“A principal constatação da auditoria foi a de que as instituições, os organismos e as agências da UE nem sempre estão bem protegidos contra ciberameaças. O seu tratamento da cibersegurança nem sempre é consistente, os controlos essenciais e as boas práticas fundamentais em matéria de cibersegurança nem sempre estão em vigor e a formação em cibersegurança nem sempre é sistemática”, indica o TCE num documento hoje publicado.

No relatório sobre “Cibersegurança das instituições, organismos e agências da UE”, o tribunal entende que, “em geral, o nível de preparação não é proporcional às ameaças, desde logo porque “a atribuição de recursos à cibersegurança é muito variável e vários organismos europeus têm despesas neste domínio consideravelmente inferiores a outros de dimensão comparável”.

“Em teoria, as diferenças nos níveis de cibersegurança podem ser justificadas pelos diferentes perfis de risco de cada organização e pelos níveis variáveis de sensibilidade dos dados que tratam, mas o TCE salienta que as insuficiências na cibersegurança de um organismo da UE podem expor várias outras organizações à ciberameaça”, vinca ainda o tribunal.

Numa altura em que se estima que os ciberataques significativos relativos aos organismos da UE tenham aumentado mais de 10 vezes entre 2018 e 2021, tornando-se também mais sofisticados, o TCE dá como exemplo um recente ciberataque à Agência Europeia de Medicamentos, em que dados sensíveis foram divulgados e manipulados para diminuir a confiança nas vacinas anticovid-19.

Por essa razão, o tribunal recomenda “a introdução de regras de cibersegurança vinculativas e o aumento dos recursos da Equipa de Resposta a Emergências Informáticas para as instituições e agências da UE”, assim como maior cooperação ao nível comunitário.

“As instituições, organismos e agências da UE são alvos atrativos para potenciais atacantes, especialmente para os grupos com capacidade de realizar ataques furtivos altamente sofisticados para fins de ciberespionagem e outros propósitos malévolos”, alerta Bettina Jakobsen, membro do TCE responsável pela auditoria.

A responsável adianta que “estes ataques podem ter implicações políticas significativas, prejudicar a reputação geral da UE e minar a confiança nas suas instituições”, razão pela qual se devem “intensificar os esforços”.

Não existe ainda, na UE, um quadro jurídico para a segurança da informação e a cibersegurança nas instituições, agências e organismos da União.

Ainda assim, existem regras comuns sobre a segurança da informação e a cibersegurança aplicáveis a todos os organismos da União, como indicado na comunicação sobre a Estratégia da UE para a União da Segurança para o período de 2020-2025, publicada pela Comissão em julho de 2020.

Porque o seu tempo é precioso.

Subscreva a newsletter do SAPO 24.

Porque as notícias não escolhem hora.

Ative as notificações do SAPO 24.

Saiba sempre do que se fala.

Siga o SAPO 24 nas redes sociais. Use a #SAPO24 nas suas publicações.