2019/07/05 | Por Aguiar-Branco & Associados
O Centro Nacional de Cibersegurança (“CNC”) foi instituído como a Autoridade Nacional de Cibersegurança pela Lei n.º 46/2018, de 13 de agosto (“Lei”), que estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.
De acordo com o artigo 7.º da Lei, faz parte das atribuições do CNC, entre outras, a definição e implementação das medidas e instrumentos necessários à antecipação, deteção, reação e recuperação de incidentes na segurança das redes e dos sistemas de informação.
Por outro lado, a Lei é omissa na metodologia que as Organizações devem adotar para implementação de processos de gestão de risco para a segurança da informação.
Neste sentido, o CNC publicou, no passado dia 26 de Junho de 2019, em https://www.cncs.gov.pt/content/files/cncs_qnrcs_2019.pdf, o Quadro Nacional de Referência para a Cibersegurança (QNRCS), que pretende ser uma ferramenta de apoio às Organizações no cumprimento dos requisitos mínimos de segurança da informação recomendados, na gestão do risco de segurança dos sistemas de informação e no tratamento eficiente de incidentes.
Não obstante o QNRCS se situar no âmbito da denominada soft-law, na medida em que não é de observância obrigatória, mas, antes, de cumprimento voluntário, deve ser tomado em devida nota pelas Organizações.
Na verdade, este guia foi emanado pelo CNC, enquanto autoridade de regulação, supervisão, fiscalização e sancionatória em matéria de segurança do ciberespaço, e baseia-se em normas técnicas aceites internacionalmente.
Deste modo, o QNRCS deve ser implementado pelas Organizações ou, pelo menos, integrado nos programas de compliance internos para a segurança dos sistemas de informação, no que concerne, nomeadamente, à conformidade com a legislação em vigor e à adoção de um processo de gestão do risco e mitigação do impacto dos incidentes nas Organizações.