Certificação Serviços de Cibersegurança

Apresentação

O Esquema de Certificação de Serviços de Cibersegurança (EC SCS) é o segundo esquema desenvolvido no âmbito do quadro nacional de certificação da cibersegurança, promovido pelo Centro Nacional de Cibersegurança (CNCS) na qualidade de Autoridade Nacional de Certificação da Cibersegurança (ANCC).

Este novo esquema surge para dar resposta à necessidade de identificar e valorizar serviços de cibersegurança, assegurando que o seu desempenho é alvo de avaliação e monitorização periódica, apoiando a criação de um catálogo nacional de prestadores de serviços de cibersegurança nacionais confiáveis.

Compete ao CNCS, enquanto dono do esquema e na qualidade de Autoridade Nacional de Certificação da Cibersegurança, a sua elaboração, gestão e manutenção da sua  atualização e adequação, bem como a supervisão da sua implementação.

A certificação dos serviços de cibersegurança é realizada por organismos de certificação independentes (OC), devidamente acreditados pelo IPAC, garantindo imparcialidade e rigor em todo o processo.

Objetivos

O objetivo do esquema é a certificação acreditada da implementação dos requisitos de segurança definidos para cada tipologia de serviço abrangida.

No âmbito deste esquema de certificação, podem ser certificados os seguintes serviços de cibersegurança:

• Monitorização e resposta a incidentes;
• Gestão de vulnerabilidades;
• Informações sobre ameaças (Threat Intelligence);
• Testes de intrusão (Pentesting).

Características Genéricas

O esquema estabelece requisitos gerais horizontais, aplicáveis a todas as organizações candidatas, e requisitos específicos por tipologia de serviço, que devem ser implementados e cumpridos para efeitos de certificação.

Os requisitos definidos no EC SCS estão divididos em três áreas:

• Organizacional – relacionados com a estrutura, funções e políticas de cibersegurança da organização.
• Técnica – relacionados com as medidas técnicas e tecnológicas aplicadas à prestação dos serviços.
• Humana – relacionados com as competências, qualificações e sensibilização dos recursos humanos envolvidos.

Destinatários

O EC SCS é de caráter voluntário e aplica-se a todas as organizações que prestam serviços de cibersegurança, independentemente da sua tipologia ou dimensão, desde que estejam estabelecidas em território nacional.

Níveis de Certificação

O EC SCS define dois níveis de certificação:

• Básico – Implementação dos requisitos gerais, bem como dos requisitos específicos associados à tipologia de serviço prestado.
• Substancial – Para além dos requisitos do nível Básico, exige ainda a Credenciação de Segurança do prestador de serviços de cibersegurança, emitida pelo Gabinete Nacional de Segurança (GNS).

Documentação

• Esquema de certificação SCS

• Formulário de candidatura à certificação (para enviar apenas a organismos de certificação)