O Decreto-Lei n.º 65/2021 regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança, em execução do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de Abril de 2019.
Este Decreto-Lei n.º 65/2021 aplica-se à Administração Pública e aos prestadores de serviços digitais.
O Regulamento n.º 183/2022, de 21 de fevereiro configura a instrução técnica relativa a comunicações entre as entidades e o Centro Nacional de Cibersegurança.
Assim, segundo estes dois instrumentos, até ao dia 31/01/2022, as Entidades têm de comunicar ao Centro Nacional de Cibersegurança (CNCS) o Relatório Anual e a versão inicial do Inventário de Ativos.
RELATÓRIO ANUAL
Segundo o artigo 8º do Decreto-Lei n.º 65/2021 o relatório anual tem de conter os seguintes elementos:
a) Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos serviços de informação;
b) Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes;
c) Análise agregada dos incidentes de segurança com impacto relevante ou substancial, com informação sobre:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração dos incidentes;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço;
d) Recomendações de atividades, de medidas ou de práticas que promovam a melhoria da segurança das redes e dos sistemas de informação;
e) Problemas identificados e medidas implementadas na sequência dos incidentes;
f) Qualquer outra informação relevante;
No Regulamento n.º 183/2022 (artigo 5º) diz que o relatório deve respeitar a seguinte estrutura (anexo IV)
1 – Designação da entidade:
2 – Ano civil e período de tempo do relatório:
3 – Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos serviços de informação:
4 – Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes:
5 – Análise agregada dos incidentes de segurança com impacto relevante ou substancial, com informação sobre:
5.1 – Número de utilizadores afetados pela perturbação do serviço
5.2 — Duração dos incidentes
5.3 – Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço
6 – Recomendações de atividades, de medidas ou de práticas que promovam a melhoria da segurança das redes e dos sistemas de informação:
7 – Problemas identificados e medidas implementadas na sequência dos incidentes:
8 – Qualquer outra informação relevante:
Data:
Responsável de segurança:
Assinatura do Responsável de segurança:
INVENTÁRIO DE ATIVOS
O artigo 6º do DL 65/2021, determina que “as entidades devem elaborar e manter atualizado um inventário de todos os ativos essenciais para a prestação dos respetivos serviços, devendo o mesmo ser assinado pelo responsável de segurança”.
O Regulamento n.º 183/2022, refere que se entende por «Ativo» todo o sistema de informação e comunicação, os equipamentos e os demais recursos físicos e lógicos considerandos essenciais, geridos ou detidos pela entidade, que suportam, direta ou indiretamente, um ou mais serviços.
Segundo o ponto 3 do mesmo artigo as entidades devem comunicar ao CNCS todos os ativos direta ou indiretamente acessíveis publicamente através da Internet, uma lista de ativos com a seguinte informação:
a) Serviço suportado;
b) Nome do equipamento/Nome do software;
c) Modelo/Versão;
d) Endereço IP, se aplicável;
e) Fully Qualified Domain Names (FQDNs), se aplicável;
v) Fabricante
A WeSecure, através de recursos especializados e com experiência, assegura diversos serviços nas áreas de Cibersegurança, Cibercrime, Privacidade dos dados e Análise forense.
Para mais informações contacte-nos.
MORADA
Rua Soares dos Reis, nº765 – 3
4400 – 317 Vila Nova de Gaia
Portugal
