|
Lei n.º 46/2018, de 13 de Agosto REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União _____________________ |
|
Lei n.º 46/2018, de 13 de agosto
Estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.
A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:
|
CAPÍTULO I
Disposições gerais
| Artigo 1.º
Objeto |
| A presente lei estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União. |
| |
|
|
|
|
1 - A presente lei aplica-se:
a) À Administração Pública;
b) Aos operadores de infraestruturas críticas;
c) Aos operadores de serviços essenciais;
d) Aos prestadores de serviços digitais;
e) A quaisquer outras entidades que utilizem redes e sistemas de informação.
2 - Para efeitos do disposto na presente lei, integram a Administração Pública:
a) O Estado;
b) As regiões autónomas;
c) As autarquias locais;
d) As entidades administrativas independentes;
e) Os institutos públicos;
f) As empresas públicas;
g) As associações públicas.
3 - A presente lei aplica-se aos prestadores de serviços digitais que tenham o seu estabelecimento principal em território nacional ou, não o tendo, designem um representante estabelecido em território nacional, desde que aí prestem serviços digitais.
4 - Para efeitos do número anterior, considera-se que um prestador de serviços digitais tem o seu estabelecimento principal em território nacional quando aí tiver a sua sede.
5 - Caso uma entidade se enquadre simultaneamente em mais do que uma das alíneas a) a c) do n.º 1, aplica-se o regime que resultar mais exigente para a segurança das redes e dos sistemas de informação.
6 - A presente lei não se aplica:
a) Às redes e sistemas de informação diretamente relacionados com o comando e controlo do Estado-Maior-General das Forças Armadas e dos ramos das Forças Armadas;
b) Às redes e sistemas de informação que processem informação classificada.
7 - O disposto na presente lei não prejudica o cumprimento da legislação aplicável em matéria:
a) De proteção de dados pessoais, designadamente o disposto no Regulamento (UE) n.º 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados), e na Lei n.º 26/2016, de 22 de agosto;
b) De identificação e designação de infraestruturas críticas nacionais e europeias, designadamente do Decreto-Lei n.º 62/2011, de 9 de maio;
c) De luta contra o abuso sexual e a exploração sexual de crianças e a pornografia infantil, designadamente da Lei n.º 103/2015, de 24 de agosto;
d) De proteção do utente de serviços públicos essenciais, designadamente da Lei n.º 23/96, de 26 de julho;
e) De segurança e de emergência no setor das comunicações eletrónicas, designadamente da Lei n.º 5/2004, de 10 de fevereiro.
8 - A presente lei não prejudica as medidas destinadas a salvaguardar as funções essenciais do Estado, incluindo medidas de proteção da informação cuja divulgação seja contrária aos interesses de segurança nacional, à manutenção de ordem pública ou a permitir a investigação, a deteção e a repressão de infrações penais. |
| |
|
|
|
|
Para efeitos da presente lei, entende-se por:
a) «Equipa de resposta a incidentes de segurança informática», a equipa que atua por referência a uma comunidade de utilizadores definida, em representação de uma entidade, prestando um conjunto de serviços de segurança que inclua, designadamente, o serviço de tratamento e resposta a incidentes de segurança das redes e dos sistemas de informação;
b) «Especificação técnica», um documento que define os requisitos técnicos que um produto, processo, serviço ou sistema devem cumprir;
c) «Incidente», um evento com um efeito adverso real na segurança das redes e dos sistemas de informação;
d) «Infraestrutura crítica», a componente, sistema ou parte deste situado em território nacional que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação ou destruição teria um impacto significativo, dada a impossibilidade de continuar a assegurar essas funções;
e) «Norma», uma especificação técnica, aprovada por um organismo de normalização reconhecido, para aplicação repetida ou continuada, cuja observância não é obrigatória;
f) «Operador de infraestrutura crítica», uma entidade pública ou privada que opera uma infraestrutura crítica;
g) «Operador de serviços essenciais», uma entidade pública ou privada que presta um serviço essencial;
h) «Ponto de troca de tráfego», uma estrutura de rede que permite a interligação de mais de dois sistemas autónomos independentes a fim de facilitar a troca de tráfego na Internet;
i) «Prestador de serviços digitais», uma pessoa coletiva que presta um serviço digital;
j) «Prestador de serviços do sistema de nomes de domínio», uma entidade que presta serviços do sistema de nomes de domínio (DNS) na Internet;
k) «Rede e sistema de informação», qualquer dispositivo ou conjunto de dispositivos interligados ou associados, em que um ou mais de entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informáticos, bem como a rede de comunicações eletrónicas que suporta a comunicação entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção;
l) «Registo de nomes de domínio de topo», uma entidade que administra e opera o registo de nomes de domínio da Internet de um domínio de topo específico;
m) «Representante do prestador de serviços digitais», uma pessoa singular ou coletiva, estabelecida na União Europeia, expressamente designada para atuar por conta de um prestador de serviços digitais aí não estabelecido;
n) «Risco», uma circunstância ou um evento, razoavelmente identificáveis, com um efeito adverso potencial na segurança das redes e dos sistemas de informação;
o) «Segurança das redes e dos sistemas de informação», a capacidade das redes e dos sistemas de informação para resistir, com um dado nível de confiança, a ações que comprometam a confidencialidade, a integridade, a disponibilidade, a autenticidade e o não repúdio dos dados armazenados, transmitidos ou tratados, ou dos serviços conexos oferecidos por essas redes ou por esses sistemas de informação, ou acessíveis através deles;
p) «Serviço de computação em nuvem», um serviço digital que permite o acesso a um conjunto modulável e adaptável de recursos computacionais partilháveis;
q) «Serviço de mercado em linha», um serviço digital que permite aos consumidores ou aos comerciantes celebrarem contratos de venda ou de prestação de serviços por via eletrónica com comerciantes, quer no sítio na Internet do mercado em linha, quer no sítio na Internet de um comerciante que utilize os serviços de computação disponibilizados pelo mercado em linha;
r) «Serviço de motor de pesquisa em linha», um serviço digital que permite aos utilizadores consultarem todos os sítios na Internet, ou sítios na Internet numa determinada língua, com base numa pesquisa sobre qualquer assunto e que fornece ligações onde podem ser encontradas informações relacionadas com o conteúdo solicitado;
s) «Serviço digital», um serviço da sociedade da informação prestado à distância, por via eletrónica;
t) «Serviço essencial», um serviço essencial para a manutenção de atividades societais ou económicas cruciais, que dependa de redes e sistemas de informação e em relação ao qual a ocorrência de um incidente possa ter efeitos perturbadores relevantes na prestação desse serviço;
u) «Sistema de nomes de domínio» (DNS), um sistema de nomes distribuídos hierarquicamente numa rede que encaminha pesquisas sobre nomes de domínio;
v) «Tratamento de incidentes», todos os procedimentos de apoio à deteção, análise, contenção e resposta a um incidente. |
| |
|
|
|
|
Artigo 4.º
Estratégia Nacional de Segurança do Ciberespaço |
1 - A Estratégia Nacional de Segurança do Ciberespaço define o enquadramento, os objetivos e as linhas de ação do Estado nesta matéria, de acordo com o interesse nacional.
2 - A Estratégia Nacional de Segurança do Ciberespaço é aprovada por resolução do Conselho de Ministros, sob proposta do Primeiro-Ministro, ouvido o Conselho Superior de Segurança do Ciberespaço. |
| |
|
|
|
|
CAPÍTULO II
Estrutura de segurança do ciberespaço
| Artigo 5.º
Conselho Superior de Segurança do Ciberespaço |
1 - O Conselho Superior de Segurança do Ciberespaço é o órgão específico de consulta do Primeiro-Ministro para os assuntos relativos à segurança do ciberespaço.
2 - O Conselho Superior de Segurança do Ciberespaço tem a seguinte composição:
a) O membro do Governo responsável pela área da cibersegurança, que preside;
b) A Autoridade Nacional de Segurança, que substitui o presidente nas suas ausências e impedimentos;
c) O Secretário-Geral do Sistema de Segurança Interna;
d) O Secretário-Geral do Sistema de Informações da República Portuguesa;
e) Dois Deputados designados pela Assembleia da República através do método de Hondt;
f) O Diretor do Serviço de Informações de Segurança;
g) O Diretor do Serviço de Informações Estratégicas de Defesa;
h) O Coordenador do Centro Nacional de Cibersegurança;
i) O Embaixador para a ciberdiplomacia;
j) Um representante da área da administração eleitoral;
k) O Presidente do Conselho Diretivo da Agência para a Modernização Administrativa, I. P.;
l) O Diretor-Geral da Autoridade Tributária e Aduaneira;
m) O Diretor do Centro de Gestão da Rede Informática do Governo;
n) O Presidente do Conselho Diretivo da Entidade de Serviços Partilhados da Administração Pública, I. P.;
o) O Diretor de Comunicações e Sistemas de Informação do Estado-Maior-General das Forças Armadas;
p) Um representante da Rede Nacional de Segurança Interna;
q) O Presidente do Instituto de Gestão Financeira e Equipamentos da Justiça, I. P.;
r) O Diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Polícia Judiciária;
s) Um representante do Ministério Público designado pelo Procurador-Geral da República;
t) O Presidente da Fundação para a Ciência e a Tecnologia, I. P.;
u) O Diretor-Geral de Educação;
v) O Presidente do Conselho de Administração da SPMS - Serviços Partilhados do Ministério da Saúde, E. P. E.;
w) O Presidente do Conselho de Administração Executivo da Infraestruturas de Portugal, S. A.;
x) O Presidente do Conselho Diretivo do IAPMEI - Agência para a Competitividade e Inovação, I. P.;
y) O Presidente do Conselho de Administração da Autoridade Nacional de Comunicações;
z) Um representante da Direção de Recursos Naturais, Segurança e Serviços Marítimos;
aa) Um representante da Rede Nacional de Equipas de Resposta a Incidentes de Segurança Informática.
3 - A composição do Conselho Superior de Segurança do Ciberespaço inclui também um representante do governo da Região Autónoma dos Açores e um representante do governo da Região Autónoma da Madeira.
4 - O presidente, por sua iniciativa ou a pedido de qualquer dos membros do Conselho, pode convocar outros titulares de órgãos públicos ou convidar outras personalidades de reconhecido mérito para participar em reuniões do Conselho Superior de Segurança do Ciberespaço. |
| |
|
|
|
|
Artigo 6.º
Competências do Conselho Superior de Segurança do Ciberespaço |
1 - Compete ao Conselho Superior de Segurança do Ciberespaço:
a) Assegurar a coordenação político-estratégica para a segurança do ciberespaço;
b) Verificar a implementação da Estratégia Nacional de Segurança do Ciberespaço;
c) Pronunciar-se sobre a Estratégia Nacional de Segurança do Ciberespaço previamente à sua submissão para aprovação;
d) Elaborar anualmente, ou sempre que necessário, relatório de avaliação da execução da Estratégia Nacional de Segurança do Ciberespaço;
e) Propor ao Primeiro-Ministro, ou ao membro do Governo em quem este delegar, a aprovação de decisões de carácter programático relacionadas com a definição e execução da Estratégia Nacional de Segurança do Ciberespaço;
f) Emitir parecer sobre matérias relativas à segurança do ciberespaço;
g) Responder a solicitações por parte do Primeiro-Ministro, ou do membro do Governo em quem este delegar, no âmbito das suas competências.
2 - O relatório anual de avaliação da execução da Estratégia Nacional de Segurança do Ciberespaço é enviado à Assembleia da República até 31 de março do ano posterior àquele a que se reporta. |
| |
|
|
|
|
Artigo 7.º
Centro Nacional de Cibersegurança |
1 - O Centro Nacional de Cibersegurança funciona no âmbito do Gabinete Nacional de Segurança e é a Autoridade Nacional de Cibersegurança.
2 - O Centro Nacional de Cibersegurança tem por missão garantir que o País usa o ciberespaço de uma forma livre, confiável e segura, através da promoção da melhoria contínua da cibersegurança nacional e da cooperação internacional, em articulação com todas as autoridades competentes, bem como da definição e implementação das medidas e instrumentos necessários à antecipação, deteção, reação e recuperação de situações que, face à iminência ou ocorrência de incidentes, ponham em causa o interesse nacional, o funcionamento da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços essenciais e dos prestadores de serviços digitais.
3 - O Centro Nacional de Cibersegurança é o ponto de contacto único nacional para efeitos de cooperação internacional, sem prejuízo das atribuições legais da Polícia Judiciária relativas a cooperação internacional em matéria penal.
4 - O Centro Nacional de Cibersegurança exerce as funções de regulação, regulamentação, supervisão, fiscalização e sancionatórias nos termos das suas competências.
5 - O Centro Nacional de Cibersegurança tem o poder de emitir instruções de cibersegurança e de definir o nível nacional de alerta de cibersegurança.
6 - Qualquer disposição legal de cibersegurança carece do parecer prévio do Centro Nacional de Cibersegurança.
7 - O Centro Nacional de Cibersegurança atua em articulação e estreita cooperação com as estruturas nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo, devendo comunicar à autoridade competente, no mais curto prazo, os factos de que tenha conhecimento relativos à preparação e execução de crimes.
8 - O Centro Nacional de Cibersegurança atua em articulação com a Comissão Nacional de Proteção de Dados quando estejam em causa incidentes que tenham dado origem à violação de dados pessoais.
9 - O Centro Nacional de Cibersegurança pode solicitar a quaisquer entidades públicas ou privadas toda a colaboração ou auxílio que julgue necessários para o exercício das suas atividades. |
| |
|
|
|
|
Artigo 8.º
Equipa de Resposta a Incidentes de Segurança Informática Nacional |
1 - A Equipa de Resposta a Incidentes de Segurança Informática Nacional é o «CERT.PT».
2 - O «CERT.PT» funciona no Centro Nacional de Cibersegurança. |
| |
|
|
|
|
Artigo 9.º
Competências do «CERT.PT» |
O «CERT.PT» possui as seguintes competências:
a) Exercer a coordenação operacional na resposta a incidentes, nomeadamente em articulação com as equipas de resposta a incidentes de segurança informática setoriais existentes;
b) Monitorizar os incidentes com implicações a nível nacional;
c) Ativar mecanismos de alerta rápido;
d) Intervir na reação, análise e mitigação de incidentes;
e) Proceder à análise dinâmica dos riscos;
f) Assegurar a cooperação com entidades públicas e privadas;
g) Promover a adoção e a utilização de práticas comuns ou normalizadas;
h) Participar nos fora nacionais de cooperação de equipas de resposta a incidentes de segurança informática;
i) Assegurar a representação nacional nos fora internacionais de cooperação de equipas de resposta a incidentes de segurança informática;
j) Participar em eventos de treino nacionais e internacionais. |
| |
|
|
|
|
|