O Parlamento Europeu,

—  Tendo em conta a Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2018, que estabelece o Código Europeu das Comunicações Eletrónicas(1),

–  Tendo em conta a Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União(2),

–  Tendo em conta a Diretiva 2013/40/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013, relativa a ataques contra os sistemas de informação e que substitui a Decisão-Quadro 2005/222/JAI do Conselho(3),

–  Tendo em conta a proposta da Comissão de regulamento do Parlamento Europeu e do Conselho, de 13 de setembro de 2017, relativo à ENISA, a «Agência da União Europeia para a Cibersegurança», e à certificação da cibersegurança das tecnologias da informação e comunicação, e que revoga o Regulamento (UE) n.º 526/2013 («Regulamento Cibersegurança») (COM(2017)0477),

–  Tendo em conta a proposta da Comissão, de 12 de setembro de 2018, de regulamento que estabelece o Centro Europeu de Competências Industriais, Tecnológicas e de Investigação em Cibersegurança e a Rede de Centros Nacionais de Coordenação (COM(2018)0630),

–  Tendo em conta a adoção da nova Lei Nacional de Informações pelo Congresso Nacional do Povo da República Popular da China, em 28 de junho de 2017,

–  Tendo em conta as declarações do Conselho e da Comissão, de 13 de fevereiro de 2019, sobre as ameaças à segurança relacionadas com a crescente presença tecnológica da China na UE e as eventuais medidas a nível da UE para as reduzir,

–  Tendo em conta a adoção, pelo governo australiano, das «Reformas da segurança no setor das telecomunicações», que entraram em vigor em 18 de setembro de 2018,

–  Tendo em conta a sua posição adotada em primeira leitura, em14 de fevereiro de 2019, sobre a proposta de regulamento do Parlamento Europeu e do Conselho que estabelece um quadro para a análise de investimentos diretos estrangeiros na União Europeia(4),

–  Tendo em conta as suas anteriores resoluções sobre o estado das relações entre a UE e a China, nomeadamente a de 12 de setembro de 2018(5),

–  Tendo em conta a comunicação da Comissão, de 14 de setembro de 2016, intitulada «5G para a Europa: Um plano de Ação» (COM(2016)0588),

–  Tendo em conta a sua resolução, de 1 de junho de 2017, sobre conectividade à Internet para o crescimento, a competitividade e a coesão: a sociedade europeia a gigabits e 5G(6),

–  Tendo em conta o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)(7),

–  Tendo em conta o Regulamento (UE) n.º 1316/2013 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2013, que institui o Mecanismo Interligar a Europa, que altera o Regulamento (UE) n.º 913/2010 e revoga os Regulamentos (CE) n.º 680/2007 e (CE) n.º 67/2010(8),

–  Tendo em conta a proposta da Comissão, de 6 de junho de 2018, de um regulamento do Parlamento Europeu e do Conselho que cria o programa Europa Digital para o período de 2021-2027 (COM(2018)0434),

–  Tendo em conta o artigo 123, n.º 2 e n.º 4, do seu Regimento,

A.  Considerando que a UE deve dinamizar a sua agenda de cibersegurança, a fim de tirar pleno partido do potencial de se tornar líder no domínio da cibersegurança e utilizar este estatuto em benefício da sua indústria;

B.  Considerando que podem ser exploradas vulnerabilidades nas redes 5G para comprometer os sistemas de TI que poderão causar danos muito graves às economias, tanto a nível nacional como europeu; que é necessária uma abordagem baseada na análise de risco para toda a cadeia de valor, a fim de minimizar os riscos;

C.  Considerando que a rede 5G será a espinha dorsal da nossa infraestrutura digital, aumentando a possibilidade de ligar vários dispositivos às redes (Internet das coisas, etc.), e trará novas vantagens e oportunidades à sociedade e às empresas em muitos domínios, nomeadamente os setores críticos da economia, como os transportes, a energia, a saúde, as finanças, as telecomunicações, a defesa, o espaço e a segurança;

D.  Considerando que a criação de um mecanismo adequado de resposta aos desafios em matéria de segurança daria à UE a oportunidade de tomar medidas ativas no contexto do estabelecimento de normas relativas às redes 5G;

E.  Considerando que foram manifestados receios relativamente aos fornecedores de equipamentos de países terceiros que poderão representar um risco de segurança para a UE devido à legislação do seu país de origem, especialmente após a adoção das Leis da Segurança do Estado chinesas, que impõem a obrigação de todos os cidadãos, empresas e outras entidades cooperarem com o Estado para salvaguardar a segurança do Estado, no âmbito de uma definição muito ampla de segurança nacional; que não há garantia de que estas obrigações não sejam aplicadas a nível extraterritorial e que as reações às leis chineses variam em diferentes países, desde avaliações de segurança até à proibição pura e simples;

F.  Considerando que, em dezembro de 2018, a autoridade nacional checa para a cibersegurança emitiu um alerta contra as ameaças de segurança que as tecnologias fornecidas pelas empresas chinesas Huawei e ZTE representavam; que, posteriormente, em janeiro de 2019, as autoridades fiscais checas excluíram a Huawei de um concurso que tinha como objetivo a criação de um portal fiscal;

G.  Considerando que é necessária uma investigação aprofundada para esclarecer se os dispositivos envolvidos ou quaisquer outros dispositivos ou fornecedores representam riscos de segurança devido a características como as portas de acesso não autorizadas («backdoors») dos sistemas;

H.  Considerando que as soluções devem ser coordenadas e abordadas a nível da UE, de modo a evitar a criação de diferentes níveis de segurança e de potenciais lacunas na cibersegurança, sendo necessária uma coordenação a nível global para assegurar uma resposta forte;

I.  Considerando que aos benefícios do mercado único se junta a obrigação de cumprir as normas e o quadro jurídico da UE e que os fornecedores não deveriam ser tratados de forma diferente com base no seu país de origem;

J.  Considerando que o regulamento que estabelece um quadro para a análise de investimentos diretos estrangeiros na União Europeia, que deverá entrar em vigor até ao final de 2020, reforça a capacidade dos Estados-Membros para analisar o investimento estrangeiro com base em critérios de segurança e ordem pública e institui um mecanismo de cooperação que permite que a Comissão e os Estados-Membros colaborem na avaliação que fazem dos riscos para a segurança, nomeadamente em matéria de cibersegurança, colocados por investimentos estrangeiros sensíveis, abrangendo também projetos e programas de interesse para a União, como as redes transeuropeias de telecomunicações e o programa Horizonte 2020;

1.  Está convicto de que a União tem de assumir a liderança no domínio da cibersegurança através de uma abordagem comum baseada na utilização eficaz e eficiente dos conhecimentos especializados da UE, dos Estados-Membros e da indústria, uma vez que a existência de decisões nacionais díspares seria prejudicial para o mercado único digital;

2.  Manifesta a sua profunda preocupação com as recentes alegações de que o equipamento 5G desenvolvido por empresas chinesas poderá ter integradas «backdoors» que permitiriam aos fabricantes e às autoridades ter acesso não autorizado a dados privados e pessoais e a telecomunicações da UE;

3.  Manifesta, igualmente, a sua preocupação com a possível existência de grandes vulnerabilidades no equipamento 5G destes fabricantes, caso viesse a ser instalado quando as redes 5G forem disponibilizadas nos próximos anos;

4.  Sublinha que as implicações para a segurança das redes e dos equipamentos são semelhantes em todo o mundo e insta a UE a tirar lições da experiência disponível, de modo a poder garantir as mais elevadas normas de cibersegurança; insta a Comissão a desenvolver uma estratégia que coloque a Europa numa posição de liderança no domínio da tecnologia de cibersegurança e que vise reduzir a dependência da Europa de tecnologia estrangeira neste domínio; considera que devem ser aplicadas medidas adequadas sempre que não seja possível garantir o cumprimento dos requisitos de segurança;

5.  Insta os Estados-Membros a informarem a Comissão acerca das medidas nacionais que tencionem adotar nesta matéria, de molde a coordenar a resposta da União para garantir os mais elevados padrões de cibersegurança em toda a União e reitera a importância de evitar a introdução de medidas unilaterais desproporcionadas que fragmentariam o mercado único;

6.  Reitera que as entidades que fornecem equipamentos ou serviços na UE, independentemente do seu país de origem, devem cumprir as obrigações em matéria de direitos fundamentais e a legislação da UE e dos Estados-Membros, incluindo o quadro jurídico aplicável à privacidade, à proteção de dados e à cibersegurança;

7.  Insta a Comissão a avaliar a robustez do quadro jurídico da União, de modo a dar resposta aos receios de existência de equipamento vulnerável em setores estratégicos e infraestruturas de base; insta a Comissão a apresentar iniciativas, incluindo propostas legislativas, se for caso disso, a fim de sanar as eventuais lacunas detetadas em tempo oportuno, uma vez que a União está num processo permanente de identificação e resolução dos desafios em matéria de cibersegurança e de reforço da resiliência da cibersegurança na UE;

8.  Insta os Estados-Membros que ainda não transpuseram integralmente a Diretiva SRI a fazerem-no sem demora, e exorta a Comissão a seguir de perto esta transposição de modo a assegurar que as suas disposições sejam corretamente aplicadas e executadas e que os cidadãos europeus sejam melhor protegidos contra as ameaças, externas e internas, de segurança;

9.  Exorta a Comissão e os Estados-Membros a assegurarem que os mecanismos de comunicação introduzidos pela Diretiva SRI sejam devidamente aplicados; observa que a Comissão e os Estados-Membros devem acompanhar cuidadosamente quaisquer incidentes de segurança ou reações inadequadas de fornecedores, a fim de colmatar as lacunas identificadas;

10.  Insta a Comissão a ponderar a necessidade de alargar o âmbito de aplicação da Diretiva SRI a novos setores e serviços críticos que não sejam abrangidos por legislação setorial;

11.  Saúda e apoia o acordo alcançado sobre o Regulamento Cibersegurança e o reforço do mandato da Agência da UE para a Cibersegurança (ENISA), a fim de melhor apoiar os Estados-Membros na luta contra as ameaças e os ataques à cibersegurança;

12.  Insta a Comissão a mandatar a ENISA para que dê prioridade ao desenvolvimento de um sistema de certificação para o equipamento 5G, a fim de garantir que a implantação da tecnologia 5G na União cumpra as mais elevadas normas de segurança e seja resistente a «backdoors» ou a grandes vulnerabilidades que comprometeriam a segurança das redes de telecomunicações da União e dos serviços dependentes; recomenda que se confira especial atenção aos processos, produtos e programas informáticos de uso corrente que, por uma mera questão de escala, têm um impacto significativo no quotidiano dos cidadãos e na economia;

13.  Congratula-se vivamente com as propostas relativas a centros de competências em cibersegurança e a uma rede de centros de coordenação nacionais, que se destinam a ajudar a UE a manter e a desenvolver as capacidades tecnológicas e industriais em cibersegurança necessárias para salvaguardar o seu mercado único digital; recorda, porém, que a certificação não deve excluir as autoridades competentes e os operadores do controlo da cadeia de abastecimento, de molde a garantir a integridade e a segurança dos respetivos equipamentos que operam em ambientes críticos e em redes de telecomunicações;

14.  Recorda que a cibersegurança exige normas de segurança elevadas; apela à criação de uma rede segura, por defeito e desde a conceção; exorta os Estados-Membros, juntamente com a Comissão, a explorarem todos os meios disponíveis para garantir um elevado nível de segurança;

15.  Exorta a Comissão e os Estados-Membros, em cooperação com a ENISA, a facultarem orientações sobre a forma de enfrentar as ciberameaças e as vulnerabilidades aquando da aquisição de equipamento 5G, por exemplo através da diversificação do equipamento de diferentes fornecedores ou da introdução de processos de adjudicação de contratos multifaseados;

16.  Reitera a sua posição relativamente ao Programa Europa Digital, que impõe requisitos de segurança e a fiscalização, pela Comissão, das entidades estabelecidas na UE mas controladas a partir de países terceiros, em particular no que se refere a ações relacionadas com a cibersegurança;

17.  Insta os Estados-Membros a zelarem por que as instituições públicas e as empresas privadas encarregadas de garantir o bom funcionamento das redes de infraestruturas críticas, como as telecomunicações, a energia, os sistemas de saúde e os sistemas sociais, procedam a avaliações de riscos pertinentes que tenham em conta as ameaças à segurança especificamente associadas às características técnicas do sistema em causa ou à dependência de fornecedores externos de tecnologias de hardware e software;

18.  Recorda que o atual quadro jurídico para as telecomunicações exige que os Estados‑Membros se certifiquem de que os operadores de telecomunicações respeitam a integridade e a disponibilidade das redes de comunicações eletrónicas públicas, incluindo encriptação de ponta a ponta, se for caso disso; salienta que, de acordo com o Código Europeu das Comunicações Eletrónicas, os Estados-Membros dispõem de amplos poderes para analisar os produtos presentes no mercado da UE e aplicar uma vasta gama de medidas corretivas em caso de não conformidade desses produtos;

19.  Insta a Comissão e os Estados-Membros a tornarem o aspeto da segurança um elemento obrigatório em todos os procedimentos de adjudicação de contratos públicos para as infraestruturas importantes, tanto a nível da UE como a nível nacional;

20.  Recorda aos Estados-Membros a obrigação que lhes incumbe por força do quadro jurídico da UE, nomeadamente a Diretiva 2013/40/UE relativa a ataques contra os sistemas de informação, de imporem sanções contra pessoas singulares que cometam infrações penais, tais como ataques contra esses sistemas de informação; salienta que os Estados-Membros devem também fazer uso da sua capacidade de impor outras sanções contra estas entidades jurídicas, como a interdição temporária ou definitiva do exercício de atividades comerciais;

21.  Exorta os Estados-Membros, as agências de cibersegurança, os operadores de telecomunicações, os fabricantes e os fornecedores de serviços de infraestruturas críticas a comunicarem à Comissão e à ENISA quaisquer elementos que provem a existência de portas de acesso não autorizadas ou de outras vulnerabilidades importantes que possam comprometer a integridade e a segurança das redes de telecomunicações ou violar o direito da União e os direitos fundamentais; espera que as autoridades nacionais de proteção de dados, assim como a Autoridade Europeia para a Proteção de Dados, investiguem exaustivamente os indícios de violação de dados pessoais por parte de fornecedores externos e imponham multas e sanções adequadas, em conformidade com a legislação europeia em matéria de proteção de dados;

22.  Congratula-se com a próxima entrada em vigor de um regulamento que estabelece um quadro para a análise dos investimentos diretos estrangeiros por razões de segurança e de ordem pública e sublinha que este regulamento estabelece, pela primeira vez, uma lista de áreas e fatores, incluindo as comunicações e a cibersegurança, que são relevantes para a segurança e a ordem pública a nível da UE;

23.  Insta o Conselho a acelerar os seus trabalhos relativamente à proposta de regulamento sobre a privacidade nas comunicações eletrónicas;

24.  Reitera a necessidade de a UE apoiar a cibersegurança em toda a cadeia de valor, desde a investigação até à utilização e implantação de tecnologias essenciais, divulgar informações pertinentes e promover a ciber-higiene e um plano de estudos que inclua a cibersegurança, e considera que o programa Europa Digital será um instrumento eficaz para o efeito, entre outras medidas;

25.  Insta a Comissão e os Estados-Membros a tomarem as medidas necessárias, incluindo sistemas de investimento robustos, a fim de criar um ambiente propício à inovação na UE, que seja acessível a todas as empresas da economia digital da UE, incluindo as pequenas e médias empresas (PME); apela ainda no sentido de que esse ambiente permita que os fornecedores europeus desenvolvam novos produtos, serviços e tecnologias, promovendo assim a sua competitividade;

26.  Exorta a Comissão e os Estados-Membros a terem em conta os pedidos acima expostos no contexto dos próximos debates sobre a futura estratégia UE-China, como condições prévias para que a UE permaneça competitiva e para salvaguardar a segurança da sua infraestrutura digital;

27.  Encarrega o seu Presidente de transmitir a presente resolução ao Conselho e à Comissão.

(1) JO L 321 de 17.12.2018, p. 36. (2) JO L 194 de 19.7.2016, p. 1. (3) JO L 218 de 14.8.2013, p. 8. (4) Textos Aprovados, P8_TA(2019)0121. (5) Textos Aprovados, P8_TA(2018)0343. (6) JO C 307 de 30.8.2018, p. 144. (7) JO L 119 de 4.5.2016, p. 1. (8) JO L 348 de 20.12.2013, p. 129.