1. Os Estados-Membros devem assegurar que as entidades essenciais e importantes tomam medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos que se colocam à segurança dos sistemas de rede e informação que utilizam nas suas operações ou na prestação dos seus serviços e para impedir ou minimizar o impacto de incidentes nos destinatários dos seus serviços e noutros serviços.
As medidas referidas no primeiro parágrafo devem garantir um nível de segurança dos sistemas de rede e informação adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes e, se aplicáveis, as normas europeias e internacionais pertinentes, bem como os custos de execução. Ao avaliar a proporcionalidade dessas medidas, deve ser tido em devida conta o grau de exposição da entidade aos riscos, a dimensão da entidade e a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto social e económico.
2. As medidas referidas no n.o 1 devem basear-se numa abordagem que abranja todos os riscos e que vise proteger os sistemas de rede e informação, bem como o seu ambiente físico contra incidentes, e devem abranger pelo menos os seguintes aspetos:
|
a) |
Políticas de análise dos riscos e de segurança dos sistemas de informação; |
|
b) |
Tratamento de incidentes; |
|
c) |
Continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises; |
|
d) |
Segurança da cadeia de abastecimento, incluindo aspetos de segurança respeitantes às relações entre cada entidade e os respetivos fornecedores ou prestadores de serviços diretos; |
|
e) |
Segurança na aquisição, desenvolvimento e manutenção dos sistemas de rede e informação, incluindo o tratamento e a divulgação de vulnerabilidades; |
|
f) |
Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança; |
|
g) |
Práticas básicas de ciber-higiene e formação em cibersegurança; |
|
h) |
Políticas e procedimentos relativos à utilização de criptografia e, se for caso disso, de cifragem; |
|
i) |
Segurança dos recursos humanos, políticas seguidas em matéria de controlo do acesso e gestão de ativos; |
|
j) |
Utilização de soluções de autenticação multifatores ou de autenticação contínua, comunicações seguras de voz, vídeo e texto e sistemas seguros de comunicações de emergência no seio da entidade, se for caso disso. |
3. Os Estados-Membros devem garantir que, ao ponderarem as medidas adequadas a que se refere o n.o 2, alínea d), do presente artigo, as entidades têm em conta as vulnerabilidades específicas de cada fornecedor direto e cada prestador de serviços, bem como a qualidade global dos produtos e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os respetivos procedimentos de desenvolvimento seguro. Os Estados-Membros asseguram igualmente que, ao avaliarem quais das medidas a que se refere essa alínea, são adequadas, as entidades são obrigadas a ter em conta os resultados das avaliações coordenadas dos riscos de segurança das cadeias de abastecimento críticas realizadas nos termos do artigo 22.o, n.o 1.
4. Os Estados-Membros devem assegurar que uma entidade que conclua que não cumpre as medidas estabelecidas no n.o 2 tome todas as medidas corretivas necessárias, adequadas e proporcionadas, sem demora injustificada.
5. Até 17 de outubro de 2024, a Comissão deve adotar atos de execução que estabeleçam os requisitos técnicos e metodológicos das medidas referidas no n.o 2 no que respeita aos prestadores de serviços de DNS, aos registos de nomes de TLD, aos prestadores de serviços de computação em nuvem, aos prestadores de serviços de centro de dados, aos fornecedores de redes de distribuição de conteúdos, aos prestadores de serviços geridos, aos prestadores de serviços de segurança geridos, bem como aos prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais e aos prestadores de serviços de confiança.
A Comissão pode adotar atos de execução que estabeleçam os requisitos técnicos e metodológicos, bem como os requisitos setoriais, se necessário, das medidas a que se refere o n.o 2 no que diz respeito às entidades essenciais e importantes que não as referidas no primeiro parágrafo do presente número.
Na preparação dos atos de execução referidos no primeiro e no segundo parágrafos do presente número, a Comissão segue, tanto quanto possível, as normas europeias e internacionais, bem como as especificações técnicas aplicáveis. A Comissão deve proceder ao intercâmbio de aconselhamentos e cooperar com o grupo de cooperação e com a ENISA sobre os projetos de atos de execução, em conformidade com o artigo 14.o, n.o 4, alínea e).
Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.o, n.o 2.
