Requisitos do decreto-lei 65/2021 reforçam aposta na segurança da informação

O decreto-lei 65/2021 veio regulamentar alguns aspetos do Regime Jurídico da Segurança do Ciberespaço, sob supervisão do CNCS

Requisitos do decreto-lei 65/2021 reforçam aposta na segurança da informação

O decreto-lei 65/2021, de 30 de julho, veio regulamentar alguns aspetos que teriam ficado por regular na Lei 46/2018, de 13 de agosto, que aprovou o Regime Jurídico da Segurança do Ciberespaço, transpondo a Diretiva europeia 2016/1148, do Parlamento e do Conselho Europeu, de 6 de julho de 2016 – que pretende garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a UE – mais conhecida por Diretiva SRI. Em particular, o Decreto-Lei assentou sob as obrigações de aplicação de requisitos de segurança das redes e sistemas de informação e as regras para notificação de acidentes para as entidades no seu âmbito de aplicação.

É de notar que a Lei 65, que constitui um passo relevante para a cibersegurança em Portugal, estabelece que o Centro Nacional de Cibersegurança (CNCS) é a Autoridade Nacional de Certificação da Cibersegurança, e garante a conformidade com um Quadro Nacional de Certificação da Cibersegurança, através do qual é estabelecido o “enquadramento institucional necessário à produção de vários esquemas nacionais de certificação de cibersegurança, sendo que o CNCS já tem vindo a desenvolver algum trabalho nesta área, nomeadamente com a preparação de um esquema relativo à certificação de conformidade com o Quadro Nacional de Referência em Cibersegurança (QNRC)”, explicou o CNCS em comunicado no site oficial.

Os detalhes quanto ao decreto ainda não foram todos acertados, contudo, sabe-se que a sua aplicação diz respeito à Administração Pública, aos operadores de infraestruturas críticas, aos operadores de serviços essenciais e aos prestadores de serviços digitais. As medidas e o impacto do decreto tem sido desafiante para as organizações. Nesse sentido, a S21Sec decidiu realizar um webinar com Ricardo Marques, Head of Consulting na S21Sec, em Portugal, no sentido de explicar em detalhe os contornos da proposta e os passos a cumprir. 

Durante a sessão, Ricardo Marques esclareceu que “o decreto de lei exige um inventário dos ativos essenciais para a prestação dos respetivos serviços, não sendo necessário fazer um inventário de todos os ativos”. Por ativo, o decreto refere-se a “todo o sistema de informação e comunicação”, que inclui os “equipamentos e demais recursos físicos e lógicos essenciais, que suportam direta ou indiretamente um ou mais serviços”, explicou a S21Sec na apresentação. 

Mais, a informação no inventário deve ser baseada nas melhores técnicas do Quadro Nacional de Referência de Cibersegurança, elaborado pelo CNCS. Segundo o Head of Consulting da S21Sec, a informação deve incluir o serviço suportado, o nome do equipamento ou do software, o modelo ou versão, o endereço IP e o fabricante. 

Adicionalmente, o decreto implica a elaboração obrigatória de um relatório anual, em relação ao ano civil reportado, que deverá conter uma descrição sumária dos principais atividades desenvolvidas em matéria de segurança das redes e serviços de informação, explica Ricardo Marques. Mais, deve incluir uma estatística trimestral de todos os incidentes, com indicação da quantidade e do tipo de incidentes, recomendações de atividades, de medidas ou de práticas que promovam a melhoria de segurança na sequência de incidentes, e qualquer outra informação relevante. 

O relatório deverá, posteriormente, ser enviado pelo responsável de segurança nos seguintes parâmetros: até ao ultimo dia útil do mês de janeiro do ano civil seguinte ao primeiro ano civil da atividade, quando esta tenha tido início no primeiro semestre; ou até ao último dia do mês de janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido início no segundo semestre. 

Além disso, o relatório nomeia dois tipos de análise - análise dos riscos de âmbito global ou análise de riscos de âmbito parcial – feitas em relação a todos os ativos que garantam a continuidade de funcionamento das redes e dos sistemas de informação. Contudo, segundo Ricardo Marques, “não basta ter a análise feita; é importante garantir que está completamente documentada desde a preparação, à execução e à apresentação dos resultados da análise dos riscos”.

Na sequência da análise de riscos, as entidades devem adotar as medidas técnicas e organizativas adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, completa Ricardo Marques.

No caso de ocorrer um incidente, a notificação deve ser feita ao CNCS – no próprio site, por email ou por telefone –, no momento em que é identificado; novamente no fim do impacto relevante ou substancial; e no prazo de 30 dias úteis a contar do momento em que o incidente deixou de se verificar. 

Ao incumprimento do decreto serão de aplicar as contraordenações previstas no Regime Jurídico da Segurança do Ciberespaço (coimas de 500 euros a 50 mil euros), com as exceção de três casos, relacionadas com a certificação da CNCS, punidos com coimas entre os mil euros e os 44 891,81 euros. Finalmente, é de ressalvar que o CNCS está a promover um Roadshow Nacional, no qual deverá apresentar o decreto-lei e possíveis esclarecimentos das questões que ainda não foram abrangidas. 

Tags

NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 52 Novembro 2024

IT INSIGHT Nº 52 Novembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.