Decreto-Lei n.º 65/2021
| ELI | https://data.dre.pt/eli/dec-lei/65/2021/07/30/p/dre |
| Data de publicação | 30 Julho 2021 |
| Section | Serie I |
| Órgão | Presidência do Conselho de Ministros |
Decreto-Lei n.º 65/2021
de 30 de julho
Sumário: Regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019.
Através da Lei n.º 46/2018, de 13 de agosto, que aprovou o regime jurídico da segurança do ciberespaço, foi transposta para o ordenamento jurídico nacional a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União.
A referida lei remete para legislação complementar a definição, por um lado, dos requisitos de segurança das redes e sistemas de informação e, por outro lado, das regras para a notificação de incidentes, que devem ser cumpridos pela Administração Pública, operadores de infraestruturas críticas, operadores de serviços essenciais e prestadores de serviços digitais. O presente decreto-lei procede, assim, à regulamentação destes aspetos.
Os requisitos previstos no presente decreto-lei constituem um mínimo a assegurar pelas entidades abrangidas pela Lei n.º 46/2018, de 13 de agosto, não prejudicando as regras que, em função da natureza das entidades, de aspetos específicos da atividade desenvolvida ou do contexto em que esta se desenvolva, possam vir a ser estabelecidas por outras autoridades, nomeadamente pelo Ministério Público, pela Autoridade Nacional de Emergência e Proteção Civil, pelo Conselho Nacional de Planeamento Civil de Emergência, pela Autoridade Nacional de Comunicações, pela Comissão Nacional de Proteção de Dados, ou por outras autoridades setoriais.
Tendo presente que o ciberespaço é uma realidade dinâmica e fluida, em permanente mutação, colocando desafios de alcance transnacional e que atravessa vários setores de atividade, o presente decreto-lei reconhece a necessidade de articular as disposições legais aqui consagradas com a aplicação de normativos complementares setoriais. Para este efeito, o Centro Nacional de Cibersegurança, enquanto Autoridade Nacional de Cibersegurança, nos casos em que se considere necessário e em articulação com as entidades reguladoras e de supervisão setoriais, procede a uma avaliação de equivalência, conferindo, assim, segurança jurídica aos requisitos constantes de legislação setorial que sejam considerados equivalentes aos consagrados no presente decreto-lei.
Adicionalmente à regulamentação do regime jurídico aprovado pela Lei n.º 46/2018, de 13 de agosto, e considerando a complementaridade que a certificação de produtos, serviços e processos de tecnologias de informação e comunicação assume para a promoção de um ciberespaço mais seguro, assegura-se a implementação, na ordem jurídica nacional, das obrigações decorrentes do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, permitindo a implementação de um quadro nacional de certificação da cibersegurança pela Autoridade Nacional de Certificação da Cibersegurança.
O caráter transfronteiriço da cibersegurança e o esforço de cooperação internacional que lhe está subjacente permitem a produção de conhecimento em permanente atualização e o desenvolvimento contínuo de um conjunto de boas práticas, vertidas para o plano nacional através do Quadro Nacional de Referência para a Cibersegurança, com o qual é estabelecida uma relação para efeitos de análise dos riscos a realizar pelas respetivas entidades abrangidas, sem prejuízo da natureza transversal deste documento enquanto referencial para um fortalecimento da resiliência de cada organização face às ameaças que afetam o ciberespaço.
Em alinhamento com o Programa do XXII Governo Constitucional, que reconhece a importância de promover políticas e melhores práticas de cibersegurança, o decreto-lei que ora se aprova procura dar resposta ao papel cada vez mais determinante que as tecnologias de informação assumem na forma como se desenvolve a vida em sociedade, seja na atividade dos agentes económicos e dos serviços públicos, seja nas próprias relações entre as pessoas e entre os cidadãos e a Administração Pública. O desafio da transição digital, de alcance transversal, e a emergência de novas tecnologias disruptivas, como a inteligência artificial, a realidade virtual e aumentada e a Internet das coisas, sublinham a necessidade de assegurar um nível elevado de segurança das redes e dos sistemas de informação que sustentam o uso destas tecnologias, para que decorra num ambiente de confiança e protegido de ameaças que podem ter efeitos desestabilizadores de considerável alcance na vida em sociedade, especialmente em contextos de crise, que tendem a agravar a exploração de vulnerabilidades por parte de agentes de ameaça com motivações diversas.
Foram ouvidas a Entidade Reguladora dos Serviços Energéticos, a Autoridade Nacional da Aviação Civil, a Autoridade da Mobilidade e dos Transportes, o Conselho Nacional de Supervisores Financeiros, a Entidade Reguladora dos Serviços de Águas e Resíduos, a Autoridade Nacional de Comunicações, a Autoridade Nacional de Emergência e Proteção Civil, a Comissão Nacional de Proteção de Dados, os órgãos de governo próprio da Região Autónoma dos Açores, a Associação Nacional de Municípios Portugueses e a Associação Nacional de Freguesias.
Foi promovida a audição da Entidade Reguladora da Saúde e dos órgãos de governo próprio da Região Autónoma da Madeira.
O presente decreto-lei foi submetido a consulta pública entre 12 de abril e 5 de maio de 2021.
Assim:
Ao abrigo do disposto no artigo 31.º da Lei n.º 46/2018, de 13 de agosto, e nos termos da alínea c) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto
1 - O presente decreto-lei procede à:
a) Regulamentação da Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço (Regime Jurídico da Segurança do Ciberespaço), transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União;
b) Execução, na ordem jurídica nacional, das obrigações decorrentes do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, permitindo a implementação de um quadro nacional de certificação da cibersegurança.
2 - Para efeitos do disposto na alínea a) do número anterior são estabelecidos:
a) Os requisitos de segurança das redes e dos sistemas de informação que devem ser cumpridos pela Administração Pública, pelos operadores de infraestruturas críticas e pelos operadores de serviços essenciais, nos termos dos artigos 12.º, 14.º e 16.º do Regime Jurídico da Segurança do Ciberespaço;
b) Os requisitos de notificação de incidentes que afetem a segurança das redes e dos sistemas de informação que devem ser cumpridos pela Administração Pública, pelos operadores de infraestruturas críticas, pelos operadores de serviços essenciais e pelos prestadores de serviços digitais, nos termos dos artigos 13.º, 15.º, 17.º e 19.º do Regime Jurídico da Segurança do Ciberespaço, prevendo as circunstâncias, o prazo, o formato e os procedimentos aplicáveis.
Artigo 2.º
Âmbito de aplicação
1 - O presente decreto-lei aplica-se às entidades previstas nas alíneas a) a d) do n.º 1 do artigo 2.º do Regime Jurídico da Segurança do Ciberespaço, sem prejuízo do disposto nos números seguintes.
2 - Os requisitos de segurança das redes e dos sistemas de informação constantes do presente decreto-lei não se aplicam às empresas e aos prestadores de serviços referidos no n.º 2 do artigo 12.º do Regime Jurídico da Segurança do Ciberespaço.
3 - Os requisitos de notificação de incidentes que afetem a segurança das redes e dos sistemas de informação constantes do presente decreto-lei não se aplicam:
a) Às empresas e aos prestadores de serviços referidos no n.º 2 do artigo 13.º do Regime Jurídico da Segurança do Ciberespaço;
b) Aos prestadores de serviços digitais que sejam microempresas ou pequenas empresas, tal como definidas pelo Decreto-Lei n.º 372/2007, de 6 de novembro, na sua redação atual.
4 - Para efeito do cumprimento do Regime Jurídico da Segurança do Ciberespaço e do presente decreto-lei, a identificação dos operadores de serviços essenciais nos termos do n.º 1 do artigo 29.º do Regime Jurídico da Segurança do Ciberespaço, bem como a atualização anual prevista no n.º 2 do mesmo artigo, é comunicada pelo Centro Nacional de Cibersegurança (CNCS) aos operadores.
CAPÍTULO II
Disposições comuns
Artigo 3.º
Princípios e regras gerais
1 - A adoção das medidas técnicas e organizativas destinadas ao cumprimento dos requisitos de segurança previstos no Regime Jurídico da Segurança do Ciberespaço e no presente decreto-lei obedece ao princípio da adequação e da proporcionalidade, devendo ter em consideração:
a) As condições normais de funcionamento das redes e dos sistemas de informação;
b) As situações extraordinárias, designadamente:
i) A ocorrência de incidentes, nos termos da alínea c) do artigo 3.º do Regime Jurídico da Segurança do Ciberespaço;
ii) A ocorrência de acidente grave ou catástrofe, nos termos previstos nas disposições legais e regulamentares aplicáveis em matéria de proteção civil ou a eventual ativação de planos de emergência de proteção civil;
iii) A declaração do estado de emergência, de sítio ou de guerra, nos termos previstos na Constituição ou em outras disposições legais e regulamentares aplicáveis;
iv) A ativação de planos no âmbito do planeamento civil de emergência no setor da cibersegurança, nos termos do Decreto-Lei n.º 43/2020, de 21 de julho;
v) A ocorrência de grave ameaça à segurança interna, incluindo as situações de ataques terroristas, nos termos previstos nas disposições legais e regulamentares aplicáveis em matéria de segurança interna.
2 - O cumprimento das obrigações em matéria de requisitos de segurança e de notificação de...
Para continuar a ler
PEÇA SUA AVALIAÇÃO