Artigos 57 a 65
Teve um incidente? A lei diz a quem tem de o contar.
Todas as entidades abrangidas têm de notificar os incidentes com impacto significativo e submeter depois um relatório mensal de resposta e resolução. A notificação não agrava a responsabilidade de quem notifica art. 58, e há um regime de notificação voluntária protegida art. 65.
O que é um incidente com impacto significativo
O artigo 57 considera significativo o incidente que cumpra pelo menos uma destas condições: classificação como grave na avaliação de risco; interrupção do serviço essencial para lá do tempo máximo admissível; interrupção da continuidade de outro prestador de serviço essencial; necessidade de medidas extraordinárias de reposição; ou danos, efectivos ou potenciais, para os serviços da infra-estrutura crítica, outros provedores ou utilizadores.
Para medir a relevância do impacto contam estes parâmetros art. 59:
- o número de utilizadores afectados, em particular os que dependem do serviço para prestar os seus próprios serviços;
- a duração do incidente;
- a distribuição geográfica da zona afectada;
- o nível de gravidade da perturbação do funcionamento do serviço;
- a extensão do impacto nas actividades económicas e sociais.
Quem notifica o quê
| Entidade | Notifica | Base legal |
|---|---|---|
| Administração pública e sector privado | CSIRT sectorial + CSIRT nacional; relatório mensal também ao CSIRT do Governo | art. 58 |
| Operadores de infra-estruturas críticas | CSIRT sectorial + CSIRT nacional | art. 59 |
| Operadores de serviços essenciais | CSIRT sectorial + CSIRT nacional, incluindo impactos causados por terceiros prestadores | art. 60 |
| Provedores de serviços digitais | CSIRT sectorial + CSIRT nacional | art. 61 |
| Provedores intermediários de serviços | Autoridade Nacional de Segurança Cibernética | art. 62 |
| Operadores de centros de dados | ANSC + assinantes afectados + CSIRT nacional (incluindo fugas de dados) | art. 63 |
| Operadores de computação em nuvem | ANSC + assinantes afectados + CSIRT nacional, de imediato | art. 64 |
O relatório mensal
Depois da notificação, praticamente todas as categorias ficam obrigadas a submeter um relatório mensal da resposta e da resolução do incidente, com as causas, o tempo gasto na resolução, as medidas aplicadas e o respectivo impacto. É uma exigência invulgar face aos padrões internacionais, que normalmente pedem um relatório final por incidente, e um encargo administrativo real para as equipas.
Protecções para quem notifica
- A notificação não acarreta responsabilidades acrescidas para o notificante.
- A notificação voluntária não pode gerar obrigações que a entidade não teria se não tivesse notificado art. 65.
- A autoridade deve salvaguardar a confidencialidade e os interesses do notificante ao divulgar incidentes de interesse público art. 60.