|
DL n.º 65/2021, de 30 de Julho REGULAMENTA O REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019 _____________________ |
|
Artigo 2.º
Âmbito de aplicação |
1 - O presente decreto-lei aplica-se às entidades previstas nas alíneas a) a d) do n.º 1 do artigo 2.º do Regime Jurídico da Segurança do Ciberespaço, sem prejuízo do disposto nos números seguintes.
2 - Os requisitos de segurança das redes e dos sistemas de informação constantes do presente decreto-lei não se aplicam às empresas e aos prestadores de serviços referidos no n.º 2 do artigo 12.º do Regime Jurídico da Segurança do Ciberespaço.
3 - Os requisitos de notificação de incidentes que afetem a segurança das redes e dos sistemas de informação constantes do presente decreto-lei não se aplicam:
a) Às empresas e aos prestadores de serviços referidos no n.º 2 do artigo 13.º do Regime Jurídico da Segurança do Ciberespaço;
b) Aos prestadores de serviços digitais que sejam microempresas ou pequenas empresas, tal como definidas pelo Decreto-Lei n.º 372/2007, de 6 de novembro, na sua redação atual.
4 - Para efeito do cumprimento do Regime Jurídico da Segurança do Ciberespaço e do presente decreto-lei, a identificação dos operadores de serviços essenciais nos termos do n.º 1 do artigo 29.º do Regime Jurídico da Segurança do Ciberespaço, bem como a atualização anual prevista no n.º 2 do mesmo artigo, é comunicada pelo Centro Nacional de Cibersegurança (CNCS) aos operadores. |
| |
|
|
|
|
CAPÍTULO II
Disposições comuns
| Artigo 3.º
Princípios e regras gerais |
1 - A adoção das medidas técnicas e organizativas destinadas ao cumprimento dos requisitos de segurança previstos no Regime Jurídico da Segurança do Ciberespaço e no presente decreto-lei obedece ao princípio da adequação e da proporcionalidade, devendo ter em consideração:
a) As condições normais de funcionamento das redes e dos sistemas de informação;
b) As situações extraordinárias, designadamente:
i) A ocorrência de incidentes, nos termos da alínea c) do artigo 3.º do Regime Jurídico da Segurança do Ciberespaço;
ii) A ocorrência de acidente grave ou catástrofe, nos termos previstos nas disposições legais e regulamentares aplicáveis em matéria de proteção civil ou a eventual ativação de planos de emergência de proteção civil;
iii) A declaração do estado de emergência, de sítio ou de guerra, nos termos previstos na Constituição ou em outras disposições legais e regulamentares aplicáveis;
iv) A ativação de planos no âmbito do planeamento civil de emergência no setor da cibersegurança, nos termos do Decreto-Lei n.º 43/2020, de 21 de julho;
v) A ocorrência de grave ameaça à segurança interna, incluindo as situações de ataques terroristas, nos termos previstos nas disposições legais e regulamentares aplicáveis em matéria de segurança interna.
2 - O cumprimento das obrigações em matéria de requisitos de segurança e de notificação de incidentes previstos no Regime Jurídico da Segurança do Ciberespaço e no presente decreto-lei deve ser efetuado em conformidade com as disposições respeitantes à segurança de matérias classificadas no âmbito nacional e no âmbito das organizações internacionais de que Portugal seja parte.
3 - O cumprimento dos requisitos de segurança e das obrigações de notificação de incidentes previstos no Regime Jurídico da Segurança do Ciberespaço e no presente decreto-lei não prejudica:
a) O cumprimento dos requisitos específicos de segurança e das obrigações específicas de notificação de incidentes nos termos definidos pelas autoridades competentes, nomeadamente pelo Ministério Público, pela Autoridade Nacional de Emergência e Proteção Civil (ANEPC), pela Autoridade Nacional de Comunicações (ANACOM), pela Comissão Nacional de Proteção de Dados (CNPD) e por outras autoridades setoriais, nos termos das disposições legais e regulamentares aplicáveis;
b) O cumprimento de legislação da União Europeia.
4 - Aos prestadores de serviços digitais aplica-se o disposto no Regulamento de Execução (UE) 2018/151, da Comissão, de 30 de janeiro de 2018, em matéria de requisitos de segurança e de notificação de incidentes.
5 - As entidades referidas no n.º 1 do artigo anterior podem estabelecer formas de colaboração com vista ao cumprimento das obrigações em matéria de requisitos de segurança e de notificação de incidentes previstos no Regime Jurídico da Segurança do Ciberespaço, e no presente decreto-lei, numa lógica de partilha de recursos, desde que seja assegurada a efetiva operacionalização das mesmas em cada entidade.
6 - O disposto no número anterior não prejudica a responsabilização de cada entidade individualmente considerada a que haja lugar pela infração a qualquer disposição do presente decreto-lei.
7 - O CNCS pode, através da regulamentação complementar prevista no artigo 18.º, estabelecer condições específicas para o cumprimento dos requisitos de segurança e de notificação de incidentes previstos no presente decreto-lei por parte das entidades da Administração Pública, em termos proporcionais e adequados à sua dimensão ou complexidade organizacional. |
| |
|
|
|
|
Artigo 4.º
Ponto de contacto permanente |
1 - As entidades devem indicar, pelo menos, um ponto de contacto permanente, de modo a assegurar os fluxos de informação de nível operacional e técnico com o CNCS, nomeadamente:
a) A articulação intersetorial, incluindo a eficácia da resposta a incidentes de segurança com impacto a nível dos setores;
b) A obtenção de informação operacional e técnica, na sequência de notificação de incidentes com impacto relevante ou substancial submetida pela mesma ou outra entidade;
c) A obtenção e atualização de informação de situação integrada no contexto de um incidente com impacto relevante ou substancial;
d) A partilha de informação quando estejam ativados planos de emergência de proteção civil diretamente relacionados ou com impacto ao nível da segurança do ciberespaço, bem como de planos no âmbito do planeamento civil de emergência do ciberespaço ou dos planos de segurança das infraestruturas críticas nacionais ou europeias;
e) A operacionalização dos procedimentos fixados no âmbito de um plano de emergência de proteção civil quando tenham impacto no funcionamento das redes e sistemas de informação, ou do planeamento civil de emergência do ciberespaço;
f) A receção das instruções técnicas emitidas ao abrigo do disposto no n.º 5 do artigo 7.º do Regime Jurídico da Segurança do Ciberespaço e no artigo 18.º;
g) A operacionalização dos procedimentos fixados no âmbito dos planos de segurança previstos no artigo 7.º
2 - As entidades devem assegurar a função de ponto de contacto permanente com uma disponibilidade contínua de 24 horas por dia e de sete dias por semana, limitada a períodos de ativação, iniciados e terminados mediante comunicação do CNCS.
3 - As entidades devem indicar ao CNCS, no prazo de 20 dias úteis a contar do início da respetiva atividade, a pessoa ou pessoas responsáveis por assegurar as funções de ponto de contacto permanente, bem como os respetivos meios de contacto principal e alternativos.
4 - As entidades que tenham iniciado atividade antes da data de entrada em vigor do presente decreto-lei devem efetuar a comunicação prevista no número anterior no prazo de 20 dias úteis, a contar do prazo previsto no n.º 2 do artigo 23.º
5 - As entidades devem comunicar imediatamente ao CNCS qualquer alteração à informação prevista no n.º 3.
6 - As entidades devem assegurar que o ponto de contacto permanente dispõe de meios de contacto principais e alternativos para a comunicação com o CNCS. |
| |
|
|
|
|
Artigo 5.º
Responsável de segurança |
1 - As entidades devem designar um responsável de segurança para a gestão do conjunto das medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes, nos termos do Regime Jurídico da Segurança do Ciberespaço e do presente decreto-lei.
2 - As entidades devem indicar ao CNCS, no prazo de 20 dias úteis a contar do início da respetiva atividade, a pessoa designada para as funções de responsável de segurança.
3 - As entidades que tenham iniciado atividade antes da data de entrada em vigor do presente decreto-lei devem efetuar a comunicação prevista no número anterior no prazo de 20 dias úteis, a contar do prazo previsto no n.º 2 do artigo 23.º
4 - As entidades devem comunicar imediatamente ao CNCS a substituição do responsável de segurança. |
| |
|
|
|
|
Artigo 6.º
Inventário de ativos |
1 - As entidades devem elaborar e manter atualizado um inventário de todos os ativos essenciais para a prestação dos respetivos serviços, devendo o mesmo ser assinado pelo responsável de segurança.
2 - No inventário de ativos deve constar, para cada ativo, a informação definida em instruções técnicas emitidas pelo CNCS.
3 - As entidades devem comunicar ao CNCS a lista dos ativos constantes do inventário, com a informação que venha a ser determinada nos termos do número anterior, com a seguinte periodicidade:
a) Na sua versão inicial, no prazo de 20 dias úteis a contar da data de início de atividade;
b) Numa versão atualizada, anualmente, a ser entregue em conjunto com o relatório anual a que se refere o artigo 8.º |
| |
|
|
|
|
Artigo 7.º
Plano de segurança |
1 - As entidades devem elaborar e manter atualizado um plano de segurança, devidamente documentado e assinado pelo responsável de segurança, que contenha:
a) A política de segurança, incluindo a descrição das medidas organizativas e a formação de recursos humanos;
b) A descrição de todas as medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes;
c) A identificação do responsável de segurança;
d) A identificação do ponto de contacto permanente.
2 - Para efeitos do cumprimento do disposto no número anterior, os operadores de infraestruturas críticas podem utilizar o plano previsto no artigo 10.º do Decreto-Lei n.º 62/2011, de 9 de maio, desde que o mesmo inclua medidas relativas à segurança das redes e da informação. |
| |
|
|
|
|
Artigo 8.º
Relatório anual |
1 - As entidades devem elaborar um relatório anual que, em relação ao ano civil a que se reporta, contenha os seguintes elementos:
a) Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos serviços de informação;
b) Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes;
c) Análise agregada dos incidentes de segurança com impacto relevante ou substancial, com informação sobre:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração dos incidentes;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
d) Recomendações de atividades, de medidas ou de práticas que promovam a melhoria da segurança das redes e dos sistemas de informação;
e) Problemas identificados e medidas implementadas na sequência dos incidentes;
f) Qualquer outra informação relevante.
2 - As entidades devem remeter o relatório anual ao CNCS, devidamente assinado pelo responsável de segurança, nos seguintes termos:
a) Relativamente ao primeiro relatório anual:
i) Até ao último dia útil do mês de janeiro do ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido início no primeiro semestre;
ii) Até ao último dia útil do mês de janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido início no segundo semestre;
b) Relativamente aos relatórios subsequentes anuais, até ao último dia útil do mês de janeiro do ano civil seguinte aos quais os mesmos se reportam.
3 - Para efeitos do disposto na subalínea ii) da alínea a) do número anterior, o relatório anual deve abranger todo o período entre a data de início de atividade e o final do ano civil anterior.
4 - Para efeitos do disposto no presente artigo, o CNCS pode definir o formato em que a informação deve ser apresentada.
5 - As entidades reguladoras e as entidades com poderes de supervisão sobre os setores e subsetores identificados no anexo ao Regime Jurídico da Segurança do Ciberespaço, remetem ao CNCS os relatórios considerados equivalentes nos termos do artigo 18.º, quando tal resulte de instrução complementar emitida pelo CNCS, em articulação com as entidades reguladoras e de supervisão acima referidas. |
| |
|
|
|
|
CAPÍTULO III
Segurança das redes e dos sistemas de informação
| Artigo 9.º
Medidas para cumprimento dos requisitos de segurança |
1 - As entidades referidas na alínea a) do n.º 2 do artigo 1.º devem cumprir as medidas técnicas e organizativas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, devendo, para o efeito, realizar uma análise dos riscos de acordo com o disposto no artigo seguinte.
2 - As medidas referidas no número anterior devem garantir um nível de segurança adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes, através da utilização de normas e especificações técnicas internacionalmente aceites aplicáveis à segurança das redes e dos sistemas de informação, sem imposição ou discriminação em favor da utilização de um determinado tipo de tecnologia. |
| |
|
|
|
|
Artigo 10.º
Análise dos riscos e implementação dos requisitos de segurança |
1 - As entidades da Administração Pública e os operadores de infraestruturas críticas, bem como os operadores de serviços essenciais, devem realizar uma análise dos riscos em relação a todos os ativos que garantam a continuidade do funcionamento das redes e dos sistemas de informação que utilizam e, no caso dos operadores de serviços essenciais, também em relação aos ativos que garantam a prestação dos serviços essenciais, nos seguintes termos:
a) Análise dos riscos de âmbito global, com a seguinte periodicidade:
i) Pelo menos uma vez por ano;
ii) Após a notificação, por parte do CNCS, de um risco, de uma ameaça ou de uma vulnerabilidade emergentes que implique uma elevada probabilidade de ocorrência de um incidente com impacto relevante, dentro do prazo fixado pelo CNCS;
b) Análise dos riscos de âmbito parcial, com a seguinte periodicidade:
i) Durante o planeamento e preparação da introdução de uma alteração ao ativo ou ativos, em relação ao ativo ou ativos envolvidos;
ii) Após a ocorrência de um incidente com impacto relevante ou outra situação extraordinária, em relação aos ativos afetados;
iii) Após a notificação, por parte do CNCS, de um risco, de uma ameaça ou de uma vulnerabilidade emergentes que impliquem uma elevada probabilidade de ocorrência de um incidente com impacto relevante, dentro do prazo fixado pelo CNCS.
2 - As entidades devem documentar a preparação, a execução e a apresentação dos resultados da análise dos riscos.
3 - A análise do risco deve abranger para cada ativo:
a) A identificação das ameaças, internas ou externas, intencionais ou não intencionais, incluindo, nomeadamente:
i) Falha de sistema;
ii) Fenómeno natural;
iii) Erro humano;
iv) Ataque malicioso;
v) Falha no fornecimento de bens ou serviços por terceiro;
b) A caracterização do impacto e da probabilidade da ocorrência das ameaças identificadas na alínea anterior.
4 - A análise dos riscos deve ter em consideração:
a) O histórico de situações extraordinárias ocorridas;
b) O histórico de incidentes e, em especial, de incidentes com impacto relevante;
c) O número de utilizadores afetados pelos incidentes;
d) A duração dos incidentes;
e) A distribuição geográfica, no que se refere à zona afetada pelos incidentes;
f) As dependências intersetoriais para efeitos da prestação dos serviços, incluindo os constantes do anexo ao Regime Jurídico da Segurança do Ciberespaço e o setor das comunicações eletrónicas.
5 - A análise dos riscos deve ainda ter em consideração a avaliação integrada dos riscos para a segurança das redes e dos sistemas de informação a nível nacional, europeu e internacional, publicada anualmente ou notificada às entidades pelo CNCS.
6 - Na sequência de cada análise dos riscos, as entidades devem adotar as medidas técnicas e organizativas adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, e que resultem, nomeadamente:
a) De normativo complementar setorial aprovado pelo CNCS, sem prejuízo da aplicação de outro normativo nacional e da União Europeia em matéria da segurança das redes e dos sistemas de informação;
b) Do Quadro Nacional de Referência de Cibersegurança, e respetivas disposições complementares, elaborado pelo CNCS, na ausência ou em complemento do normativo setorial previsto na alínea anterior.
7 - Os riscos para a segurança das redes e dos sistemas de informação caracterizados como residuais devem ser tratados pelas entidades nos termos do número anterior.
8 - As entidades devem rever e, se necessário, atualizar o seu plano de segurança, nos termos previstos no artigo 7.º, em função da evolução do contexto de atuação e da ocorrência de incidentes.
9 - As medidas a adotar ao abrigo do disposto no n.º 6 devem permitir:
a) A prevenção, a gestão e a redução dos riscos;
b) O reforço da robustez e da resiliência dos ativos, incluindo a respetiva proteção contra as ameaças identificadas e a respetiva recuperação ou redundância, de forma a assegurar um rápido restabelecimento do funcionamento das redes e dos sistemas de informação;
c) Uma resposta eficaz a incidentes, a ameaças ou a vulnerabilidades.
10 - Para efeitos do disposto no presente artigo, o CNCS pode emitir instruções técnicas com vista a uma harmonização da matriz de risco a adotar pelas entidades. |
| |
|
|
|
|
CAPÍTULO IV
Notificações de incidentes
| Artigo 11.º
Obrigações de notificação |
1 - A Administração Pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais e os prestadores de serviços digitais notificam o CNCS da ocorrência de incidentes com impacto relevante ou substancial nos termos, respetivamente, dos artigos 15.º, 17.º e 19.º do Regime Jurídico da Segurança do Ciberespaço.
2 - As entidades devem implementar todos os meios e os procedimentos necessários à deteção, à avaliação do impacto e à notificação de incidentes com impacto relevante ou substancial.
3 - A Administração Pública e os operadores de infraestruturas críticas, os operadores de serviços essenciais e os prestadores de serviços digitais devem, perante qualquer incidente detetado ou a estes comunicado pelos seus clientes, utilizadores ou outras entidades, atender aos parâmetros previstos, respetivamente, no n.º 4 do artigo 15.º, no n.º 4 do artigo 17.º e no n.º 4 do artigo 19.º do Regime Jurídico da Segurança do Ciberespaço, bem como aos constantes dos normativos complementares setoriais aplicáveis, para classificar os incidentes como tendo impacto relevante ou substancial. |
| |
|
|
|
|
Artigo 12.º
Tipos de notificações |
1 - Por cada incidente que deva ser objeto de notificação ao abrigo do disposto no artigo anterior, as entidades devem submeter ao CNCS:
a) Uma notificação inicial, nos termos do artigo seguinte;
b) Uma notificação de fim de impacto relevante ou substancial, nos termos do artigo 14.º;
c) Uma notificação final, nos termos do artigo 15.º
2 - Nos casos em que o incidente seja resolvido de forma imediata, nas primeiras duas horas após a sua deteção, as entidades podem enviar diretamente a notificação final com todos os campos de informação devidamente preenchidos, ficando dispensadas do envio das restantes notificações. |
| |
|
|
|
|
|