Projeto de regulamento que configura instrução técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes

Aviso 21606/2021

Sumário: Projeto de regulamento que configura instrução técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes.

Projeto de regulamento que configura instrução técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes

Nos termos e em cumprimento das disposições conjugadas do artigo 101.º do Código do Procedimento Administrativo do disposto na alínea c) do n.º 1 do artigo 2.º-A, no artigo 3.º e no n.º 4 do artigo 4.º do Decreto-Lei 3/2012, de 16 de janeiro, na redação atual, que aprova a orgânica do Gabinete Nacional de Segurança, nos termos do n.º 5 do artigo 7.º da Lei 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço e ao abrigo das competências que me foram delegadas através da alínea a) do n.º 1 do Despacho 8689/2021, de 23 de agosto, do diretor-geral do Gabinete Nacional de Segurança, publicado no Diário da República, 2.ª série, de 2 de setembro de 2021, aprovo o projeto de Regulamento que configura Instrução Técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes, é submetido a consulta pública, para recolha de sugestões, procedendo-se, para o efeito, à publicação de aviso na 2.ª série do Diário da República e à difusão na página do Centro Nacional de Cibersegurança na Internet. Os interessados devem dirigir, por escrito, as sugestões, ao subdiretor-geral do Gabinete Nacional de Segurança responsável pela coordenação do Centro Nacional de Cibersegurança, utilizando o endereço eletrónico drsc@cncs.gov.pt, no prazo de 30 dias úteis, a contar da data da publicação do aviso no Diário da República.

3 de novembro de 2021. - O Coordenador do Centro Nacional de Cibersegurança, José Lino Alves dos Santos.

Nota justificativa

Instrução técnica relativa à comunicação e informação referentes a ponto de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes

1 - A Lei 46/2018, de 13 de agosto, estabeleceu o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União.

2 - O regime jurídico da segurança do ciberespaço aplica-se às entidades da Administração Pública, aos operadores de infraestruturas críticas, aos operadores de serviços essenciais, aos prestadores de serviços digitais, bem como a quaisquer outras entidades que utilizem redes e sistemas de informação, nomeadamente, no âmbito da notificação voluntária de incidentes.

3 - O regime jurídico da segurança do ciberespaço estabeleceu a Estrutura de Segurança do Ciberespaço, consagrando o Centro Nacional de Cibersegurança como Autoridade Nacional de Cibersegurança e o «CERT.PT» como Equipa de Resposta a Incidentes de Segurança Informática Nacional.

4 - Foram ainda estabelecidas as obrigações de notificação de incidentes à Autoridade Nacional de Cibersegurança e as obrigações de implementação de requisitos de segurança para a Administração Pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais e os prestadores de serviços digitais.

5 - A Lei 46/2018, de 13 de agosto, que estabeleceu o regime jurídico da segurança do ciberespaço, foi objeto de regulamentação através do Decreto-Lei 65/2021, de 30 de julho, que procede ainda à execução, na ordem jurídica nacional, das obrigações decorrentes do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, permitindo a implementação de um quadro nacional de certificação da cibersegurança.

6 - Em consequência, torna-se agora necessário a aprovação de Instrução Técnica complementar, tendo como base legal a previsão do n.º 5 do artigo 7.º da Lei 46/2018, de 13 de agosto, para definir os termos de aplicação deste normativo quanto às seguintes disposições do Decreto-Lei 65/2021, de 30 de julho:

a) N.os 3, 4 e 5 do artigo 4.º, referente à indicação de ponto de contacto permanente;

b) N.os 2, 3 e 4 do artigo 5.º referente à indicação do responsável de segurança;

c) N.os 1, 2 e 3 do artigo 6.º referentes à informação que, para cada ativo, deve constar do inventário de ativos e à comunicação da lista de ativos;

d) N.os 1, 2, 3 e 4 do artigo 8.º relativo à informação que deve constar do relatório anual e à comunicação do relatório anual;

e) N.º 1 do artigo 12.º, n.º 1 do artigo 13.º, n.º 1 do artigo 14.º, n.º 1 do artigo 15.º e n.º 2 do artigo 17.º referentes ao envio das notificações de incidentes e de informação adicional.

7 - Assim, nos termos do disposto na alínea c) do n.º 1 do artigo 2.º-A do Decreto-Lei 3/2012, de 16 de janeiro, na redação atual, e nos termos do n.º 5 do artigo 7.º da Lei 46/2018, de 13 de agosto, o subdiretor-geral do Gabinete Nacional de Segurança responsável pela coordenação do Centro Nacional de Cibersegurança, ao abrigo das competências que me foram delegadas através da alínea a) do n.º 1 do Despacho 8689/2021, de 23 de agosto, do diretor-geral do Gabinete Nacional de Segurança, publicado no Diário da República, 2.ª série, de 2 de setembro de 2021, aprovou por despacho o presente projeto de regulamento que configura uma Instrução Técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes.

8 - Assim, para os efeitos previstos nos artigos 100.º e 101.º do Código do Procedimento Administrativo, se submete o presente projeto de Regulamento a consulta pública, a decorrer pelo período de 30 dias, mediante publicação no sítio institucional do Centro Nacional de Cibersegurança na Internet e na 2.ª série do Diário da República.

9 - Neste contexto, solicita-se aos interessados que enviem os respetivos contributos, por escrito e em língua portuguesa, preferencialmente por correio eletrónico para o endereço: drsc@cncs.gov.pt.

10 - Encerrada a consulta pública, o Centro Nacional de Cibersegurança procederá à apreciação dos contributos apresentados pelos interessados e disponibilizará um relatório contendo referência a todos os contributos recebidos, bem como uma apreciação global que reflita o entendimento sobre os mesmos e os fundamentos das opções tomadas.

Projeto de instrução técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes

No âmbito da competência de emitir instruções de cibersegurança atribuída ao Centro Nacional de Cibersegurança (CNCS) de acordo com o n.º 5 do artigo 7.º da Lei 46/2018, de 13 de agosto, e com o previsto no n.º 1 do artigo 19.º do Decreto-Lei 65/2021, de 30 de julho de 2021, que regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019, serve a presente Instrução para definir os termos de aplicação deste normativo quanto às seguintes disposições: n.os 3, 4 e 5 do artigo 4.º, referente à indicação de ponto de contacto permanente; n.os 2, 3 e 4 do artigo 5.º referente à indicação do responsável de segurança; n.os 1, 2 e 3 do artigo 6.º referentes à informação que, para cada ativo, deve constar do inventários de ativos e à comunicação da lista de ativos; n.os 1, 2, 3 e 4 do artigo 8.º relativo à informação que deve constar do relatório anual e à comunicação do relatório anual; n.º 1 do artigo 12.º, n.º 1 do artigo 13.º, n.º 1 do artigo 14.º , n.º 1 do artigo 15.º e n.º 2 do artigo 17.º referentes ao envio das notificações de incidentes e de informação adicional.

Artigo 1.º

Envio e tratamento de informação

1 - O envio de informação ao CNCS no âmbito dos artigos 4.º, 5.º, 6.º e 8.º do Decreto-Lei 65/2021, de 30 de julho de 2021, deve ser realizada por meios eletrónicos para o endereço de correio eletrónico sri@cncs.gov.pt.

2 - Caso as entidades pretendam enviar a informação protegida por método criptográfico, podem proteger a informação utilizando a chave pública de PGP, associada ao endereço de correio eletrónico referido no número anterior, publicada no sítio na Internet do CNCS.

3 - O CNCS mantém e gere a informação recebida nos números anteriores, num sistema de informação seguro em conformidade com as disposições respeitantes à segurança de matérias classificadas com o grau de segurança Reservado na marca Nacional, salvo quando necessário grau de segurança superior.

Artigo 2.º

Ponto de contacto permanente

1 - O ponto de contacto permanente deve ser comunicado ao CNCS nos termos dos n.os 3, 4 e 5, do artigo 4.º do Decreto-Lei 65/2021, de 30 de julho de 2021.

2 - A informação a constar da comunicação a realizar ao CNCS deve conter o nome da pessoa ou pessoas responsáveis por assegurar as funções de ponto de contacto permanente, e indicação dos meios de contacto principais e alternativos, nomeadamente contendo, no mínimo, a seguinte informação:

a) Nome da entidade;

b) Endereço de correio eletrónico principal;

c) Endereço de correio eletrónico alternativo;

d) Número de telefone fixo principal;

e) Número de telefone móvel principal;

f) Número de telefone fixo alternativo;

g) Número de telefone móvel alternativo;

h) Outros contactos alternativos.

3 - Esta comunicação deve ser realizada para o endereço de correio eletrónico indicado no n.º 1 do artigo 1.º da presente Instrução, preenchendo e juntando o formulário, constante do anexo I à presente Instrução, e disponível no sítio na Internet do Centro Nacional de Cibersegurança, que deve ser descarregado após a publicação da presente Instrução.

Artigo 3.º

Responsável de segurança

1 - A indicação da pessoa designada para as funções de responsável de segurança deve ser comunicada ao CNCS nos termos dos n.os 2, 3 e 4 do artigo 5.º do Decreto-Lei 65/2021, de 30 de julho de 2021.

2 - A informação a constar da comunicação a realizar ao CNCS deve conter o nome da pessoa designada para assegurar as funções de responsável de segurança nomeadamente contendo, no mínimo, a seguinte informação:

a) Nome da entidade;

b) Nome do responsável de segurança;

c) Cargo do responsável de segurança;

d) Endereço de correio eletrónico;

e) Número de telefone fixo;

f) Número de telefone móvel.

3 - Esta comunicação deve ser realizada para o endereço de correio eletrónico indicado no n.º 1 do artigo 1.º da presente Instrução, preenchendo e juntando o formulário, constante do anexo II à presente Instrução, e disponível no sítio na Internet do Centro Nacional de Cibersegurança, que deve ser descarregado após a publicação da presente Instrução.

Artigo 4.º

Inventário de ativos

1 - Para os efeitos do disposto na presente instrução, entende-se por «Ativo» todo o sistema de informação e comunicação, os equipamentos e os demais recursos físicos e lógicos considerandos essenciais, que suportam, direta ou indiretamente, um ou mais serviços.

2 - Para cada ativo identificado de acordo com o n.º 1 do artigo 6.º do Decreto-Lei 65/2021, de 30 de julho de 2021, a informação a constar do inventário de ativos deve ser baseada nas medidas técnicas «ID.GA - Gestão de Ativos», do Quadro Nacional de Referência de Cibersegurança, elaborado pelo CNCS e publicado no respetivo sítio na Internet, devendo a entidade adotar no mínimo as medidas técnicas «ID.GA-1 - Os dispositivos físicos, redes e sistemas de informação existentes na organização devem ser inventariados» e «ID.GA-2 - As aplicações e plataformas de software que suportam os processos dos serviços críticos devem ser inventariadas», nomeadamente:

ID.GA-1 - A entidade deve efetuar o inventário dos seus equipamentos de acordo com as seguintes regras:

a) Os dispositivos físicos e sistemas devem ser inventariados com a seguinte informação:

i) Número de inventário;

ii) Nome e modelo do equipamento;

iii) Número de série;

iv) Localização.

b) Os dispositivos ligados à rede devem ter a seguinte informação complementar:

i) Endereço IP;

ii) Endereço de hardware.

c) Os responsáveis dos dispositivos e sistemas devem ser identificados com, pelo menos, os seguintes elementos:

i) Nome;

ii) Contacto;

iii) Departamento.

d) Os dispositivos físicos e sistemas devem ser classificados de acordo com a sua criticidade para a entidade.

ID.GA-2 - A entidade deve elaborar o inventário de todas as suas aplicações, identificando:

e) Informação necessária ao inventário de uma aplicação, nomeadamente:

i) Nome do software;

ii) Versão;

iii) Fabricante.

f) Os responsáveis pelas aplicações com, pelo menos, os seguintes elementos:

i) Nome;

ii) Contacto;

iii) Departamento.

g) A classificação em função da criticidade da aplicação para a entidade;

h) Quando aplicável, o tipo de contrato de suporte em vigor com o fornecedor da aplicação ou plataforma de software.

3 - Para efeitos do n.º 3 do artigo 6.º do Decreto-Lei 65/2021, de 30 de julho de 2021, as entidades devem comunicar ao CNCS, com base no inventário de ativos a que se refere o n.º 1 do artigo 6.º do referido normativo, para todos os ativos direta ou indiretamente acessíveis publicamente através da Internet, uma lista de ativos com a seguinte informação:

i) Serviço suportado;

ii) Nome do equipamento/Nome do software;

iii) Modelo/Versão;

iv) Endereço IP;

v) Fabricante.

4 - A lista a que se refere o número anterior deve ser remetida para o endereço de correio eletrónico indicado no n.º 1 do artigo 1.º da presente Instrução, preenchendo e juntando o formulário, constante do anexo III à presente Instrução, e disponível no sítio na Internet do Centro Nacional de Cibersegurança, que deve ser descarregado após a publicação da presente Instrução.

Artigo 5.º

Relatório anual

1 - O relatório anual deve ser comunicado ao CNCS nos termos dos n.os 2 e 3 do artigo 8.º do Decreto-Lei 65/2021, de 30 de julho de 2021, contendo a informação referida no n.º 1 do mesmo artigo.

2 - O relatório anual deve ser remetido para o endereço de correio eletrónico indicado no n.º 1 do artigo 1.º da presente Instrução, preenchendo e juntando um ficheiro PDF, o qual deverá respeitar a estrutura constante do anexo IV à presente Instrução, e disponível no sítio na Internet do Centro Nacional de Cibersegurança, que deve ser descarregado após a publicação da presente Instrução.

Artigo 6.º

Notificações de incidentes

1 - O envio das notificações de incidentes e de informação adicional, de acordo com os termos dos artigos 11.º a 16.º do Decreto-Lei 65/2021, de 30 de julho de 2021, com produção de efeitos prevista no n.º 2 do artigo 23.º, deve ser realizado através do sítio na Internet do Centro Nacional de Cibersegurança (https://www.cncs.gov.pt) na funcionalidade «Notificação de Incidentes», mediante o preenchimento do modelo de reporte estabelecido para o efeito.

2 - Nos casos em que a entidade em resultado do incidente ou por outro motivo de natureza eminentemente técnica devidamente justificado, não tem temporariamente capacidade operacional para assegurar a notificação no sítio na Internet do Centro Nacional de Cibersegurança, ou nos casos em que o mesmo esteja indisponível, a notificação poderá ser efetuada, a título excecional, através:

a) De correio eletrónico remetido para o seguinte endereço: cert@cert.pt;

b) Por telefone através do número (+351) 210 497 399;

c) Por telefone através do número (+351) 910 599 284, em disponibilidade contínua (24 horas por dia e sete dias por semana).

3 - Caso as entidades pretendam enviar a notificação protegida por método criptográfico, podem proteger a informação utilizando a chave pública de PGP, associada ao endereço de correio eletrónico referido na alínea a) do número anterior, publicada no sítio na Internet do CNCS.

4 - O CNCS mantém e gere a informação recebida nos números anteriores, num sistema de informação seguro em conformidade com as disposições respeitantes à segurança de matérias classificadas com o grau de segurança Reservado na marca Nacional, salvo quando necessário grau de segurança superior.

ANEXO I

(a que se refere o artigo 2.º)

Ponto de contacto permanente

(ver documento original)

ANEXO II

(a que se refere o artigo 3.º)

Responsável de segurança

(ver documento original)

ANEXO III

(a que se refere o artigo 4.º)

Lista de ativos

(ver documento original)

ANEXO IV

(a que se refere o artigo 5.º)

Relatório anual

1 - Designação da entidade:

2 - Ano civil e período de tempo do relatório:

3 - Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos serviços de informação:

4 - Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes:

5 - Análise agregada dos incidentes de segurança com impacto relevante ou substancial, com informação sobre:

5.1 - Número de utilizadores afetados pela perturbação do serviço

5.2 - Duração dos incidentes

5.3 - Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço

6 - Recomendações de atividades, de medidas ou de práticas que promovam a melhoria da segurança das redes e dos sistemas de informação:

7 - Problemas identificados e medidas implementadas na sequência dos incidentes:

8 - Qualquer outra informação relevante:

Data:

Responsável de segurança:

Assinatura do Responsável de segurança:

100000330

Este documento liga aos seguintes documentos (apenas ligações para documentos da Serie I do DR):

• 2012-01-16 - Decreto-Lei 3/2012 - Presidência do Conselho de Ministros

  Aprova a orgânica e o quadro de pessoal dirigente (publicado em anexo) do Gabinete Nacional de Segurança, estabelecendo as suas atribuições e competências, e dispondo sobre a sua gestão financeira e regime de exercício de funções do seu pessoal.

• 2018-08-13 - Lei 46/2018 - Assembleia da República

  Estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União

• 2021-07-30 - Decreto-Lei 65/2021 - Presidência do Conselho de Ministros

  Regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019