O que acrescenta a regulamentação do Regime Jurídico de Segurança no Ciberespaço?

O Decreto-Lei que regula o Regime Jurídico de Segurança no Ciberespaço (RJSD) foi publicado em Julho e entrou em vigor no início de Agosto. Alguns pontos produziram efeitos em Novembro e outros deverão ser acautelados até Agosto do próximo ano.
Entretanto, é importante colocar em prática as obrigações decorrentes da legislação para evitar coimas. Em síntese, as entidades abrangidas pela legislação devem:

  • Designar e comunicar ao CNCS os pontos de contacto permanente e o responsável de segurança (assim que possível);
  • Desenhar o plano de segurança (assim que possível);
  • Criar e apresentar ao CNCS relatório anual (em Janeiro de 2022);
  • Elaborar e apresentar ao CNCS inventário e lista de activos (em Janeiro de 2022).

A que empresas se aplica a legislação agora em vigor?

O diploma aplica-se às entidades da Administração Pública, aos operadores de infra-estruturas críticas (mercado financeiro, saúde, fornecimento e distribuição de água potável, infra-estruturas digitais), aos operadores de serviços essenciais (energia, transportes, banca) e aos prestadores de serviços digitais.

Qual o enquadramento jurídico?

O Decreto-Lei n.º 65/2021, de 30 de Julho, regulamenta aspectos que têm de ser cumpridos no âmbito do Regime Jurídico de Segurança no Ciberespaço (Lei n.º 46/2018, de 13 de Agosto).

O Regime Jurídico de Segurança no Ciberespaço transpõe para o regime jurídico nacional a conhecida Directiva SIR (Segurança dos Sistemas de Informação e Redes) que visa assegurar um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União Europeia. O decreto-lei que o regulamenta é resultado da transposição para o enquadramento legal nacional do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de Abril de 2019.

Quais os aspectos a que as empresas devem tomar especial atenção?

Foquemo-nos para já nas mais recentes obrigações decorrentes deste diploma. A nova legislação regulamenta os requisitos de segurança das redes e sistemas de informação previstos no RJSD.

Foram criadas as regras para a notificação de incidentes através de um ponto de contacto permanente com o Centro Nacional de Cibersegurança (CNCS).

Designação e comunicação do ponto de contacto permanente e do responsável de segurança à CNCS

As entidades abrangidas têm que designar e comunicar ao CNCS os nomes dos pontos de contacto permanente e do responsável de segurança, o quanto antes.

O ponto de contacto permanente tem como funções assegurar fluxos de informação de nível operacional e técnico com o CNCS. Este ponto de contacto pode ser uma ou mais pessoas, e tem que ter à sua disposição meios de comunicação principais e alternativos e estar disponível 24 horas por dia, 7 dias por semana.

Já o responsável de segurança terá como função gerir as medidas adoptadas em matéria de requisitos de segurança e de notificação de incidentes.

Segundo o CNCS, «desde que asseguradas as funções de responsável de segurança e de ponto de contacto permanente, fica no âmbito de decisão da entidade supervisionada a possibilidade de acumulação de funções e a respectiva designação».

Criação e actualização do plano de segurança

As entidades abrangidas têm também que elaborar, e manter actualizado, um plano de segurança. Este tem que estar documentado e assinado pelo responsável de segurança. Esta informação tem que conter:

  • A política de segurança, compreendendo a descrição das medidas organizativas e também a formação de recursos humanos;
  • A descrição das medidas adoptadas em matéria de requisitos de segurança e de notificação de incidentes;
  • A identificação dos responsáveis de segurança e do ponto de contacto permanente.

Para a elaboração deste plano de segurança, os operadores de infra-estruturas críticas podem utilizar o plano previsto no artigo 10.º do Decreto-Lei n.º 62/2011, de 9 de Maio.

O plano de segurança tem que estar actualizado, sem necessidade de envio para o CNCS. Este poderá emitir instruções técnicas com vista a uma harmonização da matriz de risco a adoptar pelas entidades.

Notificação de incidentes à CNCS

As organizações abrangidas são agora obrigadas a notificar o CNCS em caso de incidentes com impacto relevante ou substancial.

Para o efeito, devem ser implementados meios e procedimentos necessário à detecção, à avaliação do impacto e à notificação daqueles incidentes. Quando detectado um incidente deve atender-se aos parâmetros previstos no RJSC, bem como aos constantes dos normativos complementares sectoriais aplicáveis, para classificar os incidentes como tendo impacto relevante ou substancial.

Estas são, em síntese as obrigações que produzem efeitos desde o início de Novembro. Deverá estar atento em particular aos prazos.

Elaboração do relatório anual e do inventário inicial para entregar ao CNCS em Janeiro

Por esta altura as entidades abrangidas já devem estar a preparar o relatório anual e a versão inicial do inventário de activos. Ambos os documentos devem ser enviados para o CNCS até 31 de Janeiro de 2022. O relatório anual deverá ser enviado todos os meses de Janeiro daqui para a frente.

O Relatório anual deve ser assinado pelo responsável de segurança e deverá conter informações sobre:

  • As principais actividades desenvolvidas em matéria das redes e dos serviços de informação;
  • As estatísticas trimestrais dos incidentes;
  • A análise agregada dos incidentes de segurança com impacto relevante ou substancial;
  • A recomendação de medidas que promovam a melhoria da segurança das redes e dos sistemas de informação;
  • Os problemas identificados e medidas implementadas na sequência dos incidentes;

Cumprimento das medidas técnicas e organizativa para a gestão de risco

Em Agosto do próximo ano, a Administração Pública, os operadores de infra-estruturas críticas e os operadores de serviços essenciais devem cumprir as medidas técnicas e organizativas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam. Estas medidas devem garantir um nível de segurança adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes e através da utilização de normas e especificações técnicas aceites a nível internacional.

O projecto de regulamento para a instrução técnica relativa à comunicação de informação, no âmbito do Decreto-Lei n.º 65/2021, está em discussão, podendo os interessados enviar por escrito os seus comentários para o CNCS até ao dia 30 de Dezembro.

A informação detalhada sobre o que fazer encontra-se no artigo 10.º do Decreto-Lei n.º 65/2021, devendo ainda ser considerado que o Quadro Nacional de Referência em Cibersegurança (QNRC) tem um capítulo referente à gestão de risco, explica o CNCS.

Os riscos e requisitos da norma relativa a Protecção de Dados (RGPD) devem ser enquadrados no âmbito dos cenários de riscos cobertos e sob monitorização, bem como todos os derivados da norma ISO27001, com enorme impacto nas infra-estruturas e nos sistemas de informação. A par com a definição de políticas, processos e procedimentos, importa medir a maturidade dos mesmos (referencial CMMI, de 1 a 5), bem como identificar os cenários de risco a mitigar, e auditar os sistemas expostos (Penetration Testing).

Em suma, deve ser feita uma avaliação de risco de todos os activos que garantam a continuidade do funcionamento das redes e dos sistemas de informação que utilizam e a adopção de medidas técnicas e organizativas com o objectivo de mitigar aqueles riscos. No caso dos operadores de serviços essenciais, inclui ainda os activos que garantam a prestação dos serviços essenciais.

Fica também definido que o CNCS passa também a ser a Autoridade Nacional de Certificação da Cibersegurança (ANCC), sendo responsável pelo estabelecimento do regime contra-ordenacional.

O CNCS esclarece que a certificação da cibersegurança é voluntária e facultativa, salvo se as autoridades europeias ou nacionais estabelecerem a sua obrigatoriedade para fins de determinado conceito específico.

Contra-ordenações

As coimas sobre as infracções dispostas no decreto-lei, podem chegar a perto de 45 mil euros, no caso de pessoa colectiva.

Além das infracções previstas no Regime Jurídico da Segurança do Ciberespaço – como é o caso de negligência –, as infracções previstas são:

  • Utilização de uma marca de certificação de cibersegurança inválida, caducada ou revogada;
  • Utilização de uma linguagem que sugira a certificação da cibersegurança de produtos, serviço ou processo que não seja certificado;
  • A omissão dolosa de informação ou a prestação de falsa informação relevante para o processo de certificação da cibersegurança em curso.

Em síntese, as entidades abrangidas pelo Regime Jurídico da Segurança do Ciberespaço devem desde já cumprir os prazos de comunicação dos pontos de contacto e do responsável de segurança e desenhar o plano de segurança. Em Janeiro, devem apresentar ao CNCS o primeiro relatório anual e o inventário e lista de activos inicial.

Sempre que se registarem incidentes, estes devem ser comunicados ao CNCS e em Agosto de 2022, as entidades têm que cumprir as medidas técnicas e organizativas para a gestão de risco, cujos detalhes estão sob consulta pública até ao final do corrente ano.

Jorge Pereira @ Joyn Group

Share: