REVISTA DO TRIBUNAL DE CONTAS
Início                 Estatuto Editorial                 Equipa                 Regulamento                 Edições anteriores                 Submissões
Início  –  Ano 2022, nº 3: Jurisprudência de outros Tribunais
TRIBUNAL DE CONTAS EUROPEU
 

RELATÓRIO ESPECIAL N.º 5/2022 DO TRIBUNAL DE CONTAS EUROPEU
Cibersegurança das instituições, organismos e agências da UE: em geral, o nível de preparação não é proporcional às ameaças
2022-02-22

DESCRITORES

AGÊNCIA DA UNIÃO EUROPEIA PARA A CIBERSEGURANÇA (ENISA) – CIBERAMEAÇA – CIBERATAQUE – CIBERESPIONAGEM – CIBERSEGURANÇA – COMITÉ INTERINSTITUCIONAL PARA A TRANSFORMAÇÃO DIGITAL – EQUIPA DE RESPOSTA A EMERGÊNCIAS INFORMÁTICAS PARA AS INSTITUIÇÕES E AGÊNCIAS DA UE (CERT-UE – INSTITUIÇÕES, ORGANISMOS E AGÊNCIAS DA UE (EUIBA) – PREPARAÇÃO CIBERNÉTICA – SEGURANÇA INFORMÁTICA – SISTEMAS DE INFORMAÇÃO – TRANSFORMAÇÃO DIGITAL¹

 

SUMÁRIO

  1. O Regulamento Cibersegurança da UE define a cibersegurança como "as atividades necessárias para proteger a rede e os sistemas de informação, os utilizadores desses sistemas e outras pessoas afetadas pelas ciberameaças". Devido às informações sensíveis que processam, as instituições, organismos e agências da UE (EUIBA) são alvos atrativos para potenciais atacantes, especialmente para os grupos com capacidade de realizar ataques furtivos altamente sofisticados para fins de ciberespionagem e outros. Apesar da sua independência institucional e autonomia administrativa, as EUIBA estão fortemente interligadas, pelo que as fragilidades de uma podem expor outras a ameaças à segurança.
  2. Uma vez que o número de ciberataques contra as EUIBA está a aumentar acentuadamente, o objetivo da presente auditoria foi determinar se as EUIBA, em geral, estabeleceram mecanismos adequados para se protegerem contra as ciberameaças. O Tribunal conclui que o conjunto das EUIBA não alcançou um nível de preparação cibernética compatível com as ameaças.
  3. O Tribunal constatou que as boas práticas fundamentais em matéria de cibersegurança, incluindo alguns controlos essenciais, nem sempre foram seguidas, e que várias EUIBA apresentam despesas claramente insuficientes no domínio da cibersegurança. De igual modo, a boa governação em matéria de cibersegurança não foi ainda posta em prática em algumas EUIBA: as estratégias de segurança informática são, em muitos casos, inexistentes ou não são aprovadas pelos quadros superiores; as políticas de segurança nem sempre são formalizadas; e as avaliações de riscos não abrangem todo o ambiente informático. Nem todas as EUIBA submetem regularmente a sua cibersegurança à prestação de uma garantia independente.
  4. A formação em cibersegurança nem sempre é sistemática. Pouco mais de metade das EUIBA oferece formação contínua sobre cibersegurança ao pessoal da informática e aos especialistas em segurança informática, e poucas EUIBA fornecem formação obrigatória em matéria de cibersegurança aos dirigentes responsáveis por sistemas informáticos que contêm informações sensíveis. Os exercícios de phishing são uma ferramenta importante para formar e sensibilizar o pessoal, mas nem todas as EUIBA os utilizam de forma sistemática.
  5. Embora as EUIBA tenham estabelecido estruturas para a cooperação e o intercâmbio de informações em matéria de cibersegurança, o Tribunal observou que as potenciais sinergias não são totalmente exploradas. As EUIBA não partilham sistematicamente entre si informações sobre projetos relacionados com a cibersegurança, avaliações de segurança e contratos de prestação de serviços. Além disso, ferramentas de comunicação básicas, como o correio eletrónico encriptado ou as soluções utilizadas para a realização de videoconferências, não são totalmente interoperáveis, o que pode resultar na menor segurança das trocas de informações, numa duplicação de esforços e num aumento dos custos.
  6. A Equipa de Resposta a Emergências Informáticas para as instituições e agências da UE (CERT-UE) e a Agência da União Europeia para a Cibersegurança (ENISA) são as duas principais entidades responsáveis pelo apoio às EUIBA no domínio da cibersegurança. No entanto, devido a limitações de recursos ou à atribuição de prioridade a outras áreas, não conseguiram prestar às EUIBA todo o apoio de que estas necessitam, especialmente no tocante ao desenvolvimento de capacidades nas EUIBA com menos maturidade. Embora a CERT-UE seja altamente valorizada pelas EUIBA, a sua eficácia é prejudicada pelo aumento da carga de trabalho, a instabilidade em termos de financiamento e de pessoal e por uma cooperação insuficiente por parte de algumas EUIBA, que nem sempre partilham atempadamente informações sobre vulnerabilidades e ciberincidentes significativos que as tenham afetado ou possam afetar outras EUIBA.
  7. Com base nestas conclusões, o Tribunal recomenda que:
    • a Comissão deve promover a melhoria do nível de preparação de todas as EUIBA em matéria de cibersegurança através de uma proposta legislativa que introduza regras vinculativas comuns neste domínio para todas e do aumento de recursos da CERT-UE;
    • a Comissão, no contexto do Comité Interinstitucional para a Transformação Digital, deve promover novas sinergias entre as EUIBA em áreas selecionadas;
    • a CERT-UE e a ENISA devem centrar-se mais nas EUIBA que apresentam menos maturidade no domínio da cibersegurança.

¹Descritores elaborados pela equipa de apoio técnico da Revista.

 

LER MAIS TEXTO INTEGRAL
Contactos