Regime Jurídico da Segurança do Ciberespaço: Inventário de Ativos

No mundo digital de hoje, a cibersegurança é mais crucial do que nunca. Portugal, reconhecendo essa necessidade, publicou dois importantes diplomas legais:

• Lei n.º 46/2018, de 13 de Agosto.
• Decreto-Lei n.º 65/2021, de 30 de Julho.

Esta legislação traz mudanças significativas para operadores e  fornecedores de serviços digitais em Portugal, com a necessidade de criarem um inventário de ativos digitais para cumprimento do regime jurídico da segurança no ciberespaço. Neste artigo, explicaremos o que muda com estes diplomas legais, o que as organizações precisam de fazer para os cumprir e as consequências de eventuais incumprimentos.

O contexto por detrás destas leis

As alterações foram impulsionadas pela necessidade de fortalecer a infraestrutura cibernética de Portugal contra ameaças digitais crescentes. A infraestrutura digital das empresas continua a aumentar, abrindo a possibilidade de serem expostas cada vez mais vulnerabilidades. É sabido que foram descobertas mais vulnerabilidades em 2023 do que em qualquer outro ano e que são descobertas cerca de 80 novas vulnerabilidades por dia.

O Governo reconhece que a sua segurança depende da segurança dos seus fornecedores e parceiros, pelo que garantir que estes estão a par do estado da sua infraestrutura digital é essencial para garantir a segurança dos ativos governamentais.

O Que Muda?

A Lei n.º 46/2018, de 13 de Agosto, veio introduzir novas obrigações a entidades públicas e privadas, incluindo operadores de infraestruturas críticas e prestadores de serviços digitais. Estas entidades passam a necessitar de implementar medidas de segurança robustas e de reportar incidentes de segurança ao Centro Nacional de Cibersegurança (CNCS), que atua como autoridade supervisora.

Artigo 2º da Lei n.º 46/2018, de 13 de Agosto

Já o Decreto-Lei n.º 65/2021, de 30 de Julho, veio regulamentar a lei de 2018 e estabelecer os requisitos de segurança das redes e dos sistemas de informação, obrigando as entidades abrangidas a enviar, anualmente, um inventário de ativos e um relatório de segurança, bem como a identificar um responsável de cibersegurança.

Artigo 6º. do Decreto-Lei n.º65/2021, de 30 de Julho

No Regulamento 183/2022 é possível encontrar os métodos de contacto e a estrutura da informação a ser enviada.

Informações necessárias para o Inventário de Ativos segundo o Regulamento 183/2022

Como Estar Em Conformidade?

De modo a cumprir com os requisitos impostos, as empresas devem adotar diversas posturas de segurança.

Entre estas, devem:

• Fazer uma avaliação de riscos através de um Risk Score de modo a entender o seu nível de exposição a ciberataques.
• Implementação de Medidas de Segurança Ofensivas e defensivas para deteção de vulnerabilidades e ataques.
• Nomear um ponto de contacto e um responsável de cibersegurança para gerir a conformidade e a comunicação com o CNCS.
• Preparar processos para notificar o CNCS sobre incidentes de segurança de forma eficiente.
• Criar um inventário de ativos na sua superfície de ataque, através de uma ferramenta de EASM.

No que toca ao inventário de ativos, este pode ser submetido em formato XML ou PDF, no formulário de submissão do CNCS ou através da API disponibilizada para o efeito. É necessário entregar:

1. No caso dos dispositivos físicos e sistemas:

a. Número de inventário;
b. Nome e modelo do equipamento;
c. Número de série;
d. Localização;
e. A classificação de acordo com a criticidade para a entidade.

2. No caso dos dispositivos ligados à rede:

a. Endereço IP;
b. Endereço de hardware;

3. Uma lista dos responsáveis dos dispositivos com nome, contacto, e departamento.

4. No caso das aplicações:

a. Nome do software;
b. Versão;
c. Fabricante;
d. Responsável (com nome, contacto, e departamento);
e. Classificação em função da criticidade da aplicação para a entidade;
f. Quando aplicável, o tipo de contrato de suporte em vigor com o fornecedor da aplicação ou plataforma de software.

Se necessitar deste relatório, veja as soluções que a Ethiack tem para si.

Consequências do Incumprimento

O não cumprimento destas normas pode resultar em sanções significativas, incluindo coimas. Estas multas variam entre os €1.000,00 e os €3.740,98 para pessoas singulares, e entre os €5.000,00 e os €44.891,81 para pessoas coletivas. Em específico, as contraordenações são aplicadas em situações de:

• Utilização de marca de certificação da cibersegurança inválida, caducada ou revogada;
• Utilização de expressão ou grafismo que expressa ou tacitamente sugira a certificação da cibersegurança de produto, serviço ou processo que não seja certificado;
• Omissão dolosa de informação ou a prestação de falsa informação que seja relevante para o processo de certificação da cibersegurança que se encontre em curso, nos termos definidos em cada esquema de certificação.

Conclusão

As novas leis de segurança cibernética em Portugal são passos vitais para proteger o ciberespaço nacional. Entender e implementar estas mudanças é fundamental para as organizações que desejam não apenas evitar penalidades, mas também fortalecer a sua postura de segurança numa era digital cada vez mais desafiante ao nível da segurança.

Assim, a entrega do seu inventário de ativos é fundamental para a conformidade da sua empresa. Faça o seu inventário com a Ethiack e evite as coimas associadas ao incumprimento.