A Rede de CSIRT e a EU-CyCLONe ao abrigo dos artigos 15.o e 16.o
A NIS 2 constrói duas redes de cooperação transfronteiriça. A Rede de CSIRT trata da resposta técnica a incidentes entre os CSIRT nacionais. A EU-CyCLONe trata da coordenação política quando uma crise cibernética ultrapassa um único país. Ambas têm a ENISA como secretariado.
A versão curta
A NIS 2 faz duas coisas ao mesmo tempo. Diz às entidades no âmbito que comuniquem incidentes ao seu CSIRT nacional ou autoridade competente. Diz também aos Estados-Membros que falem uns com os outros quando um incidente atravessa fronteiras ou ameaça mais do que um país. A parte de falarem uns com os outros é o que os artigos 15.o e 16.o criam.
O artigo 15.o cria a Rede de CSIRT. É a camada técnica e operacional. Os CSIRT nacionais (na Alemanha: o CERT-Bund no BSI) mais o CERT-EU integram-na. Trocam dados de ameaças, coordenam a resposta a incidentes transfronteiriços, e partilham ferramentas. A ENISA assegura o secretariado.
O artigo 16.o cria a EU-CyCLONe, a Rede europeia de organizações de ligação para as crises cibernéticas. É a camada política. As autoridades dos Estados-Membros para a gestão de crises cibernéticas (na Alemanha: o Ministério Federal do Interior) integram-na. Coordenam a resposta política a incidentes em larga escala. A ENISA também assegura o secretariado. A mesma agência, duas camadas.
Artigo 15.o, n.o 1, e artigo 16.o, n.o 1, da Diretiva NIS 2 (2022/2555)
A fim de contribuir para o desenvolvimento da confiança entre os Estados-Membros e de promover uma cooperação operacional rápida e eficaz, é criada uma rede de CSIRT nacionais. […] A fim de apoiar a gestão coordenada de incidentes e crises de cibersegurança em larga escala a nível operacional e de assegurar o intercâmbio regular de informações pertinentes entre os Estados-Membros e as instituições, órgãos e organismos da União, é criada uma rede europeia de organizações de ligação para as crises cibernéticas (EU-CyCLONe).
Dois artigos adjacentes. Duas redes. O artigo 15.o situa-se no nível operacional. O artigo 16.o situa-se no nível político. A Diretiva cria ambos os organismos diretamente. Não é necessária mais legislação da UE para que existam.
N/A. Instituições ao nível dos artigos
Não há um regulamento de execução que especifique mais detalhadamente a Rede de CSIRT ou a EU-CyCLONe.
Ao contrário do artigo 21.o, n.o 2 (que o CIR desenvolve), os artigos 15.o e 16.o são autoexecutáveis. As redes publicaram os seus próprios regulamentos internos, mas esses são documentos de trabalho, não legislação da UE. O que importa para as entidades no âmbito é quem são as suas contrapartes nacionais, não os procedimentos internos de funcionamento das redes.
Designação do CSIRT nacional ao abrigo do artigo 10.o da NIS 2 + autoridade nacional para crises cibernéticas
Alemanha: o CERT-Bund (no BSI) é o CSIRT nacional designado na Rede do artigo 15.o. O Ministério Federal do Interior (BMI) representa a Alemanha na EU-CyCLONe.
Cada Estado-Membro nomeia um CSIRT nacional ao abrigo do artigo 10.o da NIS 2 e nomeia a autoridade responsável pela gestão de crises cibernéticas. Para a Alemanha, o BSIG confirma o BSI como autoridade nacional e o CERT-Bund como CSIRT nacional. O representante de nível político na EU-CyCLONe é o BMI.
Rede de CSIRT: cooperação operacional
A Rede troca informação sobre as capacidades dos CSIRT, partilha ferramentas e procedimentos, troca dados de incidentes e de ameaças, coordena a resposta a incidentes transfronteiriços, apoia os Estados-Membros com incidentes que os afetam, e alimenta a divulgação coordenada de vulnerabilidades ao abrigo do artigo 12.o. Trabalho técnico entre equipas técnicas.
EU-CyCLONe: coordenação política
A EU-CyCLONe desenvolve a preparação para gerir incidentes e crises de cibersegurança em larga escala, desenvolve uma imagem situacional partilhada, avalia consequências e propõe como remediá-las, coordena a resposta política, e (a pedido de um Estado-Membro) discute os planos nacionais de resposta a incidentes em larga escala. Trabalho político entre representantes políticos.
Quando a camada operacional escala para a camada política
Os incidentes transfronteiriços pequenos ou de rotina ficam na Rede de CSIRT. Os incidentes em larga escala que exigem decisões ao nível ministerial (impacto intersetorial, comunicações públicas, declarações ao nível da UE) escalam para a EU-CyCLONe. As duas redes são concebidas para passar trabalho entre si, com a ENISA como secretariado de ligação.
Técnico e político são tarefas diferentes
Um analista de CSIRT que partilha assinaturas de software malicioso além-fronteiras tem uma tarefa diferente de um conselheiro ministerial que informa um gabinete sobre se deve atribuir um ataque a um agente estatal. A NIS 2 mantém-nos em redes separadas de propósito. Misturar as duas camadas é como se atrasa a resposta técnica e se afasta a tomada de decisão política.
A ENISA como tecido conjuntivo
A ENISA assegura o secretariado de ambas as redes. A mesma agência, o mesmo edifício, a mesma consciência situacional. Essa é a opção de conceção deliberada da UE: manter as duas camadas de cooperação estruturalmente separadas mas garantir que partilham uma imagem operacional comum. Sem isso, a camada política estaria a reagir com informação desatualizada.
CERT-Bund (BSI) + BMI
O CERT-Bund no BSI é o CSIRT nacional da Alemanha na Rede do artigo 15.o. O Ministério Federal do Interior (BMI) representa a Alemanha na EU-CyCLONe. Para uma entidade no âmbito, o contacto prático é o BSI. A camada política corre acima da sua cabeça, mas as suas decisões podem moldar o que o BSI lhe diz para fazer.
ENISA como secretariado de ambas as redes
A ENISA, a agência de cibersegurança da UE, assegura o secretariado da Rede de CSIRT e da EU-CyCLONe. Produz documentos de orientação que emergem de ambas as redes (manuais de resposta a incidentes, relatórios de ameaças, relatórios de exercícios). Essas publicações alimentam de volta as orientações nacionais como os Infopakete do BSI.
CSIRT nacionais + autoridades nacionais para crises cibernéticas
Cada Estado-Membro nomeia um. Os Países Baixos: o NCSC-NL na Rede de CSIRT, o Ministério da Justiça e Segurança na EU-CyCLONe. A Áustria: o GovCERT Austria na Rede, a Chancelaria Federal no nível político. A estrutura é idêntica à escala da UE; as agências diferem por país.
A Rede de CSIRT trata de tudo o que é cibernético ao nível da UE.
Não trata. A Rede de CSIRT é a camada operacional e técnica. Os incidentes em larga escala que exigem coordenação política (comunicações intersetoriais, decisões de atribuição, informações ministeriais) escalam para a EU-CyCLONe. Duas redes, duas camadas, por conceção.
A EU-CyCLONe é um regulador a quem comunicamos.
Não é. A EU-CyCLONe é um organismo de coordenação entre autoridades dos Estados-Membros. Não regula as entidades no âmbito. Não recebe relatórios de incidentes. A comunicação ao abrigo do artigo 23.o da NIS 2 vai para o seu CSIRT nacional ou autoridade competente. A EU-CyCLONe opera uma camada acima disso, entre governos.
Apresentamos os nossos relatórios de incidentes à Rede de CSIRT.
Não apresenta. O artigo 23.o da NIS 2 diz que comunica ao seu CSIRT nacional ou autoridade competente. Na Alemanha, é o BSI. O CSIRT nacional partilha depois informação pertinente com a Rede de CSIRT quando é necessária coordenação transfronteiriça. A Rede é a contraparte do seu CSIRT, não a sua.
Para um Stadtwerk ou operador de TI do Mittelstand, o ponto de contacto prático é o seu CSIRT nacional. Na Alemanha é o CERT-Bund no BSI. Comunica-lhes incidentes ao abrigo do artigo 23.o da NIS 2, lê os seus avisos, liga-lhes quando algo está a arder. A Rede de CSIRT e a EU-CyCLONe correm por trás dessa interface.
Por que estas redes ainda lhe importam: quando um incidente transfronteiriço ocorre (pense num ataque à cadeia de abastecimento que afeta quinze países ao mesmo tempo), a coordenação que acontece ao nível da Rede de CSIRT é o que torna a resposta do seu CSIRT nacional coerente com o resto da UE. E a coordenação política ao nível da EU-CyCLONe é o que determina se a resposta fica na contenção técnica ou se torna uma declaração pública. Ambas moldam o conselho que acaba por receber.
O módulo de incidentes encaminha as notificações para o seu CSIRT nacional ao abrigo do artigo 23.o (na Alemanha: o BSI). Não interage diretamente com a Rede de CSIRT ou com a EU-CyCLONe; o CSIRT nacional é a sua única contraparte para a comunicação de incidentes. A plataforma trata dos prazos (alerta precoce de 24h, notificação de 72h, relatório final de um mês).
A nossa camada de referência traz as publicações e os documentos de orientação da ENISA que resultam do trabalho da Rede de CSIRT. Avisos de ameaças, relatórios conjuntos, constatações de exercícios: alimentam a forma como interpretamos «adequado e proporcionado» ao abrigo do artigo 21.o, n.o 1. Não tem de os acompanhar por si próprio.
- Diretiva (UE) 2022/2555 (NIS 2), artigos 15.o e 16.o. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Diretiva (UE) 2022/2555 (NIS 2), artigo 10.o (designação de CSIRT) e artigo 23.o (comunicação de incidentes)
- Sítio da ENISA sobre a Rede de CSIRT e a EU-CyCLONe. enisa.europa.eu
- Lei do BSI (BSIG), CERT-Bund como CSIRT nacional ao abrigo do §5 BSIG
- Procedimentos operacionais normalizados da EU-CyCLONe (resumidos publicamente pela ENISA)