No mundo digital de hoje, a cibersegurança é mais crucial do que nunca. Portugal, reconhecendo essa necessidade, publicou dois importantes diplomas legais:
Esta legislação traz mudanças significativas para operadores e fornecedores de serviços digitais em Portugal, com a necessidade de criarem um inventário de ativos digitais para cumprimento do regime jurídico da segurança no ciberespaço. Neste artigo, explicaremos o que muda com estes diplomas legais, o que as organizações precisam de fazer para os cumprir e as consequências de eventuais incumprimentos.
As alterações foram impulsionadas pela necessidade de fortalecer a infraestrutura cibernética de Portugal contra ameaças digitais crescentes. A infraestrutura digital das empresas continua a aumentar, abrindo a possibilidade de serem expostas cada vez mais vulnerabilidades. É sabido que foram descobertas mais vulnerabilidades em 2023 do que em qualquer outro ano e que são descobertas cerca de 80 novas vulnerabilidades por dia.
O Governo reconhece que a sua segurança depende da segurança dos seus fornecedores e parceiros, pelo que garantir que estes estão a par do estado da sua infraestrutura digital é essencial para garantir a segurança dos ativos governamentais.
A Lei n.º 46/2018, de 13 de Agosto, veio introduzir novas obrigações a entidades públicas e privadas, incluindo operadores de infraestruturas críticas e prestadores de serviços digitais. Estas entidades passam a necessitar de implementar medidas de segurança robustas e de reportar incidentes de segurança ao Centro Nacional de Cibersegurança (CNCS), que atua como autoridade supervisora.
Já o Decreto-Lei n.º 65/2021, de 30 de Julho, veio regulamentar a lei de 2018 e estabelecer os requisitos de segurança das redes e dos sistemas de informação, obrigando as entidades abrangidas a enviar, anualmente, um inventário de ativos e um relatório de segurança, bem como a identificar um responsável de cibersegurança.
No Regulamento 183/2022 é possível encontrar os métodos de contacto e a estrutura da informação a ser enviada.
De modo a cumprir com os requisitos impostos, as empresas devem adotar diversas posturas de segurança.
Entre estas, devem:
No que toca ao inventário de ativos, este pode ser submetido em formato XML ou PDF, no formulário de submissão do CNCS ou através da API disponibilizada para o efeito. É necessário entregar:
1. No caso dos dispositivos físicos e sistemas:
a. Número de inventário;
b. Nome e modelo do equipamento;
c. Número de série;
d. Localização;
e. A classificação de acordo com a criticidade para a entidade.
2. No caso dos dispositivos ligados à rede:
a. Endereço IP;
b. Endereço de hardware;
3. Uma lista dos responsáveis dos dispositivos com nome, contacto, e departamento.
4. No caso das aplicações:
a. Nome do software;
b. Versão;
c. Fabricante;
d. Responsável (com nome, contacto, e departamento);
e. Classificação em função da criticidade da aplicação para a entidade;
f. Quando aplicável, o tipo de contrato de suporte em vigor com o fornecedor da aplicação ou plataforma de software.
Se necessitar deste relatório, veja as soluções que a Ethiack tem para si. Fale connosco.
O não cumprimento destas normas pode resultar em sanções significativas, incluindo coimas. Estas multas variam entre os €1.000,00 e os €3.740,98 para pessoas singulares, e entre os €5.000,00 e os €44.891,81 para pessoas coletivas. Em específico, as contraordenações são aplicadas em situações de:
As novas leis de segurança cibernética em Portugal são passos vitais para proteger o ciberespaço nacional. Entender e implementar estas mudanças é fundamental para as organizações que desejam não apenas evitar penalidades, mas também fortalecer a sua postura de segurança numa era digital cada vez mais desafiante ao nível da segurança.
Assim, a entrega do seu inventário de ativos é fundamental para a conformidade da sua empresa. Faça o seu inventário com a Ethiack e evite as coimas associadas ao incumprimento.