Mais responsabilização e certificação na área da cibersegurança com novo decreto-lei” width=

O documento já aprovado define os requisitos de segurança e de notificação de incidentes que têm de ser cumpridos pelas entidades identificadas na Diretiva SIR. E traz novas obrigações na área da cibersegurança.


O Decreto-lei que concretiza várias medidas do regime jurídico da segurança do ciberespaço foi aprovado em Conselho de Ministros há duas semanas mas ainda aguarda publicação. [Um] Coordenador do Centro Nacional de Cibersegurança (CNCS), explicou (…) que “a aprovação do presente Decreto-Lei constitui um importante passo para Cibersegurança em Portugal, uma vez que constitui um instrumento essencial para garantir a conformidade no âmbito da regulamentação do regime jurídico da segurança do ciberespaço, assim como da criação de um Quadro Nacional de Certificação da Cibersegurança”.

O diploma vem regulamentar alguns dos aspectos que tinham sido remetidos para legislação complementar na Lei n.º 46/2018, que aprovou o regime jurídico da segurança do ciberespaço, e que transpôs a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União – mais conhecida por Diretiva SIR (ou NIS na sigla em inglês Network and Information Security).

Em foco estão os operadores de infraestruturas críticas, operadores de serviços essenciais dos setores da energia, transportes, bancário, infraestruturas do mercado financeiro, saúde, fornecimento e distribuição de agua potável e infraestruturas digitais e pelos prestadores de serviços digitais, assim como as entidades da Administração Pública.

Todas estas entidades vão ter de adotar “um conjunto de medidas técnicas e organizativas adequadas para a mitigação dos riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, baseadas no Quadro Nacional de Referência para a Cibersegurança ou em normativos complementares setoriais, devendo, para o efeito, realizar uma análise dos riscos”, sublinha Lino Santos.

Têm ainda de criar procedimentos para a notificação de incidentes, nomeando um ponto de contato permanente, com a função de assegurar os fluxos de informação de nível operacional e técnico com o Centro Nacional de Cibersegurança (CNCS) e um responsável de segurança.

Suporte para os sistemas de certificação em cibersegurança
O Coordenador do CNCS adianta ainda que com este decreto-lei é criado também o enquadramento institucional necessário à produção de vários esquemas de certificação de cibersegurança, entre os quais os que têm vindo a ser preparados por este organismo, com a certificação de conformidade com o Quadro Nacional de Referência em Cibersegurança (QNRC), e outro focado na iniciativa do Portugal Digital designado de Selo Digital, uma das medidas prioritárias do Plano de Ação para a Transição Digital

Este selo está que está em marcha no âmbito do Portugal Digital deve avançar em breve com várias componentes atestando a “maturidade digital” de uma empresa.

Com este diploma fica também definido que o CNCS é a Autoridade Nacional de Certificação da Cibersegurança, estabelecendo o respetivo regime contraordenacional (…).

Uma questão que vai além da tecnologia. (…)

Formação Relacionada

certificação, cibersegurança

Caçador, Fátima(2021) Mais responsabilização e certificação na área da cibersegurança com novo decreto-lei. Recuperado a 8 de Julho de 2021 em https://tek.sapo.pt/noticias/computadores/artigos/mais-responsabilizacao-e-certificacao-na-area-da-ciberseguranca-com-novo-decreto-lei