CiberSegurança: conhece a lei e as regras a que estamos obrigados?
Portugal é um dos 27 países da União Europeia (UE) e nesse sentido também segue as diretrizes da UE em várias áreas. Na área da cibersegurança Portugal tem acompanhado as indicações da UE, transpondo "as regras" para a lei nacional. Saiba quais as leis aplicadas à ciberSegurança em Portugal.
Em 2016, mais concretamente a 6 de julho, foi lançada a Diretiva 2016/1148 (Diretiva NIS - Network And Information Security) do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a UE.
Lei nº46/2018 (NIS1)
A 13 de agosto de 2018, Portugal procedeu à transposição da Diretiva 2016/1148, para a Lei n.º 46/2018 - Estabelece o regime jurídico da segurança do ciberespaço.
O regime jurídico da segurança do ciberespaço aplica-se às entidades da Administração Pública, aos operadores de infraestruturas críticas, aos operadores de serviços essenciais, aos prestadores de serviços digitais, bem como a quaisquer outras entidades que utilizem redes e sistemas de informação, nomeadamente, no âmbito da notificação voluntária de incidentes.
O regime jurídico da segurança do ciberespaço estabeleceu a Estrutura de Segurança do Ciberespaço, consagrando o:
- Centro Nacional de Cibersegurança como Autoridade Nacional de Cibersegurança
- «CERT.PT» como Equipa de Resposta a Incidentes de Segurança Informática Nacional.
Além das estruturas, também estabeleceu o normativo relativamente a fiscalização e sanções. Esta lei aplicou-se à Administração Pública, Operadores de infraestruturas críticas, operadores de serviços essenciais, prestadores de serviços digitais e Outras entidades que utilizem redes e sistemas de informação.
Decreto-Lei n.º 65/2021
Após três anos da transposição da Diretiva NIS para a lei nacional, a 30 de julho de 2021 foi publicado o Decreto-Lei n.º 65/2021 que regulamenta o Regime Jurídico da Segurança do Ciberespaço (RJSC) e definiu um conjunto de obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019.
Segundo o DL 65/2021, existe um conjunto de obrigações das entidades das quais se destacam:
- Nomeação de um Ponto de contacto permanente e Responsável de Segurança (Artigos 4.º e 5.º)
- Proceder ao Inventário de ativos (Artigo 6.º)
- Proceder à Análise dos riscos e implementação dos requisites de segurança (Artigo 10.º)
- Realizar o Plano de Segurança (Artigo 7º)
- Proceder à Notificação de Incidentes (Artigos 11.º a 17.º)
- Realização e entrega do Relatório anual (Artigo 8.º)
O DL 65/2021 "impactou" cerca de 400 entidades em Portugal.
Regulamento n.º 183/2022
O Regulamento n.º 183/2022 do Gabinete de Segurança (GNS), configura uma instrução técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes.
Segue-se a NIS2...
A Diretiva NIS2 foi publicada a 14 de dezembro de 2022 e vem substituir a Diretiva NIS. A transposição para legislação nacional da Diretiva NIS2 deve acontecer até 17 de outubro de 2024.
A diretiva relativa à segurança de redes e informações introduz novas regras para promover um alto nível comum de cibersegurança em toda a UE - tanto para as empresas como para os países. A legislação permite ainda fortalecer os requisitos de cibersegurança para entidades de média e grande dimensão que operam e prestam serviços em sectores-chave.
De um lado as entidades do tipo essenciais e do outro as entidades importantes. A diferença entre estes dois tipos de entidades, é que as entidades essenciais estão sujeitas a requisitos regulatórios mais rigorosos. Com a NIS2, passam a existir 67 tipos de entidades que têm de cumprir a nova diretiva (com a NIS 1 eram “apenas” 30). Em Portugal deverão ser impactadas cerca de 4 mil entidades. As eleições legislativas podem atrasar a transposição da Diretiva para Portugal - saber mais aqui.