No passado dia 30 de julho foi publicado o Decreto-Lei n.º 65/2021 que procedeu à execução do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019 relativo à certificação da cibersegurança das tecnologias da informação e comunicação.
Ora, o presente Decreto-Lei vem estabelecer um novo conjunto de obrigações para: (i) os serviços da Administração Pública; (ii) os operadores de infraestruturas críticas; (iii) os operadores de serviços essenciais em matéria de cibersegurança (cf. art. 1.º, n.º 2, al. a)).
Por sua vez, relativamente às novas alterações destaca-se a necessidade de designaçã0 de responsável de segurança para a gestão das medidas adotadas em matéria de cibersegurança e de notificação de incidentes devendo as entidades indicar este responsável ao Centro Nacional de Cibersegurança – CNCS – (cf. art. 5.º, n.º 1 e 2); a elaboração de um plano de segurança e consequente manutenção e atualização assente numa série de requisitos radicados na identificação e descrição de medidas (cf. art. 7.º); a elaboração de um relatório anual (cf. art. 8); a adoção de medidas técnicas e organizativas de gestão de risco e consequente análise (art. 9.º e 10.º); notificação da ocorrência de incidentes (art. 11.º); e o poder de emissão de instruções técnicas complementares por parte do CNCS em matéria de requisitos de segurança e de notificação de incidentes (cf. art. 18.º).
Ademais, quanto às entidades referidas, estas passam a realizar uma análise de risco global pelo menos uma vez ao ano ou ainda por notificação do CNCS após identificação de vulnerabilidade ou perante elevada probabilidade de ocorrência de incidente com impacto relevante (cf. art. 10.º, n.º 1, al. a)).
Igualmente, procederão a uma análise de risco parcial, durante o planeamento e preparação da introdução de uma alteração ao ativo ou ativos ou após a ocorrência de um incidente com impacto relevante ou outra situação extraordinária (cf. art. 10.º, n.º 1, al. b)).
É ainda indicado que o CNCS é a Autoridade Nacional de Certificação da Cibersegurança (ANCC) a quem caberá desenvolver e implementar esquemas específicos de certificação da cibersegurança relativos a produtos, serviços e processos de tecnologias de informação e comunicação que não sejam ainda abrangidos por um esquema europeu Concomitantemente, o CNCS estabelecerá ainda as disposições necessárias à elaboração, implementação e execução dos esquemas de certificação (cf. art. 20.º).
Em matéria contraordenacional, é punível com coima de 1000€ a 3740,98€, no caso de pessoa singular, ou no caso de pessoa coletiva de 5000€ a 44891,81 € a prática das infrações de:
a) utilização de marca de certificação da cibersegurança inválida, caducada ou revogada;
b) utilização de expressão ou grafismo que expressa ou tacitamente sugira a certificação da cibersegurança de produto, serviço ou processo que não seja certificado;
c) omissão dolosa de informação ou a prestação de falsa informação que seja relevante para o processo de certificação da cibersegurança que se encontre em curso, nos termos definidos em cada esquema de certificação.
Por fim, o presente Decreto-Lei entrará em vigor a 30 de outubro, excetuando as medidas relativas ao cumprimento dos requisitos de segurança e de análise e identificação (arts. 9.º e 10.º) que entrarão em vigor a 30 de julho de 2022.
No mais observamos que aos dias de hoje os sinais dos tempos impõem uma necessária dotação de medidas e meios enquanto expressão preventiva de uma resposta concertada a incidentes em matéria de cibersegurança. Ao mesmo tempo a certificação de produtos, serviços e processos surge como horizonte de poder que dificulta a aparição de um cenário de insegurança e instabilidade.
Francisco Salsinha | DCM Lawyers