2019/03/26 | Por Aguiar-Branco & Associados
Regime jurídico da segurança do ciberespaço - Lei n.º 46/2018 de 13 de agosto
As redes e os sistemas de informação desempenham um papel fundamental na sociedade, na economia e no Estado, sendo a sua fiabilidade e segurança essenciais para a prossecução de atividades económicas e sociais.
Todas as organizações ligadas à Internet, independentemente da sua dimensão, são vítimas em potencial de ataques informáticos, cuja extensão, periodicidade e consequências têm vindo a intensificar-se e, portanto, constituem uma importante ameaça para o funcionamento das redes e dos sistemas de informação, em especial da Internet.
Em julho de 2016, a União Europeia adotou a Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho de 6 de julho de 2016 que estabelece as medidas destinadas a alcançar um nível elevado de segurança das redes e dos sistemas de informação na União Europeia.
Em Portugal, a Diretiva foi transposta pela Lei n.º 46/2018 de 13 de Agosto que estabelece o regime jurídico da segurança do ciberespaço (Lei de Cibersegurança) que entrou em vigor em 14 de agosto de 2018 e da qual se destacam, além do mais, os seguintes pontos:
• Objetivo: A segurança dos dados armazenados, transmitidos e tratados respeitantes a qualquer tipo de informação.
• Âmbito de aplicação: Administração Pública, Operadores de infraestruturas críticas, Operadores de serviços essenciais e Prestadores de serviços digitais.
• Novas Obrigações: (i) necessidade de adoção de medidas de segurança das redes e dos sistemas de informação, tendo em conta os progressos técnicos mais recentes, para evitar os incidentes ou ataques cibernéticos, (ii) notificação de incidentes ao Centro Nacional de Cibersegurança e (iii) cumprimento das instruções de cibersegurança emanadas pelo Centro Nacional de Cibersegurança.
• Centro Nacional de Cibersegurança: Entidade competente para fiscalizar e aplicar sanções no âmbito desta lei.
• Contraordenações: Coimas até aos 25.000€ para as pessoas singulares e até aos 50.000€ para as pessoas coletivas.
• Produção de efeitos e Legislação complementar: Os regimes decorrentes dos artigos 14.º a 27.º, respeitantes às obrigações legais de segurança e de notificação de incidentes para as entidades da Administração Pública, para os operadores de infraestruturas críticas, para os operadores de serviços essenciais, bem como para os prestadores de serviços digitais, assim como o regime contraordenacional só produzem efeitos seis meses após a entrada em vigor da presente lei, ou seja, os mesmos só são aplicáveis a partir de 14 de Fevereiro de 2019. Os requisitos específicos de segurança das redes e de notificação de incidentes ainda não existem e deveriam ter sido definidos em legislação própria, no prazo de 150 dias após a entrada em vigor desta lei, ou seja até 11 de janeiro de 2019.