Economia

Governo quer obrigar administração pública e serviços críticos a notificarem falhas de cibersegurança

12 abril 2021 20:15

O Centro Nacional de Cibersegurança vai assumir o papel de entidade certificadora. Empresas e administração pública vão ter de criar pontos de contacto permanentes

12 abril 2021 20:15

O Governo redigiu um anteprojeto de decreto-lei que reforça o papel do Centro Nacional de Cibersegurança como ponto de contacto privilegiado para a gestão de incidentes e falhas relacionadas com os serviços críticos e essenciais que são suportados pela Internet. A proposta de diploma há de ir em breve a Conselho de Ministros. Se for aprovado tal como está redigido, o futuro decreto-lei passa a obrigar a Administração Pública, e as empresas que prestam serviços considerados críticos e essenciais a notificarem o CNCS sempre que há ocorrência de uma falha de serviço.

Além das notificações, empresas e AP terão de redigir um relatório de segurança e análises de risco anuais.

Desde a sua constituição, em 2014, que o CNCS se debate com falta de enquadramento jurídico para expandir o raio de ação às maiores empresas e AP – mas o anteprojeto agora anunciado parece inverter esse vazio jurídico atribuindo ao CNCS a funções de entidade certificadora para a cibersegurança nacional. Com esta nova função, o CNCS passa a atribuir certificados que garantem a conformidade de serviços, produtos ou processos no que toca às melhores práticas de cibersegurança, e à regulação nacional e europeia.

A este fator junta-se ainda a obrigatoriedade de constituição de pontos de contacto por parte das empresas. Estes pontos de contacto deverão operar em permanência nas empresas e entidades da AP e garantir a comunicação com o CNCS no que toca a incidentes que afetem os serviços prestados à população.

Quando são afetados por um qualquer incidente, ciberataque ou falha de sistema, as empresas que prestam serviços críticos e essenciais e ainda AP terão enviar notificações num prazo máximo de duas horas, com estimativas de “número de utilizadores afetados pela perturbação do serviço; Duração do incidente; distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço”, refere o anteprojeto de decreto-lei.

Quando o incidente é sanado e serviço regressa à normalidade, a entidade afetada terá igualmente de notificar o CNCS, já com informação atualizada sobre o impacto registado. Segundo a taxonomia proposta pelo anteprojeto governamental, os incidentes em causa podem estar relacionados com “falha de sistema; fenómeno natural; erro humano; ataque malicioso; falha no fornecimento de bens ou serviços por terceiro”; ou ainda “infeção por malware; disponibilidade; recolha de informação; intrusão; tentativa de intrusão; segurança da informação; fraude; conteúdo abusivo”, entre outras ocorrências.

A iniciativa governamental não só prevê uma análise de riscos, e um relatório com os vários tipos de incidentes detetados ao longo do ano, como ainda determina que empresas com serviços críticos e AP procedam a um inventário dos seus sistemas e serviços.

O projeto legislativo confere ainda ao CNCS o poder jurídico de emitir recomendações a empresas e AP para os vários equipamentos ou serviços que se encontram no inventário, bem como para os diferentes riscos que tenham sido previamente detetados por cada entidade.

Com este anteprojeto de decreto lei, o Governo pretende transpor para as leis nacionais o Regulamento 2019/881 da UE, bem como procede à regulamentação do Regime Jurídico da Segurança do Ciberespaço, que foi promulgado pela lei 46/2018.