Decreto-Lei nº65/2021
de 30 de Julho
13/08/2021

REGULAMENTA O REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO E DEFINE AS OBRIGAÇÕES EM MATÉRIA DE CERTIFICAÇÃO DA CIBERSEGURANÇA EM EXECUÇÃO DO REGULAMENTO (UE) 2019/881 DO PARLAMENTO EUROPEU, DE 17 DE ABRIL DE 2019

A 30 de julho de 2021 foi publicado o Decreto-Lei 65/2021.

Este DL regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da Cibersegurança, em execução do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019.

Tal como é afirmado no preâmbulo do mesmo, “o carácter transfronteiriço da cibersegurança e o esforço da cooperação internacional que lhe está subjacente permitem a produção de conhecimento em permanente atualização e o desenvolvimento contínuo de um conjunto de boas práticas”, igualmente transfronteiriças.


Na sua generalidade, este DL reconhece a importância de promover políticas e melhorias práticas de cibersegurança, criando um ciberespaço cada vez mais seguro.

Para tal, não podemos deixar de referir três pontos essenciais:
1. O papel cada vez mais decisivo que as tecnologias de informação assumem no desenvolvimento da vida em sociedade;
2. O desafio da transição digital;
3. A emergência de novas tecnologias disruptivas, como a inteligência artificial, a realidade virtual e aumentada e a Internet das coisas.


Este diploma vem assim regulamentar dois aspetos que a Lei n.º 46/2018, de 13 de agosto (Regime Jurídico da Segurança do Ciberespaço) remetia para legislação complementar, ou seja, a:

  • definição dos requisitos de segurança das redes e sistemas de informação, e
  • definição das regras para a notificação de incidentes.

O DL 65/2021 aplica-se então, quer a entidades públicas como privadas, tais como prestadores de serviços essenciais, operadores de infraestruturas, prestadores de serviços digitais e a quaisquer outras entidades que utilizem redes e sistemas de informação (art. 2.º DL).
Entre princípios basilares adotados pelo diploma em causa, as entidades, públicas ou privadas, terão de obedecer aos princípios de adequação e proporcionalidade, devendo garantir-se as condições normais de funcionamento das redes e sistemas, bem como uma série de situações extraordinárias, as quais estão identificadas no art. 3.º DL.

As entidades identificadas e abrangidas por este diploma, deverão indicar um “ponto de contacto permanente”, o qual deve assegurar os fluxos de informação a nível operacional e técnico com o Centro Nacional de Cibersegurança (CNCS), com uma disponibilidade contínua 24/7.

Das demais obrigações existentes, geridas por um responsável de segurança (o qual também irá gerir o conjunto das medidas adotadas quanto a requisitos de segurança e de notificação de incidentes), as entidades devem elaborar e manter atualizado um inventário de todos os ativos essenciais para a prestação dos respetivos serviços, o qual deve ser assinado por esse mesmo responsável (arts. 4.º, 5.º e 6.º DL).

Devem ainda as entidades elaborar e manter um plano de segurança, bem como um relatório anual, dedicado a uma descrição sumária das atividades desenvolvidas em matéria de segurança das redes e serviços de informação (arts. 7.º e 8.º DL).

Este diploma vem ainda reforçar obrigações de análise de risco de implementação e medidas para cumprimento dos requisitos de segurança, nos seus arts. 9.º e 10.º respetivamente.

No que se refere à ocorrência de algum incidente, as entidades em causa deverão notificar o CNCS, devendo submeter três tipos de notificação: notificação inicial, notificação de impacto relevante ou substancial e notificação final (arts. 13.º, 14.º e 15.º DL).

De facto, os requisitos previstos neste DL são os requisitos mínimos a assegurar pelas entidades abrangidas pelo Regime Jurídico da Segurança do Ciberespaço, podendo vir a ser estabelecidas regras adicionais por parte de outras entidades (p.e., Ministério Público, Autoridade Nacional de Comunicações, Comissão Nacional de Proteção de Dados e demais entidades), em função da natureza das entidades abrangidas, das atividades desenvolvidas ou do seu contexto.

Existindo a necessidade de articular a aplicação destas novas disposições legais com normativos complementares sectoriais já existentes, consagra-se a possibilidade do CNCS, na qualidade de Autoridade Nacional de Cibersegurança, proceder a uma avaliação de equivalência dos requisitos constantes de legislação sectorial, quando considere que é necessário e em articulação com as entidades reguladoras e de supervisão sectorial.

Por outro lado, considerando que a certificação de produtos, serviços e processos de tecnologia de informação e comunicação, é complementar para a promoção de um ciberespaço mais seguro, este DL:

  • consagra o CNCS como Autoridade Nacional de Certificação de Cibersegurança, definindo igualmente as respetivas competências;
  • implementa na ordem jurídica nacional um quadro nacional de certificação da cibersegurança, denominado Quadro Nacional de Referência para a Cibersegurança, o qual se assume como referencial de análise de risco para o fortalecimento da resiliência de cada organização, face às ameaças que afetam o ciberespaço.

No âmbito das disposições finais, determina-se que o regime sancionatório previsto no Regime Jurídico da Segurança do Ciberespaço, seja aplicável às infrações ao disposto neste DL, ou seja, o não cumprimento das regras estabelecidas neste diploma constituirão contraordenação, podendo as entidades ser punidas pelo CNCS com coima até € 50.000,00. Além disso, constitui contraordenação punível com coima de € 1.000,00 a € 3.740,98, no caso de pessoa singular ou, de € 5.000,00 a € 44.891,81 no caso de pessoa coletiva, a prática de infrações relativas à certificação da cibersegurança.

Finalmente, quanto à entrada em vigor do diploma, há que ter em atenção não apenas o prazo geral estabelecido – décimo dia seguinte ao da sua publicação-, mas ainda às restantes disposições constantes do art. 23.º DL.

Nas palavras do CNCS e com as quais concordamos, este é, de facto, “um instrumento jurídico importante para promover o reforço da resiliência contra incidentes de segurança nas redes e nos sistemas de informação, os quais assumem um papel cada vez mais importante e incontornável na vida quotidiana”.


Por: Mara Almeida Pereira, Legal & Compliance Security Auditor na Hardsecure

Default
Default
How can we help?
Contact Us