)

Regulamento Cibersegurança da UE

O Regulamento Cibersegurança da UE foi adotado pelo Conselho em abril de 2019 e introduziu:

• um sistema de certificação à escala da UE
• um mandato reforçado e permanente para a Agência da UE para a Cibersegurança (ENISA)

Sistemas europeus de certificação

Anteriormente, os países da UE utilizavam diferentes sistemas de certificação da cibersegurança para os produtos das tecnologias da informação e comunicação (TIC), o que conduziu à fragmentação do mercado e a obstáculos regulamentares. Com o Regulamento Cibersegurança, a UE introduziu um único enquadramento para a certificação da cibersegurança à escala da UE,

que visa:

• promover a confiança
• aumentar o crescimento do mercado de cibersegurança
• facilitar as trocas comerciais na UE

Este enquadramento proporciona um conjunto abrangente de regras, requisitos técnicos, normas e procedimentos.

Em dezembro de 2024, a UE adotou uma alteração específica ao Regulamento Cibersegurança, a fim de permitir a criação de sistemas de certificação da UE para os «serviços de segurança geridos», como a resposta a incidentes, os testes de penetração, as auditorias de segurança e a consultoria relacionada com o apoio técnico.

Agência da UE para a Cibersegurança

A Agência da UE para a Cibersegurança (ENISA), sedeada em Atenas, Grécia, trabalha no sentido de alcançar um elevado nível comum de cibersegurança em toda a UE. Apoia os Estados-Membros, as instituições da UE e outras partes interessadas na melhoria da cibersegurança e na luta contra os ciberataques.

A ENISA foi criada em 2004 e reforçada pelo Regulamento Cibersegurança da UE, que lhe conferiu um mandato permanente, mais recursos e um papel alargado.

Em dezembro de 2024, o Conselho aprovou conclusões que contêm uma série de recomendações e sugestões para o reforço da agência da UE para a cibersegurança.

• Pacote para a cibersegurança: Conselho adota novos atos legislativos para reforçar as capacidades de cibersegurança na UE (comunicado de imprensa, 2 de dezembro de 2024)
• ENISA: Conselho aprova conclusões para fortalecer a Agência da UE para a Cibersegurança (comunicado de imprensa, 6 de dezembro de 2024)
• Agência da União Europeia para a Cibersegurança (ENISA)

Regulamento Ciber-Resiliência

Adotado pelo Conselho em 10 de outubro de 2024, o Regulamento Ciber-Resiliência estabelece requisitos de cibersegurança para os produtos com elementos digitais ligados à Internet ou a outros dispositivos. Tal garante que os produtos conectados, como câmaras domésticas, frigoríficos, televisores e brinquedos, são seguros antes de serem colocados no mercado e ao longo de todo o seu ciclo de vida.

O regulamento também melhora a transparência para os consumidores, permitindo que as pessoas tenham acesso a informações sobre a cibersegurança dos produtos que compram e utilizam.

• Regulamento Ciber-Resiliência: Conselho adota novo ato legislativo relativo aos requisitos de cibersegurança dos produtos com elementos digitais

Diretiva Segurança das Redes e da Informação

A diretiva relativa à segurança das redes e da informação (SRI) foi a primeira legislação a nível da UE destinada a reforçar a cooperação entre os Estados-Membros em matéria de cibersegurança. Introduzida em 2016, estabelece obrigações de segurança a cumprir pelos operadores que prestam serviços essenciais (em setores críticos como a energia, os transportes, a saúde e as finanças) e pelos prestadores de serviços digitais (mercados em linha, motores de pesquisa e serviços de computação em nuvem).

Em 2022, a UE adotou uma Diretiva SRI revista (SRI 2) para substituir a diretiva de 2016. As novas regras garantem um elevado nível comum de cibersegurança na União, respondendo à evolução do cenário de ameaças e tendo em conta a transformação digital, acelerada pela pandemia de COVID-19.

A Diretiva SRI 2:

• estabelece novas regras mínimas para um quadro regulamentar
• prevê mecanismos para uma cooperação eficaz entre as autoridades competentes de cada Estado-Membro da UE
• atualiza a lista de setores e atividades sujeitas a obrigações em matéria de cibersegurança
• aborda a resposta a incidentes de cibersegurança (ligação ao RGPD)

Os Estados-Membros tinham até outubro de 2024 para transpor e aplicar integralmente a SRI 2.

• UE decide reforçar a cibersegurança e a resiliência em toda a União: Conselho adota nova legislação

Conjunto de instrumentos da UE para as redes 5G

As redes 5G não são apenas cruciais para a comunicação digital, mas também para setores críticos como a energia, os transportes, a banca e a saúde.

A tecnologia 5G é também uma ferramenta essencial para assegurar a competitividade da Europa no mercado mundial, sendo a sua cibersegurança crucial para garantir a autonomia estratégica da União.

Em janeiro de 2020, a UE chegou a acordo sobre um conjunto de instrumentos para identificar um possível conjunto comum de medidas que permitam atenuar os principais ciber-riscos associados às redes 5G e para fornecer orientações.

• Importância e riscos de segurança da tecnologia 5G - Conselho adota conclusões
• Redes 5G seguras: perguntas e respostas sobre o conjunto de instrumentos da UE

Financiamento e investigação

A UE está a atuar em várias frentes para reforçar a ciber-resiliência, proteger as comunicações e os dados e salvaguardar a nossa sociedade e economia em linha. Tal inclui apoiar a investigação e aumentar o financiamento da inovação no domínio da cibersegurança.

Europa Digital

No âmbito do Programa Europa Digital para o período 2021-2027, a UE comprometeu-se a investir 1,6 mil milhões de euros no reforço das capacidades em matéria de cibersegurança e na implantação generalizada de infraestruturas e ferramentas de cibersegurança em toda a UE, em benefício das administrações públicas, das empresas e dos cidadãos.

• Conselho dá luz verde ao Programa Europa Digital (comunicado de imprensa, 16 de março de 2021)
• Europa investe no domínio digital: o Programa Europa Digital (Comissão Europeia)

Horizonte Europa

É crucial encontrar soluções inovadoras que nos possam proteger contra as mais recentes e mais avançadas ciberameaças. Por este motivo, a cibersegurança é uma parte importante dos programas-quadro da UE para financiamento da investigação e inovação, o Horizonte 2020 e o seu sucessor, o Horizonte Europa. Em maio de 2020, a UE afetou 49 milhões de euros para impulsionar a inovação no domínio da cibersegurança e dos sistemas de privacidade.

• Horizonte Europa
• UE atribui quase 49 milhões de euros para impulsionar a inovação no domínio da cibersegurança e dos sistemas de privacidade (comunicado de imprensa da Comissão Europeia, 20 de maio de 2020)

Programa Década Digital para 2030

A segurança digital requer um número suficiente de peritos com as competências adequadas. Atualmente, verifica-se uma escassez significativa destes peritos, pelo que a UE está a investir ativamente no desenvolvimento de competências em cibersegurança.

O Programa Década Digital para 2030 apoia os investimentos em domínios fundamentais como a computação de alto desempenho, infraestruturas e serviços de dados comuns, cadeias de blocos, processadores de baixa potência, a implantação pan-europeia de corredores 5G, parcerias de alta tecnologia para as competências digitais, infraestruturas de computação quântica seguras, uma rede de centros de cibersegurança, administração pública digital, instalações de ensaio e polos de inovação digital.

• Conselho dá luz verde ao centro de competências em cibersegurança, com sede em Bucareste (comunicado de imprensa, 20 de abril de 2021)
• Rede e Centro Europeus de Competências em Cibersegurança

Centro de competências em cibersegurança

Em abril de 2021, o Conselho adotou o regulamento que cria o Centro Europeu de Competências Industriais, Tecnológicas e de Investigação em Cibersegurança em Bucareste, na Roménia, apoiado por uma rede de centros nacionais de coordenação.

O centro visa:

• continuar a melhorar a ciber-resiliência
• contribuir para a aplicação da tecnologia de cibersegurança mais recente
• dar apoio a empresas em fase de arranque e PME do setor da cibersegurança
• reforçar a investigação e a inovação no domínio da cibersegurança
• contribuir para colmatar as lacunas nas competências em matéria de cibersegurança