Empresas

Regime jurídico da segurança do ciberespaço

Está definido o regime jurídico da segurança do ciberespaço, que transpõe Diretiva da União Europeia (UE) de 2016 que estabelece as medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação na Europa.

É criado o Centro Nacional de Cibersegurança (CNC) - a Autoridade Nacional de Cibersegurança – que deverá garantir o uso livre, confiável e seguro do ciberespaço em Portugal.

O diploma nacional entra em vigor hoje, 14 de agosto; contudo, certas regras apenas produzem efeitos a partir de fevereiro de 2019: os requisitos de segurança e notificação de incidentes pela Administração Pública, pelos operadores de infraestruturas críticas, pelos operadores de serviços essenciais e pelos prestadores de serviços digitais, a notificação voluntária de incidentes e as regras em matéria de fiscalização e sanções.

Os requisitos de segurança e os requisitos de notificação de incidentes serão definidos em legislação própria até dia 11 de janeiro de 2019.

O fim do prazo de transposição da diretiva terminou a 9 de maio, sendo que as regras deveria ter entrado em aplicação a 10 de maio. No entanto, a Diretiva prevê um prazo até novembro deste ano, no âmbito do grupo de cooperação, para assegurar a coerência da abordagem adotada pelos países da UE na identificação dos operadores de serviços essenciais, do processo, do conteúdo e do tipo de medidas nacionais que permitam identificar os operadores de serviços essenciais.

Identificação de operadores

Para efeito do cumprimento da nova lei, os prestadores de serviços digitais devem comunicar de imediato ao CNC o exercício da respetiva atividade. Este dever de notificação não é aplicável às micro nem às pequenas empresas.

O CNC identifica os operadores de serviços essenciais até 9 de novembro de 2018, e esta identificação será atualizada anualmente.

As entidades do setor das infraestruturas digitais devem comunicar de imediato ao CNC o exercício da respetiva atividade.

A quem se aplica o regime jurídico da segurança do ciberespaço

O novo regime jurídico da segurança do ciberespaço aplica-se:

aos operadores de serviços essenciais;
aos prestadores de serviços digitais;
à Administração Pública (Estado, regiões autónomas, autarquias locais, entidades administrativas independentes, institutos públicos, empresas públicas e associações públicas);
aos operadores de infraestruturas críticas;
a quaisquer outras entidades que utilizem redes e sistemas de informação;
aos prestadores de serviços digitais que tenham o seu estabelecimento principal em Portugal (ou seja, tenham cá a sua sede) ou, não o tendo, designem um representante estabelecido em território nacional, desde que aqui prestem serviços digitais.

Caso uma entidade seja simultaneamente Administração Pública e operador de infraestruturas críticas ou de serviços essenciais, aplica-se o regime que resultar mais exigente para a segurança das redes e dos sistemas de informação.

Os operadores de serviços essenciais enquadram-se num dos tipos de entidades que atuam nos setores e subsetores definidos no diploma. Em Portugal são os seguintes:

tabela

Quanto aos prestadores de serviços digitais, prestam os seguintes serviços:

serviço de mercado online;
serviço de motor de pesquisa online;
serviço de computação em nuvem (cloud).

Centro Nacional de Cibersegurança

O Centro Nacional de Cibersegurança (CNC) é a Autoridade Nacional de Cibersegurança e o ponto de contacto único nacional para efeitos de cooperação internacional. Exerce as funções de regulação, regulamentação, supervisão, fiscalização e sancionatórias, emite instruções de cibersegurança e define o nível nacional de alerta de cibersegurança. Pode também solicitar a quaisquer entidades públicas ou privadas toda a colaboração ou auxílio que julgue necessários para exercer as suas atividades.

O CNC funciona no âmbito do Gabinete Nacional de Segurança e assegura a definição e implementação das medidas e instrumentos necessários à antecipação, deteção, reação e recuperação de situações que, face à iminência ou ocorrência de incidentes, ponham em causa o interesse nacional, o funcionamento da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços essenciais e dos prestadores de serviços digitais.

Qualquer disposição legal de cibersegurança precisa do parecer prévio do CNC.

O CNC atua em articulação:

com as estruturas nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo. Tendo conhecimento relativos à preparação e execução de crimes deve comunicar os factos de que disponha à autoridade competente o mais depressa possível.
com a Comissão Nacional de Proteção de Dados quando estejam em causa incidentes que tenham dado origem à violação de dados pessoais.

Equipa de resposta a incidentes de segurança informática nacional

A Equipa de Resposta a Incidentes de Segurança Informática Nacional – o CERT.PT - funciona no Centro Nacional de Cibersegurança. Trata da coordenação operacional na resposta a incidentes, nomeadamente em articulação com as equipas de resposta a incidentes de segurança informática setoriais e monitoriza os incidentes com implicações a nível nacional.

Além disso, cabe-lhe ativar mecanismos de alerta rápido e intervir na reação, análise e mitigação de incidentes, bem como proceder à análise dinâmica dos riscos.

O CERT.PT tem ainda como tarefas:
- assegurar a cooperação com entidades públicas e privadas;
- promover a adoção e a utilização de práticas comuns ou normalizadas;
- participar nos fora nacionais de cooperação de equipas de resposta a incidentes de segurança informática;
- assegurar a representação nacional nos fora internacionais de cooperação de equipas de resposta a incidentes de segurança informática;
- participar em eventos de treino nacionais e internacionais.

Estratégia nacional e estrutura de segurança do ciberespaço

A Estratégia Nacional de Segurança do Ciberespaço (ENSC) é aprovada por resolução do Conselho de Ministros, sob proposta do Primeiro-Ministro, ouvido o Conselho Superior de Segurança do Ciberespaço; define o enquadramento, os objetivos e as linhas de ação do Estado nesta matéria, de acordo com o interesse nacional.

Para consulta do Primeiro-Ministro para os assuntos relativos à segurança do ciberespaço foi criado um órgão específico, o Conselho Superior de Segurança do Ciberespaço (CSSC).

Compete ao CSSC assegurar a coordenação político-estratégica para a segurança do ciberespaço, verificar a implementação da ENSC e pronunciar-se antes da sua submissão para aprovação, bem como elaborar o relatório de avaliação da execução. Cabe-lhe ainda propor a aprovação de decisões de carácter programático relacionadas com a definição e execução da ENSC, emitir parecer sobre matérias relativas à segurança do ciberespaço e responder a solicitações por parte do Primeiro-Ministro, ou do membro do Governo em quem este delegar, no âmbito das suas competências.

O relatório anual é enviado à Assembleia da República até 31 de março do ano posterior àquele a que se reporta.

O CSSC integra 27 pessoas, que representam membros do Governo, deputados, diretores de vários serviços, incluindo dos serviços de informação e de ciberdiplomacia, Autoridade Tributária, Modernização Administrativa, Serviços Partilhados, Unidade Nacional de Combate ao Cibercrime da Polícia Judiciária, Ministério Público, Infraestruturas de Portugal, IAPMEI, Autoridade Nacional de Comunicações, Procurador-Geral da República e Rede Nacional de Equipas de Resposta a Incidentes de Segurança Informática. Inclui também um representante de cada governo regional.

Fiscalização e sanções

As infrações ao disposto na nova lei constituem contraordenações, aplicando-se o regime geral das contraordenações em tudo o que nela não estiver previsto.

As competências de fiscalização e de aplicação das sanções cabem ao CNC.

Constituem infrações muito graves, punidas com coima de € 5.000 a € 25.000, tratando-se de uma pessoa singular, e de € 10.000 a € 50.000, no caso de se tratar de uma pessoa coletiva, o incumprimento:

da obrigação de implementar requisitos de segurança;
de instruções de cibersegurança emitidas pelo CNC.

Constituem infrações graves, punidas com coima de € 1.000 a € 3.000, tratando-se de uma pessoa singular, e de € 3.000 a € 9.000, no caso de se tratar de uma pessoa coletiva, o incumprimento:

da obrigação de notificar o CNC dos incidentes;
da obrigação de notificar o CNC do exercício de atividade no setor das infraestruturas digitais;
da obrigação de notificar o CNC da identificação como prestador de serviços digitais.

A negligência é punível, sendo os limites mínimos e máximos das coimas reduzidos a metade.

A instrução dos processos de contraordenação e aplicação de sanções cabe ao CNC; o respetivo dirigente máximo aplica as coimas.

O CNC receberá 40 % produto das coimas; o restante vai para o Estado.

Exclusões e relação com outros regimes

A nova lei não se aplica às redes e sistemas de informação diretamente relacionados com o comando e controlo do Estado-Maior-General das Forças Armadas e dos ramos das Forças Armadas nem às redes e sistemas de informação que processem informação classificada.

O regime não prejudica o cumprimento de outros quatro regimes: proteção de dados pessoais, identificação e designação de infraestruturas críticas nacionais e europeias, luta contra o abuso sexual e a exploração sexual de crianças e a pornografia infantil, de proteção do utente de serviços públicos essenciais e de segurança e de emergência no setor das comunicações eletrónicas.

A aplicação da nova lei também não prejudica as medidas destinadas a salvaguardar as funções essenciais do Estado, incluindo medidas de proteção da informação cuja divulgação seja contrária aos interesses de segurança nacional, à manutenção de ordem pública ou a permitir a investigação, a deteção e a repressão de infrações penais.

Referências
Lei n.º 46/2018, de 13 de agosto
Resolução do Conselho de Ministros n.º 115/2017, de 24 de agosto
Decreto-Lei n.º 372/2007, de 6 de novembro
Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 06.07.2016

Informação da responsabilidade de LexPoint
© Todos os direitos reservados à LexPoint, Lda
Este texto é meramente informativo e não constitui nem dispensa a consulta ou apoio de profissionais especializados.

16.08.2018

Apoio ao Cliente

Informação Geral

Millennium bcp

Informação Útil

O millenniumbcp.pt é um serviço do Banco Comercial Português S.A.

Sobre os nossos cookies

O site do Millennium usa cookies próprios e de terceiros para melhorar a sua experiência de navegação e para fins estatísticos. Pode aceitar a utilização de todos os cookies ou ajustar as suas preferências. Saiba mais sobre a forma como os usamos na nossa Política de Cookies.

Aceitar todos os cookies

Ajuste as suas preferências de cookies:

Essenciais

Sempre ativos

Garantem que o site funciona corretamente, permitindo a navegação entre páginas e o uso das funcionalidades e dos serviços disponíveis.

Estatísticos

Recolhem dados estatísticos anónimos relativos à utilização do site, para que possamos melhorar os nossos produtos e serviços.

Funcionais

Permitem identificar as suas preferências de idioma e personalizar a sua navegação no site.

Marketing

Sim

Não

Permitem a apresentação de anúncios do Millennium, ajustados aos seus interesses, noutros sites ou redes sociais.

Confirmar preferências