|
DL n.º 65/2021, de 30 de Julho REGULAMENTA O REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019 _____________________ |
|
Decreto-Lei n.º 65/2021, de 30 de julho
Através da Lei n.º 46/2018, de 13 de agosto, que aprovou o regime jurídico da segurança do ciberespaço, foi transposta para o ordenamento jurídico nacional a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União.
A referida lei remete para legislação complementar a definição, por um lado, dos requisitos de segurança das redes e sistemas de informação e, por outro lado, das regras para a notificação de incidentes, que devem ser cumpridos pela Administração Pública, operadores de infraestruturas críticas, operadores de serviços essenciais e prestadores de serviços digitais. O presente decreto-lei procede, assim, à regulamentação destes aspetos.
Os requisitos previstos no presente decreto-lei constituem um mínimo a assegurar pelas entidades abrangidas pela Lei n.º 46/2018, de 13 de agosto, não prejudicando as regras que, em função da natureza das entidades, de aspetos específicos da atividade desenvolvida ou do contexto em que esta se desenvolva, possam vir a ser estabelecidas por outras autoridades, nomeadamente pelo Ministério Público, pela Autoridade Nacional de Emergência e Proteção Civil, pelo Conselho Nacional de Planeamento Civil de Emergência, pela Autoridade Nacional de Comunicações, pela Comissão Nacional de Proteção de Dados, ou por outras autoridades setoriais.
Tendo presente que o ciberespaço é uma realidade dinâmica e fluida, em permanente mutação, colocando desafios de alcance transnacional e que atravessa vários setores de atividade, o presente decreto-lei reconhece a necessidade de articular as disposições legais aqui consagradas com a aplicação de normativos complementares setoriais. Para este efeito, o Centro Nacional de Cibersegurança, enquanto Autoridade Nacional de Cibersegurança, nos casos em que se considere necessário e em articulação com as entidades reguladoras e de supervisão setoriais, procede a uma avaliação de equivalência, conferindo, assim, segurança jurídica aos requisitos constantes de legislação setorial que sejam considerados equivalentes aos consagrados no presente decreto-lei.
Adicionalmente à regulamentação do regime jurídico aprovado pela Lei n.º 46/2018, de 13 de agosto, e considerando a complementaridade que a certificação de produtos, serviços e processos de tecnologias de informação e comunicação assume para a promoção de um ciberespaço mais seguro, assegura-se a implementação, na ordem jurídica nacional, das obrigações decorrentes do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, permitindo a implementação de um quadro nacional de certificação da cibersegurança pela Autoridade Nacional de Certificação da Cibersegurança.
O caráter transfronteiriço da cibersegurança e o esforço de cooperação internacional que lhe está subjacente permitem a produção de conhecimento em permanente atualização e o desenvolvimento contínuo de um conjunto de boas práticas, vertidas para o plano nacional através do Quadro Nacional de Referência para a Cibersegurança, com o qual é estabelecida uma relação para efeitos de análise dos riscos a realizar pelas respetivas entidades abrangidas, sem prejuízo da natureza transversal deste documento enquanto referencial para um fortalecimento da resiliência de cada organização face às ameaças que afetam o ciberespaço.
Em alinhamento com o Programa do XXII Governo Constitucional, que reconhece a importância de promover políticas e melhores práticas de cibersegurança, o decreto-lei que ora se aprova procura dar resposta ao papel cada vez mais determinante que as tecnologias de informação assumem na forma como se desenvolve a vida em sociedade, seja na atividade dos agentes económicos e dos serviços públicos, seja nas próprias relações entre as pessoas e entre os cidadãos e a Administração Pública. O desafio da transição digital, de alcance transversal, e a emergência de novas tecnologias disruptivas, como a inteligência artificial, a realidade virtual e aumentada e a Internet das coisas, sublinham a necessidade de assegurar um nível elevado de segurança das redes e dos sistemas de informação que sustentam o uso destas tecnologias, para que decorra num ambiente de confiança e protegido de ameaças que podem ter efeitos desestabilizadores de considerável alcance na vida em sociedade, especialmente em contextos de crise, que tendem a agravar a exploração de vulnerabilidades por parte de agentes de ameaça com motivações diversas.
Foram ouvidas a Entidade Reguladora dos Serviços Energéticos, a Autoridade Nacional da Aviação Civil, a Autoridade da Mobilidade e dos Transportes, o Conselho Nacional de Supervisores Financeiros, a Entidade Reguladora dos Serviços de Águas e Resíduos, a Autoridade Nacional de Comunicações, a Autoridade Nacional de Emergência e Proteção Civil, a Comissão Nacional de Proteção de Dados, os órgãos de governo próprio da Região Autónoma dos Açores, a Associação Nacional de Municípios Portugueses e a Associação Nacional de Freguesias.
Foi promovida a audição da Entidade Reguladora da Saúde e dos órgãos de governo próprio da Região Autónoma da Madeira.
O presente decreto-lei foi submetido a consulta pública entre 12 de abril e 5 de maio de 2021.
Assim:
Ao abrigo do disposto no artigo 31.º da Lei n.º 46/2018, de 13 de agosto, e nos termos da alínea c) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:
|
CAPÍTULO I
Disposições gerais
| Artigo 1.º
Objeto |
1 - O presente decreto-lei procede à:
a) Regulamentação da Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço (Regime Jurídico da Segurança do Ciberespaço), transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União;
b) Execução, na ordem jurídica nacional, das obrigações decorrentes do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, permitindo a implementação de um quadro nacional de certificação da cibersegurança.
2 - Para efeitos do disposto na alínea a) do número anterior são estabelecidos:
a) Os requisitos de segurança das redes e dos sistemas de informação que devem ser cumpridos pela Administração Pública, pelos operadores de infraestruturas críticas e pelos operadores de serviços essenciais, nos termos dos artigos 12.º, 14.º e 16.º do Regime Jurídico da Segurança do Ciberespaço;
b) Os requisitos de notificação de incidentes que afetem a segurança das redes e dos sistemas de informação que devem ser cumpridos pela Administração Pública, pelos operadores de infraestruturas críticas, pelos operadores de serviços essenciais e pelos prestadores de serviços digitais, nos termos dos artigos 13.º, 15.º, 17.º e 19.º do Regime Jurídico da Segurança do Ciberespaço, prevendo as circunstâncias, o prazo, o formato e os procedimentos aplicáveis. |
| |
|
|
|
|
Artigo 2.º
Âmbito de aplicação |
1 - O presente decreto-lei aplica-se às entidades previstas nas alíneas a) a d) do n.º 1 do artigo 2.º do Regime Jurídico da Segurança do Ciberespaço, sem prejuízo do disposto nos números seguintes.
2 - Os requisitos de segurança das redes e dos sistemas de informação constantes do presente decreto-lei não se aplicam às empresas e aos prestadores de serviços referidos no n.º 2 do artigo 12.º do Regime Jurídico da Segurança do Ciberespaço.
3 - Os requisitos de notificação de incidentes que afetem a segurança das redes e dos sistemas de informação constantes do presente decreto-lei não se aplicam:
a) Às empresas e aos prestadores de serviços referidos no n.º 2 do artigo 13.º do Regime Jurídico da Segurança do Ciberespaço;
b) Aos prestadores de serviços digitais que sejam microempresas ou pequenas empresas, tal como definidas pelo Decreto-Lei n.º 372/2007, de 6 de novembro, na sua redação atual.
4 - Para efeito do cumprimento do Regime Jurídico da Segurança do Ciberespaço e do presente decreto-lei, a identificação dos operadores de serviços essenciais nos termos do n.º 1 do artigo 29.º do Regime Jurídico da Segurança do Ciberespaço, bem como a atualização anual prevista no n.º 2 do mesmo artigo, é comunicada pelo Centro Nacional de Cibersegurança (CNCS) aos operadores. |
| |
|
|
|
|
CAPÍTULO II
Disposições comuns
| Artigo 3.º
Princípios e regras gerais |
1 - A adoção das medidas técnicas e organizativas destinadas ao cumprimento dos requisitos de segurança previstos no Regime Jurídico da Segurança do Ciberespaço e no presente decreto-lei obedece ao princípio da adequação e da proporcionalidade, devendo ter em consideração:
a) As condições normais de funcionamento das redes e dos sistemas de informação;
b) As situações extraordinárias, designadamente:
i) A ocorrência de incidentes, nos termos da alínea c) do artigo 3.º do Regime Jurídico da Segurança do Ciberespaço;
ii) A ocorrência de acidente grave ou catástrofe, nos termos previstos nas disposições legais e regulamentares aplicáveis em matéria de proteção civil ou a eventual ativação de planos de emergência de proteção civil;
iii) A declaração do estado de emergência, de sítio ou de guerra, nos termos previstos na Constituição ou em outras disposições legais e regulamentares aplicáveis;
iv) A ativação de planos no âmbito do planeamento civil de emergência no setor da cibersegurança, nos termos do Decreto-Lei n.º 43/2020, de 21 de julho;
v) A ocorrência de grave ameaça à segurança interna, incluindo as situações de ataques terroristas, nos termos previstos nas disposições legais e regulamentares aplicáveis em matéria de segurança interna.
2 - O cumprimento das obrigações em matéria de requisitos de segurança e de notificação de incidentes previstos no Regime Jurídico da Segurança do Ciberespaço e no presente decreto-lei deve ser efetuado em conformidade com as disposições respeitantes à segurança de matérias classificadas no âmbito nacional e no âmbito das organizações internacionais de que Portugal seja parte.
3 - O cumprimento dos requisitos de segurança e das obrigações de notificação de incidentes previstos no Regime Jurídico da Segurança do Ciberespaço e no presente decreto-lei não prejudica:
a) O cumprimento dos requisitos específicos de segurança e das obrigações específicas de notificação de incidentes nos termos definidos pelas autoridades competentes, nomeadamente pelo Ministério Público, pela Autoridade Nacional de Emergência e Proteção Civil (ANEPC), pela Autoridade Nacional de Comunicações (ANACOM), pela Comissão Nacional de Proteção de Dados (CNPD) e por outras autoridades setoriais, nos termos das disposições legais e regulamentares aplicáveis;
b) O cumprimento de legislação da União Europeia.
4 - Aos prestadores de serviços digitais aplica-se o disposto no Regulamento de Execução (UE) 2018/151, da Comissão, de 30 de janeiro de 2018, em matéria de requisitos de segurança e de notificação de incidentes.
5 - As entidades referidas no n.º 1 do artigo anterior podem estabelecer formas de colaboração com vista ao cumprimento das obrigações em matéria de requisitos de segurança e de notificação de incidentes previstos no Regime Jurídico da Segurança do Ciberespaço, e no presente decreto-lei, numa lógica de partilha de recursos, desde que seja assegurada a efetiva operacionalização das mesmas em cada entidade.
6 - O disposto no número anterior não prejudica a responsabilização de cada entidade individualmente considerada a que haja lugar pela infração a qualquer disposição do presente decreto-lei.
7 - O CNCS pode, através da regulamentação complementar prevista no artigo 18.º, estabelecer condições específicas para o cumprimento dos requisitos de segurança e de notificação de incidentes previstos no presente decreto-lei por parte das entidades da Administração Pública, em termos proporcionais e adequados à sua dimensão ou complexidade organizacional. |
| |
|
|
|
|
Artigo 4.º
Ponto de contacto permanente |
1 - As entidades devem indicar, pelo menos, um ponto de contacto permanente, de modo a assegurar os fluxos de informação de nível operacional e técnico com o CNCS, nomeadamente:
a) A articulação intersetorial, incluindo a eficácia da resposta a incidentes de segurança com impacto a nível dos setores;
b) A obtenção de informação operacional e técnica, na sequência de notificação de incidentes com impacto relevante ou substancial submetida pela mesma ou outra entidade;
c) A obtenção e atualização de informação de situação integrada no contexto de um incidente com impacto relevante ou substancial;
d) A partilha de informação quando estejam ativados planos de emergência de proteção civil diretamente relacionados ou com impacto ao nível da segurança do ciberespaço, bem como de planos no âmbito do planeamento civil de emergência do ciberespaço ou dos planos de segurança das infraestruturas críticas nacionais ou europeias;
e) A operacionalização dos procedimentos fixados no âmbito de um plano de emergência de proteção civil quando tenham impacto no funcionamento das redes e sistemas de informação, ou do planeamento civil de emergência do ciberespaço;
f) A receção das instruções técnicas emitidas ao abrigo do disposto no n.º 5 do artigo 7.º do Regime Jurídico da Segurança do Ciberespaço e no artigo 18.º;
g) A operacionalização dos procedimentos fixados no âmbito dos planos de segurança previstos no artigo 7.º
2 - As entidades devem assegurar a função de ponto de contacto permanente com uma disponibilidade contínua de 24 horas por dia e de sete dias por semana, limitada a períodos de ativação, iniciados e terminados mediante comunicação do CNCS.
3 - As entidades devem indicar ao CNCS, no prazo de 20 dias úteis a contar do início da respetiva atividade, a pessoa ou pessoas responsáveis por assegurar as funções de ponto de contacto permanente, bem como os respetivos meios de contacto principal e alternativos.
4 - As entidades que tenham iniciado atividade antes da data de entrada em vigor do presente decreto-lei devem efetuar a comunicação prevista no número anterior no prazo de 20 dias úteis, a contar do prazo previsto no n.º 2 do artigo 23.º
5 - As entidades devem comunicar imediatamente ao CNCS qualquer alteração à informação prevista no n.º 3.
6 - As entidades devem assegurar que o ponto de contacto permanente dispõe de meios de contacto principais e alternativos para a comunicação com o CNCS. |
| |
|
|
|
|
Artigo 5.º
Responsável de segurança |
1 - As entidades devem designar um responsável de segurança para a gestão do conjunto das medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes, nos termos do Regime Jurídico da Segurança do Ciberespaço e do presente decreto-lei.
2 - As entidades devem indicar ao CNCS, no prazo de 20 dias úteis a contar do início da respetiva atividade, a pessoa designada para as funções de responsável de segurança.
3 - As entidades que tenham iniciado atividade antes da data de entrada em vigor do presente decreto-lei devem efetuar a comunicação prevista no número anterior no prazo de 20 dias úteis, a contar do prazo previsto no n.º 2 do artigo 23.º
4 - As entidades devem comunicar imediatamente ao CNCS a substituição do responsável de segurança. |
| |
|
|
|
|
Artigo 6.º
Inventário de ativos |
1 - As entidades devem elaborar e manter atualizado um inventário de todos os ativos essenciais para a prestação dos respetivos serviços, devendo o mesmo ser assinado pelo responsável de segurança.
2 - No inventário de ativos deve constar, para cada ativo, a informação definida em instruções técnicas emitidas pelo CNCS.
3 - As entidades devem comunicar ao CNCS a lista dos ativos constantes do inventário, com a informação que venha a ser determinada nos termos do número anterior, com a seguinte periodicidade:
a) Na sua versão inicial, no prazo de 20 dias úteis a contar da data de início de atividade;
b) Numa versão atualizada, anualmente, a ser entregue em conjunto com o relatório anual a que se refere o artigo 8.º |
| |
|
|
|
|
Artigo 7.º
Plano de segurança |
1 - As entidades devem elaborar e manter atualizado um plano de segurança, devidamente documentado e assinado pelo responsável de segurança, que contenha:
a) A política de segurança, incluindo a descrição das medidas organizativas e a formação de recursos humanos;
b) A descrição de todas as medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes;
c) A identificação do responsável de segurança;
d) A identificação do ponto de contacto permanente.
2 - Para efeitos do cumprimento do disposto no número anterior, os operadores de infraestruturas críticas podem utilizar o plano previsto no artigo 10.º do Decreto-Lei n.º 62/2011, de 9 de maio, desde que o mesmo inclua medidas relativas à segurança das redes e da informação. |
| |
|
|
|
|
Artigo 8.º
Relatório anual |
1 - As entidades devem elaborar um relatório anual que, em relação ao ano civil a que se reporta, contenha os seguintes elementos:
a) Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos serviços de informação;
b) Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes;
c) Análise agregada dos incidentes de segurança com impacto relevante ou substancial, com informação sobre:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração dos incidentes;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
d) Recomendações de atividades, de medidas ou de práticas que promovam a melhoria da segurança das redes e dos sistemas de informação;
e) Problemas identificados e medidas implementadas na sequência dos incidentes;
f) Qualquer outra informação relevante.
2 - As entidades devem remeter o relatório anual ao CNCS, devidamente assinado pelo responsável de segurança, nos seguintes termos:
a) Relativamente ao primeiro relatório anual:
i) Até ao último dia útil do mês de janeiro do ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido início no primeiro semestre;
ii) Até ao último dia útil do mês de janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido início no segundo semestre;
b) Relativamente aos relatórios subsequentes anuais, até ao último dia útil do mês de janeiro do ano civil seguinte aos quais os mesmos se reportam.
3 - Para efeitos do disposto na subalínea ii) da alínea a) do número anterior, o relatório anual deve abranger todo o período entre a data de início de atividade e o final do ano civil anterior.
4 - Para efeitos do disposto no presente artigo, o CNCS pode definir o formato em que a informação deve ser apresentada.
5 - As entidades reguladoras e as entidades com poderes de supervisão sobre os setores e subsetores identificados no anexo ao Regime Jurídico da Segurança do Ciberespaço, remetem ao CNCS os relatórios considerados equivalentes nos termos do artigo 18.º, quando tal resulte de instrução complementar emitida pelo CNCS, em articulação com as entidades reguladoras e de supervisão acima referidas. |
| |
|
|
|
|
CAPÍTULO III
Segurança das redes e dos sistemas de informação
| Artigo 9.º
Medidas para cumprimento dos requisitos de segurança |
1 - As entidades referidas na alínea a) do n.º 2 do artigo 1.º devem cumprir as medidas técnicas e organizativas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, devendo, para o efeito, realizar uma análise dos riscos de acordo com o disposto no artigo seguinte.
2 - As medidas referidas no número anterior devem garantir um nível de segurança adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes, através da utilização de normas e especificações técnicas internacionalmente aceites aplicáveis à segurança das redes e dos sistemas de informação, sem imposição ou discriminação em favor da utilização de um determinado tipo de tecnologia. |
| |
|
|
|
|
Artigo 10.º
Análise dos riscos e implementação dos requisitos de segurança |
1 - As entidades da Administração Pública e os operadores de infraestruturas críticas, bem como os operadores de serviços essenciais, devem realizar uma análise dos riscos em relação a todos os ativos que garantam a continuidade do funcionamento das redes e dos sistemas de informação que utilizam e, no caso dos operadores de serviços essenciais, também em relação aos ativos que garantam a prestação dos serviços essenciais, nos seguintes termos:
a) Análise dos riscos de âmbito global, com a seguinte periodicidade:
i) Pelo menos uma vez por ano;
ii) Após a notificação, por parte do CNCS, de um risco, de uma ameaça ou de uma vulnerabilidade emergentes que implique uma elevada probabilidade de ocorrência de um incidente com impacto relevante, dentro do prazo fixado pelo CNCS;
b) Análise dos riscos de âmbito parcial, com a seguinte periodicidade:
i) Durante o planeamento e preparação da introdução de uma alteração ao ativo ou ativos, em relação ao ativo ou ativos envolvidos;
ii) Após a ocorrência de um incidente com impacto relevante ou outra situação extraordinária, em relação aos ativos afetados;
iii) Após a notificação, por parte do CNCS, de um risco, de uma ameaça ou de uma vulnerabilidade emergentes que impliquem uma elevada probabilidade de ocorrência de um incidente com impacto relevante, dentro do prazo fixado pelo CNCS.
2 - As entidades devem documentar a preparação, a execução e a apresentação dos resultados da análise dos riscos.
3 - A análise do risco deve abranger para cada ativo:
a) A identificação das ameaças, internas ou externas, intencionais ou não intencionais, incluindo, nomeadamente:
i) Falha de sistema;
ii) Fenómeno natural;
iii) Erro humano;
iv) Ataque malicioso;
v) Falha no fornecimento de bens ou serviços por terceiro;
b) A caracterização do impacto e da probabilidade da ocorrência das ameaças identificadas na alínea anterior.
4 - A análise dos riscos deve ter em consideração:
a) O histórico de situações extraordinárias ocorridas;
b) O histórico de incidentes e, em especial, de incidentes com impacto relevante;
c) O número de utilizadores afetados pelos incidentes;
d) A duração dos incidentes;
e) A distribuição geográfica, no que se refere à zona afetada pelos incidentes;
f) As dependências intersetoriais para efeitos da prestação dos serviços, incluindo os constantes do anexo ao Regime Jurídico da Segurança do Ciberespaço e o setor das comunicações eletrónicas.
5 - A análise dos riscos deve ainda ter em consideração a avaliação integrada dos riscos para a segurança das redes e dos sistemas de informação a nível nacional, europeu e internacional, publicada anualmente ou notificada às entidades pelo CNCS.
6 - Na sequência de cada análise dos riscos, as entidades devem adotar as medidas técnicas e organizativas adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, e que resultem, nomeadamente:
a) De normativo complementar setorial aprovado pelo CNCS, sem prejuízo da aplicação de outro normativo nacional e da União Europeia em matéria da segurança das redes e dos sistemas de informação;
b) Do Quadro Nacional de Referência de Cibersegurança, e respetivas disposições complementares, elaborado pelo CNCS, na ausência ou em complemento do normativo setorial previsto na alínea anterior.
7 - Os riscos para a segurança das redes e dos sistemas de informação caracterizados como residuais devem ser tratados pelas entidades nos termos do número anterior.
8 - As entidades devem rever e, se necessário, atualizar o seu plano de segurança, nos termos previstos no artigo 7.º, em função da evolução do contexto de atuação e da ocorrência de incidentes.
9 - As medidas a adotar ao abrigo do disposto no n.º 6 devem permitir:
a) A prevenção, a gestão e a redução dos riscos;
b) O reforço da robustez e da resiliência dos ativos, incluindo a respetiva proteção contra as ameaças identificadas e a respetiva recuperação ou redundância, de forma a assegurar um rápido restabelecimento do funcionamento das redes e dos sistemas de informação;
c) Uma resposta eficaz a incidentes, a ameaças ou a vulnerabilidades.
10 - Para efeitos do disposto no presente artigo, o CNCS pode emitir instruções técnicas com vista a uma harmonização da matriz de risco a adotar pelas entidades. |
| |
|
|
|
|
|