Requisitos do decreto-lei 65/2021 reforçam aposta na segurança da informação

O Decreto-Lei 65/2021, de 30 de julho, veio regulamentar alguns aspetos que teriam ficado por regular na Lei 46/2018, de 13 de agosto, que aprovou o Regime Jurídico da Segurança do Ciberespaço, transpondo a Diretiva europeia 2016/1148, do Parlamento e do Conselho Europeu, de 6 de julho de 2016 – que pretende garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a UE – mais conhecida por Diretiva SRI. Em particular, o Decreto-Lei assentou sob as obrigações de aplicação de requisitos de segurança das redes e sistemas de informação e as regras para notificação de acidentes para as entidades no seu âmbito de aplicação.

É de notar que a Lei 65, que constitui um passo relevante para a cibersegurança em Portugal, estabelece que o Centro Nacional de Cibersegurança (CNCS) é a Autoridade Nacional de Certificação da Cibersegurança, e garante a conformidade com um Quadro Nacional de Certificação da Cibersegurança, através do qual é estabelecido o “enquadramento institucional necessário à produção de vários esquemas nacionais de certificação de cibersegurança, sendo que o CNCS já tem vindo a desenvolver algum trabalho nesta área, nomeadamente com a preparação de um esquema relativo à certificação de conformidade com o Quadro Nacional de Referência em Cibersegurança (QNRC)”, explicou o CNCS em comunicado no site oficial.

Os detalhes quanto ao decreto ainda não foram todos acertados, contudo, sabe-se que a sua aplicação diz respeito à Administração Pública, aos operadores de infraestruturas críticas, aos operadores de serviços essenciais e aos prestadores de serviços digitais. As medidas e o impacto do decreto tem sido desafiante para as organizações. Nesse sentido, a S21Sec decidiu realizar um webinar com Ricardo Marques, Head of Consulting na S21Sec, em Portugal, no sentido de explicar em detalhe os contornos da proposta e os passos a cumprir. 

Durante a sessão, Ricardo Marques esclareceu que “o decreto de lei exige um inventário dos ativos essenciais para a prestação dos respetivos serviços, não sendo necessário fazer um inventário de todos os ativos”. Por ativo, o decreto refere-se a “todo o sistema de informação e comunicação”, que inclui os “equipamentos e demais recursos físicos e lógicos essenciais, que suportam direta ou indiretamente um ou mais serviços”, explicou a S21Sec na apresentação. 

Mais, a informação no inventário deve ser baseada nas melhores técnicas do Quadro Nacional de Referência de Cibersegurança, elaborado pelo CNCS. Segundo o Head of Consulting da S21Sec, a informação deve incluir o serviço suportado, o nome do equipamento ou do software, o modelo ou versão, o endereço IP e o fabricante. 

Adicionalmente, o decreto implica a elaboração obrigatória de um relatório anual, em relação ao ano civil reportado, que deverá conter uma descrição sumária dos principais atividades desenvolvidas em matéria de segurança das redes e serviços de informação, explica Ricardo Marques. Mais, deve incluir uma estatística trimestral de todos os incidentes, com indicação da quantidade e do tipo de incidentes, recomendações de atividades, de medidas ou de práticas que promovam a melhoria de segurança na sequência de incidentes, e qualquer outra informação relevante. 

O relatório deverá, posteriormente, ser enviado pelo responsável de segurança nos seguintes parâmetros: até ao ultimo dia útil do mês de janeiro do ano civil seguinte ao primeiro ano civil da atividade, quando esta tenha tido início no primeiro semestre; ou até ao último dia do mês de janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido início no segundo semestre. 

Além disso, o relatório nomeia dois tipos de análise - análise dos riscos de âmbito global ou análise de riscos de âmbito parcial – feitas em relação a todos os ativos que garantam a continuidade de funcionamento das redes e dos sistemas de informação. Contudo, segundo Ricardo Marques, “não basta ter a análise feita; é importante garantir que está completamente documentada desde a preparação, à execução e à apresentação dos resultados da análise dos riscos”.

Na sequência da análise de riscos, as entidades devem adotar as medidas técnicas e organizativas adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, completa Ricardo Marques.

No caso de ocorrer um incidente, a notificação deve ser feita ao CNCS – no próprio site, por email ou por telefone –, no momento em que é identificado; novamente no fim do impacto relevante ou substancial; e no prazo de 30 dias úteis a contar do momento em que o incidente deixou de se verificar. 

Ao incumprimento do decreto serão de aplicar as contraordenações previstas no Regime Jurídico da Segurança do Ciberespaço (coimas de 500 euros a 50 mil euros), com as exceção de três casos, relacionadas com a certificação da CNCS, punidos com coimas entre os mil euros e os 44 891,81 euros. Finalmente, é de ressalvar que o CNCS está a promover um Roadshow Nacional, no qual deverá apresentar o decreto-lei e possíveis esclarecimentos das questões que ainda não foram abrangidas.