Ir para conteúdo

Âmbito e Definições -  Lei n.º 46/2018, de 13 de agosto

À Administração Pública, aos operadores de infraestruturas críticas, aos operadores de serviços essenciais, aos prestadores de serviços digitais, bem como a quaisquer outras entidades que utilizem redes e sistemas de informação, nomeadamente, no âmbito da notificação voluntária de incidentes.

O Estado, as regiões autónomas, as autarquias locais, as entidades administrativas independentes, os institutos públicos, as empresas públicas e as associações públicas.

Uma entidade pública ou privada que presta um serviço essencial, no âmbito dos seguintes setores: energia (subsetores: eletricidade, petróleo e gás) transportes (subsetores: transporte aéreo, transporte ferroviário, transporte marítimo e por vias navegáveis interiores, bem como, transporte rodoviário), bancário, infraestruturas do mercado financeiro, saúde (subsetor: instalações de prestação de cuidados de saúde), fornecimento e distribuição de água potável e infraestruturas digitais.

Uma pessoa coletiva que presta um serviço digital, a saber, serviço de mercado em linha, serviço de motor de pesquisa em linha ou serviço de computação em nuvem.


Decreto-Lei n.º 65/2021, de 30 de junho

O Decreto-Lei n.º 65/2021, de 30 de julho, que regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019, aplica-se às entidades da Administração Pública, Operadores de Infraestruturas Críticas, Operadores de Serviços Essenciais e Prestadores de Serviços Digitais, de acordo com o n.º 1 do respetivo artigo 2.º.

O Decreto-Lei 65/2021, de 30 de julho, prevê as obrigações de aplicação de requisitos de segurança e de notificação de incidentes para todas as entidades no seu âmbito de aplicação, nos termos do n.º 2 do artigo 1.º, com exceção dos prestadores de serviços digitais aos quais em matéria de requisitos de segurança e de limites para notificação de incidentes, se aplica o Regulamento de Execução (UE) 2018/151, da Comissão, de 30 de janeiro de 2018.
Aplica-se ainda às referidas entidades as obrigações de:
- designar e comunicar ao CNCS o respetivo ponto de contacto permanente e o responsável de segurança;
- elaborar e apresentar ao CNCS inventário de ativos e lista de ativos;
- elaborar plano de segurança; e
- elaborar e apresentar ao CNCS relatório anual.
As referidas obrigações decorrem dos artigos n.ºs 4, 5, 6, 7 e 8 do referido Decreto-Lei n.º 65/2021, de 30 de julho.

A obrigação de comunicação do exercício de atividade ao CNCS para os operadores de serviços essenciais no setor das infraestruturas digitais e para os prestadores de serviços digitais decorre do n.º 3 do artigo 29.º e do n.º 1 do artigo 30.º da Lei n.º 46/2018, de 13 de agosto.
A comunicação do exercício de atividade deve ser realizada por meios eletrónicos para o endereço de correio eletrónico sri@cncs.gov.pt.

O envio das notificações de incidentes e de informação adicional, de acordo com os termos dos artigos 11.º a 16.º do Decreto-Lei n.º 65/2021, de 30 de julho de 2021, deve ser realizado através do sítio na Internet do Centro Nacional de Cibersegurança (https://www.cncs.gov.pt) na funcionalidade «Notificação de Incidentes», mediante o preenchimento do modelo de reporte estabelecido para o efeito.
Nos casos em que a entidade em resultado do incidente ou por outro motivo de natureza eminentemente técnica devidamente justificado, não tem temporariamente capacidade operacional para assegurar a notificação no sítio na Internet do CNCS, ou nos casos em que o mesmo esteja indisponível, a notificação poderá ser efetuada, a título excecional, através:
a) De correio eletrónico remetido para o seguinte endereço: cert@cert.pt;
b) Por telefone através do número (+351) 210 497 399;
c) Por telefone através do número (+351) 910 599 284, em disponibilidade contínua (24 horas por dia e sete dias por semana).

A metodologia para realização de análise de riscos encontra-se prevista no artigo 10.º do Decreto-Lei n.º 65/2021, de 30 de julho. Assim, o n.º 1 do referido artigo 10.º determina que as entidades da Administração Pública e os operadores de infraestruturas críticas, bem como os operadores de serviços essenciais, devem realizar uma análise dos riscos em relação a todos os ativos que garantam a continuidade do funcionamento das redes e dos sistemas de informação que utilizam e, no caso dos operadores de serviços essenciais, também em relação aos ativos que garantam a prestação dos serviços essenciais.
Deve ainda ser considerado que o Quadro Nacional de Referência para a Cibersegurança tem um capítulo referente à gestão de risco, tendo por base as normas técnicas internacionais de referência para este efeito.
Além disso, o CNCS pode emitir instruções técnicas com vista a uma harmonização da matriz de risco a adotar pelas entidades.

As entidades no âmbito de aplicação do Decreto-Lei n.º 65/2021, de 30 de julho, relativamente ao Regime Jurídico de Segurança do Ciberespaço, devem, de acordo com os artigos n.ºs 4, 5, 6 e 8 do referido Decreto-Lei n.º 65/2021, de 30 de julho:
- designar e comunicar ao CNCS o respetivo ponto de contacto permanente e o responsável de segurança;
- elaborar e apresentar ao CNCS inventário de ativos e lista de ativos; e
- elaborar e apresentar ao CNCS relatório anual.
A comunicação destes elementos deve ser realizada por meios eletrónicos para o endereço de correio eletrónico sri@cncs.gov.pt.
Refira-se ainda que o plano de segurança deve ser elaborado e mantido atualizado nos termos do n.º 1 do artigo 7.º pelas entidades no âmbito de aplicação do Decreto-Lei n.º 65/2021, de 30 de julho, não sendo previsto o envio deste documento ao CNCS.

Nos termos do n.º 1 do artigo 6.º do Decreto-Lei n.º 65/2021, de 30 de julho, as entidades devem elaborar e manter atualizado um inventário de todos os ativos essenciais para a prestação dos respetivos serviços, devendo o mesmo ser assinado pelo responsável de segurança e remetido ao CNCS por meios eletrónicos para o endereço de correio eletrónico sri@cncs.gov.pt.
Em referência a esta questão, encontra-se publicado no Diário da República, 2.ª série n.º 223, de 17 de novembro, o Aviso n.º 21606/2021, que contem projeto de regulamento que configura Instrução técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes, em procedimento de consulta pública até ao próximo dia 30 de dezembro. Neste âmbito deverá ser verificado o disposto no artigo 4.º do referido projeto de regulamento, referente à definição de ativo essencial, inventário de ativos e lista de ativos.

As entidades devem elaborar um relatório anual que, em relação ao ano civil a que se reporta, contenha os elementos identificados no n.º 1 do artigo 8.º do Decreto-Lei n.º 65/2021, de 30 de julho. Este relatório deve ser assinado pelo responsável de segurança e remetido ao CNCS por meios eletrónicos para o endereço de correio eletrónico sri@cncs.gov.pt.
Em referência a esta questão, encontra-se publicado no Diário da República, 2.ª série n.º 223, de 17 de novembro, o Aviso n.º 21606/2021, que contem projeto de regulamento que configura Instrução técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes, em procedimento de consulta pública até ao próximo dia 30 de dezembro. Neste âmbito deverá ser verificado o disposto no artigo 5.º do referido projeto de regulamento, referente ao relatório anual.

As entidades devem elaborar e manter atualizado um plano de segurança, devidamente documentado e assinado pelo responsável de segurança, que contenha os elementos identificados no n.º 1 do artigo 7.º do Decreto-Lei n.º 65/2021, de 30 de julho.
Refira-se ainda que o plano de segurança deve ser elaborado e mantido atualizado pelas entidades no âmbito de aplicação do Decreto-Lei n.º 65/2021, de 30 de julho, não sendo previsto o envio deste documento ao CNCS.

As entidades no âmbito de aplicação do Decreto-Lei n.º 65/2021, de 30 de julho, têm as obrigações de designar e comunicar ao CNCS o respetivo ponto de contacto permanente, nos termos do artigo 4.º do mesmo normativo, e o respetivo responsável de segurança, nos termos do artigo 5.º do referido normativo.
As entidades devem indicar, pelo menos, um ponto de contacto permanente, de modo a assegurar os fluxos de informação de nível operacional e técnico com o CNCS, nomeadamente para os fluxos de informação previstos no n.º 1 do referido artigo 4.º.
O responsável de segurança designado pelas entidades tem como função a gestão do conjunto das medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes, nos termos do Regime Jurídico da Segurança do Ciberespaço e do Decreto-Lei n.º 65/2021, de 30 de julho.
Em referência a esta questão, encontra-se publicado no Diário da República, 2.ª série n.º 223, de 17 de novembro, o Aviso n.º 21606/2021, que contem projeto de regulamento que configura Instrução técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes, em procedimento de consulta pública até ao próximo dia 30 de dezembro. Neste âmbito deverá ser verificado o disposto nos artigos 2.º e 3.º do referido projeto de regulamento, referentes ao ponto de contacto permanente e responsável de segurança.

Desde que asseguradas as funções de responsável de segurança e de ponto de contacto permanente, fica no âmbito de decisão da entidade supervisionada a possibilidade de acumulação de funções e a respetiva designação.
Note-se que de acordo com o n.º 2 do artigo 4.º do Decreto-Lei n.º 65/2021, de 30 de julho, as entidades devem assegurar a função de ponto de contacto permanente com uma disponibilidade contínua de 24 horas por dia e de sete dias por semana, limitada a períodos de ativação, iniciados e terminados mediante comunicação do CNCS, podendo esta função ser exercida por uma pessoa ou por várias pessoas.

O CNCS encontra-se a desenvolver normativos complementares setoriais para efeito das obrigações de notificação de incidentes e de implementação de requisitos de segurança, nos termos previstos na alínea a), do n.º 6, do artigo 10.º do Decreto-Lei n.º 65/2021, de 30 de julho e do n.º 1 do artigo 18.º do mesmo normativo, em colaboração com as entidades reguladoras e com poderes de supervisão nos setores previstos no Anexo à Lei n.º 46/2018, de 13 de agosto.
Os normativos complementares setoriais serão publicitados para procedimento de consulta pública na 2.ª série do Diário da República e no sítio na Internet do Centro Nacional de Cibersegurança (https://www.cncs.gov.pt).

Neste momento, não existe na UE ou em Portugal qualquer obrigatoriedade em matéria de certificação da cibersegurança.
Não significa, porém, que a certificação da cibersegurança não venha ser obrigatória para qualquer fim concreto, abrangendo categorias de entidades devidamente especificadas.
Caso tal venha a suceder (sendo certo que tal decisão implica um processo que não é imediato), as entidades relevantes serão devidamente notificadas e o CNCS terá o cuidado de providenciar informações e todo o tipo de conteúdos informativos que possam ajudar a esclarecer as eventuais dúvidas.

Não. Por norma, a certificação da cibersegurança é voluntária e facultativa, isto é, as entidades certificam-se se e sempre que assim o desejarem, salvo se as autoridades europeias ou nacionais estabelecerem a sua obrigatoriedade para fins de determinado contexto específico.
Neste momento, não existe na UE ou em Portugal qualquer obrigatoriedade em matéria de certificação da cibersegurança.
Não significa porém que a certificação da cibersegurança não venha a ser obrigatória para qualquer fim concreto, abrangendo categorias de entidades devidamente especificadas.
Caso tal venha a suceder (sendo certo que tal decisão implica um processo que não é imediato), as entidades relevantes serão devidamente notificadas e o CNCS terá o cuidado de providenciar informações e todo o tipo de conteúdos informativos que possam ajudar a esclarecer as eventuais dúvidas.

No que diz respeito à área da certificação da cibersegurança, não existe ainda nenhum manual ou outro tipo de conteúdos informativos para esclarecer sobre este domínio de atividade.
No entanto, a certificação da cibersegurança é voluntária e facultativa por norma, isto é, as entidades certificam-se se e sempre que assim o desejarem, salvo se as autoridades europeias ou nacionais estabelecerem a sua obrigatoriedade para fins de determinado contexto específico.
Neste momento, não existe na UE ou em Portugal qualquer obrigatoriedade em matéria de certificação da cibersegurança.
Não significa porém que a certificação da cibersegurança não venha ser obrigatória para qualquer fim concreto, abrangendo categorias de entidades devidamente especificadas.
Caso tal venha a suceder (sendo certo que tal decisão implica um processo que não é imediato) , as entidades relevantes serão devidamente notificadas e o CNCS terá o cuidado de providenciar informações e todo o tipo de conteúdos informativos que possam ajudar a esclarecer as eventuais dúvidas.


Estrutura Nacional de Segurança do Ciberespaço

O Conselho Superior de Segurança do Ciberespaço é o órgão específico de consulta do Primeiro-Ministro para os assuntos relativos à segurança do ciberespaço. Possuindo as seguintes competências: assegurar a coordenação político-estratégica para a segurança do ciberespaço, verificar a implementação da Estratégia Nacional de Segurança do Ciberespaço, pronunciar-se sobre a Estratégia Nacional de Segurança do Ciberespaço previamente à sua submissão para aprovação, elaborar anualmente, ou sempre que necessário, relatório de avaliação da execução da Estratégia Nacional de Segurança do Ciberespaço, propor ao Primeiro-Ministro, ou ao membro do Governo em quem este delegar, a aprovação de decisões de carácter programático relacionadas com a definição e execução da Estratégia Nacional de Segurança do Ciberespaço, emitir parecer sobre matérias relativas à segurança do ciberespaço, bem como, responder a solicitações por parte do Primeiro-Ministro, ou do membro do Governo em quem este delegar, no âmbito das suas competências.

O Centro Nacional de Cibersegurança é a Autoridade Nacional de Cibersegurança e é o ponto de contacto único nacional para efeitos de cooperação internacional, sem prejuízo das atribuições legais da Polícia Judiciária relativas a cooperação internacional em matéria penal.

O “CERT.PT” é a equipa de resposta a incidentes de segurança informática nacional e funciona no Centro Nacional de Cibersegurança.


Estratégia Nacional de Segurança do Ciberespaço

A Estratégia Nacional de Segurança do Ciberespaço define o enquadramento, os objetivos e as linhas de ação do Estado nesta matéria, de acordo com o interesse nacional. A atual Estratégia Nacional de Segurança do Ciberespaço foi aprovada através da Resolução do Conselho de Ministros n.º 92/2019 de 5 de junho.

A Estratégia Nacional de Segurança do Ciberespaço é aprovada por resolução do Conselho de Ministros, sob proposta do Primeiro-Ministro, ouvido o Conselho Superior de Segurança do Ciberespaço. A atual Estratégia Nacional de Segurança do Ciberespaço foi aprovada através da Resolução do Conselho de Ministros n.º 92/2019 de 5 de junho .


Segurança das Redes e dos Sistemas de Informação

As entidades da Administração Pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais, bem como, os prestadores de serviços digitais.

Para além das situações de notificação obrigatória de incidentes, a lei permite que quaisquer entidades podem notificar, a título voluntário, os incidentes com impacto importante na continuidade dos serviços por si prestados. Garante ainda que a notificação voluntária não pode dar origem à imposição à entidade notificante de obrigações às quais esta não teria sido sujeita se não tivesse procedido a essa notificação.

O Decreto-Lei n.º 65/2021 concretiza diversas disposições do regime jurídico da segurança do ciberespaço, relativas aos requisitos de segurança das redes e dos sistemas de informação e de notificação de incidentes de cibersegurança, que devem ser cumpridos pela Administração Pública, pelos operadores de infraestruturas críticas, pelos operadores de serviços essenciais e pelos prestadores de serviços digitais.

O Centro Nacional de Cibersegurança identifica os operadores de serviços essenciais.

As entidades do setor das infraestruturas digitais devem comunicar de imediato ao Centro Nacional de Cibersegurança o exercício da respetiva atividade.

Regulamento de Execução (UE) 2018/151, da Comissão, de 30 de janeiro de 2018, que estabelece normas de execução da Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, no respeitante à especificação pormenorizada dos elementos a ter em conta pelos prestadores de serviços digitais na gestão dos riscos que se colocam à segurança das redes e dos sistemas de informação, bem como à especificação pormenorizada dos parâmetros para determinar se o impacto de um incidente é substancial.

Última atualização em 18-11-2021