1. Os Estados-Membros devem assegurar que as entidades essenciais e importantes notificam a sua CSIRT ou, se aplicável, a sua autoridade competente, sem demora injustificada e nos termos do n.o 4, de qualquer incidente que tenha um impacto significativo na prestação dos seus serviços, tal como referido no n.o 3 (incidente significativo). Se for caso disso, as entidades em causa devem notificar os destinatários dos seus serviços, sem demora injustificada, de incidentes significativos suscetíveis de afetar negativamente a prestação desses serviços. Compete a cada Estado-Membro garantir que as referidas entidades comunicam, nomeadamente, quaisquer informações que permitam à CSIRT ou, se aplicável, à autoridade competente determinar o eventual impacto transfronteiriço do incidente. A mera notificação não sujeita a entidade notificadora a responsabilidades acrescidas.
Sempre que as entidades em causa notifiquem a autoridade competente de um incidente significativo nos termos do primeiro parágrafo, o Estado-Membro vela por que essa autoridade competente transmita a notificação à CSIRT após a sua receção.
Em caso de incidente transfronteiriço ou intersetorial significativo, os Estados-Membros devem assegurar que os seus pontos de contacto únicos recebam em tempo útil as informações pertinentes notificadas em conformidade com o n.o 4.
2. Quando aplicável, os Estados-Membros devem assegurar que as entidades essenciais e importantes comuniquem, sem demora injustificada, aos destinatários dos seus serviços potencialmente afetados por uma ciberameaça significativa as medidas ou soluções que estes podem adotar para responder a essa ameaça. Se for caso disso, as entidades devem igualmente informar os referidos destinatários da própria ciberameaça significativa.
3. Considera-se que um incidente é significativo se:
|
a) |
Tiver causado ou for suscetível de causar graves perturbações operacionais dos serviços ou perdas financeiras à entidade em causa; |
|
b) |
Tiver afetado ou for suscetível de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis. |
4. Os Estados-Membros devem garantir que, para efeitos da notificação prevista no n.o 1, as entidades em causa apresentam à CSIRT ou, se aplicável, à autoridade competente:
|
a) |
Sem demora injustificada e, em qualquer caso, no prazo de 24 horas depois de terem tomado conhecimento do incidente significativo, um alerta rápido, que, se aplicável, deve indicar se há suspeitas de que o incidente significativo foi causado por um ato ilícito ou malicioso ou se pode ter um impacto transfronteiriço; |
|
b) |
Sem demora injustificada e, em qualquer caso, no prazo de 72 horas depois de terem tomado conhecimento do incidente significativo, uma notificação de incidente, que, se aplicável, deve atualizar as informações a que se refere a alínea a) e fornecer uma avaliação inicial do incidente significativo, incluindo da sua gravidade e do seu impacto, bem como, se disponíveis, dos indicadores de exposição a riscos; |
|
c) |
A pedido de uma CSIRT ou, se aplicável, da autoridade competente, um relatório intercalar com informações atualizadas importantes sobre a situação; |
|
d) |
O mais tardar um mês após a apresentação da notificação de incidente mencionada na alínea b), um relatório final que contenha os seguintes elementos:
|
|
e) |
Em caso de incidente em curso no momento da apresentação do relatório final referido na alínea d), os Estados-Membros devem assegurar que as entidades em causa apresentem um relatório intercalar nessa altura e um relatório final no prazo de um mês após terem resolvido o incidente. |
Em derrogação do disposto no primeiro parágrafo, alínea b), um prestador de serviços de confiança notifica a CSIRT ou, se aplicável, a autoridade competente, sem demora injustificada e, em qualquer caso, no prazo de 24 horas após ter tomado conhecimento do incidente significativo, de qualquer incidente significativo que afete a prestação dos seus serviços de confiança.
5. Sem demora injustificada e, se possível, no prazo de 24 horas após a receção do alerta rápido a que se refere o n.o 4, alínea a), a CSIRT ou a autoridade competente devem apresentar uma resposta à entidade notificadora que forneça, designadamente, as suas observações iniciais sobre o incidente significativo e, a pedido da entidade, orientações ou aconselhamento operacional sobre a aplicação de possíveis medidas de atenuação. Nos casos em que a CSIRT não seja o destinatário inicial da notificação a que se refere o n.o 1, as orientações devem ser fornecidas pela autoridade competente, em cooperação com a CSIRT. A CSIRT deve prestar apoio técnico adicional, caso a entidade em causa o solicite. Nos casos em que se suspeite da natureza criminosa do incidente significativo, o CSIRT ou a autoridade competente devem fornecer igualmente orientações sobre a notificação do incidente significativo às autoridades policiais.
6. Se for caso disso, e em particular se o incidente significativo a que se refere o n.o 1 disser respeito a dois ou mais Estados-Membros, a CSIRT, a autoridade competente ou o ponto de contacto único devem informar, sem demora injustificada, os outros Estados-Membros afetados e a ENISA do incidente significativo. Essas informações devem incluir o tipo de informações recebidas em conformidade com o n.o 4. Ao fazê-lo, a CSIRT, a autoridade competente ou o ponto de contacto único devem salvaguardar, de acordo com o direito da União ou nacional, a segurança e os interesses comerciais da entidade, bem como a confidencialidade das informações prestadas.
7. Nos casos em que seja necessário sensibilizar o público para evitar um incidente significativo ou para responder a um incidente significativo em curso, ou em que a divulgação do incidente significativo seja de interesse público, a CSIRT de um Estado-Membro ou, se aplicável, a sua autoridade competente e, se for caso disso, as CSIRT ou as autoridades competentes dos outros Estados-Membros afetados podem, após consulta da entidade em causa, informar o público do incidente significativo ou exigir que a entidade o faça.
8. A pedido da CSIRT ou da autoridade competente, o ponto de contacto único deve transmitir as notificações recebidas nos termos do n.o 1 aos pontos de contacto únicos dos outros Estados-Membros afetados.
9. O ponto de contacto único deve apresentar à ENISA, a intervalos de três meses, um relatório de síntese que inclua dados anonimizados e agregados sobre os incidentes significativos, os incidentes, as ciberameaças e os quase incidentes notificados nos termos do n.o 1 do presente artigo e do artigo 30.o A fim de contribuir para a comparabilidade das informações apresentadas, a ENISA pode adotar orientações técnicas sobre os parâmetros das informações a incluir no relatório de síntese. A ENISA deve informar o grupo de cooperação e a rede de CSIRT das suas conclusões sobre as notificações recebidas semestralmente.
10. As CSIRT ou, se aplicável, as autoridades competentes devem fornecer às autoridades competentes nos termos da Diretiva (UE) 2022/2557 informações sobre os incidentes significativos, os incidentes, as ciberameaças e os quase acidentes notificados nos termos do n.o 1 do presente artigo e do artigo 30.o pelas entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557.
11. A Comissão pode adotar atos de execução que especifiquem o tipo de informações, o formato e o procedimento das notificações apresentadas nos termos do n.o 1 do presente artigo e do artigo 30.o e das comunicações apresentadas nos termos do n.o 2 do presente artigo.
Até 17 de outubro de 2024, a Comissão deve, no que respeita a prestadores de serviços de DNS, aos registos de nomes de TLD, aos prestadores de serviços de computação em nuvem, aos prestadores de serviços de centro de dados, aos fornecedores de redes de distribuição de conteúdos, aos prestadores de serviços geridos, aos prestadores de serviços de segurança geridos, bem como aos prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais, adotar atos de execução que especifiquem os casos em que um incidente deve ser considerado significativo, conforme referido no n.o 3. A Comissão pode adotar atos de execução em relação a outras entidades essenciais e importantes.
A Comissão deve proceder ao intercâmbio de aconselhamentos e cooperar com o grupo de cooperação sobre os projetos de atos de execução referidos no primeiro e no segundo parágrafos, em conformidade com o artigo 14.o, n.o 4, alínea e).
Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 39.o, n.o 2.
