Autor:
Sérgio Ferreira
Auditor e Coordenador Digital & Innovation da SGS Portugal
O Decreto-Lei 65/2021 (30 de julho) define o Regime Jurídico da Segurança do Ciberespaço em Portugal, elencando as obrigações das entidades abrangidas no âmbito da certificação da cibersegurança e transpondo para a lei nacional o Regulamento (EU) 2019/881 do Parlamento Europeu (17 de abril 2019).
Neste artigo apresentamos algumas das principais FAQs.
Quem está abrangido pelo DL 65/2021?
Todos os organismos da Administração Pública, mas também as entidades consideradas Operadores de Infraestruturas Críticas e de Serviços Essenciais, e todos os Prestadores de Serviços Digitais, estão abrangidos pelo DL 65/2021.
Que obrigações devem estas entidades respeitar no âmbito do DL 65/2021?
As entidades abrangidas têm as seguintes obrigações:
- Comunicar ao Centro Nacional de Cibersegurança (CNCS) a identidade e contatos do responsável de segurança e do contacto permanente dessa mesma entidade;
- Desenvolver um plano de segurança da informação;
- Elaborar um inventário onde constem todos os ativos e comunicá-lo ao CNCS;
- Elaborar relatórios anuais de segurança da informação e apresentá-los ao CNCS;
- Avaliação de riscos a todos os ativos que garantam a continuidade do funcionamento das redes e dos sistemas de informação.
No caso de incidentes em matéria de cibersegurança, é ainda obrigação destas entidades reportarem o incidente ao CNCS com a maior brevidade possível.
Como devem as entidades comunicar incidentes de cibersegurança ao CNSC?
O envio de notificações de incidentes e de informação adicional relevante é realizado no website do CNCS (www.cncs.gov.pt), através da opção “Notificação de Incidentes”, ou por meio da API também disponibilizada pelo CNCS para esse efeito.
No caso de a entidade estar tecnicamente impossibilitada de usar os meios acima referidos, a notificação poderá excecionalmente ser feita via e-mail (cert@cert.pt) ou por telefone (210 497 399 ou 910 599 284).
O responsável de segurança e o contacto permanente podem ser a mesma pessoa?
Sim, essa decisão fica a cargo de cada entidade, desde que a pessoa designada possa assegurar ambas as funções. É de salientar que o DL 65/2021 exige a disponibilidade contínua, 24 horas por dia, sete dias por semana, do ponto de contacto permanente.
Como comunicar estes cargos ao CNCS?
A comunicação do responsável de segurança e do ponto de contacto permanente devem ser comunicados para o e-mail sri@cncs.gov.pt, anexando o formulário constante do Anexo II ao Regulamento, disponível no site do CNCS.
É obrigatório para as entidades abrangidas pelo DL 65/2021 fazer a certificação da cibersegurança?
Não. Nos termos atuais, a certificação da cibersegurança é normalmente voluntária, podendo vir a ser obrigatória para determinados fins e para determinados tipos de entidades. Caberá ao CNCS notificar tais entidades e providenciar toda a informação necessária para o início do processo de certificação.
Conheça os nossos serviços de Cibersegurança:
Se pretende saber mais sobre a ISO 27001, descubra os nossos cursos >>
Para mais informações ou inscrições, por favor contacte:
tel: 808 200 747 (Seg. a Sex. das 9h às 18h)
@:pt.info@sgs.com
SOBRE A SGS
Somos a SGS - a empresa líder mundial em testes, inspeção e certificação. Somos reconhecidos como a referência mundial em qualidade e integridade. Os nossos 96.000 colaboradores operam numa rede de 2.700 escritórios e laboratórios, e trabalham em conjunto para possibilitar um mundo melhor, mais seguro e interligado.
LINKS RELACIONADOS
Polo Tecnológico de Lisboa,
Rua Cesina Adães Bermudes, Lote 11, 1600-604,
Lisboa,
Portugal