Notícias

Alerta legal nº 70

Lei n.º 46/2018, 13 de agosto.

No passado dia 13 de agosto, foi publicada, em Diário da República, a Lei n.º 46/2018, que, com o propósito de estabelecer o regime jurídico da segurança do ciberespaço, transpõe a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União.

A presente lei aplica-se à Administração Pública, aos operadores de infraestruturas críticas, aos operadores de serviços essenciais, aos prestadores de serviços digitais que prestam serviços de mercado em linha, de motor de pesquisa em linha e de computação em nuvem e que tenham o seu estabelecimento principal em território nacional ou, não o tendo, designem um representante estabelecido em território nacional, desde que aí prestem serviços digitais, e a quaisquer outras entidades que utilizem redes e sistemas de informação.

O presente diploma estabelece que a Estratégia Nacional de Segurança do Ciberespaço deverá definir o enquadramento, os objetivos e as linhas de ação do Estado nesta matéria, de acordo com o interesse nacional e deverá ser aprovada por resolução do Conselho de Ministros, sob proposta do Primeiro-Ministro, ouvido o Conselho Superior de Segurança do Ciberespaço.

O referido diploma procede também à definição da estrutura de segurança do ciberespaço.

Ao Conselho Superior de Segurança do Ciberespaço, órgão específico de consulta do Primeiro-Ministro para assuntos relativos à segurança do ciberespaço, foram-lhe atribuídas, nomeadamente, as seguintes competências: (i) assegurar a coordenação político-estratégica para a segurança do ciberespaço (ii); verificar a implementação da Estratégia Nacional de Segurança do Ciberespaço, elaborando anualmente, ou sempre que necessário, um relatório de avaliação da execução desta, sendo que o relatório anual deve ser enviado à Assembleia da República até 31 de março do ano posterior àquele a que se reporta; (iii) emitir um parecer sobre matérias relativas à segurança do ciberespaço; e (iv) responder a solicitações do Primeiro-Ministro ou do membro do Governo em quem este delegar.

Na presente lei são regulados também a Equipa de Resposta a Incidentes de Segurança Informática Nacional e o Centro Nacional de Cibersegurança, que deverá funcionar no âmbito do Gabinete Nacional de Segurança e é a Autoridade Nacional de Cibersegurança.

O Centro Nacional de Segurança tem por missão garantir a utilização do ciberespaço de uma forma livre, confiável e segura, através da promoção da melhoria contínua da cibersegurança nacional e da cooperação internacional, em articulação com todas as autoridades competentes, bem como da definição e implementação das medidas e instrumentos necessários à antecipação, deteção, reação e recuperação de situações que, face à iminência ou ocorrência de incidentes, ponham em causa o interesse nacional, o funcionamento da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços essenciais e dos prestadores de serviços digitais, atuando em articulação com a Comissão Nacional de Proteção de Dados, quando estejam em causa incidentes que tenham dado origem à violação de dados pessoais.

A Lei n.º 46/2018 define ainda os requisitos de segurança e normalização, requisitos de notificação de incidentes, requisitos de segurança e notificação de incidentes para a Administração Pública e operadores de infraestruturas, para operadores de serviços essenciais e para prestadores de serviços digitais.

São também estabelecidas sanções a quem infringir o disposto na presente lei, e definidas contraordenações graves e contraordenações muito graves, nos termos dos artigos 21.º e seguintes da mesma, cabendo ao Centro Nacional de Cibersegurança a fiscalização e aplicação das sanções previstas.

As infrações graves derivam do incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança dos incidentes e do exercício de atividade no setor das infraestruturas digitais e as infrações muito graves derivam do incumprimento da obrigação de implementar requisitos de segurança e do incumprimento de instruções de cibersegurança emitidas pelo Centro Nacional de Cibersegurança.

No caso das contraordenações graves são fixadas coimas de € 1000 a € 3000, no caso de se tratar de uma pessoa singular, e de € 3000 a € 9000, no caso de se tratar de uma pessoa coletiva. No que respeita às contraordenações muito graves, as coimas variam entre € 5000 e € 25000, tratando-se de pessoas singulares, e de € 10000 a € 50000, no caso de se tratar de uma pessoa coletiva.

Por fim, a Lei n.º 46/2018 estabelece ainda um prazo de 150 dias após a entrada em vigor da mesma para serem definidos, em legislação própria, os requisitos de segurança e de notificação de incidentes que se encontram identificados no artigo 31.º da lei.

Este diploma revoga a Resolução do Conselho de Ministros n.º 115/2017, de 24 de agosto e entra em vigor no dia seguinte ao da sua publicação, ou seja, a 14 de agosto de 2018.

Aceda aqui ao texto integral da Lei n.º 46/2018, de 13 de agosto.

Achou esta informação útil?