Decreto-Lei n.º 65/2021

O Decreto-Lei n.º 65/2021 regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança, em execução do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de Abril de 2019.

Este Decreto-Lei n.º 65/2021 aplica-se à Administração Pública e aos prestadores de serviços digitais.

O Regulamento n.º 183/2022, de 21 de fevereiro configura a instrução técnica relativa a comunicações entre as entidades e o Centro Nacional de Cibersegurança.

Assim, segundo estes dois instrumentos, até ao dia 31/01/2022, as Entidades têm de comunicar ao Centro Nacional de Cibersegurança (CNCS) o Relatório Anual e a versão inicial do Inventário de Ativos.

RELATÓRIO ANUAL

Segundo o artigo 8º do Decreto-Lei n.º 65/2021 o relatório anual tem de conter os seguintes elementos:

a) Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos serviços de informação;

b) Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes; 

c) Análise agregada dos incidentes de segurança com impacto relevante ou substancial, com informação sobre:

i) Número de utilizadores afetados pela perturbação do serviço;

ii) Duração dos incidentes;

iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;

d) Recomendações de atividades, de medidas ou de práticas que promovam a melhoria da segurança das redes e dos sistemas de informação;

e) Problemas identificados e medidas implementadas na sequência dos incidentes;

f) Qualquer outra informação relevante;

No Regulamento n.º 183/2022 (artigo 5º) diz que o relatório deve respeitar a seguinte estrutura (anexo IV)

1 – Designação da entidade:

2 – Ano civil e período de tempo do relatório:

3 – Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos serviços de informação:

4 – Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes:

5 – Análise agregada dos incidentes de segurança com impacto relevante ou substancial, com informação sobre:

5.1 – Número de utilizadores afetados pela perturbação do serviço

5.2 — Duração dos incidentes

5.3 – Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço

6 – Recomendações de atividades, de medidas ou de práticas que promovam a melhoria da segurança das redes e dos sistemas de informação:

7 – Problemas identificados e medidas implementadas na sequência dos incidentes:

8 – Qualquer outra informação relevante:

Data:

Responsável de segurança:

Assinatura do Responsável de segurança:

INVENTÁRIO DE ATIVOS

O artigo 6º do DL 65/2021, determina que “as entidades devem elaborar e manter atualizado um inventário de todos os ativos essenciais para a prestação dos respetivos serviços, devendo o mesmo ser assinado pelo responsável de segurança”.

O Regulamento n.º 183/2022, refere que se entende por «Ativo» todo o sistema de informação e comunicação, os equipamentos e os demais recursos físicos e lógicos considerandos essenciais, geridos ou detidos pela entidade, que suportam, direta ou indiretamente, um ou mais serviços.

Segundo o ponto 3 do mesmo artigo as entidades devem comunicar ao CNCS todos os ativos direta ou indiretamente acessíveis publicamente através da Internet, uma lista de ativos com a seguinte informação:

a) Serviço suportado;

b) Nome do equipamento/Nome do software;

c) Modelo/Versão;

d) Endereço IP, se aplicável;

e) Fully Qualified Domain Names (FQDNs), se aplicável;

v) Fabricante

WeSecure, através de recursos especializados e com experiência, assegura diversos serviços nas áreas de Cibersegurança, Cibercrime, Privacidade dos dados e Análise forense.

Para mais informações contacte-nos.

MORADA

Rua Soares dos Reis, nº765 – 3
4400 – 317 Vila Nova de Gaia
Portugal