de 31 de julho
O Sistema de Certificação Eletrónica do Estado - Infraestrutura de Chaves Públicas (SCEE), que compreende o Conselho Gestor do SCEE, a Entidade de Certificação Eletrónica do Estado e as entidades certificadoras do Estado, foi criado pelo Decreto-Lei 116-A/2006, de 16 de junho, e objeto de alteração pelo Decreto-Lei 88/2009, de 9 de abril.Os ensinamentos colhidos ao longo dos anos de funcionamento do SCEE, a estrutura orgânica do XIX Governo Constitucional e o Plano de Redução e Melhoria da Administração Central (PREMAC) justificam a alteração do referido diploma.
Aproveita-se para clarificar o âmbito de intervenção desta entidade como autoridade credenciadora, reafirmando-se que a ANS é competente para o registo, credenciação e fiscalização das entidades certificadoras compreendidas no SCEE e das que emitam certificados qualificados no âmbito do regime jurídico dos documentos eletrónicos e da assinatura digital, aprovado pelo Decreto-Lei 290-D/99, de 2 de agosto, alterado pelos Decretos-Leis n.os 62/2003, de 3 de abril, 165/2004, de 7 de junho, 116-A/2006, de 16 de junho, e 88/2009, de 9 de abril.
Altera-se a dependência do Conselho Gestor do SCEE, estabelecendo-se que em vez do Ministro da Presidência, membro do Governo inexistente na orgânica do atual executivo, aquele órgão é presidido pelo Primeiro-Ministro, com a faculdade de delegação e subdelegação, adotando-se solução que se adapta a qualquer configuração das orgânicas dos futuros governos.
Reduz-se a dimensão do Conselho Gestor do SCEE, em benefício de uma maior funcionalidade deste órgão, e adapta-se a sua composição à nova organização da administração direta e indireta do Estado, uma vez que, em sede de PREMAC, foram extintos e reestruturados alguns dos serviços e organismos que o integravam.
Por fim, extingue-se o Conselho Técnico de Credenciação, na medida em que a prática mostrou ter sido muito reduzida a sua atuação como órgão consultivo da Autoridade Nacional de Segurança (ANS).
O novo enquadramento dado ao Conselho Gestor do SCEE não prejudica a sua reavaliação à luz do modelo de governação que vier a ser definido para as tecnologias de informação e comunicação (TIC) na Administração Pública, no âmbito da Medida 1 do plano global estratégico a que se refere a Resolução do Conselho de Ministros n.º 12/2012, de 7 de fevereiro.
Assim:
Nos termos da alínea a) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:
Artigo 1.º
Objeto
O presente decreto-lei altera a dependência e a composição do Conselho Gestor Sistema de Certificação Eletrónica do Estado e extingue o Conselho Técnico de Credenciação, procedendo à terceira alteração ao Decreto-Lei 116-A/2006, de 16 de junho, que cria o Sistema de Certificação Eletrónica do Estado - Infraestrutura de Chaves Públicas e designa a Autoridade Nacional de Segurança como autoridade credenciadora nacional.
Artigo 2.º
Alteração ao Decreto-Lei 116-A/2006, de 16 de junho
Os artigos 3.º, 5.º, 6.º e 8.º do Decreto-Lei 116-A/2006, de 16 de junho, alterado pelo Decreto-Lei 88/2009, de 9 de abril, passam a ter a seguinte redação:
«Artigo 3.º
[...]
1 - ...2 - O Conselho Gestor do SCEE é presidido pelo Primeiro-Ministro e composto por representantes de cada uma das seguintes entidades, designados pelos competentes membros do Governo:
a) Gabinete Nacional de Segurança;
b) Centro de Gestão da Rede Informática do Governo (CEGER);
c) Agência para a Modernização Administrativa, I. P.;
d) Entidade de Serviços Partilhados da Administração Pública, I. P.;
e) ICP - Autoridade Nacional de Comunicações;
f) Um representante de cada entidade certificadora pública integrada no SCEE que não esteja representada por nenhuma das entidades referidas nas alíneas anteriores.
3 - Para efeitos do disposto na alínea f) do número anterior, caso exista mais do que uma entidade certificadora pública no âmbito do mesmo Ministério, pode o respetivo ministro determinar que apenas um representante das mesmas integre o Conselho Gestor do SCEE.
4 - O Primeiro-Ministro pode delegar a presidência do Conselho Gestor do SCEE em qualquer membro do Governo integrado na Presidência do Conselho de Ministros, com faculdade de subdelegação.
5 - O Conselho Gestor do SCEE pode solicitar a colaboração de outras entidades, públicas ou privadas, bem como de personalidades de reconhecido mérito, para a análise de assuntos de natureza técnica especializada, no âmbito das competências que lhe são cometidas pelo presente decreto-lei.
6 - (Anterior n.º 5.) 7 - (Anterior n.º 6.) 8 - (Anterior n.º 7.)
Artigo 5.º
[...]
1 - ...2 - ...
3 - Para os efeitos previstos no número anterior, a Entidade de Certificação Eletrónica do Estado é credenciada pela autoridade referida no artigo 8.º 4 - ...
5 - ...
6 - ...
7 - ...
Artigo 6.º
[...]
1 - A Entidade de Certificação Eletrónica do Estado é dirigida, por inerência, pelo diretor do CEGER.2 - ...
3 - ...
4 - ...
Artigo 8.º
[...]
A autoridade credenciadora competente para o registo, credenciação e fiscalização das entidades certificadoras compreendidas no SCEE, bem como das que emitam certificados qualificados no âmbito do regime jurídico dos documentos eletrónicos e da assinatura digital, é a Autoridade Nacional de Segurança.»Artigo 3.º
Norma revogatória
São revogados os artigos 9.º a 12.º e 15.º do Decreto-Lei 116-A/2006, de 16 de junho, alterado pelo Decreto-Lei 88/2009, de 9 de abril.
Artigo 4.º
Republicação
É republicado no anexo ao presente decreto-lei, do qual faz parte integrante, o Decreto-Lei 116-A/2006, de 16 de junho, com a atual redação.
Artigo 5.º
Entrada em vigor
O presente decreto-lei entra em vigor no dia seguinte ao da sua publicação.Visto e aprovado em Conselho de Ministros de 31 de maio de 2012. - Pedro Passos Coelho - Vítor Louçã Rabaça Gaspar - Miguel Fernando Cassola de Miranda Relvas - Álvaro Santos Pereira.
Promulgado em 11 de julho de 2012.
Publique-se.O Presidente da República, Aníbal Cavaco Silva.
Referendado em 16 de julho de 2012.
O Primeiro-Ministro, Pedro Passos Coelho.
ANEXO
(a que se refere o artigo 4.º)
Republicação do Decreto-Lei 116-A/2006, de 16 de junho
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto e âmbito
1 - É criado o Sistema de Certificação Eletrónica do Estado - Infraestrutura de Chaves Públicas, adiante designado abreviadamente por SCEE, destinado a estabelecer uma estrutura de confiança eletrónica, de forma que as entidades certificadoras que lhe estão subordinadas disponibilizem serviços que garantam:a) A realização de transações eletrónicas seguras;
b) A autenticação forte;
c) Assinaturas eletrónicas de transações ou informações e documentos eletrónicos, assegurando a sua autoria, integridade, não repúdio e confidencialidade.
2 - Só podem prestar serviços de certificação eletrónica para as entidades públicas estaduais e para os serviços e organismos da Administração Pública ou outras entidades que exerçam funções de certificação no cumprimento de fins públicos daquela as entidades certificadoras do Estado reconhecidas no âmbito do SCEE.
3 - O SCEE pode reconhecer fora do seu âmbito, para efeitos de filiação na entidade certificadora raiz do Estado, outras entidades certificadoras públicas ou privadas que exerçam funções de entidade certificadora nos termos do disposto no Decreto-Lei 290-D/99, de 2 de agosto, e que obedeçam aos requisitos previstos no presente decreto-lei.
4 - As entidades certificadoras públicas e privadas referidas no número anterior não integram o SCEE.
Artigo 2.º
Estrutura e funcionamento do SCEE
1 - O SCEE compreende:a) O Conselho Gestor do Sistema de Certificação Eletrónica do Estado;
b) A Entidade de Certificação Eletrónica do Estado;
c) As entidades certificadoras do Estado.
2 - O funcionamento do SCEE obedece às regras estabelecidas no presente decreto-lei.
CAPÍTULO II
Conselho Gestor do SCEE
Artigo 3.º
Composição e funcionamento
1 - O Conselho Gestor do SCEE é o órgão responsável pela gestão global e administração do SCEE.2 - O Conselho Gestor do SCEE é presidido pelo Primeiro-Ministro e composto por representantes de cada uma das seguintes entidades, designados pelos competentes membros do Governo:
a) Gabinete Nacional de Segurança;
b) Centro de Gestão da Rede Informática do Governo (CEGER);
c) Agência para a Modernização Administrativa, I. P.;
d) Entidade de Serviços Partilhados da Administração Pública, I. P.;
e) ICP - Autoridade Nacional de Comunicações;
f) Um representante de cada entidade certificadora pública integrada no SCEE que não esteja representada por nenhuma das entidades referidas nas alíneas anteriores.
3 - Para efeitos do disposto na alínea f) do número anterior, caso exista mais do que uma entidade certificadora pública no âmbito do mesmo Ministério, pode o respetivo ministro determinar que apenas um representante das mesmas integre o Conselho Gestor do SCEE.
4 - O Primeiro-Ministro pode delegar a presidência do Conselho Gestor do SCEE em qualquer membro do Governo integrado na Presidência do Conselho de Ministros, com faculdade de subdelegação.
5 - O Conselho Gestor do SCEE pode solicitar a colaboração de outras entidades, públicas ou privadas, bem como de personalidades de reconhecido mérito, para a análise de assuntos de natureza técnica especializada, no âmbito das competências que lhe são cometidas pelo presente decreto-lei.
6 - O Conselho Gestor do SCEE reúne, de forma ordinária, duas vezes por ano e, de forma extraordinária, por convocação do seu presidente.
7 - O apoio técnico, logístico e administrativo ao Conselho Gestor do SCEE bem como os encargos inerentes ao seu funcionamento são da responsabilidade da entidade à qual é cometida a função de operação da entidade certificadora raiz do Estado.
8 - Os membros do Conselho Gestor do SCEE não têm direito a auferir suplemento remuneratório pelo desempenho das suas funções, sem prejuízo da possibilidade do percebimento de abonos ou ajudas de custo, nos termos gerais.
Artigo 4.º
1 - Compete ao Conselho Gestor do SCEE:a) Definir, de acordo com a lei e tendo em conta as normas ou especificações internacionalmente reconhecidas, a política de certificação e as práticas de certificação a observar pelas entidades certificadoras que integram o SCEE;
b) Garantir que as declarações de práticas de certificação das várias entidades certificadoras do Estado, bem como da entidade certificadora raiz do Estado, estão em conformidade com a política de certificação do SCEE;
c) Propor os critérios para aprovação das entidades certificadoras que pretendam integrar o SCEE;
d) Aferir a conformidade dos procedimentos seguidos pelas entidades certificadoras do Estado com as políticas e práticas aprovadas, sem prejuízo das competências legalmente cometidas à autoridade credenciadora;
e) Pronunciar-se pela exclusão do SCEE das entidades certificadoras em caso de não conformidade com as políticas e práticas aprovadas, comunicando tal facto à autoridade credenciadora;
f) Pronunciar-se sobre as melhores práticas internacionais no exercício das atividades de certificação eletrónica e propor a sua aplicação;
g) Representar institucionalmente o SCEE.
2 - Compete, ainda, ao Conselho Gestor do SCEE a promoção das atividades necessárias para o estabelecimento de acordos de interoperabilidade, com base em certificação cruzada, com outras infraestruturas de chaves públicas, de natureza privada ou pública, nacionais ou internacionais, nomeadamente:
a) Dar indicações à entidade certificadora raiz do Estado para a atribuição e a revogação de certificados emitidos com base em certificação cruzada;
b) Definir os termos e condições para o início, a suspensão ou a finalização dos procedimentos de interoperabilidade com outras infraestruturas de chaves públicas.
CAPÍTULO III
Entidade de Certificação Eletrónica do Estado
Artigo 5.º
Definição e competências
1 - A Entidade de Certificação Eletrónica do Estado, enquanto entidade certificadora raiz do Estado, é o serviço certificador de topo da cadeia de certificação do SCEE que executa as políticas de certificados e diretrizes aprovadas pelo Conselho Gestor do SCEE.2 - Compete à Entidade de Certificação Eletrónica do Estado admitir a integração das entidades certificadoras que obedeçam aos requisitos estabelecidos no presente decreto-lei, bem como prestar os serviços de certificação às entidades certificadoras, no nível hierárquico imediatamente inferior ao seu na cadeia de certificação, em conformidade com as normas aplicáveis às entidades certificadoras estabelecidas em Portugal na emissão de certificados digitais qualificados.
3 - Para os efeitos previstos no número anterior, a Entidade de Certificação Eletrónica do Estado é credenciada pela autoridade referida no artigo 8.º 4 - A Entidade de Certificação Eletrónica do Estado disponibiliza exclusivamente os seguintes serviços de certificação digital:
a) Processo de registo das entidades certificadoras;
b) Geração de certificados, incluindo certificados qualificados, e gestão do seu ciclo de vida;
c) Disseminação dos certificados, das políticas e das práticas de certificação;
d) Gestão de revogações de certificados;
e) Disponibilização do estado e da situação das revogações referidas na alínea anterior.
5 - Compete, ainda, à Entidade de Certificação Eletrónica do Estado:
a) Garantir o cumprimento e a implementação enquanto entidade certificadora de todas as regras e todos os procedimentos estabelecidos no documento de políticas de certificação e na declaração de práticas de certificação do SCEE;
b) Implementar as políticas e práticas do Conselho Gestor do SCEE;
c) Gerir toda a infraestrutura e os recursos que compõem e garantem o funcionamento da entidade certificadora raiz do Estado, nomeadamente o pessoal, os equipamentos e as instalações;
d) Gerir todas as atividades relacionadas com a gestão do ciclo de vida dos certificados por si emitidos para as entidades certificadoras de nível imediatamente inferior ao seu;
e) Garantir que o acesso às suas instalações principal e alternativa é efetuado apenas por pessoal devidamente autorizado e credenciado;
f) Gerir o recrutamento de pessoal tecnicamente habilitado para a realização das tarefas de gestão e operação da entidade certificadora raiz do Estado;
g) Comunicar imediatamente qualquer incidente, nomeadamente anomalias ou falhas de segurança, ao Conselho Gestor do SCEE.
6 - A Entidade de Certificação Eletrónica do Estado emite exclusivamente certificados para as entidades certificadoras que lhe estejam subordinadas, não podendo emitir certificados destinados ao público.
7 - Podem filiar-se na Entidade de Certificação Eletrónica do Estado as entidades certificadoras do Estado, bem como as entidades certificadoras públicas ou privadas a que alude o n.º 3 do artigo 1.º que obedeçam aos requisitos previstos no n.º 1 do artigo 7.º
Artigo 6.º
Direção e pessoal
1 - A Entidade de Certificação Eletrónica do Estado é dirigida, por inerência, pelo diretor do CEGER.2 - Desempenham funções na Entidade de Certificação Eletrónica do Estado, sem prejuízo do exercício de funções no lugar de origem, os técnicos do CEGER com as seguintes categorias:
a) Um consultor de sistemas, incumbido da articulação entre a Entidade de Certificação Eletrónica do Estado e o Conselho Gestor do SCEE e entre aquela e as entidades certificadoras do Estado;
b) Um administrador de sistemas, autorizado a instalar, configurar e manter o sistema, tendo acesso controlado a configurações relacionadas com a segurança;
c) Um operador de sistemas, responsável por operar diariamente os sistemas, autorizado a realizar cópias de segurança e reposição de informação;
d) Um administrador de segurança, responsável pela gestão e implementação das regras e práticas de segurança;
e) Um administrador de registo, responsável pela aprovação da emissão, pela suspensão e pela revogação de certificados;
f) Um auditor de sistemas, autorizado a monitorizar os arquivos de atividade dos sistemas.
3 - Nos termos da legislação em vigor, as funções de administrador de sistemas, de administrador de segurança e de auditor de sistemas devem ser desempenhadas por pessoas diferentes.
4 - Para os efeitos do disposto no n.º 2, o quadro de pessoal do CEGER pode ser alterado por portaria conjunta dos membros do Governo responsáveis pelas áreas das finanças e da Administração Pública e pelo CEGER.
CAPÍTULO IV
Entidades certificadoras do Estado
Artigo 7.º
Requisitos
1 - São entidades certificadoras do Estado as entidades que exerçam funções de entidade certificadora nos termos do disposto no Decreto-Lei 290-D/99, de 2 de agosto, e respetiva regulamentação, e que:a) Estejam admitidas como entidades certificadoras, nos termos do n.º 2 do artigo 5.º;
b) Atuem em conformidade com as declarações de práticas de certificação e com a política de certificação e práticas aprovadas pelo Conselho Gestor do SCEE;
c) A autoridade credenciadora tenha capacidade de fiscalização direta sobre todos os serviços de certificação eletrónica disponibilizados.
2 - (Revogado.) 3 - (Revogado.) 4 - As entidades certificadoras não podem emitir certificados de nível diverso do imediatamente subsequente ao seu, excepto nos casos de acordos de certificação lateral ou cruzada promovidos e aprovados pelo Conselho Gestor do SCEE.
5 - Os serviços de registo podem ser atribuídos a entidades, individuais ou coletivas, designadas como entidades de registo, com as quais as entidades certificadoras acordam a prestação de serviços de identificação e registo de utilizadores de certificados, bem como a gestão de pedidos de revogação de certificados, nos termos do disposto no n.º 1 do artigo 4.º do Decreto Regulamentar 25/2004, de 15 de julho.
CAPÍTULO V
Autoridade credenciadora nacional
Artigo 8.º
Autoridade credenciadora
A autoridade credenciadora competente para o registo, credenciação e fiscalização das entidades certificadoras compreendidas no SCEE, bem como das que emitam certificados qualificados no âmbito do regime jurídico dos documentos eletrónicos e da assinatura digital, é a Autoridade Nacional de Segurança.
Artigo 9.º
(Revogado.)
Artigo 10.º
(Revogado.)
Artigo 11.º
(Revogado.)
Artigo 12.º
(Revogado.)
Artigo 13.º
Colaboração com outras entidades
A autoridade credenciadora pode, no exercício das competências que lhe estão cometidas pelo presente decreto-lei, solicitar a outras entidades públicas ou privadas toda a colaboração que julgar necessária.
CAPÍTULO VI
Disposições finais e transitórias
Instalação e equipamento da Entidade de Certificação Eletrónica do
Estado
Para além do previsto no presente decreto-lei, os demais aspetos regulamentares relacionados com a instalação e o equipamento da Entidade de Certificação Eletrónica do Estado são regulados por despacho do membro do Governo responsável pelo CEGER.
Artigo 15.º
(Revogado.)
Artigo 16.º
Alteração ao Decreto-Lei 290-D/99, de 2 de agosto
O artigo 9.º do Decreto-Lei 290-D/99, de 2 de agosto, com a redação que lhe foi dada pelo Decreto-Lei 62/2003, de 3 de abril, passa a ter a seguinte redação:
«Artigo 9.º
[...]
1 - ...2 - Sem prejuízo do disposto no número anterior, as entidades certificadoras que emitam certificados qualificados devem proceder ao seu registo junto da autoridade credenciadora, nos termos a fixar por portaria do membro do Governo responsável pela autoridade credenciadora.
3 - A credenciação e o registo estão sujeitos ao pagamento de taxas em função dos custos associados às tarefas administrativas, técnicas, operacionais e de fiscalização correspondentes, nos termos a fixar por despacho conjunto do membro do Governo responsável pela autoridade credenciadora e do Ministro das Finanças, que constituem receita da autoridade credenciadora.»
Artigo 17.º
Aditamento ao Decreto-Lei 290-D/99, de 2 de agosto
É aditado ao Decreto-Lei 290-D/99, de 2 de agosto, com a redação que lhe foi dada pelo Decreto-Lei 62/2003, de 3 de abril, o artigo 40.º-A, com a seguinte redação:
«Artigo 40.º-A Credenciação de entidades certificadoras públicas 1 - As disposições constantes dos capítulos iii e iv só são aplicáveis à atividade das entidades certificadoras públicas na estrita medida da sua adequação à natureza e às atribuições de tais entidades.
2 - Compete à autoridade credenciadora estabelecer os critérios de adequação da aplicação do disposto no número anterior, para efeitos da emissão de certificados de credenciação a entidades certificadoras públicas a quem tal atribuição esteja legalmente cometida.
3 - Os certificados de credenciação podem ser emitidos, a título provisório, por períodos anuais renováveis até um máximo de três anos, sempre que a autoridade credenciadora considere necessário determinar procedimentos de melhor cumprimento dos requisitos técnicos aplicáveis.»
Artigo 18.º
Norma revogatória
São revogados:a) O Decreto-Lei 234/2000, de 25 de setembro;
b) A alínea i) do artigo 18.º do Decreto-Lei 146/2000, de 18 de julho;
c) A alínea j) do artigo 5.º do Decreto-Lei 103/2001, de 29 de março.
