“A principal constatação da auditoria foi a de que as instituições, os organismos e as agências da UE nem sempre estão bem protegidos contra ciberameaças. O seu tratamento da cibersegurança nem sempre é consistente, os controlos essenciais e as boas práticas fundamentais em matéria de cibersegurança nem sempre estão em vigor e a formação em cibersegurança nem sempre é sistemática”, indica o TCE num documento hoje publicado.
No relatório sobre “Cibersegurança das instituições, organismos e agências da UE”, o tribunal entende que, “em geral, o nível de preparação não é proporcional às ameaças, desde logo porque “a atribuição de recursos à cibersegurança é muito variável e vários organismos europeus têm despesas neste domínio consideravelmente inferiores a outros de dimensão comparável”.
“Em teoria, as diferenças nos níveis de cibersegurança podem ser justificadas pelos diferentes perfis de risco de cada organização e pelos níveis variáveis de sensibilidade dos dados que tratam, mas o TCE salienta que as insuficiências na cibersegurança de um organismo da UE podem expor várias outras organizações à ciberameaça”, vinca ainda o tribunal.
Numa altura em que se estima que os ciberataques significativos relativos aos organismos da UE tenham aumentado mais de 10 vezes entre 2018 e 2021, tornando-se também mais sofisticados, o TCE dá como exemplo um recente ciberataque à Agência Europeia de Medicamentos, em que dados sensíveis foram divulgados e manipulados para diminuir a confiança nas vacinas anticovid-19.
Por essa razão, o tribunal recomenda “a introdução de regras de cibersegurança vinculativas e o aumento dos recursos da Equipa de Resposta a Emergências Informáticas para as instituições e agências da UE”, assim como maior cooperação ao nível comunitário.
“As instituições, organismos e agências da UE são alvos atrativos para potenciais atacantes, especialmente para os grupos com capacidade de realizar ataques furtivos altamente sofisticados para fins de ciberespionagem e outros propósitos malévolos”, alerta Bettina Jakobsen, membro do TCE responsável pela auditoria.
A responsável adianta que “estes ataques podem ter implicações políticas significativas, prejudicar a reputação geral da UE e minar a confiança nas suas instituições”, razão pela qual se devem “intensificar os esforços”.
Não existe ainda, na UE, um quadro jurídico para a segurança da informação e a cibersegurança nas instituições, agências e organismos da União.
Ainda assim, existem regras comuns sobre a segurança da informação e a cibersegurança aplicáveis a todos os organismos da União, como indicado na comunicação sobre a Estratégia da UE para a União da Segurança para o período de 2020-2025, publicada pela Comissão em julho de 2020.
Comentários