Regulamento 183/2022, de 21 de Fevereiro que configura a Instrução Técnica relativa a comunicações entre entidades e o Centro Nacional de Cibersegurança.

O regime jurídico da segurança do ciberespaço foi objeto de regulamentação através do Decreto-Lei 65/2021, de 30 de julho, que procede ainda à execução, na ordem jurídica nacional, das obrigações decorrentes do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, permitindo a implementação de um quadro nacional de certificação da cibersegurança.

O regime jurídico da segurança do ciberespaço aplica-se às entidades da Administração Pública, aos operadores de infraestruturas críticas, aos operadores de serviços essenciais, aos prestadores de serviços digitais, bem como a quaisquer outras entidades que utilizem redes e sistemas de informação, nomeadamente, no âmbito da notificação voluntária de incidentes.

O regime jurídico da segurança do ciberespaço estabeleceu a Estrutura de Segurança do Ciberespaço, consagrando o Centro Nacional de Cibersegurança como Autoridade Nacional de Cibersegurança e o «CERT.PT» como Equipa de Resposta a Incidentes de Segurança Informática Nacional.

No âmbito da competência de emitir instruções de Cibersegurança atribuída ao Centro Nacional de Cibersegurança (CNCS) foi emitida uma Instrução Técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes. 

Envio e tratamento de informação

A informação deve ser realizada por meios eletrónicos para o endereço de correio eletrónico sri@cncs.gov.pt, ou via API (application programming interface) disponibilizada pelo CNCS para o efeito. Sendo que as entidades que pretendam enviar a informação protegida por método criptográfico, podem proteger a informação utilizando a chave pública de PGP, associada ao endereço de correio eletrónico já referido, conforme publicada no sítio na Internet do CNCS.

Ponto de contacto permanente

O ponto de contacto permanente deve ser comunicado ao CNCS, na informação enviada deve constar, designadamente, o nome da pessoa ou pessoas responsáveis, ou serviço disponível ou equipa operacional, por assegurar as funções de ponto de contacto permanente, e indicação dos meios de contacto principais e alternativos, mediante o preenchimento do formulário anexo I à Instrução disponível no sítio na Internet do Centro Nacional de Cibersegurança. 

Responsável pela Segurança

A indicação da pessoa designada para as funções de responsável de segurança deve ser comunicada ao CNCS, na informação a constar deve conter o nome da pessoa designada para assegurar as funções de responsável de segurança, bem como a indicada no formulário anexo II à Instrução disponível no sítio na Internet do Centro Nacional de Cibersegurança.

Inventário de ativos

Entende -se por «Ativo» todo o sistema de informação e comunicação, os equipamentos e os demais recursos físicos e lógicos considerados essenciais, geridos ou detidos pela entidade, que suportam, direta ou indiretamente, um ou mais serviços.

Inventário de equipamentos

A entidade deve efetuar o inventário dos seus equipamentos de acordo com as seguintes regras:

1. Os dispositivos físicos e sistemas devem ser inventariados com a seguinte informação: i) Número de inventário; ii) Nome e modelo do equipamento; iii) Número de série; iv) Localização.
2. Os dispositivos ligados à rede devem ter a seguinte informação complementar: i) Endereço IP; ii) Endereço de hardware.
3. Os responsáveis dos dispositivos e sistemas devem ser identificados com, pelo menos, os seguintes elementos: i) Nome; ii) Contacto; iii) Departamento.
4. Os dispositivos físicos e sistemas devem ser classificados de acordo com a sua criticidade para a entidade.

Inventário para aplicações

A entidade deve elaborar o inventário de todas as suas aplicações, identificando:

1. Informação necessária ao inventário de uma aplicação, nomeadamente: i) Nome do software; ii) Versão; iii) Fabricante.
2. Os responsáveis pelas aplicações com, pelo menos, os seguintes elementos: i) Nome; ii) Contacto; iii) Departamento.
3. A classificação em função da criticidade da aplicação para a entidade;
4. Quando aplicável, o tipo de contrato de suporte em vigor com o fornecedor da aplicação ou plataforma de software.

Para os ativos diretamente acessíveis através da internet

As entidades devem ainda comunicar ao CNCS, para todos os ativos diretamente acessíveis publicamente através da Internet, uma lista com a seguinte informação: 

1. Serviço suportado;
2. Nome do equipamento/Nome do software;
3. Modelo/Versão;
4. Endereço IP, se aplicável;
5. Fully Qualified Domain Names (FQDNs), se aplicável;
6. Fabricante,

mediante o preenchimento do formulário anexo III à Instrução disponível no sítio na Internet do Centro Nacional de Cibersegurança.

Relatório Anual

O relatório anual deve ser comunicado ao CNCS contendo a informação referida no n.º 1 do artigo 8º do Decreto-Lei 65/2021, de 30 de julho de 2021 , designadamente:

1. Identificação da entidade;
2. Ano civil e período de tempo do relatório;
3. Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos serviços de informação; 
4. Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes; 
5. Análise agregada dos incidentes de segurança com impacto relevante ou substancial, com informação sobre: 1. Número de utilizadores afetados pela perturbação do serviço; 2. Duração dos incidentes e 3. Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
6. Recomendações de atividades, de medidas ou de práticas que promovam a melhoria da segurança das redes e dos sistemas de informação; 
7. Problemas identificados e medidas implementadas na sequência dos incidentes;
8. Qualquer outra informação relevante; 
9. Data | Responsável de Segurança | Assinatura do Responsável de Segurança

O Relatório anual deve ser remetido para o endereço de correio eletrónico do CNCS ( sri@cncs.gov.pt ).

Notificações de incidentes

O envio das notificações de incidentes e de informação adicional, deve ser realizado através do sítio na Internet do Centro Nacional de Cibersegurança (https://www.cncs.gov.pt) na funcionalidade «Notificação de Incidentes», mediante o preenchimento do modelo de reporte estabelecido para o efeito, ou via API (application programming interface) disponibilizada pelo CNCS para o efeito.

Os casos em que a entidade em resultado do incidente ou por outro motivo de natureza eminentemente técnica devidamente justificado, não tem temporariamente capacidade operacional para assegurar a notificação no sítio na Internet do Centro Nacional de Cibersegurança, ou nos casos em que o mesmo esteja indisponível, a notificação poderá ser efetuada, a título excecional, através:  

a) De correio eletrónico remetido para o seguinte endereço: cert@cert.pt; 

b) Por telefone através do número (+351) 210 497 399; ou 

c) Por telefone através do número (+351) 910 599 284, em disponibilidade contínua (24 horas por dia e sete dias por semana).

 Esta Instrução encontra-se ligada à Lei 46/2018 que estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União e ao Decreto-Lei 65/2021 que Regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da Cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019.