A Administração Pública, os operadores de infraestruturas críticas, de serviços essenciais e os prestadores de serviços digitais são obrigados a notificar o Centro Nacional de Cibersegurança (CNCS) da ocorrência de incidentes, de acordo com a lei.

Esta informação consta do decreto-lei n.º 65/2021, de 30 de julho, que regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança e prevê um regime sancionatório em caso de incumprimento, que pode ir até aos 44,8 mil euros para as entidades e 3,7 mil euros para as pessoas singulares.

O decreto-lei estabelece os requisitos de segurança das redes e dos sistemas de informação que devem ser cumpridos pela Administração Pública, pelos operadores de infraestruturas críticas e pelos operadores de serviços essenciais.

No que respeita às obrigações de notificação, lê-se no diploma, a Administração Pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais e os prestadores de serviços digitais “notificam o CNCS da ocorrência de incidentes com impacto relevante ou substancial”.

Além disso, estas entidades “devem implementar todos os meios e os procedimentos necessários à deteção, à avaliação do impacto e à notificação de incidentes com impacto relevante ou substancial”, lê-se no diploma.

A lei refere que por cada incidente que deva ser objeto de notificação, as entidades devem submeter ao CNCS “uma notificação inicial, nos termos do artigo seguinte”: uma de fim de impacto relevante ou substancial e uma notificação final.

“Nos casos em que o incidente seja resolvido de forma imediata, nas primeiras duas horas após a sua deteção, as entidades podem enviar diretamente a notificação final com todos os campos de informação devidamente preenchidos, ficando dispensadas do envio das restantes notificações”, adianta.

A notificação inicial deve ser enviada “logo” que a entidade conclua que existe ou possa vir a existir “impacto relevante ou substancial e até duas horas após essa verificação”, devendo, sem prejuízo do cumprimento deste prazo, “dar prioridade à mitigação e à resolução do incidente”.

Já a notificação do fim do efeito do incidente deve ser “submetida ao CNCS logo que possível, dentro do prazo máximo de duas horas após a perda de impacto relevante ou substancial”.

A notificação final “deve ser enviada no prazo de 30 dias úteis a contar do momento em que o incidente deixou de se verificar”, acrescenta.

Sobre a taxonomia dos incidentes, a lei elenca as seguintes categorias: falha de sistema; fenómeno natural; erro humano; ataque malicioso; e falha no fornecimento de bens ou serviços por terceiro.

No que respeita aos efeitos, estes podem traduzir-se numa infeção por ‘malware’ (‘software’ malicioso), disponibilidade, intrusão, tentativa de intrusão, fraude, entre outros.

“O CNCS presta à entidade notificante as informações relevantes relativas ao processamento do incidente notificado, nomeadamente informações que possam contribuir para o tratamento eficaz do incidente”, refere o diploma.

Constitui contraordenação “punível com coima de 1.000 euros a 3.740,98 euros, no caso de pessoa singular, ou de 5.000 euros a 44.891,81 euros, no caso de pessoa coletiva”, a prática de infrações como a utilização de marca de certificação da cibersegurança inválida, caducada ou revogada; a utilização de expressão ou grafismo que expressa ou tacitamente sugira a certificação da cibersegurança de produto, serviço ou processo que não seja certificado; e a omissão dolosa de informação ou a prestação de falsa informação que seja relevante para o processo de certificação da cibersegurança que se encontre em curso, nos termos definidos em cada esquema de certificação.

O primeiro relatório anual, com as principais atividades desenvolvidas em matéria de segurança das redes e de serviços de informação, com estatística trimestral de todos os incidentes, tinha como data de entrega ao CNCS 31 de janeiro, de acordo com disposição transitória.