Artigos 16 a 33
Nove categorias de entidades, nove pacotes de obrigações.
A lei regula nove categorias de operadores e provedores, além do regime geral aplicável a toda a administração pública e sector privado. Todas as categorias têm de se registar na Autoridade Nacional de Segurança Cibernética antes de exercer a actividade. Se a sua organização couber em mais de uma categoria, aplica-se o regime mais exigente art. 2.
Operador de infra-estruturas críticasnatureza: art. 16 · obrigações: art. 17→
Entidade pública ou privada responsável por assegurar o funcionamento contínuo de infra-estruturas críticas (energia, transportes, água, comunicações, entre outras).
Exemplos típicos
EDM · operadores de aeroportos e portos · empresas de abastecimento de água
Obrigações
- Estabelecer o CSIRT institucional
- Aplicar medidas e técnicas de segurança e protecção dos activos essenciais
- Adoptar uma abordagem de gestão de riscos
- Dispor de procedimentos sólidos de recuperação de incidentes
- Manter em sigilo as comunicações dos utilizadores
- Fornecer comunicações com conteúdo criminoso ou contra a segurança do Estado mediante decisão judicial ou administrativa fundamentada
- Aplicar medidas de gestão e processos de supervisão eficazes
- Registar-se na Autoridade Nacional de Segurança Cibernética
- Notificar incidentes com impacto significativo e submeter relatório mensal
Provedor intermediário de serviços electrónicosnatureza: art. 18 · obrigações: art. 19→
Entidade que, em representação de outra pessoa, envia, recebe ou armazena mensagens de dados, presta acesso à rede ou serviços a partir dela (provedores de acesso, conteúdos, aplicações e hospedagem).
Exemplos típicos
ISPs · empresas de hosting · provedores de acesso
Obrigações
- Registar os utilizadores dos seus serviços
- Aplicar medidas de governação, identificação e protecção do risco cibernético
- Garantir o acesso e assegurar a comunicação de informação transmitida pelos utilizadores
- Implementar medidas de segurança conformes com padrões e normas
- Manter em sigilo as comunicações dos utilizadores
- Fornecer comunicações com conteúdo criminoso ou contra a segurança do Estado mediante decisão judicial ou administrativa fundamentada
- Colaborar com as autoridades competentes
- Registar-se na Autoridade Nacional de Segurança Cibernética
- Notificar incidentes com impacto substancial e submeter relatório mensal
Operador de serviços essenciaisnatureza: art. 20 · obrigações: art. 21→
Entidade pública ou privada que presta um serviço primário para a manutenção de actividades sociais ou económicas cruciais, dependente de redes e sistemas de informação. A lista consta do anexo II da lei.
Exemplos típicos
bancos · hospitais · operadoras de telecomunicações · sector eléctrico
Obrigações
- Estabelecer o CSIRT institucional
- Aplicar medidas de governação, identificação e protecção do risco cibernético
- Dispor de procedimentos sólidos de recuperação de incidentes
- Manter em sigilo as comunicações dos utilizadores
- Fornecer comunicações com conteúdo criminoso ou contra a segurança do Estado mediante decisão judicial ou administrativa fundamentada
- Registar-se na Autoridade Nacional de Segurança Cibernética e comunicar ao CSIRT nacional
- Notificar incidentes com impacto significativo e submeter relatório mensal
Provedor de serviços digitaisnatureza: art. 22 · obrigações: art. 23→
Pessoa colectiva pública ou privada que presta serviços por meios electrónicos, em que toda a informação é transmitida e acedida através de uma rede de dados.
Exemplos típicos
lojas online · software como serviço · portais de serviços electrónicos
Obrigações
- Registar os utilizadores dos seus serviços
- Estabelecer o CSIRT institucional
- Aplicar medidas de governação, identificação e protecção do risco cibernético
- Dispor de procedimentos sólidos de recuperação de incidentes
- Manter em sigilo as comunicações dos utilizadores
- Fornecer dados dos utilizadores apenas com despacho de juiz de instrução criminal
- Colaborar com as autoridades competentes
- Registar-se na Autoridade Nacional de Segurança Cibernética
- Notificar incidentes e submeter relatório mensal
Operador de plataformas digitaisnatureza: art. 24 · obrigações: art. 25→
Pessoa colectiva provedora de aplicações da Internet que explora profissionalmente e com fins económicos plataformas digitais que ligam fornecedores a clientes finais.
Exemplos típicos
marketplaces · plataformas de transporte e entregas · redes sociais
Obrigações
- Registar os utilizadores das suas plataformas
- Estabelecer o CSIRT institucional
- Aplicar medidas de governação, identificação e protecção do risco cibernético
- Manter em sigilo as comunicações dos utilizadores
- Fornecer dados dos utilizadores apenas com despacho de juiz de instrução criminal
- Colaborar com as autoridades competentes
- Registar-se na Autoridade Nacional de Segurança Cibernética
- Sujeição a regulamentação específica quando presta serviços ao Estado
Operador de centros de dadosnatureza: art. 26 · obrigações: art. 27→
Entidade que presta serviços de armazenamento, tratamento e transmissão de dados em estruturas destinadas ao alojamento, interligação e operação centralizada de equipamento de redes e TI.
Exemplos típicos
datacenters comerciais · infra-estruturas de colocation
Obrigações
- Registar os seus utilizadores
- Estabelecer o CSIRT institucional
- Garantir aos dados conservados a mesma protecção dos dados em trânsito
- Adoptar medidas contra destruição, perda, alteração ou divulgação não autorizada
- Adoptar medidas de prevenção e minimização de impacto de incidentes
- Fornecer dados dos utilizadores apenas com despacho de juiz de instrução criminal
- Registar-se na Autoridade Nacional de Segurança Cibernética
- Notificar a ANSC, os assinantes e o CSIRT nacional de incidentes e fugas de dados
- Adoptar regras internas de continuidade de negócio e recuperação de desastres
Operador de plataformas de computação em nuvemnatureza: art. 28 · obrigações: art. 29→
Pessoa singular ou colectiva que fornece, directa ou indirectamente, um conjunto de recursos flexíveis, escaláveis, físicos ou virtuais, compartilháveis.
Exemplos típicos
provedores de nuvem pública ou privada · revendedores de serviços cloud
Obrigações
- Estabelecer o CSIRT institucional
- Registar os seus utilizadores
- Garantir aos dados conservados a mesma protecção dos dados em trânsito
- Adoptar medidas contra destruição, perda, alteração ou divulgação não autorizada
- Adoptar medidas de antecipação, detecção, reacção e recuperação de incidentes
- Registar-se na Autoridade Nacional de Segurança Cibernética
- Notificar a ANSC, os assinantes e o CSIRT nacional de incidentes e fugas de dados
- Sujeição a regulamentação específica quando presta serviços ao Estado
Provedor de serviços de segurança cibernéticanatureza: art. 30 · obrigações: art. 31→
Pessoa singular ou colectiva licenciada para prestar serviços de segurança cibernética: tratamento de incidentes, gestão de vulnerabilidades, testes de penetração, forense digital, governação, risco, conformidade e formação.
Exemplos típicos
consultoras de segurança · SOCs comerciais · laboratórios de forense digital
Obrigações
- Obter licença da Autoridade Nacional de Segurança Cibernética
- Descrever os serviços oferecidos e os processos técnicos envolvidos
- Manter em sigilo as comunicações dos utilizadores
- Adoptar medidas de antecipação, detecção, reacção e recuperação de incidentes
- Adoptar uma abordagem de gestão de riscos
- Registar-se na ANSC e comunicar ao CSIRT nacional o exercício da actividade
- Contribuir com 1% da receita bruta anual para o fundo de segurança cibernética
Operador de comunicações digitaisnatureza: art. 32 · obrigações: art. 33→
Entidade que fornece um serviço que permite a vários utilizadores enviar mensagens ou documentos, ou interagir em tempo real por voz e vídeo.
Exemplos típicos
aplicações de mensagens · plataformas de videoconferência · e-mail
Obrigações
- Registar os seus utilizadores
- Estabelecer o CSIRT institucional
- Garantir aos dados conservados a mesma protecção dos dados na rede
- Adoptar medidas contra destruição, perda, alteração ou divulgação não autorizada
- Descrever os serviços oferecidos e os processos técnicos envolvidos
- Manter em sigilo as comunicações dos utilizadores
- Registar-se na Autoridade Nacional de Segurança Cibernética
Administração pública e sector privado (regime geral)
Mesmo quem não cabe em nenhuma categoria específica continua abrangido: os artigos 50 e 58 impõem à administração pública e ao sector privado em geral estas obrigações:
- Tomar medidas técnicas e organizacionais adequadas ao risco
- Nomear o responsável e o auditor interno de segurança cibernética
- Criar uma política de segurança de informação institucional
- Estabelecer um CSIRT institucional
- Notificar incidentes com impacto significativo ao CSIRT sectorial e nacional
- Submeter relatório mensal de resposta e resolução de incidentes