Já conhece o novo regime jurídico da segurança do ciberespaço?

O que há de novo?

Este Decreto-Lei veio regulamentar alguns aspetos que tinham ficado por regular pela Lei n.º 46/2018 (regime jurídico da segurança do ciberespaço), nomeadamente:

  1. Os requisitos de segurança das redes e sistemas de informação, e
  2. As regras para a notificação de incidentes

Paralelamente, vem assegurar a implementação de um quadro nacional de certificação da cibersegurança pela Autoridade Nacional de Certificação da Cibersegurança (CNCS), que deverá desenvolver e implementar esquemas específicos de certificação da cibersegurança relativos a produtos, serviços e processos de tecnologias de informação e comunicação.

Quais as obrigações e quem está obrigado?

As obrigações previstas neste Decreto-Lei recaem sobre:

  • A Administração Pública,
  • Os operadores de infraestruturas críticas,
  • Os operadores de serviços essenciais,
  • Os prestadores de serviços digitais,

Obrigações das Entidades:

  • Indicar à CNCS, pelo menos, um ponto de contacto permanente, com meios de contacto principais e alternativos, que tenha disponibilidade contínua de 24 horas por dia e de sete dias por semana.
  • Designar um responsável de segurança para a gestão do conjunto das medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes, bem como comunicar a substituição do mesmo.
  • Elaborar e manter atualizado um inventário de todos os ativos essenciais para a prestação dos respetivos serviços, devendo o mesmo ser assinado pelo responsável de segurança, que depois devem comunicar ao CNCS.
  • Elaborar e manter atualizado um plano de segurança, devidamente atualizado, documentado e assinado pelo responsável de segurança, que contenha a política de segurança, entre outros elementos
  • Elaborar um relatório anual que contenha, entre outros, a descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos serviços de informação, e, posteriormente, remeter o relatório anual ao CNCS, devidamente assinado pelo responsável de segurança.
  • Cumprir as medidas técnicas e organizativas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, devendo, para o efeito, realizar uma análise dos riscos (global e parcial) em relação a todos os ativos que garantam a continuidade do funcionamento das redes e dos sistemas de informação que utilizam
  • Notificar o CNCS da ocorrência de incidentes com impacto relevante ou substancial, bem como implementar todos os meios e os procedimentos necessários à deteção, à avaliação do impacto e à notificação de incidentes com impacto relevante ou substancial. Cada incidente deverá ser objeto de três tipos de notificação própria
    • Notificação inicial
    • Notificação de fim de impacto relevante ou substancial
    • Notificação final

Quais as consequências do incumprimento destas obrigações?

  • Regra geral, ao incumprimento serão de aplicar as contraordenações previstas no Regime Jurídico da Segurança do Ciberespaço (coimas de 500 euros a 50 000 euros),
  • Há, no entanto, três casos especiais (relacionadas com a certificação da CNCS), punidos com coimas entre os 1000 euros e os 44 891,81 euros.

Quando entra em vigor?

No décimo dia após a sua publicação – dia 9 de Agosto 2021.

Conhecimento