Projecto de Decreto-Lei, de 12 de abril de 2021, sobre a Regulamentação do Regime Jurídico da Segurança do Ciberespaço e as Obrigações do Cybersecurity Act.
São estabelecidos:
a) Os requisitos de segurança das redes e dos sistemas de informação que devem ser cumpridos pela Administração Pública, pelos operadores de infraestruturas críticas e pelos operadores de serviços essenciais, nos termos dos artigos 12.º, 14.º e 16.º do Regime Jurídico da Segurança do Ciberespaço;
b) Os requisitos de notificação de incidentes que afetem a segurança das redes e dos sistemas de informação que devem ser cumpridos pela Administração Pública, pelos operadores de infraestruturas críticas, pelos operadores de serviços essenciais e pelos prestadores de serviços digitais, nos termos dos artigos 13.º, 15.º, 17.º e 19.º do Regime Jurídico da Segurança do Ciberespaço, prevendo as circunstâncias, o prazo, o formato e os procedimentos aplicáveis.
https://www.consultalex.gov.pt/ConsultaPublica_Detail.aspx?Consulta_Id=194
Através da Lei n.º 46/2018, de 13 de agosto, que aprovou o regime jurídico da segurança do ciberespaço, foi transposta para o ordenamento jurídico nacional a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União.
A referida lei remete para legislação complementar a definição, por um lado, dos requisitos de segurança das redes e sistemas de informação e, por outro lado, das regras para a notificação de incidentes, que devem ser cumpridos pela Administração Pública, operadores de infraestruturas críticas, operadores de serviços essenciais e prestadores de serviços digitais. O presente decreto-lei procede, assim, à regulamentação destes aspetos.
Os requisitos previstos no presente decreto-lei constituem um mínimo a assegurar pelas entidades abrangidas pela Lei n.º 46/2018, de 13 de agosto, não prejudicando as regras que, em função da natureza das entidades, de aspetos específicos da atividade desenvolvida ou do contexto em que esta se desenvolva, possam vir a ser estabelecidas por outras autoridades, nomeadamente pelo Ministério Público, pela a Autoridade Nacional de Emergência e Proteção Civil, pelo Conselho Nacional de Planeamento Civil de Emergência, pela Autoridade Nacional de Comunicações, pela Comissão Nacional de Proteção de Dados, ou por outras autoridades setoriais.
Tendo presente que o ciberespaço é uma realidade dinâmica e fluída, em permanente mutação, colocando desafios de alcance transnacional e que atravessa vários setores de atividade, o presente decreto-lei reconhece a necessidade de articular as disposições legais aqui consagradas com a aplicação de normativos complementares setoriais. Para este efeito, o Centro Nacional de Cibersegurança, enquanto Autoridade Nacional de Cibersegurança, nos casos em que se considere necessário e em articulação com as entidades reguladoras e de supervisão setoriais, procede a uma avaliação de equivalência, conferindo, assim, segurança jurídica aos requisitos constantes de legislação setorial que sejam considerados equivalentes aos consagrados no presente decreto-lei.
Adicionalmente à regulamentação do regime jurídico aprovado pela Lei n.º 46/2018, de 13 de agosto, e considerando a complementaridade que a certificação de produtos, serviços e processos de tecnologias de informação e comunicação assume para a promoção de um ciberespaço mais seguro, assegura -se a implementação, na ordem jurídica nacional, das obrigações decorrentes do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, permitindo a implementação de um quadro nacional de certificação da cibersegurança pela Autoridade Nacional de Certificação da Cibersegurança.
O caráter transfronteiriço da cibersegurança e o esforço de cooperação internacional que lhe está subjacente permitem a produção de conhecimento em permanente atualização e o desenvolvimento contínuo de um conjunto de boas práticas, vertidas para o plano nacional através do Quadro Nacional de Referência para a Cibersegurança, com o qual é estabelecida uma relação para efeitos de análise dos riscos a realizar pelas respetivas entidades abrangidas, sem prejuízo da natureza transversal deste documento enquanto referencial para um fortalecimento da resiliência de cada organização face às ameaças que afetam o ciberespaço.
Em alinhamento com o Programa do XXII Governo Constitucional, que reconhece a importância de promover políticas e melhores práticas de cibersegurança, o decreto-lei que ora se aprova procura dar resposta ao papel cada vez mais determinante que as tecnologias de informação assumem na forma como se desenvolve a vida em sociedade, seja na atividade dos agentes económicos e dos serviços públicos, seja nas próprias relações entre as pessoas e entre os cidadãos e a Administração Pública. O desafio da transição digital, e alcance transversal, e a emergência de novas tecnologias disruptivas, como a inteligência artificial, a realidade virtual e aumentada e a internet das coisas, sublinham a necessidade de assegurar um nível elevado de segurança das redes e dos sistemas de informação que sustentam o uso destas tecnologias, para que decorra num ambiente de confiança e protegido de ameaças que podem ter efeitos desestabilizadores de considerável alcance na vida em sociedade, especialmente em contextos de crise, que tendem a agravar a exploração de vulnerabilidades por parte de agentes de ameaça com motivações diversas.
Foram ouvidas [ainda a promover] a Entidade Reguladora dos Serviços Energéticos, a Autoridade Nacional a Aviação Civil, a Autoridade da Mobilidade e dos Transporte, o Conselho Nacional de Supervisores Financeiros, a Entidade Reguladora da Saúde, a Entidade Reguladora dos Serviços de Águas e Resíduos, a Autoridade Nacional de Comunicações, a Autoridade Nacional de Emergência e Proteção Civil, a Comissão Nacional de Proteção de Dados, os órgãos de governo próprio das Regiões Autónomas, a Associação Nacional de Municípios Portugueses e a Associação Nacional de Freguesias.
O presente decreto-lei foi submetido a consulta pública entre […].
Assim:
Ao abrigo do disposto no artigo 31.º da Lei n.º 46/2018, de 13 de agosto, e nos termos da alínea c) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto
1 – O presente decreto-lei procede à:
a) Regulamentação da Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço (Regime Jurídico da Segurança do Ciberespaço), transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União;
b) Execução, na ordem jurídica nacional, das obrigações decorrentes do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, permitindo a implementação de um quadro nacional de certificação da cibersegurança.
2 – Para efeitos do disposto na alínea a) do número anterior são estabelecidos:
a) Os requisitos de segurança das redes e dos sistemas de informação que devem ser cumpridos pela Administração Pública, pelos operadores de infraestruturas críticas e pelos operadores de serviços essenciais, nos termos dos artigos 12.º, 14.º e 16.º do Regime Jurídico da Segurança do Ciberespaço;
b) Os requisitos de notificação de incidentes que afetem a segurança das redes e dos sistemas de informação que devem ser cumpridos pela Administração Pública, pelos operadores de infraestruturas críticas, pelos operadores de serviços essenciais e pelos prestadores de serviços digitais, nos termos dos artigos 13.º, 15.º, 17.º e 19.º do Regime Jurídico da Segurança do Ciberespaço, prevendo as circunstâncias, o prazo, o formato e os procedimentos aplicáveis.
Artigo 2.º
Âmbito de aplicação
1 – O presente decreto-lei aplica-se às entidades previstas nas alíneas a) a d) do n.º 1 do artigo 2.º do Regime Jurídico da Segurança do Ciberespaço, sem prejuízo o disposto nos números seguintes.
2 – Os requisitos de segurança das redes e dos sistemas de informação constantes do presente decreto-lei não se aplicam às empresas e aos restadores de serviços referidos no n.º 2 do artigo 12.º do Regime Jurídico da Segurança do Ciberespaço.
3 – Os requisitos de notificação de incidentes que afetem a segurança das redes e dos sistemas de informação constantes do presente decreto-lei não se aplicam:
a) Às empresas e aos prestadores de serviços referidos no n.º 2 do artigo 13.º do Regime Jurídico da Segurança do Ciberespaço;
b) Aos prestadores de serviços digitais que sejam microempresas ou pequenas empresas, tal como definidas pelo Decreto-Lei n.º 372/2007, de 6 de novembro, na sua redação atual.
CAPÍTULO II
Disposições comuns
Artigo 3.º
Princípios e regras gerais
1 – A adoção das medidas técnicas e organizativas destinadas ao cumprimento dos requisitos de segurança previstos no Regime Jurídico da Segurança do Ciberespaço e no presente decreto-lei obedece ao princípio da adequação e da proporcionalidade, devendo ter em consideração:
a) As condições normais de funcionamento das redes e dos sistemas de informação;
b) As situações extraordinárias, designadamente:
i) A ocorrência de incidentes, nos termos da alínea c) do artigo 3.º da Lei n.º 46/2018, de 13 de agosto;
ii) A ocorrência de acidente grave ou catástrofe, nos termos previstos nas disposições legais e regulamentares aplicáveis em matéria de proteção civil e a subsequente ativação de planos de emergência de proteção civil;
iii) A declaração do estado de emergência, de sítio ou de guerra, nos termos previstos na Constituição ou em outras disposições legais e regulamentares aplicáveis;
iv) A ativação de planos no âmbito do planeamento civil de emergência no setor da cibersegurança, nos termos do Decreto-Lei n.º 43/2020, de 21 de julho;
v) A corrência de grave ameaça à segurança interna, incluindo as situações de ataques terroristas, nos termos previstos nas disposições legais e regulamentares aplicáveis em matéria de segurança interna.
2 – O cumprimento das obrigações em matéria de requisitos de segurança e de notificação de incidentes previstos no Regime Jurídico da Segurança do Ciberespaço e no presente decreto-lei deve ser efetuado em conformidade com as disposições respeitantes à segurança de matérias classificadas no âmbito nacional e no âmbito das organizações internacionais de que Portugal seja parte.
3 – O cumprimento dos requisitos de segurança e das obrigações de notificação de incidentes previstos no Regime Jurídico da Segurança do Ciberespaço e no presente decreto-lei não prejudica:
a) O cumprimento dos requisitos específicos de segurança e das obrigações específicas de notificação de incidentes nos termos definidos pelas autoridades competentes, nomeadamente pelo Ministério Público, pela Autoridade Nacional de Emergência e Proteção Civil (ANEPC), pela Autoridade Nacional de Comunicações (ANACOM), pela Comissão Nacional de Proteção de Dados (CNPD) e por outras autoridades setoriais, nos termos das disposições legais e regulamentares aplicáveis;
b) O cumprimento de legislação da União Europeia.
4 – Aos prestadores de serviços digitais aplica-se o disposto no Regulamento de Execução (UE) 2018/151, da Comissão, de 30 de jane ro de 2018, em matéria de requisitos de segurança e de notificação de incidentes.
5 – As entidades referidas no n.º 1 do artigo anterior podem estabelecer formas de colaboração com vista ao cumprimento das obrigações em matéria de requisitos de segurança e de notificação de incidentes previstos na Lei n.º 46/2018, de 13 de agosto, e no presente decreto-lei, numa lógica de partilha de recursos, desde que seja assegurada a efetiva operacionalização das mesmas em cada entidade.
6 – O disposto no número anterior não prejudica a responsabilização de cada entidade individualmente considerada a que haja lugar pela infração a qualquer disposição do presente decreto-lei.
Artigo 4.º
Ponto de contacto permanente
1 – As entidades devem designar um ponto de contacto permanente com a função de assegurar os fluxos de informação de nível operacional e técnico com o Centro Nacional de Cibersegurança (CNCS), garantindo, nomeadamente:
a) A articulação intersetorial, incluindo a eficácia da resposta a incidentes de segurança com impacto a nível dos setores;
b) A obtenção de informação operacional e técnica, na sequência de notificação de incidentes com impacto relevante ou substancial submetida pela mesma ou outra entidade;
c) A obtenção e atualização de informação de situação integrada no contexto de um incidente com impacto relevante ou substancial;
d) A partilha de informação quando estejam ativados planos de emergência de proteção civil diretamente relacionados ou com impacto ao nível da segurança do ciberespaço, bem como de planos no âmbito do plane mento civil de emergência do ciberespaço ou dos planos de segurança das infraestruturas críticas nacionais ou europeias;
e) A operacionalização dos procedimentos fixados no âmbito de um plano de emergência de proteção civil quando tenham impacto no funcionamento das redes e sistemas de informação, ou do planeamento civil de emergência do ciberespaço;
f) A receção das instruções técnicas emitidas ao abrigo do disposto no n.º 5 do artigo 7.º do Regime Jurídico da Segurança do Ciberespaço e no artigo 18.º;
g) A operacionalização dos procedimentos fixados no âmbito dos planos de segurança previstos no artigo 7.º.
2 – As entidades devem assegurar a função de ponto de contacto permanente com uma disponibilidade contínua de 24 horas por dia e de sete dias por semana, limitada a períodos de ativação, iniciados e terminados mediante comunicação do CNCS.
3 – As entidades devem indicar ao CNCS, no prazo de 20 dias úteis a contar do início da respetiva atividade, o ponto de contacto permanente.
4 – As entidades que tenham iniciado atividade antes da data de entrada em vigor do presente decreto-lei devem, no prazo de 20 dias úteis, a contar do prazo previsto no n.º 2 do artigo 22.º, designar o ponto de contacto permanente e comunicar ao CNCS.
5 – As entidades devem assegurar que o ponto de contacto permanente dispõe de meios de contacto principais e alternativos para a comunicação com o CNCS.
Artigo 5.º
Responsável de segurança
1 – As entidades devem designar um responsável de segurança para a gestão o conjunto das medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes, nos termos do Regime Jurídico da Segurança do Ciberespaço e do presente decreto-lei.
2 – As entidades devem comunicar ao CNCS, no prazo de 20 dias úteis a contar do início da respetiva atividade, a informação relativa à pessoa designada para as funções de responsável de segurança.
3 – As entidades que tenham iniciado atividade antes da data de entrada em vigor do presente decreto-lei devem, no prazo de 20 dias úteis, a contar do prazo previsto no n.º 2 do artigo 22.º, designar e comunicar ao CNCS a informação relativa à pessoa designada para as funções de responsável de segurança.
Artigo 6.º
Inventário de ativos
1 – As entidades devem elaborar e manter atualizado um inventário de todos os ativos essenciais para a prestação dos respetivos serviços, devendo o mesmo ser assinado pelo responsável de segurança.
2 – No inventário de ativos deve constar, para cada ativo, a informação definida em instruções técnicas emitidas pelo CNCS.
3 – As entidades devem comunicar ao CNCS a lista dos ativos constantes do inventário, com a informação que venha a ser determinada nos termos do número anterior, com a seguinte periodicidade:
a) Na sua versão inicial, no prazo de 20 dias úteis a contar da data de início de atividade;
b) Numa versão atualizada, anualmente, a ser entregue em conjunto com o relatório anual a que se refere o artigo 8.º.
Artigo 7.º
Plano de segurança
As entidades devem elaborar e manter atualizado um plano de segurança, devidamente documentado e assinado pelo responsável de segurança, que contenha:
a) A política de segurança;
b) A descrição de todas as medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes;
c) A identificação do responsável de segurança;
d) A identificação do ponto de contacto permanente.
Artigo 8.º
Relatório anual
1 – As entidades devem elaborar um relatório anual que, em relação ao ano civil a que se reporta, contenha os seguintes elementos:
a) Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos serviços de informação;
b) Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes;
c) Análise agregada dos incidentes de segurança com impacto relevante ou substancial, com informação sobre:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração dos incidentes;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
d) Recomendações de atividades, de medidas ou de práticas que promovam a melhoria da segurança das redes e dos sistemas de informação;
e) Problemas identificados e medidas implementadas na sequência dos incidentes;
f) Qualquer outra informação relevante.
2 – As entidades devem remeter o relatório anual ao CNCS, devidamente assinado pelo responsável de segurança, nos seguintes termos:
a) Relativamente ao primeiro relatório anual:
i) Até ao último dia útil do mês de janeiro do ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido início no primeiro semestre;
ii) Até ao último dia útil do mês de janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido início no segundo semestre;
b) Relativamente aos relatórios subsequentes anuais, até ao último dia útil do mês de janeiro do ano civil seguinte aos quais os mesmos se reportam.
3 – Para efeitos do disposto na subalínea ii) da alínea a) do número anterior, o relatório anual deve abranger todo o período entre a data de início de atividade e o final do ano civil anterior.
4 – Para efeitos do disposto no presente artigo, o CNCS pode definir o formato em que a informação deve ser apresentada.
5 – As entidades reguladoras e as entidades com poderes de supervisão sobre os setores e subsetores identificados no anexo ao Regime Jurídico da Segurança do Ciberespaço, remetem ao CNCS os relatórios considerados equivalentes nos termos do artigo 18.º, quando tal resulte de instrução complementar emitida pelo CNCS, em articulação com as entidades reguladoras e de supervisão acima referidas.
CAPÍTULO III
Segurança das redes e dos sistemas de informação
Artigo 9.º
Medidas para cumprimento dos requisitos de segurança
1 – A entidades referidas na alínea a) do n.º 2 do artigo 1.º devem cumprir as medidas técnicas e organizativas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, devendo, para o efeito, realizar uma análise dos riscos de acordo com o disposto no artigo seguinte.
2 – As medidas referidas no número anterior devem garantir um nível de segurança adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes, através da utilização de normas e especificações técnicas internacionalmente aceites aplicáveis à segurança das redes e dos sistemas de informação, sem imposição ou discriminação em favor da utilização de um determinado tipo de tecnologia
Artigo 10.º
Análise dos riscos e implementação dos requisitos de segurança
1 – As entidades da Administração Pública e os operadores de infraestruturas críticas, bem como os operadores de serviços essenciais, devem realizar uma análise dos riscos em relação a todos os ativos que garantam a continuidade do funcionamento das redes e dos sistemas de informação que utilizam e, no caso dos operadores de serviços essenciais, também em relação aos ativos que garantam a prestação dos serviços essenciais, nos seguintes termos:
a) Análise dos riscos de âmbito global, com a seguinte periodicidade:
i) Pelo menos, uma vez por ano;
ii) Após a notificação, por pa te do CNCS, de um risco, de uma ameaça ou de uma vulnerabilidade emergentes que implique uma elevada probabilidade de ocorrência de um incidente com impacto relevante, dentro do prazo fixado pelo CNCS;
b) Análise dos riscos de âmbito parcial, com a seguinte periodicidade:
i) Durante o planeamento e preparação da introdução de uma alteração ao ativo ou ativos, em relação ao ativo ou ativos envolvidos;
ii) Após a ocorrência de um incidente com impacto relevante ou outra situação extraordinária, em relação aos ativos afetados;
iii) Após a notificação, por parte do CNCS, de um risco, de uma ameaça ou de uma vulnerabilidade emergentes que impliquem uma elevada probabilidade de ocorrência de um incidente com impacto relevante, dentro do prazo fixado pelo CNCS.
2 – As entidades devem documentar a preparação, a execução e a apresentação dos resultados da análise dos riscos.
3 – A análise do risco deve abranger para cada ativo:
a) A identificação das ameaças, internas ou externas, intencionais ou não intencionais, incluindo, nomeadamente:
i) Falha de sistema;
ii) Fenómeno natural;
iii) Erro humano;
iv) Ataque malicioso;
v) Falha no fornecimento de bens ou serviços por terceiro.
b) A caracterização do impacto e da probabilidade da ocorrência das ameaças identificadas na alínea anterior.
4 – A análise dos riscos deve ter em consideração:
a) O histórico de situações extraordinárias ocorridas;
b) O histórico de incidentes e, em especial, de incidentes com impacto relevante;
c) O número de utilizadores afetados pelos incidentes;
d) A duração dos incidentes;
e) A distribuição geográfica, no que se refere à zona afetada pelos incidentes;
f) As dependências intersetoriais para efeitos da prestação dos serviços, incluindo os constantes do anexo ao Regime Jurídico da Segurança do Ciberespaço e o setor das comunicações eletrónicas.
5 – A análise dos riscos deve ainda ter em consideração a avaliação integrada dos riscos para a segurança das redes e dos sistemas de informação a nível nacional, europeu e internacional, publicada anualmente ou notificada às entidades pelo CNCS.
6 – Na sequência de cada análise dos riscos, as entidades devem adotar as medidas técnicas e organizativas adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, e que resultem, nomeadamente:
a) De normativo complementar setorial aprovado pelo CNCS, sem prejuízo da aplicação de outro normativo nacional e da União Europeia em matéria da segurança das redes e dos sistemas de informação;
b) Do Quadro Nacional de Referência de Cibersegurança, e respetivas disposições complementares, elaborado pelo CNCS, na ausência ou em complemento do normativo setorial previsto na alínea anterior.
7 – Os riscos para a segurança das redes e dos sistemas de informação caracterizados como residuais devem ser tratados pelas entidades nos termos do número anterior.
8 – As entidades devem rever e, se necessário, atualizar o seu plano de segurança, nos termos previstos no artigo 7.º, em função da evolução do contexto de atuação e da ocorrência de incidentes.
9 – As medidas a adotar ao abrigo do disposto no n.º 6 devem permitir:
a) A prevenção, a gestão e a redução dos riscos;
b) O reforço da robustez e da resiliência dos ativos, incluindo a respetiva proteção contra as ameaças identificadas e a respetiva recuperação ou redundância, de forma a assegurar um rápido restabelecimento do funcionamento das redes e dos sistemas de informação;
c) Uma resposta eficaz a incidentes, a ameaças ou a vulnerabilidades.
10 – Para efeitos do disposto no presente artigo, o CNCS pode emitir instruções técnicas com vista a uma harmonização da matriz de risco a adotar pelas entidades.
CAPÍTULO IV
Notificações de incidentes
Artigo 11.º
Obrigações de notificação
1 – A Administração Pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais e os prestadores de serviços digitais notificam o CNCS da ocorrência de incidentes com impacto relevante ou substancial nos termos, respetivamente, dos artigos 15.º, 17.º e 19.º do Regime Jurídico da Segurança do Ciberespaço.
2 – As entidades devem implementar todos os eios e os procedimentos necessários à deteção, à avaliação do impacto e à notificação de incidentes com impacto relevante ou substancial.
3 – A Administração Pública e os operadores de infraestruturas críticas, os operadores de serviços essenciais os prestadores de serviços digitais devem, perante qualquer incidente detetado ou a estes comunicado pelos seus clientes, utilizadores ou outras entidades, atender aos parâmetros previstos, respetivamente, no n.º 4 do artigo 15.º, no n.º 4 do artigo 17.º e no n.º 4 do artigo 19.º do Regime Jurídico da Segurança do Ciberespaço, bem como aos constantes dos normativos complementares setoriais aplicáveis, para classificar os incidentes como tendo impacto relevante ou substancial.
Artigo 12.º
Tipos de notificações
1 – Por cada incidente que deva ser objeto de notificação ao abrigo do disposto no artigo anterior, as entidades devem submeter ao CNCS:
a) Uma notificação inicial, nos termos do artigo seguinte;
b) Uma notificação de fim de impacto relevante ou substancial, nos termos do artigo 14.º;
c) Uma notificação final, nos termos do artigo 15.º.
2 – Nos casos em que o incidente seja resolvido de forma imediata, nas primeiras duas horas após a sua deteção, as entidades podem enviar diretamente a notificação final com todos os campos de informação devidamente preenchidos, ficando dispensadas do envio das restantes notificações.
Artigo 13.º
Notificação inicial
1 – A notificação inicial deve ser enviada logo que a entidade possa concluir que existe ou possa vir a existir impacto relevante ou substancial e até duas horas após essa verificação, devendo a entidade, sem prejuízo do cumprimento deste prazo, dar prioridade à mitigação e à resolução do incidente.
2 – A notificação inicial deve incluir a seguinte informação:
a) Nome, número de telefone e endereço de correio eletrónico de um representante da entidade, quando diferente do ponto de contacto permanente a que se refere o artigo 4.º, para efeito de um eventual contacto por parte do CNCS;
b) Data e hora do início ou, em caso de impossibilidade de o determinar, da deteção do incidente;
c) Breve descrição do incidente, incluindo a indicação da categoria da causa raiz e dos efeitos produzidos, de acordo com a taxonomia definida no artigo 16.º e, sempre que possível, o respetivo detalhe;
d) Estimativa possível do impacto, considerando:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração do incidente;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
e) Outra informação que a entidade considere relevante.
Artigo 14.º
Notificação de fim de impacto relevante ou substancial
1 – A notificação de fim de impacto relevante ou substancial do incidente deve ser submetida ao CNCS logo que possível, dentro do prazo máximo de duas horas após a perda de impacto relevante ou substancial.
2 – A notificação de fim de impacto relevante ou substancial deve incluir a seguinte informação:
a) Atualização da informação transmitida na notificação inicial, caso exista;
b) Breve descrição das medidas adotadas para a resolução do incidente;
c) Descrição da situação do impacto existente no momento da perda de impacto relevante ou substancial, nomeadamente:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração do incidente;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
iv) Tempo estimado para a recuperação total dos serviços.
Artigo 15.º
Notificação final
1 – A notificação final deve ser enviada no prazo de 30 dias úteis a contar do momento em que o incidente deixou de se verificar.
2 – A notificação final deve incluir a seguinte informação:
a) Data e hora em que o incidente assumiu o impacto relevante ou substancial;
b) Data e hora em que o incidente perdeu o impacto relevante ou substancial;
c) Impacto do incidente, considerando:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração do incidente;
iii) Distribuição geográfica, no que se refere à zona afetada p lo incidente, incluindo a indicação de impacto transfronteiriço;
iv) Descrição do incidente, com indicação da categoria da causa raiz e dos efeitos produzidos, de acordo com a taxonomia definida no artigo seguinte, e o respetivo detalhe;
d) Indicação das medidas adotadas para mitigar o incidente;
e) Descrição da situação residual do impacto existente à data da notificação final, nomeadamente:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
iii) Tempo estimado para a recuperação total dos serviços ainda afetados;
f) Indicação, sempre que aplicável, da apresentação de notificação do incidente em causa às autoridades competentes, nomeadamente ao Ministério Público, à ANEPC, à ANACOM, à CNPD e a outras autoridades setoriais, nos termos previstos nas disposições legais e regulamentares aplicáveis;
g) Outra informação que a entidade considere relevante.
3 – Nos casos em que exista uma situação residual do impacto à data da notificação final, descrita ao abrigo do disposto na alínea e) do número anterior, as entidades devem comunicar ao CNCS, logo que possível, a recuperação total dessa situação residual.
Artigo 16.º
Taxonomia de incidentes e de efeitos
1 – Para efeitos do disposto nos artigos 13.º a 15.º, os incidentes podem ter as seguintes categorias de causas raiz:
a) Falha de sistema;
b) Fenómeno natural;
c) Erro humano;
d) Ataque malicioso;
e) Falha no fornecimento de bens ou serviços por terceiro.
2 – Para os efeitos do disposto nos artigos 13.º a 15.º, os incidentes podem ter os seguintes efeitos produzidos:
a) Infeção por malw re;
b) Disponibilidade;
c) Recolha de informação;
d) Intrusão;
e) Tentativa de intrusão;
f) Segurança da informação;
g) Fraude;
h) Conteúdo abusivo;
i) Outro.
3 – As entidades podem enviar ao CNCS, de forma voluntária, qualquer informação adicional relevante que sirva de suporte ao reporte de incidentes e que facilite o respetivo acompanhamento.
Artigo 17.º
Disposições complementares
1 – O CNCS presta à entidade notificante as informações relevantes relativas ao processamento do incidente notificado, nomeadamente informações que pos am contribuir para o tratamento eficaz do incidente.
2 – As entidades devem dar resposta a qualquer pedido de informação adicional por parte do CNCS sobre os incidentes reportados.
3 – As entidades podem optar por enviar ao CNCS qualquer campo de informação antes do final dos prazos fixados para o efeito, desde que disponham de informação fiável para o fazer.
4 – Sem prejuízo do disposto no presente capítulo, as entidades devem seguir o formato e o procedimento de notificação de incidentes definido nos normativos complementares setoriais aplicáveis.
CAPÍTULO V
Disposições complementares e finais
Artigo 18.º
Regulamentação complementar
1 – O CNCS pode, no âmbito das suas competências, emitir instruções técnicas complementares em matéria de requisitos de segurança e de notificação de incidentes, designadamente normativos complementares setoriais.
2 – Sempre que um ato jurídico setorial da União Europeia exigir que as entidades abrangidas pelo presente decreto-lei garantam a segurança das respetivas redes e dos respetivos sistemas de informação ou a notificação de incidentes, são aplicáveis as disposições desse ato jurídico setorial desde que os seus requisitos tenham pelo menos efeitos equivalentes às obrigações constantes do presente decreto-lei, devendo, sempre que necessário, ser especificada a respetiva implementação pelo CNCS em articulação com as entidades reguladoras e com as entidades com poderes de supervisão sobre os setores e subsetores identificados no anexo ao Regime Jurídico da Segurança do Ciberespaço, seguindo-se o seguinte procedimento:
a) O CNCS, em articulação com as entidades reguladoras e as entidades com poderes de supervisão sobre os setores e subsetores identificados no anexo ao Regime Jurídico da Segurança do Ciberespaço avaliam o grau de equivalência das regras relativas ao inventário de ativos e ao relatório anual bem como dos requisitos de segurança e notificação de incidentes estabelecidos para cada setor;
b) Na avaliação do grau de equivalência deve ser ponderado em que medida os requisitos setoriais definidos pela lei, pelas disposições europeias e pelos normativos setoriais cumprem os requisitos previstos no presente decreto-lei, procurando, sempre que possível, evitar a sobreposição de requisitos e reportes;
c) O CNCS emite, por instrução técnica, o resultado da avaliação do grau de equivalência prevista no presente decreto-lei.
Artigo 19.º
Comunicações
1 – As comunicações entre as entidades e o CNCS, incluindo as notificações de incidentes, devem seguir o formato e o procedimento definido nos normativos complementares setoriais aplicáveis.
2 – Na ausência dos normativos previstos no número anterior, para efeitos do disposto no artigo 12.º, as entidades devem realizar as notificações previstas no presente decreto-lei no sítio na Internet do CNCS através do serviço «Ponto Único de Notificação de Incidentes», mediante o preenchimento do modelo de reporte estabelecido para o efeito, ou através de outro meio eletrónico, conforme determinado pelo CNCS.
3 – O acesso aos sistemas eletrónicos e sítios de Internet para tratamento das notificações previstas no presente decreto-lei deve ser efetuado com recurso a sistema de identificação eletrónico com nível de garantia «elevado», nos termos definidos pelos artigos 8.º e 9.º do Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança, designadamente através do Cartão de Cidadão e da Chave Móvel Digital.
4 – Nos casos em que a entidade não tenha temporariamente capacidade operacional para assegurar a comunicação prevista no número anterior, ou nos casos em que o sítio na Internet do CNCS esteja indisponível, em resultado do incidente ou por outro motivo de natureza emi entemente técnica devidamente justificado, a notificação pode ser efetuada, a título excecional, através de correio eletrónico ou telefonicamente, de acordo com instruções técnicas a emitir pelo CNCS.
Artigo 20.º
Autoridade Nacional de Certificação da Cibersegurança
1 – O CNCS é a Autoridade Nacional de Certificação da Cibersegurança (ANCC) designadamente para efeitos do disposto no artigo 58.º do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, gozando para este efeito de independência técnica.
2 – A ANCC pode, para além das respetivas atribuições no âmbito dos esquemas europeus de certificação da cibersegurança, desenvolver e implementar esquemas específicos de certificação da cibersegurança relativos a produtos, serviços e processos de TIC que não sejam ainda abrangidos por um esquema europeu, sempre que a especificidade do objeto da certificação o justifique.
3 – A ANCC implementa um quadro nacional de certificação da cibersegurança, estabelecendo as disposições necessárias à elaboração, implementação e execução dos esquemas de certificação previstos no número anterior, aos quais são aplicáveis, com as necessárias adaptações, as disposições constantes do Título III do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019.
4 – Constituem competências da ANCC:
a) Solicitar aos organismos de avaliação da conformidade, aos titulares de certificados de cibersegurança e aos emitentes de declarações de conformidade, as informações de que necessite para o exercício das respetivas atribuições;
b) Tomar as medidas adequadas a garantir que os organismos de avaliação da
c nformidade, os titulares de certificados nacionais ou europeus de cibersegurança, e os emitentes de declarações de conformidade cumprem o disposto na lei em matéria de certificação da cibersegurança;
c) Executar as demais competências estabelecidas para as autoridades de certificação da cibersegurança, designadamente as decorrentes do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019.
5 – A avaliação dos esquemas de certificação específicos, designadamente sobre a respetiva adequação, é efetuada pela ANCC em articulação com o Instituto Português de Acreditação, I. P., enquanto organismo nacional de acreditação e com o Instituto Português da Qualidade, I.P., enquanto organismo nacional de normalização e com as demais entidades públicas com competências no âmbito da matéria abrangida pela certificação.
Artigo 21.º
Regime sancionatório
1 – Às infrações ao disposto no presente decreto-lei é aplicável o regime sancionatório previsto no Regime Jurídico da Segurança do Ciberespaço aprovado pela Lei n.º 46/2018, de 13 de agosto.
2 – Constituem contraordenações puníveis com coima de € 1 000,00 a € 3 740,98, no caso de pessoa singular, ou de € 5 000,00 a € 44 891,81, no caso de pessoa coletiva, a prática das seguintes infrações:
a) A utilização de marca de certificação da cibersegurança inválida, caducada ou revogada;
b) A utilização de expressão ou grafismo que expressa ou tacitamente sugira a certificação de produto, serviço ou processo que não seja certificado;
c) A omissão dolosa de informação ou a prestação de falsa informação que seja relevante para o processo de certificação da cibersegurança que se encontre em curso, nos termos definidos em cada esquema de certificação.
3 – Sem prejuízo das competências atribuídas a outras entidades em razão da matéria, às contraordenações previstas no número anterior aplica-se o disposto nos artigos 21.º e 25.º a 28.º do Regime Jurídico da Segurança do Ciberespaço.
Artigo 22.º
Entrada em vigor e produção de efeitos
1 – Sem prejuízo dos números seguintes, o presente decreto-lei entra em vigor no décimo dia seguinte ao da sua publicação.
2 – O disposto nos artigos 4.º, 5.º, 7.º e 11.º a 17.º produz efeitos 90 dias após a entrada em vigor do presente decreto-lei.
3 – O disposto nos artigos 9.º e 10.º produz efeitos no prazo de um ano após a entrada em vigor do presente decreto-lei.
4 – O primeiro relatório anual a que se refere a alínea a) do n.º 2 do artigo 8.º deve ser entregue até 31 de janeiro de 2022, sem rejuízo do disposto na subalínea ii) da alínea a) do n.º 2 do mesmo artigo.
5 – A versão inicial do inventário de ativos a que se refere o artigo 6.º deve ser entregue em conjunto com o relatório anual referido no número anterior.
Visto e aprovado em Conselho de Ministros de
O Primeiro-Ministro
O Ministro de Estado, da Economia e da Transição Digital
O Ministro de Estado e dos Negócios Estrangeiros
A Ministra de Estado e da Presidência
O Ministro de Estado e das Finanças
O Ministro da Administração Interna
A Ministra da Justiça
A Ministra da Modernização do Estado e da Administração Pública
A Ministra da Saúde
O Ministro do Ambiente e da Ação Climática
O Ministro das Infraestruturas e da Habitação
O Ministro do Mar
