A Agência de Segurança Cibernética da UE emitiu um Quadro Nacional de Avaliação de Capacidades (NCAF) para ajudar os Estados-Membros da UE a auto-medirem o nível de maturidade das suas capacidades nacionais de segurança cibernética.
Porquê um quadro de avaliação das capacidades?
As capacidades de cibersegurança são as principais ferramentas utilizadas pelos Estados-Membros da UE para alcançar os objectivos das suas Estratégias Nacionais de Cibersegurança. A finalidade do quadro é ajudar os Estados-Membros a construir e melhorar as capacidades de cibersegurança, avaliando o seu nível de maturidade.
O quadro permitirá aos Estados Membros da UE :
- Realizar a avaliação das suas capacidades nacionais em matéria de cibersegurança.
- Aumentar o nível de maturidade da consciência;
- Identificar áreas a melhorar;
- Construir novas capacidades de ciber-segurança.
Descarregar o Relatório ENISA – Quadro Nacional de Avaliação de Capacidades
As origens do conceito
Desenvolvido com o apoio de 19 Estados-Membros da UE, este quadro foi concebido na sequência de uma extensa troca de ideias e de boas práticas. Os objectivos estratégicos das estratégias nacionais de cibersegurança serviram de base ao estudo.
O quadro foi desenvolvido como parte do mandato da ENISA, tal como definido na Lei de Segurança Cibernética. É abrangido pela disposição de apoio aos Estados-Membros da UE no desenvolvimento de capacidades na área das estratégias nacionais de cibersegurança através do intercâmbio de boas práticas.
As principais características
O quadro de auto-avaliação é composto por 17 objectivos estruturados em torno de 4 clusters. Cada um destes agrupamentos está associado a uma área temática chave para a construção de capacidade de cibersegurança. Diferentes objectivos estão também associados a cada agrupamento. Com base em 5 níveis de maturidade, foram concebidas questões específicas para cada objectivo.
Os aglomerados são os seguintes:
(I) Governação e normas de cibersegurança – Esta dimensão considera aspectos de planeamento para preparar o Estado-Membro contra ciberataques, bem como normas para proteger os Estados-Membros e a identidade digital.
(II) Capacitação e sensibilização – Este agrupamento avalia a capacidade dos Estados-Membros para aumentar a sensibilização para os riscos e ameaças da cibersegurança e para a forma de os enfrentar. Além disso, esta dimensão mede a capacidade do país para construir continuamente capacidades de cibersegurança, aumentar os conhecimentos e as competências no domínio da ciber-segurança.
(III) Legal e regulamentar – Este agrupamento mede a capacidade dos Estados-Membros de pôr em prática os instrumentos legais e regulamentares necessários para abordar a cibercriminalidade e também aborda requisitos legais tais como relatórios de incidentes, questões de privacidade, CIIP.
(IV) Cooperação – Este agrupamento avalia a cooperação e partilha de informação entre diferentes grupos de partes interessadas a nível nacional e internacional.
Público-alvo
O relatório emitido destina-se aos decisores políticos, bem como a peritos e funcionários responsáveis ou envolvidos na concepção, implementação e avaliação de uma estratégia nacional de cibersegurança e/ou das capacidades nacionais de cibersegurança.