|
DL n.º 65/2021, de 30 de Julho REGULAMENTA O REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019 _____________________ |
|
CAPÍTULO IV
Notificações de incidentes
| Artigo 11.º
Obrigações de notificação |
1 - A Administração Pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais e os prestadores de serviços digitais notificam o CNCS da ocorrência de incidentes com impacto relevante ou substancial nos termos, respetivamente, dos artigos 15.º, 17.º e 19.º do Regime Jurídico da Segurança do Ciberespaço.
2 - As entidades devem implementar todos os meios e os procedimentos necessários à deteção, à avaliação do impacto e à notificação de incidentes com impacto relevante ou substancial.
3 - A Administração Pública e os operadores de infraestruturas críticas, os operadores de serviços essenciais e os prestadores de serviços digitais devem, perante qualquer incidente detetado ou a estes comunicado pelos seus clientes, utilizadores ou outras entidades, atender aos parâmetros previstos, respetivamente, no n.º 4 do artigo 15.º, no n.º 4 do artigo 17.º e no n.º 4 do artigo 19.º do Regime Jurídico da Segurança do Ciberespaço, bem como aos constantes dos normativos complementares setoriais aplicáveis, para classificar os incidentes como tendo impacto relevante ou substancial. |
| |
|
|
|
|
Artigo 12.º
Tipos de notificações |
1 - Por cada incidente que deva ser objeto de notificação ao abrigo do disposto no artigo anterior, as entidades devem submeter ao CNCS:
a) Uma notificação inicial, nos termos do artigo seguinte;
b) Uma notificação de fim de impacto relevante ou substancial, nos termos do artigo 14.º;
c) Uma notificação final, nos termos do artigo 15.º
2 - Nos casos em que o incidente seja resolvido de forma imediata, nas primeiras duas horas após a sua deteção, as entidades podem enviar diretamente a notificação final com todos os campos de informação devidamente preenchidos, ficando dispensadas do envio das restantes notificações. |
| |
|
|
|
|
Artigo 13.º
Notificação inicial |
1 - A notificação inicial deve ser enviada logo que a entidade possa concluir que existe ou possa vir a existir impacto relevante ou substancial e até duas horas após essa verificação, devendo a entidade, sem prejuízo do cumprimento deste prazo, dar prioridade à mitigação e à resolução do incidente.
2 - A notificação inicial deve incluir a seguinte informação:
a) Nome, número de telefone e endereço de correio eletrónico de um representante da entidade, quando diferente do ponto de contacto permanente a que se refere o artigo 4.º, para efeito de um eventual contacto por parte do CNCS;
b) Data e hora do início ou, em caso de impossibilidade de o determinar, da deteção do incidente;
c) Breve descrição do incidente, incluindo a indicação da categoria da causa raiz e dos efeitos produzidos, de acordo com a taxonomia definida no artigo 16.º e, sempre que possível, o respetivo detalhe;
d) Estimativa possível do impacto, considerando:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração do incidente;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
e) Outra informação que a entidade considere relevante. |
| |
|
|
|
|
Artigo 14.º
Notificação de fim de impacto relevante ou substancial |
1 - A notificação de fim de impacto relevante ou substancial do incidente deve ser submetida ao CNCS logo que possível, dentro do prazo máximo de duas horas após a perda de impacto relevante ou substancial.
2 - A notificação de fim de impacto relevante ou substancial deve incluir a seguinte informação:
a) Atualização da informação transmitida na notificação inicial, caso exista;
b) Breve descrição das medidas adotadas para a resolução do incidente;
c) Descrição da situação do impacto existente no momento da perda de impacto relevante ou substancial, nomeadamente:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração do incidente;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
iv) Tempo estimado para a recuperação total dos serviços. |
| |
|
|
|
|
Artigo 15.º
Notificação final |
1 - A notificação final deve ser enviada no prazo de 30 dias úteis a contar do momento em que o incidente deixou de se verificar.
2 - A notificação final deve incluir a seguinte informação:
a) Data e hora em que o incidente assumiu o impacto relevante ou substancial;
b) Data e hora em que o incidente perdeu o impacto relevante ou substancial;
c) Impacto do incidente, considerando:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração do incidente;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
iv) Descrição do incidente, com indicação da categoria da causa raiz e dos efeitos produzidos, de acordo com a taxonomia definida no artigo seguinte, e o respetivo detalhe;
d) Indicação das medidas adotadas para mitigar o incidente;
e) Descrição da situação residual do impacto existente à data da notificação final, nomeadamente:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
iii) Tempo estimado para a recuperação total dos serviços ainda afetados;
f) Indicação, sempre que aplicável, da apresentação de notificação do incidente em causa às autoridades competentes, nomeadamente ao Ministério Público, à ANEPC, à ANACOM, à CNPD e a outras autoridades setoriais, nos termos previstos nas disposições legais e regulamentares aplicáveis;
g) Outra informação que a entidade considere relevante.
3 - Nos casos em que exista uma situação residual do impacto à data da notificação final, descrita ao abrigo do disposto na alínea e) do número anterior, as entidades devem comunicar ao CNCS, logo que possível, a recuperação total dessa situação residual. |
| |
|
|
|
|
Artigo 16.º
Taxonomia de incidentes e de efeitos |
1 - Para efeitos do disposto nos artigos 13.º a 15.º, os incidentes podem ter as seguintes categorias de causas raiz:
a) Falha de sistema;
b) Fenómeno natural;
c) Erro humano;
d) Ataque malicioso;
e) Falha no fornecimento de bens ou serviços por terceiro.
2 - Para os efeitos do disposto nos artigos 13.º a 15.º, os incidentes podem ter os seguintes efeitos produzidos:
a) Infeção por malware;
b) Disponibilidade;
c) Recolha de informação;
d) Intrusão;
e) Tentativa de intrusão;
f) Segurança da informação;
g) Fraude;
h) Conteúdo abusivo;
i) Outro.
3 - As entidades podem enviar ao CNCS, de forma voluntária, qualquer informação adicional relevante que sirva de suporte ao reporte de incidentes e que facilite o respetivo acompanhamento. |
| |
|
|
|
|
Artigo 17.º
Disposições complementares |
1 - O CNCS presta à entidade notificante as informações relevantes relativas ao processamento do incidente notificado, nomeadamente informações que possam contribuir para o tratamento eficaz do incidente.
2 - As entidades devem dar resposta a qualquer pedido de informação adicional por parte do CNCS sobre os incidentes reportados.
3 - As entidades podem optar por enviar ao CNCS qualquer campo de informação antes do final dos prazos fixados para o efeito, desde que disponham de informação fiável para o fazer.
4 - Sem prejuízo do disposto no presente capítulo, as entidades devem seguir o formato e o procedimento de notificação de incidentes definido nos normativos complementares setoriais aplicáveis. |
| |
|
|
|
|
CAPÍTULO V
Disposições complementares e finais
| Artigo 18.º
Regulamentação complementar |
1 - O CNCS pode, no âmbito das suas competências, emitir instruções técnicas complementares em matéria de requisitos de segurança e de notificação de incidentes, designadamente normativos complementares setoriais.
2 - Sempre que um ato jurídico setorial da União Europeia exigir que as entidades abrangidas pelo presente decreto-lei garantam a segurança das respetivas redes e dos respetivos sistemas de informação ou a notificação de incidentes, são aplicáveis as disposições desse ato jurídico setorial desde que os seus requisitos tenham pelo menos efeitos equivalentes às obrigações constantes do presente decreto-lei, devendo, sempre que necessário, ser especificada a respetiva implementação pelo CNCS em articulação com as entidades reguladoras e com as entidades com poderes de supervisão sobre os setores e subsetores identificados no anexo ao Regime Jurídico da Segurança do Ciberespaço, seguindo-se o seguinte procedimento:
a) O CNCS, em articulação com as entidades reguladoras e as entidades com poderes de supervisão sobre os setores e subsetores identificados no anexo ao Regime Jurídico da Segurança do Ciberespaço avaliam o grau de equivalência das regras relativas ao inventário de ativos e ao relatório anual bem como dos requisitos de segurança e notificação de incidentes estabelecidos para cada setor;
b) Na avaliação do grau de equivalência deve ser ponderado em que medida os requisitos setoriais definidos pela lei, pelas disposições europeias e pelos normativos setoriais cumprem os requisitos previstos no presente decreto-lei, procurando, sempre que possível, evitar a sobreposição de requisitos e reportes;
c) O CNCS emite, por instrução técnica, o resultado da avaliação do grau de equivalência prevista no presente decreto-lei. |
| |
|
|
|
|
1 - As comunicações entre as entidades e o CNCS, incluindo as notificações de incidentes, devem seguir o formato e o procedimento definido em regulamentação complementar.
2 - Na ausência de regulamentação complementar, todas as comunicações dirigidas ao CNCS no âmbito do presente decreto-lei, bem como o envio de informação, devem ser realizadas por meios eletrónicos.
3 - O CNCS mantém e gere a informação em matéria de segurança e integridade num sistema de informação seguro, em conformidade com as disposições respeitantes à segurança de matérias classificadas no âmbito nacional e no âmbito das organizações internacionais de que Portugal é parte.
4 - O acesso aos sistemas eletrónicos e sítios de Internet para tratamento das notificações previstas no presente decreto-lei deve ser efetuado preferencialmente com recurso a sistema de identificação eletrónico com nível de garantia «elevado», nos termos definidos pelos artigos 8.º e 9.º do Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança, designadamente através do Cartão de Cidadão e da Chave Móvel Digital.
5 - Nos casos em que a entidade não tenha temporariamente capacidade operacional para assegurar a comunicação prevista nos n.os 2 e 3, ou nos casos em que o sítio na Internet do CNCS esteja indisponível, em resultado do incidente ou por outro motivo de natureza eminentemente técnica devidamente justificado, a notificação pode ser efetuada, a título excecional, através de correio eletrónico ou telefonicamente, de acordo com instruções técnicas a emitir pelo CNCS. |
| |
|
|
|
|
Artigo 20.º
Autoridade Nacional de Certificação da Cibersegurança |
1 - O CNCS é a Autoridade Nacional de Certificação da Cibersegurança (ANCC) designadamente para efeitos do disposto no artigo 58.º do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, gozando para este efeito de independência técnica.
2 - A ANCC pode, para além das respetivas atribuições no âmbito dos esquemas europeus de certificação da cibersegurança, desenvolver e implementar esquemas específicos de certificação da cibersegurança relativos a produtos, serviços e processos de tecnologias de informação e comunicação que não sejam ainda abrangidos por um esquema europeu, sempre que a especificidade do objeto da certificação o justifique.
3 - A ANCC implementa um quadro nacional de certificação da cibersegurança, estabelecendo as disposições necessárias à elaboração, implementação e execução dos esquemas de certificação previstos no número anterior, aos quais são aplicáveis, com as necessárias adaptações, as disposições constantes do título III do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019.
4 - Constituem competências da ANCC:
a) Solicitar aos organismos de avaliação da conformidade, aos titulares de certificados de cibersegurança e aos emitentes de declarações de conformidade, as informações de que necessite para o exercício das respetivas atribuições;
b) Tomar as medidas adequadas a garantir que os organismos de avaliação da conformidade, os titulares de certificados nacionais ou europeus de cibersegurança, e os emitentes de declarações de conformidade cumprem o disposto na lei em matéria de certificação da cibersegurança;
c) Executar as demais competências estabelecidas para as autoridades de certificação da cibersegurança, designadamente as decorrentes do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019.
5 - A avaliação dos esquemas de certificação específicos, designadamente sobre a respetiva adequação, é efetuada pela ANCC em articulação com o Instituto Português de Acreditação, I. P., enquanto organismo nacional de acreditação e com o Instituto Português da Qualidade, I. P., enquanto organismo nacional de normalização e com as demais entidades públicas com competências no âmbito da matéria abrangida pela certificação. |
| |
|
|
|
|
Artigo 21.º
Regime sancionatório |
1 - Às infrações ao disposto no presente decreto-lei é aplicável o regime sancionatório previsto no Regime Jurídico da Segurança do Ciberespaço aprovado pela Lei n.º 46/2018, de 13 de agosto.
2 - Constitui contraordenação punível com coima de (euro) 1000,00 a (euro) 3740,98, no caso de pessoa singular, ou de (euro) 5000,00 a (euro) 44 891,81, no caso de pessoa coletiva, a prática das seguintes infrações:
a) A utilização de marca de certificação da cibersegurança inválida, caducada ou revogada;
b) A utilização de expressão ou grafismo que expressa ou tacitamente sugira a certificação da cibersegurança de produto, serviço ou processo que não seja certificado;
c) A omissão dolosa de informação ou a prestação de falsa informação que seja relevante para o processo de certificação da cibersegurança que se encontre em curso, nos termos definidos em cada esquema de certificação.
3 - Sem prejuízo das competências atribuídas a outras entidades em razão da matéria, às contraordenações previstas no número anterior aplica-se o disposto nos artigos 21.º e 25.º a 28.º do Regime Jurídico da Segurança do Ciberespaço. |
| |
|
|
|
|
|