Notificar incidente

Regime Juridico de Segurança do Ciberespaço - FAQ

Âmbito e Definições

A Lei n.º 46/2018, de 13 de agosto, que estabelece o Regime Jurídico da Segurança do Ciberespaço aplica-se a que entidades?

À Administração Pública, aos operadores de infraestruturas críticas, aos operadores de serviços essenciais, aos prestadores de serviços digitais, bem como a quaisquer outras entidades que utilizem redes e sistemas de informação, nomeadamente, no âmbito da notificação voluntária de incidentes.

O que se entende por Administração Pública?

O Estado, as regiões autónomas, as autarquias locais, as entidades administrativas independentes, os institutos públicos, as empresas públicas e as associações públicas.

O que se entende por operador de infraestrutura crítica?

Uma entidade pública ou privada que opera uma infraestrutura crítica, entendendo-se esta como a componente, sistema ou parte deste situado em território nacional que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação ou destruição teria um impacto significativo, dada a impossibilidade de continuar a assegurar essas funções.

O que se entende por operador de serviços essenciais?

Uma entidade pública ou privada que presta um serviço essencial, no âmbito dos seguintes setores: energia (subsetores: eletricidade, petróleo e gás) transportes (subsetores: transporte aéreo, transporte ferroviário, transporte marítimo e por vias navegáveis interiores, bem como, transporte rodoviário), bancário, infraestruturas do mercado financeiro, saúde (subsetor: instalações de prestação de cuidados de saúde), fornecimento e distribuição de água potável e infraestruturas digitais.

O que se entende por prestador de serviços digitais?

Uma pessoa coletiva que presta um serviço digital, a saber, serviço de mercado em linha, serviço de motor de pesquisa em linha ou serviço de computação em nuvem.



Estrutura Nacional de Segurança do Ciberespaço

O que se entende por Conselho Superior de Segurança do Ciberespaço?

O Conselho Superior de Segurança do Ciberespaço é o órgão específico de consulta do Primeiro-Ministro para os assuntos relativos à segurança do ciberespaço. Possuindo as seguintes competências: assegurar a coordenação político-estratégica para a segurança do ciberespaço, verificar a implementação da Estratégia Nacional de Segurança do Ciberespaço, pronunciar-se sobre a Estratégia Nacional de Segurança do Ciberespaço previamente à sua submissão para aprovação, elaborar anualmente, ou sempre que necessário, relatório de avaliação da execução da Estratégia Nacional de Segurança do Ciberespaço, propor ao Primeiro-Ministro, ou ao membro do Governo em quem este delegar, a aprovação de decisões de carácter programático relacionadas com a definição e execução da Estratégia Nacional de Segurança do Ciberespaço, emitir parecer sobre matérias relativas à segurança do ciberespaço, bem como, responder a solicitações por parte do Primeiro-Ministro, ou do membro do Governo em quem este delegar, no âmbito das suas competências.

O que se entende por Centro Nacional de Cibersegurança?

O Centro Nacional de Cibersegurança é a Autoridade Nacional de Cibersegurança e é o ponto de contacto único nacional para efeitos de cooperação internacional, sem prejuízo das atribuições legais da Polícia Judiciária relativas a cooperação internacional em matéria penal.

O que se entende por “CERT.PT”?

O “CERT.PT” é a equipa de resposta a incidentes de segurança informática nacional e funciona no Centro Nacional de Cibersegurança.



Estratégia Nacional de Segurança do Ciberespaço

O que se entende por Estratégia Nacional de Segurança do Ciberespaço?

A Estratégia Nacional de Segurança do Ciberespaço define o enquadramento, os objetivos e as linhas de ação do Estado nesta matéria, de acordo com o interesse nacional. A atual Estratégia Nacional de Segurança do Ciberespaço foi aprovada através da Resolução do Conselho de Ministros n.º 36/2015, 12 de junho.

Qual é o processo de aprovação da Estratégia Nacional de Segurança do Ciberespaço?

A Estratégia Nacional de Segurança do Ciberespaço é aprovada por resolução do Conselho de Ministros, sob proposta do Primeiro-Ministro, ouvido o Conselho Superior de Segurança do Ciberespaço. A atual Estratégia Nacional de Segurança do Ciberespaço foi aprovada através da Resolução do Conselho de Ministros n.º 36/2015, 12 de junho.



Segurança das Redes e dos Sistemas de Informação

Que entidades estão sujeitas à notificação obrigatória de incidentes?

As entidades da Administração Pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais, bem como, os prestadores de serviços digitais.

Em que consiste a notificação voluntária de incidentes?

Para além das situações de notificação obrigatória de incidentes, a lei permite que quaisquer entidades podem notificar, a título voluntário, os incidentes com impacto importante na continuidade dos serviços por si prestados. Garante ainda que a notificação voluntária não pode dar origem à imposição à entidade notificante de obrigações às quais esta não teria sido sujeita se não tivesse procedido a essa notificação.

Como serão definidos os requisitos de segurança e os requisitos de notificação de incidentes?
Os requisitos de segurança e os requisitos de notificação de incidentes serão oportunamente definidos em legislação própria.
Que entidade irá identificar os operadores de serviços essenciais?
O Centro Nacional de Cibersegurança identifica os operadores de serviços essenciais.
Como se processa a identificação dos operadores de serviços essenciais no setor das infraestruturas digitais?
As entidades do setor das infraestruturas digitais devem comunicar de imediato ao Centro Nacional de Cibersegurança o exercício da respetiva atividade.
Qual é o Regulamento de Execução da Comissão Europeia, relativo aos prestadores de serviços digitais, a que se refere o Regime Jurídico da Segurança do Ciberespaço?

Regulamento de Execução (UE) 2018/151, da Comissão, de 30 de janeiro de 2018, que estabelece normas de execução da Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, no respeitante à especificação pormenorizada dos elementos a ter em conta pelos prestadores de serviços digitais na gestão dos riscos que se colocam à segurança das redes e dos sistemas de informação, bem como à especificação pormenorizada dos parâmetros para determinar se o impacto de um incidente é substancial.