Aprova o Regulamento de Segurança do Ciberespaço na Universidade de Coimbra.

Regulamento 296/2024 No uso das minhas competências conferidas pelas alíneas e) e x) do n.º 1 do artigo 49.º dos Estatutos da Universidade de Coimbra, homologados pelo Despacho Normativo 43/2008, de 1 de setembro, alterados e republicados pelo Despacho Normativo 8/2019, de 19 de março, ouvido o Senado, e após discussão pública, nos termos do disposto no n.º 3 do artigo 110.º da Lei 62/2007, de 10 de setembro, que aprova o Regime Jurídico das Instituições de Ensino Superior, e no n.º 1 do artigo 101.º do Código do Procedimento Administrativo, aprovado pelo Decreto-Lei 4/2015, de 7 de janeiro, ambos na sua redação atual, aprovo o Regulamento de Segurança do Ciberespaço na Universidade de Coimbra, em anexo. 19 de fevereiro de 2024. - O Reitor, Amílcar Falcão. ANEXO Regulamento de Segurança do Ciberespaço na Universidade de Coimbra Preâmbulo Atualmente, as tecnologias de informação são um instrumento de uso generalizado e estão na base de sistemas complexos que apoiam uma variedade de atividades quotidianas, assumindo um papel cada vez mais influente e determinante na forma como a vida em sociedade se desenvolve, o que se reflete não só na esfera dos agentes económicos e das relações privadas, mas também no âmbito da atividade pública e das relações entre os cidadãos e a Administração Pública. A Universidade de Coimbra (UC) não é obviamente alheia a este desenvolvimento tecnológico e tem adotado a digitalização e a conectividade como características centrais num número cada vez maior de serviços e procedimentos. No entanto, o recurso a novas soluções digitais acarreta inevitavelmente a necessidade premente de assegurar um elevado nível de segurança das redes e dos sistemas de informação que sustentam o uso dessas novas tecnologias, de forma a garantir que a sua utilização decorre num ambiente de confiança e protegido de ameaças que possam ter efeitos desestabilizadores de considerável alcance na vida em sociedade, especialmente em contextos de crise, que tendem a agravar a exploração de vulnerabilidades por parte de agentes de ameaça com motivações diversas. Neste contexto, a Lei 46/2018, de 13 de agosto, veio estabelecer o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União. Esse regime foi, entretanto, objeto de regulamentação pelo Decreto-Lei 65/2021, de 30 de julho, que definiu um conjunto de requisitos e obrigações em matéria de segurança do ciberespaço que devem ser cumpridas, designadamente, pela Administração Pública, incluindo os institutos públicos. Nesta senda, constata-se a necessidade de se proceder à regulamentação interna das disposições legais, com vista a estabelecer os princípios norteadores da atuação da UC em matéria de segurança do ciberespaço, definir a respetiva estrutura de segurança do ciberespaço e determinar as regras de segurança das redes e dos sistemas de informação e de notificação de incidentes que afetem a segurança dos mesmos, garantindo assim o integral e efetivo cumprimento dos requisitos e obrigações legais nesta matéria. CAPÍTULO I DISPOSIÇÕES GERAIS Artigo 1.º Objeto e âmbito de aplicação 1 - O presente Regulamento estabelece os princípios norteadores da atuação da UC em matéria de segurança do ciberespaço, define a respetiva estrutura de segurança do ciberespaço e determina as regras de segurança das redes e dos sistemas de informação e de notificação de incidentes que afetem a segurança dos mesmos, tendo em vista o cumprimento dos requisitos e das obrigações legais em matéria de segurança do ciberespaço. 2 - As disposições constantes do presente Regulamento são aplicáveis a todas as unidades orgânicas e outras unidades e serviços centrais que utilizem as redes de dados e sistemas de informação da UC. 3 - A utilização das redes de dados e sistemas de informação da UC por entidades externas à mesma deve respeitar os requisitos e cumprir com as obrigações previstas no presente Regulamento. Artigo 2.º Definições Para efeitos do presente Regulamento, entende-se por: a) Incidente (de Segurança Informática) - Ação ou conjunto de ações desenvolvidas contra um computador ou rede de computadores que resulta, ou pode resultar, na perda da confidencialidade, integridade ou desempenho de uma rede de comunicação de dados ou sistema de informação; b) CSIRT (Computer Security Incident Response Team) - Equipa de peritos de segurança informática que tem como principal atividade responder aos incidentes de segurança informática; c) Taxonomia - Nomenclatura utilizada para classificação de incidentes de segurança informática, segundo Classe e Tipo, adotada pelos CSIRTs (nacionais e internacionais); d) TLP (Traffic Light Protocol) - Protocolo que providencia um esquema fácil para indicar quando (proteção) e como (divulgação) a informação pode ser partilhada com a comunidade de cibersegurança a nível nacional e internacional, o qual adota um esquema de cores (semáforo) para indicar os diferentes níveis de sensibilidade e ações expectáveis, que devem ser obrigatoriamente respeitadas no manuseamento da informação; e) Redes de Dados - Conjunto de dois ou mais dispositivos eletrónicos de computação (módulos processadores ou nós de rede) interligados por um sistema de comunicação digital (ligação de dados) que utilizam um conjunto de regras (protocolos de rede) para partilharem entre si informação, serviços e recursos físicos e lógicos; f) Sistema de Informação - Qualquer dispositivo ou conjunto de dispositivos interligados ou associados, em que um ou mais de entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informáticos, bem como a rede de comunicações eletrónicas que suporta a comunicação entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção; g) Ativo (Informático) - Todo o sistema de informação e comunicação, os equipamentos e os demais recursos físicos e lógicos considerados essenciais, geridos ou detidos pela UC, que suportam, direta ou indiretamente, um ou mais serviços; h) Ativo Público - Qualquer ativo acessível diretamente através da internet; i) Ativo Privado - Ativo apenas acessível internamente, seja diretamente ao equipamento ou a partir de redes informáticas internas à UC; j) Tratamento de Incidentes - Todos os procedimentos de apoio à deteção, análise, contenção e resposta a um incidente. Artigo 3.º Princípios Em matéria de segurança do ciberespaço, a atuação da UC rege-se pelos seguintes princípios: a) Princípio da adequação - A UC acata as instruções técnicas de cibersegurança emitidas pelo Centro Nacional de Cibersegurança (CNCS) e age em conformidade com as mesmas, bem como adequa as medidas técnicas e organizativas ao nível nacional de alerta definido pelo CNCS, sem prejuízo de poder emitir instruções internas adicionais que não se sobreponham ou sejam contrárias àquelas; b) Princípio da cooperação - A UC colabora e atua em articulação e estreita cooperação com o CNCS e com as estruturas nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime, ciberterrorismo e proteção de dados pessoais, devendo comunicar às autoridades competentes, no mais curto prazo, os factos de que tenha conhecimento relativos a incidentes de segurança informática, identificados pela própria UC ou notificados pelas entidades legalmente competentes; c) Princípio da classificação da informação - A UC respeita o protocolo definido pelo CNCS para a classificação da informação no âmbito da comunicação de incidentes de segurança; d) Princípio da colaboração para a partilha de recursos - A UC pode estabelecer formas de colaboração com as entidades previstas nas alíneas a) a d) do n.º 1 do artigo 2.º da Lei 46/2018, de 13 de agosto, que estabelece o Regime Jurídico da Segurança do Ciberespaço, com vista ao cumprimento das obrigações em matéria de requisitos de segurança e de notificação de incidentes, numa lógica de partilha de recursos, desde que seja assegurada a efetiva operacionalização das mesmas em cada entidade e sem prejuízo da responsabilização de cada entidade individualmente considerada pelo incumprimento daquelas obrigações; e) Princípio da colaboração interna - Com vista ao cumprimento das obrigações previstas na lei e no presente Regulamento, as unidades orgânicas e outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º colaboram e atuam em articulação e estreita cooperação com o responsável de segurança, o ponto de contacto permanente e o serviço responsável pela cibersegurança da UC. CAPÍTULO II ESTRUTURA DE SEGURANÇA DO CIBERESPAÇO Artigo 4.º Composição 1 - A estrutura central de segurança do ciberespaço da UC é composta por um responsável de segurança e um ponto de contacto permanente, que são designados pelo Reitor. 2 - A estrutura de segurança do ciberespaço da UC compreende ainda os responsáveis de segurança e os pontos de contacto permanente das unidades orgânicas e outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º 3 - Os responsáveis de segurança e os pontos de contacto permanente previstos no número anterior são designados: a) Pelo Reitor, no caso dos Serviços de apoio direto aos órgãos de governo e da Administração; b) Pelos respetivos Diretores, no caso das Unidades Orgânicas e Unidades de Extensão Cultural e de Apoio à Formação; c) Pelo respetivo Administrador, no caso dos Serviços de Ação Social. Artigo 5.º Responsável de segurança 1 - Ao responsável de segurança da UC compete gerir o conjunto das medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes, nos termos previstos na lei e no presente Regulamento. 2 - A indicação da pessoa designada para exercer as funções de responsável de segurança da UC deve ser comunicada ao CNCS, no prazo de 20 dias úteis a contar do início da respetiva atividade. 3 - A comunicação prevista no número anterior deve conter a informação definida em regulamentação complementar em vigor à data da sua realização, nomeadamente em instruções técnicas emitidas pelo CNCS. 4 - Qualquer alteração à informação referida nos n.os 2 e 3 deve ser igualmente comunicada ao CNCS, após a indicação do substituto ou logo que se verifique a alteração à informação em causa. 5 - A indicação da pessoa designada para exercer as funções de responsável de segurança das unidades orgânicas e outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º deve ser comunicada ao responsável de segurança da UC, no prazo de 20 dias úteis a contar da entrada em vigor do presente Regulamento, aplicando-se aqui o disposto no n.º 3, com as necessárias adaptações. 6 - Na ausência da comunicação prevista no número anterior, cabe ao órgão superior ou dirigente máximo de cada uma das unidades orgânicas e outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º exercer as funções de responsável de segurança. 7 - A substituição dos responsáveis de segurança das unidades orgânicas e das outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º ou qualquer alteração à informação referida no n.º 3 deve ser comunicada ao responsável de segurança da UC, no prazo de 3 dias úteis após a indicação do substituto ou logo que se verifique a alteração à informação em causa. 8 - Os responsáveis de segurança das unidades orgânicas e unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º devem colaborar e atuar em articulação e estreita cooperação com o responsável de segurança, o ponto de contacto permanente e o serviço responsável pela cibersegurança da UC, devendo, nomeadamente: a) Manter atualizados os meios de contacto e o inventário de ativos; b) Prestar todas as informações que lhes sejam solicitadas pelo responsável de segurança e pelo ponto de contacto permanente da UC, bem como pelo serviço responsável pela cibersegurança da UC, em matéria de requisitos de segurança e de notificação de incidentes; c) Notificar o ponto de contacto permanente da UC e o serviço responsável pela cibersegurança da UC de todo e qualquer incidente de segurança identificado. Artigo 6.º Ponto de contacto permanente 1 - Ao ponto de contacto permanente da UC compete assegurar os fluxos de informação de nível operacional e técnico com o CNCS, nomeadamente: a) A obtenção de informação operacional e técnica, na sequência de notificação de incidentes com impacto relevante ou substancial submetida pela UC ou outra entidade; b) A obtenção e atualização de informação de situação integrada no contexto de um incidente com impacto relevante ou substancial; c) A partilha de informação quando estejam ativados planos de emergência de proteção civil diretamente relacionados ou com impacto ao nível da segurança do ciberespaço, bem como de planos no âmbito do planeamento civil de emergência do ciberespaço; d) A operacionalização dos procedimentos fixados no âmbito de um plano de emergência de proteção civil quando tenham impacto no funcionamento das redes e sistemas de informação, ou do planeamento civil de emergência do ciberespaço; e) A receção das instruções técnicas emitidas ao abrigo do disposto no n.º 5 do artigo 7.º do Regime Jurídico da Segurança do Ciberespaço e no artigo 18.º do Decreto-Lei 65/2021, de 30 de julho; f) A operacionalização dos procedimentos fixados no âmbito dos planos de segurança previstos no artigo 8.º; g) Comunicar as instruções técnicas emitidas pelo CNCS aos responsáveis de segurança e pontos de contacto permanente das unidades orgânicas e unidades e serviços centrais abrangidos pelo n.º 2 do artigo 1.º 2 - A UC assegura que o ponto de contacto permanente dispõe de meios de contacto principais e alternativos para comunicação com o CNCS. 3 - A UC assegura ainda a função do ponto de contacto permanente com uma disponibilidade contínua de 24 horas por dia e de sete dias por semana, limitada a períodos de ativação, iniciados e terminados mediante comunicação do CNCS. 4 - A indicação da pessoa ou pessoas responsáveis por assegurar as funções de ponto de contacto permanente da UC deve ser comunicada ao CNCS, no prazo de 20 dias úteis a contar da respetiva atividade. 5 - A comunicação prevista no número anterior deve conter, no mínimo, a informação definida em regulamentação complementar em vigor à data da sua realização, nomeadamente em instruções técnicas emitidas pelo CNCS. 6 - Qualquer alteração à informação referida nos n.os 4 e 5 deve ser igualmente comunicada ao CNCS, após a indicação do substituto ou logo que se verifique a alteração à informação em causa. 7 - A indicação das pessoas responsáveis por assegurar as funções de ponto de contacto permanente das unidades orgânicas e outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º, bem como os respetivos meios de contacto principal e alternativos, devem ser comunicados ao responsável de segurança da UC, no prazo de 20 dias úteis a contar da entrada em vigor do presente Regulamento, aplicando-se aqui o disposto no n.º 5, com as necessárias adaptações. 8 - Na ausência da comunicação prevista no número anterior, cabe aos dirigentes máximos das unidades orgânicas e outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º exercer as funções de ponto permanente de contacto. 9 - A substituição dos pontos de contacto permanentes das unidades orgânicas e das outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º ou qualquer alteração à informação referida no n.º 5 deve ser comunicada ao responsável de segurança da UC, no prazo de 3 dias úteis após a indicação dos respetivos substitutos ou logo que se verifique a alteração à informação em causa. 10 - Os pontos de contacto permanentes das unidades orgânicas e unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º devem colaborar e atuar em articulação e estreita cooperação com o ponto de contacto permanente e o serviço responsável pela cibersegurança da UC, devendo, nomeadamente: a) Manter atualizados os meios de contacto principal e alternativos; b) Prestar todas as informações que lhes sejam solicitadas pelo responsável de segurança da UC, pelo ponto de contacto permanente da UC, bem como pelo serviço responsável pela cibersegurança na UC, de modo a assegurar os fluxos de informação de nível operacional e técnico; c) Notificar o ponto de contacto permanente da UC e o serviço responsável pela cibersegurança da UC de todo e qualquer incidente de segurança identificado. Artigo 7.º Inventário de ativos 1 - Sem prejuízo do disposto no número seguinte, a UC elabora e mantém atualizado um inventário de todos os ativos, essenciais e não essenciais, para a prestação dos seus serviços, que é devidamente assinado pelo respetivo responsável de segurança. 2 - Cabe aos responsáveis de segurança das unidades orgânicas e das outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º: a) Elaborar e manter atualizado o inventário de todos os seus ativos essenciais e não essenciais; b) Comunicar ao serviço responsável pela cibersegurança da UC a relação de todos os ativos essenciais para a prestação dos respetivos serviços. 3 - No inventário de ativos deve constar, para cada ativo, a informação definida em regulamentação complementar em vigor, nomeadamente em instruções técnicas emitidas pelo CNCS e transpostas para a política de gestão de ativos e as demais políticas referidas na mesma. 4 - A UC comunica anualmente ao CNCS a lista dos ativos essenciais públicos constantes do inventário, com a informação referida no número anterior, a ser entregue em conjunto com o relatório anual a que se refere o artigo 9.º Artigo 8.º Plano de segurança 1 - A UC elabora e mantém atualizado um plano de segurança, devidamente documentado e assinado pelo respetivo responsável de segurança, que deve conter: a) A política de segurança, incluindo a descrição das medidas organizativas e a formação de recursos humanos; b) A descrição de todas as medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes; c) A identificação do responsável de segurança; d) A identificação da pessoa ou pessoas responsáveis por assegurar as funções de ponto de contacto permanente. 2 - Cabe ao responsável de segurança da UC garantir que o plano de segurança é mantido e atualizado. Artigo 9.º Relatório anual 1 - A UC elabora um relatório anual que, em relação ao ano civil a que se reporta, deve conter os seguintes elementos: a) Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos serviços de informação; b) Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes; c) Análise agregada dos incidentes de segurança com impacto relevante ou substancial, com informação sobre: i) Número de utilizadores afetados pela perturbação do serviço; ii) Duração dos incidentes; iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço; d) Recomendações de atividades, de medidas ou de práticas que promovam a melhoria da segurança das redes e dos sistemas de informação; e) Problemas identificados e medidas implementadas na sequência dos incidentes; f) Qualquer outra informação relevante. 2 - O relatório anual deve compilar todos os incidentes na rede de dados da UC comunicados ao ponto de contacto permanente da UC ou ao serviço responsável pela cibersegurança na UC, quer sejam com unidades orgânicas e outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º, quer sejam com entidades externas. 3 - A compilação referida no número anterior compete ao ponto de contacto permanente da UC, em colaboração com os pontos de contacto permanentes das unidades orgânicas e outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º 4 - A UC remete o relatório anual ao CNCS, devidamente assinado pelo respetivo responsável de segurança da UC, até ao último dia útil do mês de janeiro do ano civil seguinte ao qual o mesmo se reporta. 5 - O relatório anual deve respeitar o formato e a estrutura definidos em regulamentação complementar em vigor à data da sua comunicação ao CNCS, nomeadamente em instruções técnicas emitidas por esta entidade. CAPÍTULO III SEGURANÇA DAS REDES E DOS SISTEMAS DE INFORMAÇÃO Artigo 10.º Medidas para cumprimento dos requisitos de segurança 1 - A UC deve cumprir as medidas técnicas e organizativas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utiliza, devendo, para o efeito, realizar uma análise dos riscos de acordo com o disposto em instruções técnicas emitidas pelo CNCS e pela entidade responsável pela cibersegurança da UC. 2 - As medidas referidas no número anterior devem garantir um nível de segurança adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes, através da utilização de normas e especificações técnicas internacionalmente aceites aplicáveis à segurança das redes e dos sistemas de informação, sem imposição ou discriminação em favor da utilização de um determinado tipo de tecnologia. Artigo 11.º Análise de riscos e implementação dos requisitos de segurança 1 - A UC deve elaborar e realizar uma análise dos riscos em relação a todos os ativos que garantam a continuidade do funcionamento das redes e dos sistemas de informação que utiliza, nos seguintes termos: a) Análise dos riscos de âmbito global, com a seguinte periodicidade: i) Pelo menos uma vez por ano; ii) Após a notificação, por parte do CNCS, de um risco, de uma ameaça ou de uma vulnerabilidade emergentes que implique uma elevada probabilidade de ocorrência de um incidente com impacto relevante ou substancial, dentro do prazo fixado pelo CNCS; b) Análise dos riscos de âmbito parcial, com a seguinte periodicidade: i) Durante o planeamento e preparação da introdução de uma alteração ao ativo ou ativos, em relação ao ativo ou ativos envolvidos; ii) Após a ocorrência de um incidente com impacto relevante ou substancial ou outra situação extraordinária, em relação aos ativos afetados; iii) Após a notificação, por parte do CNCS, de um risco, de uma ameaça ou de uma vulnerabilidade emergentes que impliquem uma elevada probabilidade de ocorrência de um incidente com impacto relevante, dentro do prazo fixado pelo CNCS. 2 - Compete ao serviço responsável pela cibersegurança da UC, sob a orientação e supervisão do respetivo responsável de segurança, documentar a preparação, a execução e elaboração do relatório com os resultados, devendo conservar em arquivo o respetivo relatório. 3 - A UC deve rever e, se necessário, atualizar o seu plano de segurança, nos termos previstos no artigo 8.º, em função da evolução do contexto de atuação e da ocorrência de incidentes. 4 - A UC deve adotar as instruções técnicas emitidas pelo CNCS com vista a uma harmonização da matriz de risco. CAPÍTULO IV NOTIFICAÇÕES DE INCIDENTES Artigo 12.º Obrigações de notificação 1 - O ponto de contacto permanente da UC notifica o CNCS da ocorrência de incidentes com impacto relevante ou substancial na segurança das redes e dos sistemas de informação, nos termos dos artigos seguintes. 2 - Cabe ao ponto de contacto permanente da UC, auxiliado pelo serviço responsável pela cibersegurança da UC, implementar todos os meios e os procedimentos necessários à deteção, à avaliação do impacto e à notificação de incidentes com impacto relevante ou substancial. 3 - A obrigação prevista no número anterior aplica-se, com as necessárias adaptações, aos pontos de contacto permanentes das unidades orgânicas e outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º, no âmbito das respetivas unidades e serviços, sem prejuízo do disposto no número seguinte. 4 - Os pontos de contactos permanentes das unidades orgânicas e outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º notificam o ponto de contacto permanente da UC da ocorrência de qualquer incidente com impacto relevante ou substancial, nos termos definidos na política de resposta a incidentes da UC. Artigo 13.º Parâmetros 1 - Perante qualquer incidente detetado ou comunicado por utilizadores ou outras entidades e serviços, o ponto de contacto permanente da UC deve atender aos seguintes parâmetros com vista a determinar se o incidente tem impacto relevante ou substancial: a) O número de utilizadores afetados; b) A duração do incidente; c) A distribuição geográfica, no que se refere à zona afetada pelo incidente. 2 - A obrigação prevista no número anterior aplica-se, com as necessárias adaptações, aos pontos de contacto permanentes das unidades orgânicas e outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º Artigo 14.º Notificação inicial 1 - Logo que conclua que existe ou possa vir a existir impacto relevante ou substancial e até duas horas após essa verificação, o ponto de contacto permanente da UC notifica o CNCS, sem prejuízo de dar prioridade à mitigação e à resolução do incidente. 2 - A notificação inicial deve incluir a informação prevista na lei e nas instruções emitidas pelo CNCS e pelo serviço responsável pela cibersegurança da UC. Artigo 15.º Notificação de fim de impacto relevante ou substancial 1 - O ponto de contacto permanente da UC notifica o CNCS do fim de impacto relevante ou substancial, no prazo máximo de duas horas após a sua cessação. 2 - A notificação de fim de impacto relevante ou substancial deve incluir a informação prevista na lei e nas instruções emitidas pelo CNCS e pelo serviço responsável pela cibersegurança da UC. Artigo 16.º Notificação final 1 - Cabe ao ponto de contacto permanente da UC notificar o CNCS do término do incidente, no prazo de 30 dias úteis a contar do momento em que o mesmo deixou de se verificar. 2 - A notificação final deve incluir a informação prevista na lei e nas instruções emitidas pelo CNCS e pelo serviço responsável pela cibersegurança da UC. 3 - Nos casos em que subsista uma situação residual do impacto à data da notificação final, o ponto de contacto permanente da UC comunica ao CNCS, logo que possível, a recuperação total dessa situação residual. Artigo 17.º Taxonomia de incidentes e de efeitos 1 - A taxonomia dos incidentes e respetivos efeitos corresponde àquela prevista no artigo 16.º do Decreto-Lei 65/2021, de 30 de julho. 2 - O ponto de contacto permanente da UC pode enviar ao CNCS, de forma voluntária, qualquer informação adicional relevante que sirva de suporte ao reporte de incidentes e que facilite o respetivo acompanhamento. Artigo 18.º Disposições complementares 1 - O ponto de contacto permanente da UC recebe as informações relevantes relativas ao processamento do incidente notificado que sejam prestadas pelo CNCS, nomeadamente informações que possam contribuir para o tratamento eficaz do incidente, e responde a qualquer pedido de informação adicional por parte do CNCS sobre os incidentes reportados. 2 - O ponto de contacto permanente da UC pode ainda enviar ao CNCS qualquer campo de informação antes do final dos prazos fixados para o efeito, desde que disponha de informação fiável para o fazer. CAPÍTULO V DISPOSIÇÕES FINAIS Artigo 19.º Comunicações 1 - Toda comunicação entre a UC e o CNCS, incluindo as notificações de incidentes, deve ser feito pelo ponto de contacto permanente da UC e/ou responsável de segurança da UC, devendo seguir o formato e o procedimento definidos em regulamentação complementar em vigor à data da sua realização, nomeadamente em instruções técnicas emitidas pelo CNCS. 2 - Na ausência de regulamentação complementar, as comunicações dirigidas ao CNCS no âmbito do presente Regulamento devem ser realizadas por meios eletrónicos. 3 - Nos casos em que a UC não tenha temporariamente capacidade operacional para assegurar a comunicação prevista no número anterior ou nos casos em que o sítio na Internet do CNCS esteja indisponível, em resultado de incidente ou por outro motivo de natureza eminentemente técnica devidamente justificado, a comunicação pode ser efetuada, a título excecional, através de correio eletrónico ou telefonicamente, de acordo com as instruções técnicas em vigor emitidas pelo CNCS. 4 - As comunicações entre os responsáveis de segurança e respetivos pontos de contacto permanentes das unidades orgânicas e outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º e o responsável segurança e o ponto de contacto permanente da UC devem ser realizados através de correio eletrónico institucional. 5 - Nos casos em que a UC não tenha temporariamente capacidade operacional para assegurar a comunicação prevista no número anterior, a mesma pode ser efetuada, a título excecional, através de ofício ou telefonicamente. Artigo 20.º Medidas excecionais de segurança 1 - Em caso de situações que possam afetar a segurança e o normal funcionamento das redes e dos sistemas de informação, o serviço responsável pela cibersegurança da UC pode adotar as medidas excecionais que se revelem tecnicamente adequadas e proporcionais à mitigação e à resolução do incidente, sem prejuízo da imediata comunicação fundamentada das mesmas ao responsável de segurança e ao ponto de contacto permanente da UC. 2 - As medidas excecionais de segurança a aplicar podem consistir, nomeadamente: a) Na limitação de acesso ao ciberespaço da UC; b) Na restrição de acesso: i) A redes da UC; ii) À internet; iii) A sistemas da UC; iv) A sistemas externos. 3 - A duração das medidas adotadas no âmbito do número anterior é determinada pelo responsável de segurança da UC e comunicada ao ponto de contacto permanente e ao serviço responsável pela cibersegurança da UC, bem como aos responsáveis de segurança e aos pontos de contacto permanente das entidades previstas no n.º 2 do artigo 1.º diretamente afetadas pelo incidente, quando aplicável. Artigo 21.º Responsabilidade 1 - As unidades orgânicas e outras unidades e serviços centrais da UC abrangidas pelo n.º 2 do artigo 1.º são financeiramente responsáveis, perante a UC, pelo pagamento de coimas aplicadas à UC no âmbito de processos de contraordenação que resultem do incumprimento, por parte daquelas unidade e serviços, de qualquer obrigação prevista no presente Regulamento. 2 - O disposto no número anterior não prejudica a responsabilização financeira e disciplinar individual pelo incumprimento das obrigações previstas no presente Regulamento, nos termos da lei geral. Artigo 22.º Dúvidas de interpretação e casos omissos As dúvidas suscitadas pela aplicação do presente Regulamento e os casos omissos são resolvidos por despacho do Reitor, tendo em atenção a lei e as normas e regulamentos vigentes na UC, bem como as instruções técnicas emitidas pelo CNCS. Artigo 23.º Norma revogatória Com a entrada em vigor do presente Regulamento são revogadas todas as disposições que contrariem as disposições nele consignadas. Artigo 24.º Entrada em vigor e produção de efeitos O presente Regulamento entra em vigor no dia seguinte ao da sua publicação no Diário da República. 317402456

Este documento liga aos seguintes documentos (apenas ligações para documentos da Serie I do DR):

• 2007-09-10 - Lei 62/2007 - Assembleia da República

  Estabelece o regime jurídico das instituições de ensino superior, regulando designadamente a sua constituição, atribuições e organização, o funcionamento e competência dos seus órgãos e ainda a tutela e fiscalização pública do Estado sobre as mesmas, no quadro da sua autonomia.

• 2018-08-13 - Lei 46/2018 - Assembleia da República

  Estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União

• 2021-07-30 - Decreto-Lei 65/2021 - Presidência do Conselho de Ministros

  Regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019

Este documento é referido no seguinte documento (apenas ligações a partir de documentos da Série I do DR):