|
Lei n.º 46/2018, de 13 de Agosto REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União _____________________ |
|
CAPÍTULO II
Estrutura de segurança do ciberespaço
| Artigo 5.º
Conselho Superior de Segurança do Ciberespaço |
1 - O Conselho Superior de Segurança do Ciberespaço é o órgão específico de consulta do Primeiro-Ministro para os assuntos relativos à segurança do ciberespaço.
2 - O Conselho Superior de Segurança do Ciberespaço tem a seguinte composição:
a) O membro do Governo responsável pela área da cibersegurança, que preside;
b) A Autoridade Nacional de Segurança, que substitui o presidente nas suas ausências e impedimentos;
c) O Secretário-Geral do Sistema de Segurança Interna;
d) O Secretário-Geral do Sistema de Informações da República Portuguesa;
e) Dois Deputados designados pela Assembleia da República através do método de Hondt;
f) O Diretor do Serviço de Informações de Segurança;
g) O Diretor do Serviço de Informações Estratégicas de Defesa;
h) O Coordenador do Centro Nacional de Cibersegurança;
i) O Embaixador para a ciberdiplomacia;
j) Um representante da área da administração eleitoral;
k) O Presidente do Conselho Diretivo da Agência para a Modernização Administrativa, I. P.;
l) O Diretor-Geral da Autoridade Tributária e Aduaneira;
m) O Diretor do Centro de Gestão da Rede Informática do Governo;
n) O Presidente do Conselho Diretivo da Entidade de Serviços Partilhados da Administração Pública, I. P.;
o) O Diretor de Comunicações e Sistemas de Informação do Estado-Maior-General das Forças Armadas;
p) Um representante da Rede Nacional de Segurança Interna;
q) O Presidente do Instituto de Gestão Financeira e Equipamentos da Justiça, I. P.;
r) O Diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Polícia Judiciária;
s) Um representante do Ministério Público designado pelo Procurador-Geral da República;
t) O Presidente da Fundação para a Ciência e a Tecnologia, I. P.;
u) O Diretor-Geral de Educação;
v) O Presidente do Conselho de Administração da SPMS - Serviços Partilhados do Ministério da Saúde, E. P. E.;
w) O Presidente do Conselho de Administração Executivo da Infraestruturas de Portugal, S. A.;
x) O Presidente do Conselho Diretivo do IAPMEI - Agência para a Competitividade e Inovação, I. P.;
y) O Presidente do Conselho de Administração da Autoridade Nacional de Comunicações;
z) Um representante da Direção de Recursos Naturais, Segurança e Serviços Marítimos;
aa) Um representante da Rede Nacional de Equipas de Resposta a Incidentes de Segurança Informática.
3 - A composição do Conselho Superior de Segurança do Ciberespaço inclui também um representante do governo da Região Autónoma dos Açores e um representante do governo da Região Autónoma da Madeira.
4 - O presidente, por sua iniciativa ou a pedido de qualquer dos membros do Conselho, pode convocar outros titulares de órgãos públicos ou convidar outras personalidades de reconhecido mérito para participar em reuniões do Conselho Superior de Segurança do Ciberespaço. |
| |
|
|
|
|
Artigo 6.º
Competências do Conselho Superior de Segurança do Ciberespaço |
1 - Compete ao Conselho Superior de Segurança do Ciberespaço:
a) Assegurar a coordenação político-estratégica para a segurança do ciberespaço;
b) Verificar a implementação da Estratégia Nacional de Segurança do Ciberespaço;
c) Pronunciar-se sobre a Estratégia Nacional de Segurança do Ciberespaço previamente à sua submissão para aprovação;
d) Elaborar anualmente, ou sempre que necessário, relatório de avaliação da execução da Estratégia Nacional de Segurança do Ciberespaço;
e) Propor ao Primeiro-Ministro, ou ao membro do Governo em quem este delegar, a aprovação de decisões de carácter programático relacionadas com a definição e execução da Estratégia Nacional de Segurança do Ciberespaço;
f) Emitir parecer sobre matérias relativas à segurança do ciberespaço;
g) Responder a solicitações por parte do Primeiro-Ministro, ou do membro do Governo em quem este delegar, no âmbito das suas competências.
2 - O relatório anual de avaliação da execução da Estratégia Nacional de Segurança do Ciberespaço é enviado à Assembleia da República até 31 de março do ano posterior àquele a que se reporta. |
| |
|
|
|
|
Artigo 7.º
Centro Nacional de Cibersegurança |
1 - O Centro Nacional de Cibersegurança funciona no âmbito do Gabinete Nacional de Segurança e é a Autoridade Nacional de Cibersegurança.
2 - O Centro Nacional de Cibersegurança tem por missão garantir que o País usa o ciberespaço de uma forma livre, confiável e segura, através da promoção da melhoria contínua da cibersegurança nacional e da cooperação internacional, em articulação com todas as autoridades competentes, bem como da definição e implementação das medidas e instrumentos necessários à antecipação, deteção, reação e recuperação de situações que, face à iminência ou ocorrência de incidentes, ponham em causa o interesse nacional, o funcionamento da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços essenciais e dos prestadores de serviços digitais.
3 - O Centro Nacional de Cibersegurança é o ponto de contacto único nacional para efeitos de cooperação internacional, sem prejuízo das atribuições legais da Polícia Judiciária relativas a cooperação internacional em matéria penal.
4 - O Centro Nacional de Cibersegurança exerce as funções de regulação, regulamentação, supervisão, fiscalização e sancionatórias nos termos das suas competências.
5 - O Centro Nacional de Cibersegurança tem o poder de emitir instruções de cibersegurança e de definir o nível nacional de alerta de cibersegurança.
6 - Qualquer disposição legal de cibersegurança carece do parecer prévio do Centro Nacional de Cibersegurança.
7 - O Centro Nacional de Cibersegurança atua em articulação e estreita cooperação com as estruturas nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo, devendo comunicar à autoridade competente, no mais curto prazo, os factos de que tenha conhecimento relativos à preparação e execução de crimes.
8 - O Centro Nacional de Cibersegurança atua em articulação com a Comissão Nacional de Proteção de Dados quando estejam em causa incidentes que tenham dado origem à violação de dados pessoais.
9 - O Centro Nacional de Cibersegurança pode solicitar a quaisquer entidades públicas ou privadas toda a colaboração ou auxílio que julgue necessários para o exercício das suas atividades. |
| |
|
|
|
|
Artigo 8.º
Equipa de Resposta a Incidentes de Segurança Informática Nacional |
1 - A Equipa de Resposta a Incidentes de Segurança Informática Nacional é o «CERT.PT».
2 - O «CERT.PT» funciona no Centro Nacional de Cibersegurança. |
| |
|
|
|
|
Artigo 9.º
Competências do «CERT.PT» |
O «CERT.PT» possui as seguintes competências:
a) Exercer a coordenação operacional na resposta a incidentes, nomeadamente em articulação com as equipas de resposta a incidentes de segurança informática setoriais existentes;
b) Monitorizar os incidentes com implicações a nível nacional;
c) Ativar mecanismos de alerta rápido;
d) Intervir na reação, análise e mitigação de incidentes;
e) Proceder à análise dinâmica dos riscos;
f) Assegurar a cooperação com entidades públicas e privadas;
g) Promover a adoção e a utilização de práticas comuns ou normalizadas;
h) Participar nos fora nacionais de cooperação de equipas de resposta a incidentes de segurança informática;
i) Assegurar a representação nacional nos fora internacionais de cooperação de equipas de resposta a incidentes de segurança informática;
j) Participar em eventos de treino nacionais e internacionais. |
| |
|
|
|
|
Artigo 10.º
Operadores de serviços essenciais |
| Os operadores de serviços essenciais enquadram-se num dos tipos de entidades que atuam nos setores e subsetores constantes do anexo à presente lei, da qual faz parte integrante. |
| |
|
|
|
|
Artigo 11.º
Prestadores de serviços digitais |
Os prestadores de serviços digitais prestam os seguintes serviços:
a) Serviço de mercado em linha;
b) Serviço de motor de pesquisa em linha;
c) Serviço de computação em nuvem. |
| |
|
|
|
|
CAPÍTULO III
Segurança das redes e dos sistemas de informação
| Artigo 12.º
Definição de requisitos de segurança e normalização |
1 - Os requisitos de segurança são definidos nos termos previstos em legislação própria, sem prejuízo do disposto no artigo 18.º
2 - Os requisitos de segurança não se aplicam:
a) Às empresas sujeitas aos requisitos previstos nos artigos 54.º-A a 54.º-G da lei das comunicações eletrónicas, aprovada pela Lei n.º 5/2004, de 10 de fevereiro, na sua redação atual;
b) Aos prestadores de serviços de confiança previstos no artigo 19.º do Regulamento (UE) n.º 910/2014, de 23 de julho, do Parlamento Europeu e do Conselho, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno.
3 - Os requisitos de segurança são definidos de forma a permitir a utilização de normas e especificações técnicas internacionalmente aceites aplicáveis à segurança das redes e dos sistemas de informação, sem imposição ou discriminação em favor da utilização de um determinado tipo de tecnologia. |
| |
|
|
|
|
Artigo 13.º
Definição de requisitos de notificação de incidentes |
1 - Os requisitos de notificação de incidentes são definidos nos termos previstos em legislação própria, sem prejuízo do disposto no artigo 19.º
2 - Os requisitos de notificação de incidentes não se aplicam:
a) Às empresas sujeitas aos requisitos previstos nos artigos 54.º-A a 54.º-G da lei das comunicações eletrónicas, aprovada pela Lei n.º 5/2004, de 10 de fevereiro, na sua redação atual;
b) Aos prestadores de serviços de confiança previstos no artigo 19.º do Regulamento (UE) n.º 910/2014, de 23 de julho, do Parlamento Europeu e do Conselho, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno. |
| |
|
|
|
|
Artigo 14.º
Requisitos de segurança para a Administração Pública e operadores de infraestruturas críticas |
1 - A Administração Pública e os operadores de infraestruturas críticas devem cumprir as medidas técnicas e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam.
2 - As medidas previstas no número anterior devem garantir um nível de segurança adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes.
3 - A Administração Pública e os operadores de infraestruturas críticas tomam as medidas adequadas para evitar os incidentes que afetem a segurança das redes e dos sistemas de informação utilizados e para reduzir ao mínimo o seu impacto. |
| |
|
|
|
|
Artigo 15.º
Notificação de incidentes para a Administração Pública e operadores de infraestruturas críticas |
1 - A Administração Pública e os operadores de infraestruturas críticas notificam o Centro Nacional de Cibersegurança dos incidentes com um impacto relevante na segurança das redes e dos sistemas de informação, no prazo definido na legislação própria referida no artigo 13.º
2 - A notificação dos operadores de infraestruturas críticas inclui informação que permita ao Centro Nacional de Cibersegurança determinar o impacto transfronteiriço dos incidentes.
3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.
4 - A fim de determinar a relevância do impacto de um incidente são tidos em conta, designadamente, os seguintes parâmetros:
a) O número de utilizadores afetados;
b) A duração do incidente;
c) A distribuição geográfica, no que se refere à zona afetada pelo incidente.
5 - Sempre que as circunstâncias o permitam, o Centro Nacional de Cibersegurança presta ao notificante as informações relevantes relativas ao seguimento da sua notificação, nomeadamente informações que possam contribuir para o tratamento eficaz do incidente.
6 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar incidentes específicos de acordo com o interesse público, salvaguardando a segurança e os interesses dos operadores de infraestruturas críticas. |
| |
|
|
|
|
|