|
DL n.º 65/2021, de 30 de Julho REGULAMENTA O REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019 _____________________ |
|
Artigo 8.º
Relatório anual |
1 - As entidades devem elaborar um relatório anual que, em relação ao ano civil a que se reporta, contenha os seguintes elementos:
a) Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos serviços de informação;
b) Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes;
c) Análise agregada dos incidentes de segurança com impacto relevante ou substancial, com informação sobre:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração dos incidentes;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
d) Recomendações de atividades, de medidas ou de práticas que promovam a melhoria da segurança das redes e dos sistemas de informação;
e) Problemas identificados e medidas implementadas na sequência dos incidentes;
f) Qualquer outra informação relevante.
2 - As entidades devem remeter o relatório anual ao CNCS, devidamente assinado pelo responsável de segurança, nos seguintes termos:
a) Relativamente ao primeiro relatório anual:
i) Até ao último dia útil do mês de janeiro do ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido início no primeiro semestre;
ii) Até ao último dia útil do mês de janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido início no segundo semestre;
b) Relativamente aos relatórios subsequentes anuais, até ao último dia útil do mês de janeiro do ano civil seguinte aos quais os mesmos se reportam.
3 - Para efeitos do disposto na subalínea ii) da alínea a) do número anterior, o relatório anual deve abranger todo o período entre a data de início de atividade e o final do ano civil anterior.
4 - Para efeitos do disposto no presente artigo, o CNCS pode definir o formato em que a informação deve ser apresentada.
5 - As entidades reguladoras e as entidades com poderes de supervisão sobre os setores e subsetores identificados no anexo ao Regime Jurídico da Segurança do Ciberespaço, remetem ao CNCS os relatórios considerados equivalentes nos termos do artigo 18.º, quando tal resulte de instrução complementar emitida pelo CNCS, em articulação com as entidades reguladoras e de supervisão acima referidas. |
| |
|
|
|
|
CAPÍTULO III
Segurança das redes e dos sistemas de informação
| Artigo 9.º
Medidas para cumprimento dos requisitos de segurança |
1 - As entidades referidas na alínea a) do n.º 2 do artigo 1.º devem cumprir as medidas técnicas e organizativas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, devendo, para o efeito, realizar uma análise dos riscos de acordo com o disposto no artigo seguinte.
2 - As medidas referidas no número anterior devem garantir um nível de segurança adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes, através da utilização de normas e especificações técnicas internacionalmente aceites aplicáveis à segurança das redes e dos sistemas de informação, sem imposição ou discriminação em favor da utilização de um determinado tipo de tecnologia. |
| |
|
|
|
|
Artigo 10.º
Análise dos riscos e implementação dos requisitos de segurança |
1 - As entidades da Administração Pública e os operadores de infraestruturas críticas, bem como os operadores de serviços essenciais, devem realizar uma análise dos riscos em relação a todos os ativos que garantam a continuidade do funcionamento das redes e dos sistemas de informação que utilizam e, no caso dos operadores de serviços essenciais, também em relação aos ativos que garantam a prestação dos serviços essenciais, nos seguintes termos:
a) Análise dos riscos de âmbito global, com a seguinte periodicidade:
i) Pelo menos uma vez por ano;
ii) Após a notificação, por parte do CNCS, de um risco, de uma ameaça ou de uma vulnerabilidade emergentes que implique uma elevada probabilidade de ocorrência de um incidente com impacto relevante, dentro do prazo fixado pelo CNCS;
b) Análise dos riscos de âmbito parcial, com a seguinte periodicidade:
i) Durante o planeamento e preparação da introdução de uma alteração ao ativo ou ativos, em relação ao ativo ou ativos envolvidos;
ii) Após a ocorrência de um incidente com impacto relevante ou outra situação extraordinária, em relação aos ativos afetados;
iii) Após a notificação, por parte do CNCS, de um risco, de uma ameaça ou de uma vulnerabilidade emergentes que impliquem uma elevada probabilidade de ocorrência de um incidente com impacto relevante, dentro do prazo fixado pelo CNCS.
2 - As entidades devem documentar a preparação, a execução e a apresentação dos resultados da análise dos riscos.
3 - A análise do risco deve abranger para cada ativo:
a) A identificação das ameaças, internas ou externas, intencionais ou não intencionais, incluindo, nomeadamente:
i) Falha de sistema;
ii) Fenómeno natural;
iii) Erro humano;
iv) Ataque malicioso;
v) Falha no fornecimento de bens ou serviços por terceiro;
b) A caracterização do impacto e da probabilidade da ocorrência das ameaças identificadas na alínea anterior.
4 - A análise dos riscos deve ter em consideração:
a) O histórico de situações extraordinárias ocorridas;
b) O histórico de incidentes e, em especial, de incidentes com impacto relevante;
c) O número de utilizadores afetados pelos incidentes;
d) A duração dos incidentes;
e) A distribuição geográfica, no que se refere à zona afetada pelos incidentes;
f) As dependências intersetoriais para efeitos da prestação dos serviços, incluindo os constantes do anexo ao Regime Jurídico da Segurança do Ciberespaço e o setor das comunicações eletrónicas.
5 - A análise dos riscos deve ainda ter em consideração a avaliação integrada dos riscos para a segurança das redes e dos sistemas de informação a nível nacional, europeu e internacional, publicada anualmente ou notificada às entidades pelo CNCS.
6 - Na sequência de cada análise dos riscos, as entidades devem adotar as medidas técnicas e organizativas adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, e que resultem, nomeadamente:
a) De normativo complementar setorial aprovado pelo CNCS, sem prejuízo da aplicação de outro normativo nacional e da União Europeia em matéria da segurança das redes e dos sistemas de informação;
b) Do Quadro Nacional de Referência de Cibersegurança, e respetivas disposições complementares, elaborado pelo CNCS, na ausência ou em complemento do normativo setorial previsto na alínea anterior.
7 - Os riscos para a segurança das redes e dos sistemas de informação caracterizados como residuais devem ser tratados pelas entidades nos termos do número anterior.
8 - As entidades devem rever e, se necessário, atualizar o seu plano de segurança, nos termos previstos no artigo 7.º, em função da evolução do contexto de atuação e da ocorrência de incidentes.
9 - As medidas a adotar ao abrigo do disposto no n.º 6 devem permitir:
a) A prevenção, a gestão e a redução dos riscos;
b) O reforço da robustez e da resiliência dos ativos, incluindo a respetiva proteção contra as ameaças identificadas e a respetiva recuperação ou redundância, de forma a assegurar um rápido restabelecimento do funcionamento das redes e dos sistemas de informação;
c) Uma resposta eficaz a incidentes, a ameaças ou a vulnerabilidades.
10 - Para efeitos do disposto no presente artigo, o CNCS pode emitir instruções técnicas com vista a uma harmonização da matriz de risco a adotar pelas entidades. |
| |
|
|
|
|
CAPÍTULO IV
Notificações de incidentes
| Artigo 11.º
Obrigações de notificação |
1 - A Administração Pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais e os prestadores de serviços digitais notificam o CNCS da ocorrência de incidentes com impacto relevante ou substancial nos termos, respetivamente, dos artigos 15.º, 17.º e 19.º do Regime Jurídico da Segurança do Ciberespaço.
2 - As entidades devem implementar todos os meios e os procedimentos necessários à deteção, à avaliação do impacto e à notificação de incidentes com impacto relevante ou substancial.
3 - A Administração Pública e os operadores de infraestruturas críticas, os operadores de serviços essenciais e os prestadores de serviços digitais devem, perante qualquer incidente detetado ou a estes comunicado pelos seus clientes, utilizadores ou outras entidades, atender aos parâmetros previstos, respetivamente, no n.º 4 do artigo 15.º, no n.º 4 do artigo 17.º e no n.º 4 do artigo 19.º do Regime Jurídico da Segurança do Ciberespaço, bem como aos constantes dos normativos complementares setoriais aplicáveis, para classificar os incidentes como tendo impacto relevante ou substancial. |
| |
|
|
|
|
Artigo 12.º
Tipos de notificações |
1 - Por cada incidente que deva ser objeto de notificação ao abrigo do disposto no artigo anterior, as entidades devem submeter ao CNCS:
a) Uma notificação inicial, nos termos do artigo seguinte;
b) Uma notificação de fim de impacto relevante ou substancial, nos termos do artigo 14.º;
c) Uma notificação final, nos termos do artigo 15.º
2 - Nos casos em que o incidente seja resolvido de forma imediata, nas primeiras duas horas após a sua deteção, as entidades podem enviar diretamente a notificação final com todos os campos de informação devidamente preenchidos, ficando dispensadas do envio das restantes notificações. |
| |
|
|
|
|
Artigo 13.º
Notificação inicial |
1 - A notificação inicial deve ser enviada logo que a entidade possa concluir que existe ou possa vir a existir impacto relevante ou substancial e até duas horas após essa verificação, devendo a entidade, sem prejuízo do cumprimento deste prazo, dar prioridade à mitigação e à resolução do incidente.
2 - A notificação inicial deve incluir a seguinte informação:
a) Nome, número de telefone e endereço de correio eletrónico de um representante da entidade, quando diferente do ponto de contacto permanente a que se refere o artigo 4.º, para efeito de um eventual contacto por parte do CNCS;
b) Data e hora do início ou, em caso de impossibilidade de o determinar, da deteção do incidente;
c) Breve descrição do incidente, incluindo a indicação da categoria da causa raiz e dos efeitos produzidos, de acordo com a taxonomia definida no artigo 16.º e, sempre que possível, o respetivo detalhe;
d) Estimativa possível do impacto, considerando:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração do incidente;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
e) Outra informação que a entidade considere relevante. |
| |
|
|
|
|
Artigo 14.º
Notificação de fim de impacto relevante ou substancial |
1 - A notificação de fim de impacto relevante ou substancial do incidente deve ser submetida ao CNCS logo que possível, dentro do prazo máximo de duas horas após a perda de impacto relevante ou substancial.
2 - A notificação de fim de impacto relevante ou substancial deve incluir a seguinte informação:
a) Atualização da informação transmitida na notificação inicial, caso exista;
b) Breve descrição das medidas adotadas para a resolução do incidente;
c) Descrição da situação do impacto existente no momento da perda de impacto relevante ou substancial, nomeadamente:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração do incidente;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
iv) Tempo estimado para a recuperação total dos serviços. |
| |
|
|
|
|
Artigo 15.º
Notificação final |
1 - A notificação final deve ser enviada no prazo de 30 dias úteis a contar do momento em que o incidente deixou de se verificar.
2 - A notificação final deve incluir a seguinte informação:
a) Data e hora em que o incidente assumiu o impacto relevante ou substancial;
b) Data e hora em que o incidente perdeu o impacto relevante ou substancial;
c) Impacto do incidente, considerando:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração do incidente;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
iv) Descrição do incidente, com indicação da categoria da causa raiz e dos efeitos produzidos, de acordo com a taxonomia definida no artigo seguinte, e o respetivo detalhe;
d) Indicação das medidas adotadas para mitigar o incidente;
e) Descrição da situação residual do impacto existente à data da notificação final, nomeadamente:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
iii) Tempo estimado para a recuperação total dos serviços ainda afetados;
f) Indicação, sempre que aplicável, da apresentação de notificação do incidente em causa às autoridades competentes, nomeadamente ao Ministério Público, à ANEPC, à ANACOM, à CNPD e a outras autoridades setoriais, nos termos previstos nas disposições legais e regulamentares aplicáveis;
g) Outra informação que a entidade considere relevante.
3 - Nos casos em que exista uma situação residual do impacto à data da notificação final, descrita ao abrigo do disposto na alínea e) do número anterior, as entidades devem comunicar ao CNCS, logo que possível, a recuperação total dessa situação residual. |
| |
|
|
|
|
Artigo 16.º
Taxonomia de incidentes e de efeitos |
1 - Para efeitos do disposto nos artigos 13.º a 15.º, os incidentes podem ter as seguintes categorias de causas raiz:
a) Falha de sistema;
b) Fenómeno natural;
c) Erro humano;
d) Ataque malicioso;
e) Falha no fornecimento de bens ou serviços por terceiro.
2 - Para os efeitos do disposto nos artigos 13.º a 15.º, os incidentes podem ter os seguintes efeitos produzidos:
a) Infeção por malware;
b) Disponibilidade;
c) Recolha de informação;
d) Intrusão;
e) Tentativa de intrusão;
f) Segurança da informação;
g) Fraude;
h) Conteúdo abusivo;
i) Outro.
3 - As entidades podem enviar ao CNCS, de forma voluntária, qualquer informação adicional relevante que sirva de suporte ao reporte de incidentes e que facilite o respetivo acompanhamento. |
| |
|
|
|
|
Artigo 17.º
Disposições complementares |
1 - O CNCS presta à entidade notificante as informações relevantes relativas ao processamento do incidente notificado, nomeadamente informações que possam contribuir para o tratamento eficaz do incidente.
2 - As entidades devem dar resposta a qualquer pedido de informação adicional por parte do CNCS sobre os incidentes reportados.
3 - As entidades podem optar por enviar ao CNCS qualquer campo de informação antes do final dos prazos fixados para o efeito, desde que disponham de informação fiável para o fazer.
4 - Sem prejuízo do disposto no presente capítulo, as entidades devem seguir o formato e o procedimento de notificação de incidentes definido nos normativos complementares setoriais aplicáveis. |
| |
|
|
|
|
CAPÍTULO V
Disposições complementares e finais
| Artigo 18.º
Regulamentação complementar |
1 - O CNCS pode, no âmbito das suas competências, emitir instruções técnicas complementares em matéria de requisitos de segurança e de notificação de incidentes, designadamente normativos complementares setoriais.
2 - Sempre que um ato jurídico setorial da União Europeia exigir que as entidades abrangidas pelo presente decreto-lei garantam a segurança das respetivas redes e dos respetivos sistemas de informação ou a notificação de incidentes, são aplicáveis as disposições desse ato jurídico setorial desde que os seus requisitos tenham pelo menos efeitos equivalentes às obrigações constantes do presente decreto-lei, devendo, sempre que necessário, ser especificada a respetiva implementação pelo CNCS em articulação com as entidades reguladoras e com as entidades com poderes de supervisão sobre os setores e subsetores identificados no anexo ao Regime Jurídico da Segurança do Ciberespaço, seguindo-se o seguinte procedimento:
a) O CNCS, em articulação com as entidades reguladoras e as entidades com poderes de supervisão sobre os setores e subsetores identificados no anexo ao Regime Jurídico da Segurança do Ciberespaço avaliam o grau de equivalência das regras relativas ao inventário de ativos e ao relatório anual bem como dos requisitos de segurança e notificação de incidentes estabelecidos para cada setor;
b) Na avaliação do grau de equivalência deve ser ponderado em que medida os requisitos setoriais definidos pela lei, pelas disposições europeias e pelos normativos setoriais cumprem os requisitos previstos no presente decreto-lei, procurando, sempre que possível, evitar a sobreposição de requisitos e reportes;
c) O CNCS emite, por instrução técnica, o resultado da avaliação do grau de equivalência prevista no presente decreto-lei. |
| |
|
|
|
|
|