Aviso n.º 11948/2018, de 22 de agosto – Projeto de regulamento relativo à segurança e à integridade das redes e serviços de comunicações eletrónicas.
Projeto de regulamento relativo à segurança e à integridade das redes e serviços de comunicações eletrónicas.
https://dre.pt/web/guest/pesquisa/-/search/116132352/details/maximized?q=Ciberseguran%C3%A7a
Projeto de regulamento relativo à segurança e à integridade das redes e serviços de comunicações eletrónicas
Nota justificativa
1 – De entre as alterações introduzidas em 2009 à Diretiva-Quadro (Diretiva 2002/21/CE do Parlamento Europeu e do Conselho de 7 de março de 2002 relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas) pela Diretiva 2009/140/CE, do Parlamento Europeu e do Conselho, de 25 de novembro de 2009, consta a introdução da regulamentação da matéria da segurança e integridade das redes e serviços, com o aditamento do Capítulo III-A.
2 – Em transposição da Diretiva 2009/140/CE, a Lei n.º 51/2011, de 13 de setembro, veio, por seu turno, alterar a Lei das Comunicações Eletrónicas (Lei n.º 5/2004, de 10 de fevereiro, na sua redação em vigor), introduzindo a regulamentação da matéria da segurança e integridade das redes e serviços no novo Capítulo V do Título III, no qual são cometidas à ANACOM, entre outras, as seguintes competências específicas:
a) Aprovar medidas técnicas de execução e fixar requisitos adicionais a cumprir pelas empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público em matéria de segurança e integridade, para os efeitos do disposto no artigo 54.º-A e nos termos previstos no n.º 1 do artigo 54.º-C e no artigo 54.º-D da Lei das Comunicações Eletrónicas;
b) Aprovar medidas que definam as circunstâncias, o formato e os procedimentos aplicáveis às exigências de comunicação de violações de segurança ou perdas de integridade das redes com impacto significativo no funcionamento das redes e serviços pelas empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público, ao abrigo do disposto no artigo 54.º-B e no n.º 2 do artigo 54.º-C da Lei das Comunicações Eletrónicas;
c) Determinar as condições em que as empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público devem divulgar ao público as violações de segurança ou as perdas de integridade com impacto significativo no funcionamento das redes e serviços, ao abrigo do disposto na alínea b) do artigo 54.º-E da Lei das Comunicações Eletrónicas;
d) Determinar as obrigações de realização de auditorias à segurança das redes e serviços e de envio do respetivo relatório pelas empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público, bem como os requisitos a que devem obedecer as auditorias e os requisitos aplicáveis às entidades auditoras, ao abrigo do disposto nos n.os 1 e 2 do artigo 54.º-F da Lei das Comunicações Eletrónicas.
3 – Por decisão da ANACOM de 12 de dezembro de 2013, alterada em 8 de janeiro de 2014, a ANACOM concretizou as condições aplicáveis às obrigações de notificação e de divulgação ao público de violações de segurança ou perdas de integridade com impacto significativo no funcionamento das redes e serviços, tendo, a 12 de junho de 2014, entrado em atividade um centro de reporte, com funcionamento permanente, para a receção das notificações.
4 – Tendo por base a experiência adquirida não só através da atividade do centro de reporte, mas também pela cooperação nacional e internacional nesta matéria, entendeu esta Autoridade dever exercer as competências referidas no ponto 2, através da aprovação de um regulamento relativo à segurança e integridade das redes e serviços.
5 – No que respeita, em particular, às obrigações de notificação e de divulgação ao público, entendeu ainda esta Autoridade dever integrar neste regulamento o normativo que reflita as medidas já concretizadas ao abrigo da decisão de 12 de dezembro de 2013, cuja execução se entende ter vindo a decorrer de uma forma eficaz e consensual, sem prejuízo de algumas adaptações necessárias em face da experiência recolhida na atividade do centro de reporte. Por esta via e a bem da transparência e da segurança jurídica, congregou-se e consolidou-se, num único instrumento, um conjunto devidamente articulado de condições aplicáveis em matéria de segurança e integridade das redes e serviços.
6 – Neste contexto e por decisão de 4 de agosto de 2016, a ANACOM aprovou o início do procedimento de elaboração de um regulamento relativo à segurança e integridade das redes e serviços, bem como a publicitação do respetivo anúncio nos termos previstos no n.º 1 do artigo 98.º do Código do Procedimento Administrativo.
Findo o prazo fixado, foram recebidos 18 contributos, os quais foram objeto de análise e ponderação na elaboração do projeto de regulamento relativo à segurança e à integridade das redes e serviços de comunicações eletrónicas, o qual, por decisão de 29 de dezembro de 2016, foi aprovado e submetido a procedimento regulamentar e procedimento geral de consulta, nos termos previstos no artigo 10.º dos Estatutos da ANACOM, aprovados pelo Decreto-Lei n.º 39/2015, de 16 de março, e nos artigos 98.º e seguintes do Código do Procedimento Administrativo e para os efeitos previstos no artigo 8.º e, em especial, no n.º 4 do artigo 54.º-C da Lei das Comunicações Eletrónicas.
Após publicação deste projeto na 2.ª série do Diário da República, a 10 de janeiro de 2017, e após prorrogação do prazo em 15 dias úteis, a consulta pública decorreu até ao dia 14 de março de 2017, tendo sido oportunamente recebidas 17 pronúncias.
7 – Atentos os contributos recebidos e ponderada a natureza significativa das alterações introduzidas, nos termos que se fundamenta no relatório da consulta pública, publicado no sítio institucional da ANACOM na Internet, entendeu esta Autoridade dever proceder à elaboração de um segundo projeto de regulamento relativo à segurança e integridade das redes e serviços e à sua submissão a novo procedimento regulamentar e procedimento geral de consulta, em cumprimento do disposto no artigo 10.º dos Estatutos da ANACOM e nos artigos 98.º e seguintes do Código do Procedimento Administrativo e para os efeitos previstos no artigo 8.º e, em especial, no n.º 4 do artigo 54.º-C da Lei das Comunicações Eletrónicas.
Entre as alterações significativas introduzidas, releva, em particular e para além da revisão dos outros títulos, a alteração à abordagem na imposição das medidas técnicas de execução e de requisitos adicionais, nos termos agora previstos no Título II e no novo Anexo, baseada, essencialmente, no documento da ENISA «Technical Guideline on Security Measures (Technical guidance on the security measures in Article 13a) – Version 2.0, October 2014», disponível em www.enisa.europa.eu.
8 – Na regulamentação das obrigações das empresas em matéria de segurança e integridade das redes e serviços, foram objeto de ponderação, por um lado, os custos a incorrer pelas empresas no cumprimento das suas obrigações e, por outro, os benefícios daí emergentes, os quais incluem não só a defesa dos interesses dos cidadãos e, em particular, dos utilizadores das redes e serviços, o suporte à continuidade da prestação de serviços relevantes à sociedade e aos cidadãos, a garantia do acesso aos serviços de emergência e, em geral, a promoção do desenvolvimento do mercado interno por via da melhoria da fiabilidade das redes e serviços, como também aqueles resultantes da prevenção de incidentes de segurança e do impedimento ou minimização do respetivo impacto.
Para essa ponderação, contribuíram, em especial, as conclusões do estudo de avaliação e caracterização da segurança em redes de comunicações públicas, de 2010, e da avaliação da segurança e integridade das redes e serviços de comunicações eletrónicas a nível nacional, de 2012, bem como a informação e a experiência recolhida pela ANACOM desde 2014, através do respetivo centro de reporte, no tratamento das notificações recebidas, no acompanhamento das violações de segurança ou perdas de integridade em causa e no âmbito da sua análise agregada.
9 – Na sequência dos incêndios florestais ocorridos durante o ano de 2017, a ANACOM publicou um relatório de um grupo de trabalho que coordenou e que foi constituído por entidades públicas e privadas, designadamente a Associação Empresarial de Comunicações de Portugal (ACIST), a Autoridade Nacional de Proteção Civil (ANPC), a Associação dos Operadores de Comunicações eletrónicas (APRITEL), a Direção-Geral de Energia e Geologia (DGEG), a Entidade Reguladora dos Serviços Energéticos (ERSE), o Instituto de Telecomunicações e empresas dos setores das comunicações eletrónicas, dos transportes e da energia.
Deste relatório, apresentado publicamente em sessão promovida pela ANACOM a 29.05.2018, designado «Relatório do Grupo de Trabalho dos Incêndios Florestais – Medidas de Proteção e Resiliência de Infraestruturas de Comunicações Eletrónicas» e disponível no sítio institucional da ANACOM na Internet, constam 27 medidas que permitirão reduzir significativamente o impacto dos incêndios florestais nas redes e serviços de comunicações eletrónicas e, consequentemente, nos seus utilizadores e cuja implementação é, onde aplicável, devidamente articulada com o disposto neste projeto de regulamento.
10 – Assim, no exercício das atribuições e poderes conferidos à ANACOM na alínea m) do n.º 1 e na alínea e) do n.º 2, ambos do artigo 8.º, na alínea a) do n.º 2 do artigo 9.º, no artigo 10.º, todos dos Estatutos da ANACOM, bem como pelos artigos 2.º-A, 54.º-A, 54.º-B, 54.º-C, 54.º-D, da alínea b) do artigo 54.º-E, dos n.os 1 e 2 do artigo 54.º-F e do artigo 54.º-G da Lei das Comunicações Eletrónicas, e na prossecução e observância dos objetivos e princípios estabelecidos na alínea c) do n.º 1 e na alínea f) do n.º 4, ambos do artigo 5.º da Lei das Comunicações Eletrónicas, o Conselho de Administração da ANACOM, no exercício das competências que lhe são conferidas pela alínea b) do n.º 1 do artigo 26.º dos Estatutos, aprovou, por decisão de 6 de julho de 2018, o presente projeto de regulamento relativo à segurança e integridade das redes e serviços, que, nos termos do disposto no artigo 10.º dos seus Estatutos e nos artigos 98.º e seguintes do Código do Procedimento Administrativo e para os efeitos previstos no artigo 8.º e, em especial, no n.º 4 do artigo 54.º-C da Lei das Comunicações Eletrónicas, se submete ao devido procedimento regulamentar e procedimento geral de consulta, a decorrer pelo período de 30 dias úteis, mediante publicação no sítio institucional da ANACOM na Internet, em conjunto com o relatório da consulta pública e com a versão não confidencial das pronúncias recebidas, e na 2.ª série do Diário da República.
11 – Neste contexto, solicita-se aos interessados que enviem os respetivos contributos, por escrito e em língua portuguesa, preferencialmente por correio eletrónico para o endereço regulamento.seguranca@anacom.pt.
Encerrada a presente consulta pública, a ANACOM procederá à apreciação dos contributos apresentados pelos interessados e, com a aprovação deste regulamento, disponibilizará um novo relatório, contendo referência a todos os contributos recebidos, bem como uma apreciação global que reflita o entendimento desta Autoridade sobre os mesmos e os fundamentos das opções tomadas.
Projeto de regulamento relativo à segurança e à integridade das redes e serviços de comunicações eletrónicas
Título I
Disposições gerais
Artigo 1.º
Objeto
O presente regulamento estabelece:
a) As medidas técnicas de execução e os requisitos adicionais a cumprir pelas empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público em matéria de segurança e integridade, para os efeitos do disposto no artigo 54.º-A e nos termos previstos no n.º 1 do artigo 54.º-C e no artigo 54.º-D da Lei n.º 5/2004, de 10 de fevereiro, republicada pela Lei n.º 51/2011, de 13 de setembro, e alterada pela Lei n.º 10/2013, de 28 de janeiro, pela Lei n.º 42/2013, de 3 de julho, pelo Decreto-Lei n.º 35/2014, de 7 de março, pela Lei n.º 82-B/2014, de 31 de dezembro, pela Lei n.º 127/2015, de 3 de setembro, pela Lei n.º 15/2016, de 17 de junho, e pelo Decreto-Lei n.º 92/2017, de 31 de julho (Lei das Comunicações Eletrónicas) e nos termos previstos no Título II;
b) As circunstâncias, o formato e os procedimentos aplicáveis às exigências de comunicação de violações de segurança ou perdas de integridade das redes com impacto significativo no funcionamento das redes e serviços pelas empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público, ao abrigo do disposto no artigo 54.º-B e no n.º 2 do artigo 54.º-C da Lei das Comunicações Eletrónicas e nos termos previstos no Capítulo I do Título III;
c) As condições em que as empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público devem divulgar ao público as violações de segurança ou as perdas de integridade com impacto significativo no funcionamento das redes e serviços, ao abrigo do disposto na alínea b) do artigo 54.º-E da Lei das Comunicações Eletrónicas e nos termos previstos no Capítulo II do Título III;
d) As obrigações de realização de auditorias à segurança das redes e serviços e de envio do respetivo relatório pelas empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público, bem como os requisitos a que devem obedecer as auditorias e os requisitos aplicáveis às entidades auditoras, ao abrigo do disposto nos n.os 1 e 2 do artigo 54.º-F da Lei das Comunicações Eletrónicas e nos termos previstos no Título IV.
Artigo 2.º
Âmbito
1 – As empresas devem assegurar que o cumprimento das suas obrigações em matéria de segurança e integridade das redes e serviços, previstas na lei e no presente regulamento, abrange:
a) As condições normais de funcionamento, incluindo violações de segurança ou perdas de integridade sem impacto significativo;
b) As situações extraordinárias, incluindo, entre outras, as seguintes situações:
i) Violação de segurança ou perda de integridade com impacto significativo;
ii) Rutura da rede, emergência ou força maior, nos termos previstos no n.º 1 do artigo 49.º da Lei das Comunicações Eletrónicas;
iii) Exceções previstas nas alíneas a), b) e c) do n.º 3 do artigo 3.º do Regulamento (UE) n.º 2015/2120 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, que estabelece medidas respeitantes ao acesso à Internet aberta;
iv) Acidente grave ou catástrofe, bem como as situações de alerta, contingência e calamidade, nos termos previstos nas disposições legais e regulamentares aplicáveis em matéria de proteção civil;
v) Estado de emergência, estado de sítio ou estado de guerra, nos termos previstos nas disposições legais e regulamentares aplicáveis em matéria de planeamento civil de emergência;
vi) Ativação de plano de emergência de proteção civil ou de planeamento civil de emergência, nos termos previstos nas disposições legais e regulamentares aplicáveis;
vii) Grave ameaça à segurança interna, incluindo as situações de ataques terroristas ou de acidentes graves ou catástrofes, nos termos previstos nas disposições legais e regulamentares aplicáveis em matéria de segurança interna.
2 – As empresas devem cumprir as suas obrigações em matéria de segurança e integridade das redes e serviços, previstas na lei e no presente regulamento, de um modo adequado à evolução das condições climáticas da região e dos riscos de desastre natural ou de outros fenómenos extremos, incluindo tempestades, deslizamentos de terras, inundações, tornados, incêndios florestais, sismos ou maremotos, nomeadamente, entre outros aspetos, no que respeita à escolha dos locais, dos equipamentos, dos materiais e das infraestruturas de alojamento e aos procedimentos de proteção e de preservação.
3 – Para efeitos do disposto no número anterior, as empresas devem ter em consideração:
a) A informação emitida pelas entidades competentes nacionais, europeias ou internacionais;
b) A Estratégia Nacional de Adaptação às Alterações Climáticas 2020, aprovada pela Resolução do Conselho de Ministros n.º 56/2015, de 30 de julho.
4 – As empresas devem cumprir as suas obrigações em matéria de segurança e integridade das redes e serviços, previstas na lei e no presente regulamento, de um modo adequado a permitir o cumprimento das suas demais obrigações no âmbito da oferta de redes e serviços de comunicações eletrónicas, incluindo nomeadamente:
a) As obrigações em matéria de disponibilidade dos serviços e de acesso aos serviços de emergência, nos termos previstos nas disposições legais e regulamentares aplicáveis;
b) As obrigações no âmbito do planeamento civil de emergência, dos planos de emergência de proteção civil e da segurança interna, nos termos previstos nas disposições legais e regulamentares aplicáveis;
c) Quando aplicáveis, as obrigações emergentes dos contratos para a prestação do serviço universal.
5 – As empresas devem cumprir as suas obrigações em matéria de segurança e integridade das redes e serviços, previstas na lei e no presente regulamento, em conformidade com as disposições respeitantes à segurança de matérias classificadas no âmbito nacional e no âmbito das organizações internacionais de que Portugal é parte.
6 – As empresas devem assegurar que o cumprimento das suas obrigações em matéria de segurança e integridade das redes e serviços, previstas na lei e no presente regulamento, abrange todos os ativos, de sua propriedade ou gestão, incluindo os equipamentos localizados nas instalações dos clientes, necessários para a utilização das suas redes ou dos seus serviços.
Artigo 3.º
Definições
1 – Para os efeitos do disposto no presente regulamento, entende-se por:
a) «Ativos», as infraestruturas, os sistemas de transmissão ou de informação, os equipamentos e os demais recursos, físicos e lógicos, que compõem ou suportam uma rede de comunicações públicas e respetivos acessos, incluindo interligações, um serviço de comunicações eletrónicas acessível ao público ou um serviço conexo associado;
b) «Auditora», a entidade responsável pela realização de auditoria à segurança das redes e serviços ao abrigo do disposto nos n.os 1 e 2 do artigo 54.º-F da Lei das Comunicações Eletrónicas e nos termos previstos no artigo 28.º;
c) «Auditoria», a auditoria à segurança das redes e serviços a realizar pelas empresas, ao abrigo do disposto nos n.os 1 e 2 do artigo 54.º-F da Lei das Comunicações Eletrónicas e nos termos previstos no Título IV;
d) «Clientes relevantes», as entidades identificadas e a identificar nos termos previstos no n.º 5 do artigo 21.º;
e) «Colaboradores», os trabalhadores ou os agentes das empresas;
f) «Colaboradores-chave», os colaboradores que desempenhem funções no domínio da gestão e da operação da segurança e integridade das redes e serviços de comunicações eletrónicas, incluindo, pelo menos:
i) O responsável da segurança, nos termos previstos no artigo 14.º;
ii) O adjunto do responsável da segurança, quando exista, nos termos previstos no artigo 14.º;
iii) Os colaboradores que assegurem a função de ponto de contacto permanente, nos termos previstos no artigo 15.º; e
iv) Os colaboradores que integrem a equipa de resposta a incidentes de segurança, nos termos previstos no artigo 16.º;
g) «Empresas», as empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público, nos termos definidos na Lei das Comunicações Eletrónicas;
h) «Incidente de segurança», violação de segurança ou perda de integridade, intencional ou não, que causa ou que pode vir a causar um impacto na segurança das redes e serviços ou na sua continuidade;
i) «Nível de sofisticação 1», nível básico, que inclui as medidas de segurança de base, nos termos previstos no artigo 7.º e no Anexo;
j) «Nível de sofisticação 2», nível de norma de indústria, que inclui as medidas de segurança baseadas nas normas, especificações e recomendações nacionais, europeias e internacionais adequadas, incluindo a revisão da sua implementação tendo em consideração alterações técnicas ou organizacionais nas empresas ou incidentes de segurança, nos termos previstos no artigo 7.º e no Anexo;
k) «Nível de sofisticação 3», nível de estado da técnica, que inclui as medidas de segurança avançadas, a monitorização contínua e a revisão estrutural da sua implementação tendo em consideração alterações técnicas ou organizacionais nas empresas, incidentes de segurança, testes ou exercícios, com vista a uma melhoria proativa da implementação das medidas de segurança, nos termos previstos no artigo 7.º e no Anexo;
l) «Responsável da segurança», o colaborador da empresa responsável pela gestão da segurança das redes e serviços e pela sua representação no exercício das funções que lhe são cometidas pelo presente regulamento, nos termos previstos no artigo 14.º;
m) «Segurança das redes e serviços», a capacidade das redes ou dos serviços de comunicações eletrónicas para resistir, com um dado nível de confiança, a qualquer ação que comprometa a disponibilidade, a autenticidade, a integridade ou a confidencialidade dessas redes e serviços, dos dados armazenados, transmitidos ou tratados ou dos serviços associados oferecidos ou acessíveis através dessas redes ou serviços;
n) «Violação de segurança ou perda de integridade com impacto significativo», a violação de segurança ou perda de integridade com o impacto previsto nos termos do artigo 21.º;
o) «Violação de segurança ou perda de integridade sem impacto significativo», a violação de segurança ou perda de integridade sem o impacto previsto nos termos do artigo 21.º
2 – Para os efeitos do disposto no presente regulamento, são aplicáveis as seguintes siglas e acrónimos:
a) «ANACOM», a Autoridade Nacional de Comunicações (ANACOM);
b) «ANPC», a Autoridade Nacional de Proteção Civil;
c) «CNPD», a Comissão Nacional de Proteção de Dados;
d) «ENISA», a Agência Europeia para a Segurança das Redes e da Informação;
e) «GNS/CNCS», o Gabinete Nacional de Segurança/Centro Nacional de Cibersegurança;
f) «ICNF», o Instituto da Conservação da Natureza e das Florestas, I. P.;
g) «IPMA», o Instituto Português do Mar e da Atmosfera, I. P.;
h) «PASP», os Postos de Atendimento de Segurança Pública (Centros de Atendimento do 112);
i) «RNSI», a Rede Nacional de Segurança Interna;
j) «SIRESP», o Sistema Integrado de Redes de Emergência e Segurança de Portugal;
k) «SRPCBA», o Serviço Regional de Proteção Civil e Bombeiros dos Açores.
Artigo 4.º
Cooperação e partilha de informação
1 – As empresas devem cooperar com a ANACOM no âmbito da prossecução das suas atribuições e do exercício das suas competências nas matérias de segurança das redes e serviços.
2 – As empresas devem cooperar entre si no cumprimento das suas obrigações em matéria de segurança das redes e serviços, incluindo, em especial, nas seguintes situações:
a) Ocorrência de um ou mais incidentes de segurança, em especial nos casos de causa raiz comum;
b) Riscos, ameaças ou vulnerabilidades comuns ou que potenciam um efeito em cascata;
c) Dependência ou interdependência entre as redes ou serviços, incluindo, entre outros casos, o acesso e a interligação de redes, a co-localização de ativos e a partilha de infraestruturas ou de outros recursos;
d) Fornecimentos comuns de bens ou serviços por terceiros.
3 – Para efeitos do disposto no número anterior, a ANACOM partilha com as empresas a lista dos respetivos pontos de contacto permanente, mantida ao abrigo do disposto no artigo 15.º
4 – Para efeitos do disposto no presente artigo, as empresas devem ainda cooperar, consoante adequado, através da realização de ações conjuntas, da celebração de acordos de assistência mútua ou da partilha de informação.
Artigo 5.º
Meios eletrónicos
1 – Todas as comunicações dirigidas à ANACOM no âmbito do presente regulamento, bem como o envio de documentos, devem ser realizadas por meios eletrónicos, nos termos a determinar pela ANACOM, em conformidade com o disposto na lei e sem prejuízo do acesso aos seus serviços.
2 – A ANACOM mantém um sistema de informação para o cumprimento das obrigações impostas às empresas nos termos previstos no presente regulamento, nomeadamente de notificação, de comunicação, de acesso e de cooperação e partilha de informação, bem como para a gestão da informação por parte da ANACOM em matéria de segurança e integridade.
Título II
Obrigações das empresas em matéria de segurança e integridade
Capítulo I
Disposições gerais
Artigo 6.º
Obrigações das empresas
1 – Ao abrigo do disposto no artigo 54.º-A da Lei das Comunicações Eletrónicas e nos termos previstos no presente regulamento:
a) As empresas devem adotar as medidas técnicas e organizacionais adequadas à prevenção, gestão e redução dos riscos para a segurança das redes e serviços visando, em especial, impedir ou minimizar o impacto dos incidentes de segurança nas redes interligadas, a nível nacional e internacional, e nos utilizadores, devendo as mesmas ser adequadas aos riscos existentes tendo em conta o estado da técnica;
b) As empresas que oferecem redes de comunicações públicas devem adotar as medidas adequadas para garantir a integridade das respetivas redes, assegurando a continuidade da prestação dos serviços que nelas se suportam.
2 – As medidas técnicas e organizacionais e os requisitos adicionais adotados pelas empresas para cumprimento do disposto na lei e no presente regulamento devem:
a) Ser conformes com as decisões da Comissão Europeia adotadas ao abrigo do procedimento previsto no artigo 13.º-A da Diretiva n.º 2002/21/CE, do Parlamento Europeu e do Conselho, de 7 de março de 2002, relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas, na sua redação em vigor;
b) Ser baseadas, na ausência das decisões previstas na alínea anterior, nas normas, especificações e recomendações nacionais, europeias e internacionais existentes sobre a matéria, nomeadamente:
i) NP ISO/IEC 27001:2013 (Tecnologia de Informação – Técnicas de segurança – Sistemas de Gestão de Segurança da Informação – Requisitos);
ii) ISO/IEC 27001:2013 (Information technology – Security techniques – Information security management systems – Requirements);
iii) ISO/IEC 27002:2013 (Information technology – Security techniques – Code of practice for information security controls);
iv) ISO/IEC 27011:2016 ou Recomendação ITU-T X.1051 (04/2016) (Information technology – Security techniques – Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations);
v) Recomendação ITU-T X.1053 (11/2017) (Code of practice for information security controls based on ITU-T X.1051 for small and medium-sized telecommunication organizations);
vi) ISO/IEC 27005:2011 (Information technology – Security techniques – Information security risk management);
vii) Recomendação ITU-T X.1055 (11/2008) (Risk management and risk profile guidelines for telecommunication organizations);
viii) Recomendação ITU-T X.1056 (01/2009) (Security incident management guidelines for telecommunications organizations);
ix) Recomendação ITU-T X.1057 (05/2011) (Asset management guidelines in telecommunication organizations);
x) ISO 22301:2012 (Societal security – Business continuity management systems – Requirements);
xi) Outra norma, especificação ou recomendação nacional, europeia ou internacional adequada;
c) Ter em consideração os documentos técnicos publicados pela ENISA em resultado dos trabalhos desenvolvidos ao nível da aplicação da Diretiva n.º 2002/21/CE do Parlamento Europeu e do Conselho, de 7 de março de 2002, relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas, na sua redação em vigor.
3 – As medidas técnicas e organizacionais e os requisitos adicionais adotados pelas empresas para cumprimento do disposto na lei e no presente regulamento devem ainda ter em consideração:
a) As recomendações formuladas pela ANACOM, nomeadamente quanto à concretização das medidas de segurança previstas no presente regulamento;
b) As instruções técnicas aplicáveis à construção ou ampliação de infraestruturas aptas, à utilização de infraestruturas aptas e à instalação de equipamentos e sistemas de redes de comunicações eletrónicas em infraestruturas aptas, fixadas ao abrigo do disposto no Decreto-Lei n.º 123/2009, de 21 de maio, alterado pelo Decreto-Lei n.º 258/2009, de 25 de setembro, pela Lei n.º 47/2013, de 10 de julho, pela Lei n.º 82-B/2014, de 31 de dezembro, e pelo Decreto-Lei n.º 92/2017, de 31 de julho.
4 – As empresas devem assegurar que as medidas técnicas e organizacionais e os requisitos adicionais adotados para cumprimento do disposto na lei e no presente regulamento são mantidos atualizados.
Artigo 7.º
Medidas técnicas de execução e requisitos adicionais
1 – Para efeitos do disposto no artigo anterior e nos termos previstos no n.º 1 do artigo 54.º-C e no artigo 54.º-D da Lei das Comunicações Eletrónicas, as empresas devem, nomeadamente, adotar todas as medidas de segurança incluídas nos níveis de sofisticação 1 e 2 para a prossecução de cada um dos 25 objetivos de segurança constantes do Anexo, com exceção dos casos em que, tendo por fundamento os resultados de uma análise dos riscos para a segurança das redes e serviços:
a) Uma adequada prossecução de um objetivo de segurança não exija, a título excecional e mediante autorização prévia da ANACOM na sequência de um pedido fundamentado apresentado para o efeito, o cumprimento de uma ou de várias medidas de segurança previstas no nível de sofisticação 2;
b) Uma adequada prossecução de um objetivo de segurança exija o cumprimento de uma ou de várias medidas de segurança previstas no nível de sofisticação 3.
2 – Para efeitos do disposto na alínea a) do número anterior, os pedidos devem ser instruídos com os seguintes elementos:
a) Indicação do objetivo de segurança;
b) Indicação da medida de segurança;
c) A análise de riscos que fundamenta o pedido e que garante, mediante apenas o cumprimento das restantes medidas, uma adequada prossecução do objetivo de segurança em causa.
3 – Para efeitos do disposto no artigo anterior, as medidas de segurança a adotar pelas empresas devem incluir, em qualquer caso, as seguintes medidas específicas:
a) Classificação de ativos e elaboração do inventário de ativos, nos termos previstos, respetivamente, nos artigos 8.º e 9.º;
b) Requisitos da gestão dos riscos, nos termos previstos no artigo 10.º;
c) Procedimentos de controlo da gestão excecional de tráfego de acesso à Internet, nos termos previstos no artigo 11.º;
d) Exercícios, nos termos previstos no artigo 12.º;
e) Informação aos clientes, nos termos previstos no artigo 13.º;
f) Responsável da segurança, nos termos previstos no artigo 14.º;
g) Ponto de contacto permanente, nos termos previstos no artigo 15.º;
h) Equipa de resposta a incidentes de segurança, nos termos previstos no artigo 16.º;
i) Plano de segurança, nos termos previstos no artigo 17.º;
j) Deveres de comunicação à ANACOM, nos termos previstos no artigo 18.º;
k) Relatório anual de segurança, nos termos previstos no artigo 19.º
Capítulo II
Medidas específicas
Artigo 8.º
Classificação de ativos
1 – As empresas devem classificar os seus ativos numa classe de A a C, nos termos previstos no presente artigo.
2 – Um ativo deve ser classificado na classe A se, em resultado de perturbação do seu funcionamento, o número de assinantes ou de acessos afetados possa ser igual ou superior a 100.000 ou a área geográfica afetada possa ser igual ou superior a 2.000 km2 ou abranger a totalidade do território de uma ilha da Região Autónoma dos Açores ou da Região Autónoma da Madeira.
3 – Devem ainda ser classificados na classe A os seguintes ativos:
a) O centro principal de gestão e operação de uma empresa que, no conjunto das suas ofertas, tenha um número total de assinantes ou de acessos igual ou superior a 100.000;
b) O centro principal de gestão e operação de uma empresa que inclua, pelo menos, um ativo da classe A;
c) Os ativos de que dependa a oferta de redes e serviços através dos quais seja assegurada a continuidade da prestação dos serviços previstos na alínea f) do n.º 2 do artigo 21.º;
d) Os ativos que assegurem interligação internacional, interligação entre as Regiões Autónomas, interligação entre o Continente e uma Região Autónoma ou interligação entre ilhas na Região Autónoma dos Açores ou na Região Autónoma da Madeira, incluindo estação de cabos submarinos, estação de satélites ou sistema terrestre transfronteiriço;
e) Os ativos que tenham sido identificados no âmbito do planeamento civil de emergência ou de um plano de emergência de proteção civil e que a ANACOM indique através de comunicação com a identificação do ativo.
4 – Um ativo deve ser classificado na classe B se, em resultado de perturbação do seu funcionamento, cause ou possa vir a causar um impacto negativo grave na segurança das redes e serviços ou na sua continuidade, exceto quando, nos termos previstos nos números anteriores, deva ser classificado na classe A.
5 – Um ativo deve ser classificado na classe C sempre que não deva ser classificado em nenhuma das classes A ou B.
Artigo 9.º
Inventário de ativos
1 – As empresas devem elaborar e manter atualizado um inventário de todos os ativos, assinado pelo responsável da segurança, que inclua a respetiva classificação nos termos previstos no artigo anterior.
2 – Para cada ativo classificado nas classes A, B ou C deve constar do inventário de ativos a seguinte informação:
a) Identificador único;
b) Designação;
c) Classificação, ao abrigo do disposto no artigo 8.º;
d) As coordenadas geográficas da sua localização e a identificação das entidades detentoras ou gestoras dos locais.
3 – Para cada ativo classificado nas classes A ou B, deve ainda constar do inventário de ativos a seguinte informação:
a) Caracterização, incluindo:
i) Funcionalidades e serviços suportados;
ii) Fundamentação da classificação, ao abrigo do disposto no artigo 8.º, incluindo uma descrição do impacto potencial de uma perturbação do seu funcionamento, incluindo em termos de redundância, robustez e resiliência;
iii) Identificação como ponto de falha única;
iv) Fornecimentos de terceiros críticos para o seu funcionamento, incluindo serviços de gestão, de operação, de segurança e de energia;
v) Autonomia em caso de falha de fornecimento de energia;
vi) No caso de interligação, indicação do tipo (interligação internacional, interligação entre as Regiões Autónomas, interligação entre o Continente e uma Região Autónoma ou interligação entre ilhas na Região Autónoma dos Açores ou na Região Autónoma da Madeira) e identificação das empresas interligadas;
b) Medidas, controlos e registos de segurança adotados, incluindo as medidas de redundância, robustez e resiliência no caso de ativo identificado como ponto de falha única ao abrigo do disposto na subalínea iii) da alínea anterior;
c) Registo das violações de segurança ou perdas de integridade com impacto significativo ocorridas;
d) Registo das alterações efetuadas, incluindo os resultados dos testes de integração e de sistema realizados e os planos de restauro dos ativos.
4 – As empresas devem concluir o inventário de ativos no prazo de 60 dias úteis a contar da data de início de atividade.
5 – As empresas que detenham ativos classificados na classe A devem comunicar à ANACOM uma lista dos ativos classificados nas classes A e B, que, em relação a cada ativo, contenha a informação constante do n.º 2 e da subalínea ii) da alínea a) do n.º 3:
a) Na sua versão inicial, no prazo de 60 dias úteis a contar da data de início de atividade ou, se posterior, da data a partir da qual as empresas detenham um ativo classificado na classe A;
b) Numa versão atualizada, em conjunto com o relatório anual de segurança.
Artigo 10.º
Requisitos da gestão dos riscos
As empresas devem rever a metodologia de gestão dos riscos e as ferramentas adotadas, pelo menos uma vez em cada dois anos, tendo em consideração, nomeadamente:
a) As violações de segurança ou perdas de integridade com impacto significativo ou quaisquer outras situações extraordinárias referidas na alínea b) do n.º 1 do artigo 2.º ocorridas nos dois anos anteriores;
b) A informação sobre ameaças, vulnerabilidades e riscos, incluindo os riscos resultantes da evolução das condições climáticas da região e os riscos de desastre natural ou de outros fenómenos extremos, emitida pelas entidades competentes nacionais, europeias ou internacionais, incluindo a ANPC, o IPMA, o ICNF e a ENISA, bem como a informação publicada anualmente ou comunicada às empresas pela ANACOM.
Artigo 11.º
Procedimentos de Controlo da Gestão Excecional de Tráfego de Acesso à Internet
1 – A adoção de medidas de gestão de tráfego de acesso à Internet pelas empresas deve respeitar o disposto no Regulamento (UE) n.º 2015/2120 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, que estabelece medidas respeitantes ao acesso à Internet aberta.
2 – As empresas devem registar a informação relevante para o controlo das medidas de gestão excecional de tráfego de acesso à Internet, que, em relação a cada medida adotada, inclui, entre outros, os seguintes elementos:
a) A exceção que a fundamenta, nos termos previstos nas alíneas a), b) ou c) do n.º 3 do artigo 3.º do Regulamento (UE) n.º 2015/2120 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, devidamente documentada;
b) A natureza da medida, nomeadamente de bloqueio, de abrandamento, de alteração, de restrição, de degradação ou outra;
c) O objeto da medida, nomeadamente os conteúdos, as aplicações ou os serviços e os portos ou endereços IP abrangidos;
d) A duração, incluindo as datas e horas de início e de termo da medida.
3 – As empresas devem adotar e manter atualizado um sistema para a monitorização do tráfego de acesso à Internet, de modo contínuo, para a deteção:
a) De riscos à segurança e integridade da rede, dos serviços prestados através dela e dos equipamentos terminais dos utilizadores finais;
b) De congestionamentos iminentes da rede.
Artigo 12.º
Exercícios
1 – As empresas devem elaborar e implementar um programa de exercícios, de periodicidade máxima bianual, para avaliação da segurança das redes e serviços e da adequação do plano de segurança, com vista à melhoria das medidas técnicas e organizacionais adotadas, em especial no que respeita, quando aplicável:
a) Aos ativos classificados nas classes A ou B;
b) Ao acesso aos serviços de emergência;
c) Ao acesso às ofertas de redes e serviços;
d) Ao suporte à continuidade da prestação dos serviços previstos na alínea f) do n.º 2 do artigo 21.º
2 – As empresas devem promover, na medida do adequado, a participação de outras empresas ou de terceiros na execução do programa de exercícios.
3 – As empresas devem participar nos exercícios conjuntos que a ANACOM, nos termos a determinar, considere necessários.
Artigo 13.º
Informação aos clientes
As empresas devem comunicar aos seus clientes relevantes, nos termos previstos no n.º 5 do artigo 21.º, com conhecimento da ANACOM, as medidas adotadas na sequência de incidentes de segurança que tenham um impacto negativo na oferta de redes e serviços através dos quais estes prestam os seus serviços relevantes à sociedade e aos cidadãos.
Artigo 14.º
Responsável da segurança
1 – As empresas devem designar um responsável da segurança, ao qual, entre os demais deveres previstos no presente regulamento, cabe:
a) A gestão da política de segurança;
b) A gestão do conjunto das medidas adotadas em matéria de segurança das redes e serviços ao abrigo do disposto na lei e no presente regulamento.
2 – As empresas podem designar um adjunto do responsável da segurança, a quem cabe exercer as funções do responsável da segurança em caso de ausência ou impedimento deste.
3 – As empresas que não estejam estabelecidas na União Europeia ou no Espaço Económico Europeu e que detenham ativos classificados na classe A devem assegurar que os colaboradores designados para as funções previstas no presente artigo se encontram domiciliados num Estado-Membro da União Europeia ou do Espaço Económico Europeu.
Artigo 15.º
Ponto de contacto permanente
1 – As empresas devem estabelecer uma função de ponto de contacto permanente, que deve assegurar a capacidade de iniciar e de receber um fluxo de informação de nível operacional e técnico entre a empresa e a ANACOM, garantindo, nomeadamente:
a) A eficácia da resposta a incidentes de segurança com impacto a nível do setor ou para além deste, incluindo no suporte à continuidade da prestação dos serviços previstos na alínea f) do n.º 2 do artigo 21.º, e que envolva a participação de várias empresas;
b) A articulação entre a ANACOM e a empresa para a obtenção de informação operacional ou técnica, na sequência de notificação de violação de segurança ou perda de integridade com impacto significativo submetida por aquela ou por outra empresa;
c) A construção e atualização de informação de situação integrada no contexto de uma violação de segurança ou perda de integridade com impacto significativo ou da ativação do planeamento civil de emergência ou de plano de emergência da proteção civil;
d) A operacionalização dos procedimentos fixados no âmbito do planeamento civil de emergência ou de plano de emergência da proteção civil;
e) O tratamento das determinações da ANACOM no sentido da informação ao público de violações de segurança ou perdas de integridade ocorridas nas suas redes e serviços, ao abrigo do disposto no n.º 3 do artigo 23.º;
f) A receção das instruções vinculativas emitidas ao abrigo do disposto no n.º 1 do artigo 54.º-G da Lei das Comunicações Eletrónicas;
g) A articulação entre a ANACOM e a equipa de resposta a incidentes de segurança.
2 – As empresas devem ainda assegurar que a função de ponto de contacto permanente se encontra dotada dos meios necessários ao desenvolvimento das ações de cooperação e partilha de informação entre empresas, nos termos do disposto no artigo 4.º
3 – As empresas devem assegurar a função de ponto de contacto permanente:
a) Numa disponibilidade contínua (24 horas por dia e sete dias por semana), quando detenham ativos classificados na classe A;
b) Numa disponibilidade contínua (24 horas por dia e sete dias por semana) limitada a períodos de ativação, iniciados e terminados mediante comunicação da ANACOM, nos restantes casos.
4 – As empresas devem assegurar que o ponto de contacto permanente dispõe de meios de contacto principais e alternativos para a comunicação com a ANACOM em condições normais de funcionamento, nas situações extraordinárias referidas nas subalíneas i), ii) e iii) da alínea b) do n.º 1 do artigo 2.º e, conforme adequado e nos termos das disposições legais e regulamentares aplicáveis, nas situações referidas nas restantes subalíneas.
Artigo 16.º
Equipa de resposta a incidentes de segurança
1 – As empresas que detenham ativos classificados na classe A devem dispor de uma equipa de resposta a incidentes de segurança, dotada dos recursos e dos conhecimentos necessários a uma eficaz preparação contra os riscos, ameaças e vulnerabilidades e à resposta a incidentes de segurança que afetem os ativos classificados nas classes A ou B.
2 – As empresas devem concluir a constituição da equipa prevista no número anterior no prazo de seis meses a contar da data a partir da qual detenham um ativo classificado na classe A.
3 – A equipa a que se refere o presente artigo deve integrar o sistema de resposta a incidentes de segurança da informação, nos termos a determinar ao abrigo do disposto na alínea d) do n.º 2 do artigo 2.º-A da Lei das Comunicações Eletrónicas.
Artigo 17.º
Plano de segurança
1 – As empresas devem elaborar e manter atualizado um plano de segurança, assinado pelo responsável da segurança, que contenha:
a) A política de segurança;
b) A descrição de todas as medidas adotadas em matéria de segurança das redes e serviços ao abrigo do disposto na lei e no presente regulamento, incluindo, quando aplicável e caso a caso, as referências às medidas e aos níveis de sofisticação em que as mesmas se enquadram, nos termos previstos no Anexo;
c) O registo e análise dos incidentes de segurança com maior impacto ocorridos nos últimos cinco anos, incluindo todas as violações de segurança ou perdas de integridade com impacto significativo;
d) A lista dos colaboradores-chave, incluindo a indicação da respetiva função.
2 – As empresas devem concluir a elaboração do plano de segurança no prazo de 6 meses a contar da data de início da sua atividade.
3 – As empresas devem ainda instruir o plano de segurança com os comprovativos de que cada colaborador chave se encontra devidamente mandatado, nos termos legalmente previstos, para representar a empresa no exercício da função que lhe foi cometida, nos termos previstos na lei e no presente regulamento.
Artigo 18.º
Deveres específicos de comunicação à ANACOM
1 – As empresas devem comunicar à ANACOM, no prazo de 20 dias úteis a contar do início da sua atividade:
a) A política de segurança, nos termos previstos no artigo anterior;
b) A informação relativa aos colaboradores designados para as funções de responsável da segurança e, sendo o caso, de adjunto do responsável da segurança, nos termos previstos no artigo 14.º;
c) A informação relativa ao ponto de contacto permanente, nos termos previstos no artigo 15.º
2 – Para efeitos do disposto na alínea b) do número anterior, as empresas devem comunicar à ANACOM, em relação a cada colaborador, os seguintes elementos:
a) Nome;
b) Número(s) de telefone;
c) Endereço de correio eletrónico.
3 – Para efeitos do disposto na alínea c) do n.º 1, as empresas devem comunicar à ANACOM os seguintes elementos:
a) Número de telefone fixo;
b) Número de telefone móvel;
c) Endereço de correio eletrónico;
d) Contactos alternativos;
e) Endereço geográfico do local onde é assegurada a função;
f) Quando aplicável, elementos de contacto para ativação da função de ponto de contacto permanente, nos termos previstos na alínea b) do n.º 3 do artigo 15.º, incluindo número de telefone fixo, número de telefone móvel e endereço de correio eletrónico.
4 – Antes do termo do prazo previsto no n.º 1 do presente artigo e em caso de necessidade, as empresas devem assegurar que os contactos fornecidos no âmbito da comunicação prévia de início de atividade, ao abrigo do disposto no artigo 22.º da Lei das Comunicações Eletrónicas, asseguram, a título provisório, a função prevista no artigo 15.º do presente regulamento.
5 – As empresas devem comunicar à ANACOM, previamente à sua implementação, qualquer alteração da informação fornecida ao abrigo do disposto no presente artigo.
Artigo 19.º
Relatório anual de segurança
1 – As empresas devem elaborar um relatório anual de segurança, que, de forma completa, mas sucinta, contenha os seguintes elementos:
a) Descrição das atividades desenvolvidas em matéria de segurança das redes e serviços;
b) Estatística trimestral de todos os incidentes de segurança, com ou sem impacto significativo, com indicação do número e do tipo dos incidentes;
c) Análise agregada dos incidentes de segurança com maior impacto, incluindo todas as violações de segurança ou perdas de integridade com impacto significativo, e respetivo tempo médio de recuperação;
d) Descrição do programa de exercícios que abranja o ano civil seguinte ao qual o relatório anual de segurança se reporta;
e) Recomendações de atividades, incluindo exercícios conjuntos, de medidas ou de práticas de cooperação que promovam a melhoria da segurança das redes e serviços;
f) Questões identificadas e lições aprendidas na sequência dos incidentes de segurança ocorridos durante o ano civil a que o relatório anual de segurança se reporta;
g) Qualquer outra informação relevante.
2 – As empresas devem apresentar o relatório anual de segurança à ANACOM, assinado pelo responsável da segurança:
a) Quanto ao primeiro relatório anual de segurança:
i) Até ao último dia útil do mês de janeiro do ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha início no primeiro semestre;
ii) Até ao último dia útil do mês de janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha início no segundo semestre;
b) Quanto aos demais relatórios anuais de segurança, até ao último dia útil do mês de janeiro do ano civil seguinte aos quais os mesmos se reportam.
3 – Para efeitos do disposto na subalínea ii) da alínea a) do número anterior, o relatório anual de segurança deve abranger todo o período entre a data de início de atividade e o final do ano civil anterior.
4 – Para efeitos do disposto na alínea b) do n.º 1, a ANACOM pode definir uma taxonomia comum de tipos de incidentes de segurança a ser utilizada pelas empresas, bem como o formato em que a informação deve ser apresentada.
Título III
Obrigações de notificação e de informação ao público
Capítulo I
Obrigações de notificação
Artigo 20.º
Âmbito das obrigações de notificação
1 – Para efeitos do disposto no artigo 54.º-B da Lei das Comunicações Eletrónicas, as empresas estão obrigadas a notificar a ANACOM das violações de segurança ou das perdas de integridade com impacto significativo no funcionamento das redes e serviços que oferecem, nos termos previstos no presente Capítulo I.
2 – O cumprimento das obrigações de notificação previstas no presente Capítulo I não prejudica, nem substitui, nomeadamente:
a) O cumprimento, por parte das empresas, das suas obrigações de notificação dos incidentes de segurança em causa às autoridades competentes, nomeadamente a ANPC, o Ministério Público, o GNS/CNCS, a CNPD e as autoridades regionais, locais e sectoriais, nos termos previstos nas disposições legais e regulamentares aplicáveis, nomeadamente no âmbito do planeamento civil de emergência, da proteção civil e da segurança interna;
b) As comunicações, por parte das empresas, às demais empresas envolvidas nos incidentes de segurança em causa, na medida necessária ao cumprimento do disposto no artigo 4.º e no n.º 15 do artigo 22.º
3 – Para efeitos do disposto na alínea a) do número anterior, no âmbito das suas atribuições e competências, nomeadamente em matéria de planeamento civil de emergência e de proteção civil, a ANACOM pode, em colaboração com as autoridades competentes, formular recomendações às empresas quanto à articulação entre os procedimentos de notificação em causa.
Artigo 21.º
Circunstâncias
1 – Para efeitos do disposto no artigo anterior, devem ser objeto de notificação todas as violações de segurança ou perdas de integridade que causem uma perturbação grave no funcionamento das redes e serviços, com impacto significativo na continuidade desse funcionamento, de acordo com as circunstâncias e as regras previstas nos números seguintes.
2 – Para efeitos do disposto nos números anteriores, as empresas devem notificar a ANACOM:
a) De qualquer violação de segurança ou perda de integridade cujo impacto se inclua num dos seguintes patamares:
(ver documento original)
b) De qualquer violação de segurança ou perda de integridade que afete a entrega aos PASP, direta ou indiretamente, das chamadas para o número único de emergência europeu 112, bem como das chamadas para o número nacional de emergência 115, por um período igual ou superior a 15 minutos;
c) De qualquer violação de segurança ou perda de integridade recorrente, sempre que o impacto acumulado das suas ocorrências num período de quatro semanas preencha uma das condições previstas nas alíneas anteriores;
d) De qualquer violação de segurança ou perda de integridade que se verifique numa data em que seja particularmente relevante o normal e contínuo funcionamento das redes e serviços, nos termos previstos no n.º 4 do presente artigo, desde que:
i) Tenha uma duração igual ou superior a uma hora;
ii) Afete um número de assinantes ou de acessos igual ou superior a 1.000 ou, nos termos da alínea e) do n.º 3 do presente artigo, uma área geográfica igual ou superior a 100 km2;
e) De qualquer violação de segurança ou perda de integridade que impacte no funcionamento de todas as redes e serviços oferecidos por uma empresa na totalidade do território de uma ilha das Regiões Autónomas dos Açores ou da Madeira, desde que tenha uma duração igual ou superior a 30 minutos, independentemente do número de assinantes ou de acessos afetados e da área geográfica afetada;
f) De qualquer violação de segurança ou perda de integridade, detetada pelas empresas ou a estas comunicada pelos seus clientes, que impacte no funcionamento das redes e serviços através dos quais sejam prestados serviços relevantes à sociedade e aos cidadãos, por parte dos seus clientes, de natureza pública ou privada, de âmbito nacional ou regional, previstos no n.º 5 do presente artigo, desde que tenha uma duração igual ou superior a 30 minutos;
g) De qualquer violação de segurança ou perda de integridade cujo impacto acumulado sobre um conjunto de empresas que se encontrem nas condições previstas no n.º 2 do artigo 3.º da Lei n.º 19/2012, de 8 de maio, alterada pela Lei n.º 23/2018, de 5 de junho, preencha uma das condições previstas na alínea a) e, na parte que remete para esta alínea, na alínea c), ambas do presente n.º 2.
3 – Para efeitos do disposto no número anterior:
a) O impacto de uma violação de segurança ou perda de integridade deve ser aferido por referência a todas as redes e a todos os serviços de uma empresa que sejam afetados pela mesma;
b) O número de assinantes ou de acessos afetados por uma violação de segurança ou perda de integridade corresponde à soma do número de assinantes ou de acessos que são afetados pela mesma nas várias redes e serviços;
c) O número de assinantes de um serviço que seja suportado noutro serviço só é contabilizado quando o serviço de suporte não seja afetado;
d) O número de assinantes ou de acessos afetados corresponde ao número de assinantes ou de acessos que sejam abrangidos pela violação de segurança ou perda de integridade ou, na impossibilidade da sua determinação, a uma estimativa baseada nos elementos estatísticos detidos pela empresa;
e) O critério relativo à área geográfica afetada só deve ser aplicado caso o critério relativo ao número de assinantes ou de acessos afetados seja inaplicável ou, no caso concreto, fundamentadamente impossível de determinar ou estimar.
4 – Para os efeitos previstos na alínea d) do n.º 2 e sem prejuízo da identificação pela ANACOM de outras datas, devidamente notificadas às empresas com uma antecedência mínima de cinco dias úteis, considera-se como datas relevantes as seguintes:
a) Dia de eleições nacionais (legislativas, presidenciais, europeias ou autárquicas);
b) Dia de referendos nacionais;
c) Dia de exercício nacional de redes ou serviços de comunicações eletrónicas, ao abrigo do disposto na alínea c) do artigo 54.º-D da Lei das Comunicações Eletrónicas e do n.º 3 do artigo 12.º do presente regulamento;
d) Dia de eleições regionais, no que respeita a violações de segurança ou perdas de integridade ocorridas na região em causa.
5 – Para os efeitos previstos na alínea f) do n.º 2, considera-se como clientes relevantes:
a) O SIRESP;
b) A RNSI;
c) O SRPCBA;
d) A partir da data da notificação da sua identificação, pela ANACOM, às empresas:
i) Os operadores de serviços essenciais a identificar no âmbito da aplicação do diploma de transposição da Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União;
ii) Os proprietários ou operadores de infraestruturas críticas designadas ao abrigo do disposto no Decreto-Lei n.º 62/2011, de 9 de maio, e na demais legislação aplicável;
e) Outras entidades a identificar pela ANACOM, devidamente notificadas às empresas com uma antecedência mínima de cinco dias úteis.
Artigo 22.º
Formato e Procedimentos
1 – Por cada violação de segurança ou perda de integridade que deva ser objeto de notificação ao abrigo do disposto no artigo anterior, as empresas devem submeter à ANACOM:
a) Uma notificação inicial, nos termos dos n.os 4 e 5 do presente artigo;
b) Uma notificação final, nos termos do n.os 8 e 9 do presente artigo;
c) Sempre que exigida, em conformidade com o disposto no n.º 6 do presente artigo, uma notificação de fim de violação de segurança ou perda de integridade com impacto significativo, nos termos dos n.os 6 e 7 do presente artigo.
2 – Na circunstância prevista na alínea c) do n.º 2 do artigo anterior, as empresas apenas devem submeter à ANACOM uma notificação final nos termos previstos nos n.os 8 e 9 do presente artigo, com as devidas adaptações.
3 – Na circunstância prevista na alínea g) do n.º 2 do artigo anterior, pode ser dirigida à ANACOM uma única série de notificações, nos termos previstos no n.º 1 do presente artigo, desde que as mesmas:
a) Abranjam todo o impacto da violação de segurança ou perda de integridade;
b) Sejam apresentadas em representação de todas as empresas.
4 – A notificação inicial deve ser enviada logo que seja possível e desde que a empresa possa concluir que existe ou existirá impacto significativo, até uma hora após a verificação da circunstância prevista no artigo anterior que, no caso concreto, determinou a obrigação de notificação, devendo a empresa, sem prejuízo do cumprimento deste prazo, dar prioridade à mitigação e à resolução da violação de segurança ou perda de integridade, começando pelo restabelecimento da oferta de redes e serviços através dos quais os clientes relevantes, nos termos previstos no n.º 5 do artigo anterior, prestam os seus serviços relevantes à sociedade e aos cidadãos.
5 – A notificação prevista no número anterior deve incluir a seguinte informação:
a) Nome, número de telefone e endereço de correio eletrónico de um representante da empresa, para efeito de um eventual contacto por parte da ANACOM;
b) Data e hora do início ou, em caso de impossibilidade de o determinar, da deteção da violação de segurança ou perda de integridade;
c) Data e hora em que a violação de segurança ou perda de integridade assumiu o impacto significativo;
d) Data e hora em que a violação de segurança ou perda de integridade perdeu o impacto significativo ou, caso o mesmo se mantenha, o prazo estimado para a sua perda;
e) Breve descrição da violação de segurança ou perda de integridade, incluindo a indicação da categoria da causa raiz e, na medida do possível, o seu detalhe;
f) Estimativa possível do seu impacto, em termos de:
i) Redes e serviços afetados;
ii) Acesso aos serviços de emergência;
iii) Número de assinantes ou de acessos afetados;
iv) Clientes relevantes afetados, nos termos previstos no n.º 5 do artigo anterior, quando aplicável;
v) Área geográfica afetada, em km2;
g) Observações.
6 – Após a perda de impacto significativo da violação de segurança ou da perda de integridade e sempre que a mesma não tenha já sido comunicada na notificação inicial, as empresas devem submeter à ANACOM, logo que possível, dentro do prazo máximo de duas horas após aquela ter ocorrido, uma notificação de fim de violação de segurança ou perda de integridade com impacto significativo.
7 – A notificação referida no número anterior deve incluir a seguinte informação:
a) Atualização da informação transmitida na notificação inicial;
b) Breve descrição das medidas adotadas para a resolução da violação de segurança ou perda de integridade;
c) Indicação das freguesias e respetivos concelhos onde houve assinantes, acessos ou área geográfica afetados;
d) Descrição da situação do impacto existente no momento do fim de impacto significativo, nomeadamente:
i) Redes e serviços ainda afetados;
ii) Número de assinantes ou de acessos ainda afetados;
iii) Clientes relevantes ainda afetados, nos termos previstos no n.º 5 do artigo anterior, quando aplicável;
iv) Área geográfica ainda afetada, em km2;
v) Freguesias e respetivos concelhos onde ainda existam assinantes, acessos ou área geográfica afetados;
vi) Tempos estimados para a recuperação total dos assinantes, acessos, clientes relevantes ou área geográfica ainda afetados.
8 – A notificação final deve ser assinada pelo responsável da segurança e enviada no prazo de 20 dias úteis a contar do momento em que a violação de segurança ou perda de integridade deixou de assumir um impacto significativo.
9 – A notificação prevista no número anterior deve incluir a seguinte informação:
a) Identificador único da violação de segurança ou perda de integridade atribuído pela ANACOM aquando da notificação inicial;
b) Data e hora em que a violação de segurança ou perda de integridade assumiu o impacto significativo;
c) Data e hora em que a violação de segurança ou perda de integridade perdeu o impacto significativo;
d) Data e hora do início ou, em caso de impossibilidade de o determinar, da deteção da violação de segurança ou perda de integridade e data e hora do respetivo fim, caso sejam diferentes das datas e horas transmitidas, respetivamente, ao abrigo das alíneas b) e c);
e) Impacto da violação de segurança ou perda de integridade em termos de:
i) Redes (incluindo as interligações nacionais e internacionais) e respetivas infraestruturas (incluindo sistemas), com indicação, no caso de ativos classificados nas classes A e B, do respetivo identificador único, e serviços afetados;
ii) Acesso aos serviços de emergência pelo número único de emergência europeu 112 (incluindo o acesso pelo número nacional de emergência 115);
iii) Número de assinantes ou de acessos afetados, por rede e serviço;
iv) Clientes relevantes afetados, nos termos previstos no n.º 5 do artigo anterior, quando aplicável;
v) Percentagem do número de assinantes ou de acessos afetados em relação ao total de assinantes ou de acessos, por rede e serviço;
vi) Área geográfica afetada, em km2;
vii) Freguesias e respetivos concelhos onde houve assinantes, acessos ou área geográfica afetados;
f) Descrição da violação de segurança ou perda de integridade, com indicação da categoria da causa raiz e o respetivo detalhe;
g) Indicação das medidas adotadas para mitigar a violação de segurança ou perda de integridade;
h) Indicação das medidas adotadas para a resolução da violação de segurança ou perda de integridade, incluindo, no caso de violações de segurança ou perdas de integridade com tempos de restauração parciais, a cronologia e o detalhe das etapas de restauração;
i) Indicação das medidas adotadas e/ou planeadas para impedir ou minimizar a ocorrência de violações de segurança ou perdas de integridade similares no futuro (no âmbito do planeamento e/ou da exploração, do plano de contingência, dos acordos de interligação, dos acordos de níveis de serviços e de outras áreas pertinentes) e da data em que as mesmas foram ou serão tornadas efetivas;
j) Quando seja o caso, a informação disponibilizada ao público relativamente à violação de segurança ou perda de integridade, incluindo eventuais atualizações da mesma, bem como a data e a hora dessas comunicações;
k) Descrição da situação residual do impacto existente à data da notificação final, nomeadamente:
i) Redes e serviços ainda afetados;
ii) Número de assinantes ou de acessos ainda afetados;
iii) Clientes relevantes ainda afetados, nos termos previstos no n.º 5 do artigo anterior, quando aplicável;
iv) Área geográfica ainda afetada, em km2;
v) Freguesias e respetivos concelhos onde ainda existam assinantes, acessos ou área geográfica afetados;
vi) Tempos estimados para a recuperação total dos assinantes, acessos, clientes relevantes ou área geográfica ainda afetados.
l) Quando seja o caso, indicação da apresentação de denúncia ao Ministério Público;
m) Outra informação relevante;
n) Observações.
10 – Nos casos em que exista uma situação residual do impacto existente à data da notificação final, descrita ao abrigo do disposto na alínea k) do número anterior, as empresas devem comunicar à ANACOM, logo que possível, a recuperação total dessa situação residual.
11 – Para os efeitos do disposto nos n.os 5, 7 e 9, as violações de segurança ou perdas de integridade podem ter as seguintes categorias de causas raiz:
a) Acidente ou desastre natural;
b) Erro humano;
c) Ataque malicioso;
d) Falha de hardware ou de software; ou
e) Falha no fornecimento de bens ou serviços por terceiro.
12 – A informação incluída nas notificações previstas no presente artigo relativamente ao número de assinantes ou de acessos deve, sempre que possível, obedecer às definições fixadas no âmbito das obrigações de entrega de informação periódica à ANACOM.
13 – As notificações previstas no presente artigo devem ser realizadas através dos seguintes meios:
a) No que respeita à notificação inicial e à notificação de fim de violação de segurança ou perda de integridade com impacto significativo, através do endereço de correio eletrónico e do número de telefone publicados especificamente para o efeito no sítio institucional da ANACOM na Internet;
b) No que respeita à notificação final, através de meio eletrónico específico a determinar pela ANACOM ou, até à sua determinação, de entrega em mão ou de correio registado.
14 – Qualquer alteração aos contactos previstos no número anterior deve ser comunicada às empresas e publicada no sítio institucional da ANACOM na Internet, com uma antecedência mínima de 20 dias úteis.
15 – As empresas cujas redes ou serviços sejam impactados no seu funcionamento pela mesma violação de segurança ou perda de integridade, devem cooperar entre si para a correta deteção e avaliação de impacto dessa violação de segurança ou perda de integridade e, no caso previsto na alínea g) do n.º 2 do artigo anterior, para a respetiva notificação.
16 – Tendo em vista o cabal cumprimento do disposto no presente Capítulo, as empresas devem implementar todos os meios e os procedimentos necessários à deteção, à avaliação do impacto e à notificação das violações de segurança ou perdas de integridade que preencham as circunstâncias previstas no artigo anterior.
Capítulo II
Obrigações de informação ao público
Artigo 23.º
Condições
1 – Para efeitos do disposto na alínea b) do artigo 54.º-E da Lei das Comunicações Eletrónicas, as empresas devem informar o público de qualquer violação de segurança ou perda de integridade cujo impacto no funcionamento das suas redes e serviços se inclua num dos seguintes patamares:
(ver documento original)
2 – Para efeitos do disposto no número anterior:
a) O impacto de uma violação de segurança ou perda de integridade deve ser aferido por referência a todas as redes e a todos os serviços de uma empresa que sejam afetados pela mesma;
b) O número de assinantes ou de acessos afetados por uma violação de segurança ou perda de integridade corresponde à soma do número de assinantes ou de acessos que são afetados pela mesma nas várias redes e serviços;
c) O número de assinantes de um serviço que seja suportado noutro serviço só é contabilizado quando o serviço de suporte não seja afetado;
d) O número de assinantes ou de acessos afetados corresponde ao número de assinantes ou de acessos que sejam abrangidos pela violação de segurança ou perda de integridade ou, na impossibilidade da sua determinação, a uma estimativa baseada nos elementos estatísticos detidos pela empresa;
e) O critério relativo à área geográfica afetada só deve ser aplicado caso o critério relativo ao número de assinantes ou de acessos afetados seja inaplicável ou, no caso concreto, fundamentadamente impossível de determinar ou estimar.
3 – O disposto no presente artigo não prejudica que, em circunstâncias não previstas no n.º 1 e sempre que a ANACOM também o considere de interesse público e assim o determine, ao abrigo do disposto na alínea b) do artigo 54.º-E da Lei das Comunicações Eletrónicas, as empresas devam informar o público de violações de segurança ou perdas de integridade ocorridas nas suas redes e serviços.
Artigo 24.º
Conteúdo, meios e prazos de divulgação
1 – Na informação ao público das violações de segurança ou das perdas de integridade a que se refere o artigo anterior, as empresas devem:
a) Assegurar que o conteúdo da informação seja claro, acessível e tão preciso quanto possível e que inclua, entre outros elementos considerados relevantes:
i) A indicação das redes e serviços afetados;
ii) A indicação da zona ou das zonas que, em resultado das violações de segurança ou das perdas de integridade ocorridas, se encontram afetadas, desagregada ao nível da freguesia, se possível de modo gráfico sobre um mapa de Portugal;
iii) O prazo expectável de resolução ou, quando for o caso, a data de resolução;
b) Disponibilizar a informação, no mínimo, nos respetivos sítios na Internet que utilizam no seu relacionamento com os utilizadores, através de uma hiperligação imediatamente visível e identificável na primeira página do sítio, sem necessidade do uso da barra elevatória;
c) Disponibilizar a informação logo que possível, no prazo máximo de uma hora após a notificação inicial à ANACOM;
d) Assegurar que a informação disponibilizada se mantém permanentemente atualizada, nomeadamente sempre que se verifique alguma alteração significativa e logo após o fim da violação de segurança ou perda de integridade;
e) Manter a informação disponibilizada através da Internet acessível ao público, nas mesmas localizações referidas na alínea b), durante o período de 20 dias úteis a contar da data do fim da violação de segurança ou perda de integridade.
2 – As empresas devem comunicar à ANACOM, logo que iniciem a sua atividade, os endereços URL das páginas na Internet nas quais, para efeitos do disposto na alínea b) do número anterior, procederão à divulgação ao público das violações de segurança ou perdas de integridade ocorridas nas suas redes e serviços, bem como qualquer alteração posterior dos mesmos com uma antecedência mínima de cinco dias úteis relativamente à sua execução.
3 – A ANACOM, caso considere adequado e com vista a facilitar o acesso, por parte do público, à informação relativa a violações de segurança ou perdas de integridade, pode divulgar, nomeadamente no seu sítio institucional na Internet, uma lista dos endereços URL previstos no número anterior.
4 – Tendo em vista o cabal cumprimento do disposto no presente Capítulo II, as empresas devem implementar todos os meios e os procedimentos necessários à deteção, à avaliação do impacto e à divulgação das violações de segurança ou perdas de integridade que preencham as circunstâncias previstas no artigo anterior.
Título IV
Auditorias à segurança das redes e serviços
Capítulo I
Disposições gerais
Artigo 25.º
Dever de realização de auditoria
Para efeitos do disposto nos n.os 1 e 2 do artigo 54.º-F da Lei das Comunicações Eletrónicas, as empresas que detenham ativos classificados na classe A devem assegurar a realização, através de auditoras independentes e a expensas suas, de auditorias à segurança das suas redes e serviços, nos termos previstos no presente Título IV.
Artigo 26.º
Âmbito
As empresas devem assegurar que as auditorias se enquadram num ciclo de melhoria contínua e permitem verificar, em relação a uma amostra adequada dos ativos classificados nas classes A e B e tendo em consideração a situação existente na empresa, o cumprimento das normas legais e regulamentares aplicáveis.
Artigo 27.º
Documentos e normas de referência
As empresas devem assegurar que as auditorias são realizadas em conformidade com as normas, especificações ou recomendações nacionais, europeias e internacionais existentes sobre a matéria, nomeadamente:
a) ISO/IEC 17021-1:2015 (Conformity assessment – Requirements for bodies providing audit and certification of management systems – Part 1: Requirements);
b) ISO/IEC TS 17021-5:2014 (Conformity assessment – Requirements for bodies providing audit and certification of management systems – Part 5: Competence requirements for auditing and certification of asset management systems);
c) ISO/IEC TS 17021-6:2014 (Conformity assessment – Requirements for bodies providing audit and certification of management systems – Part 6: Competence requirements for auditing and certification of business continuity management systems);
d) ISO/IEC 27006:2015 (Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems);
e) ISO/IEC 27007:2017 (Information technology – Security techniques – Guidelines for information security management systems auditing);
f) ISO 19011:2011 (Guidelines for auditing management systems);
g) Outra norma, especificação ou recomendação nacional, europeia ou internacional adequada.
Artigo 28.º
Auditoras
1 – As empresas devem assegurar que as auditoras e todos os colaboradores destas envolvidos na realização das auditorias cumprem os seguintes requisitos:
a) Competência técnica, nomeadamente de acordo com as normas, especificações e recomendações aplicáveis ao abrigo do disposto no artigo anterior;
b) Experiência relevante no setor das comunicações eletrónicas, nomeadamente em matéria de planeamento, de operação ou de segurança das redes e serviços;
c) Credenciação adequada emitida pelas autoridades competentes para acesso a matéria classificada, sempre que necessário e nos termos legalmente previstos.
2 – As empresas devem assegurar que as auditoras não sejam seus fornecedores para outros serviços, com exceção da realização de auditorias externas e independentes, e que entregam declarações de inexistência de conflitos de interesses em seu nome e em nome de todos os colaboradores envolvidos, em conformidade com a legislação aplicável.
3 – As empresas devem assegurar a rotatividade na escolha das auditoras, de modo a que a mesma auditora não realize mais do que duas auditorias consecutivas.
Artigo 29.º
Dever de colaboração
1 – As empresas devem prestar às auditoras toda a colaboração e assistência necessárias para a realização das auditorias nos termos previstos no presente Título IV, nomeadamente:
a) Colaboração na preparação e na realização das auditorias;
b) Colaboração na elaboração dos relatórios de auditoria;
c) Disponibilização de acesso a todos os meios de prova solicitados;
d) Disponibilização de acesso aos meios necessários, nomeadamente para realização de testes;
e) Disponibilização de acesso aos locais;
f) Disponibilização de acesso aos fornecedores relevantes ao nível da segurança das redes e serviços;
g) Disponibilização de acesso aos colaboradores-chave.
2 – As empresas devem assegurar o acesso, por parte da ANACOM, às auditoras e aos fornecedores e colaboradores previstos, respetivamente, nas alíneas f) e g) do número anterior, bem como a sua disponibilidade para a realização de reuniões com a ANACOM e para a prestação dos esclarecimentos que esta Autoridade lhes solicite.
3 – As empresas devem salvaguardar o acesso às auditoras e aos fornecedores previstos na alínea f) do n.º 1, por parte da ANACOM, nos contratos celebrados com os mesmos.
Capítulo II
Procedimentos de auditoria
Artigo 30.º
Fases
As empresas devem assegurar que as auditorias se realizam de forma faseada e sequenciada, incluindo a fase de pré-auditoria, a fase de auditoria e a fase de pós-auditoria, nos termos previstos no presente Capítulo II.
Artigo 31.º
Fase de pré-auditoria
1 – As empresas devem elaborar, em conjunto com a auditora, e apresentar à ANACOM uma proposta de auditoria que contenha os seguintes elementos:
a) Identificação da auditora e de todos os seus colaboradores envolvidos em cada fase da auditoria;
b) Identificação dos seus fornecedores relevantes ao nível da segurança das redes e serviços;
c) Identificação de todos os seus colaboradores-chave;
d) Comprovativos ou declarações que permitam atestar o cumprimento dos requisitos previstos no artigo 28.º;
e) Plano de correção das não conformidades da última auditoria realizada, quando aplicável;
f) Programa da auditoria, devidamente fundamentado, incluindo os seguintes elementos:
i) Data prevista para o início da fase de auditoria;
ii) Duração estimada da fase de auditoria;
iii) Indicação dos ativos abrangidos pela amostra, com referência aos respetivos identificadores únicos;
iv) Atividades previstas.
2 – As empresas devem apresentar à ANACOM a proposta de auditoria, assinada pelo responsável da segurança:
a) No caso da primeira auditoria, no prazo de seis meses a contar da data a partir da qual a empresa detenha um ativo classificado na classe A;
b) No caso das auditorias seguintes, no prazo de dois anos a contar da data de apresentação da proposta de auditoria em que se baseou a auditoria anterior ou, se posterior, no prazo de seis meses a contar da data em que a empresa volte a deter um ativo classificado na classe A.
3 – Compete à ANACOM proceder à aceitação da proposta de auditoria, podendo, para o efeito, solicitar à empresa a prestação dos esclarecimentos necessários e o suprimento de deficiências existentes.
Artigo 32.º
Fase de auditoria
1 – As empresas devem iniciar a fase de auditoria no prazo máximo de 60 dias úteis a contar da data de aceitação, pela ANACOM, da proposta de auditoria.
2 – As empresas devem comunicar, com uma antecedência mínima de 20 dias úteis, as datas e locais em que as atividades da fase de auditoria se irão realizar, de modo a que a ANACOM possa, caso queira, designar um seu colaborador, devidamente credenciado nos termos previstos na alínea c) do n.º 1 do artigo 28.º, para assistir às mesmas.
3 – As empresas devem assegurar que a auditora elabora um relatório de auditoria que, em conformidade com a proposta de auditoria aceite pela ANACOM, inclua os seguintes elementos:
a) Lista de não conformidades da situação existente na empresa;
b) Descrição e duração das atividades desenvolvidas.
4 – As empresas devem enviar à ANACOM cópia do relatório da auditoria, assinado em nome da auditora e, dele tomando conhecimento, pelo responsável da segurança, no prazo de 20 dias úteis a contar da conclusão das atividades da fase de auditoria.
5 – Compete à ANACOM a aceitação do relatório de auditoria, podendo, para o efeito, solicitar à empresa a prestação dos esclarecimentos necessários e o suprimento de deficiências existentes.
Artigo 33.º
Fase de pós-auditoria
1 – As empresas devem elaborar e enviar à ANACOM um plano de correção das não conformidades constantes do relatório de auditoria, assinado pelo responsável da segurança, no prazo de 40 dias úteis a contar da data de aceitação, pela ANACOM, do relatório de auditoria.
2 – O plano de correção das não conformidades deve conter:
a) Identificação de todas as não conformidades e observações constantes do relatório de auditoria, incluindo eventuais conclusões e recomendações;
b) Em relação a cada não conformidade:
i) Uma análise das suas causas;
ii) A indicação das medidas de correção e dos respetivos prazos de execução.
3 – As empresas devem assegurar que cada uma das medidas constantes do plano de correção das não conformidades, referidas na subalínea ii) da alínea b) do número anterior, é executada logo que possível ou dentro do prazo máximo que a ANACOM, caso assim o entenda, venha a determinar.
Título V
Disposições finais e transitórias
Artigo 34.º
Regime sancionatório
As infrações ao disposto no presente regulamento são puníveis nos termos previstos nas alíneas ee), ff) ou gg) do n.º 2 ou nas alíneas u), v), x) ou z) do n.º 3 do artigo 113.º da Lei das Comunicações Eletrónicas.
Artigo 35.º
Entrada em vigor e disposições transitórias
1 – O presente regulamento entra em vigor no dia seguinte à data da respetiva publicação no Diário da República, sem prejuízo do disposto nos números seguintes.
2 – Sem prejuízo do cumprimento do disposto nos artigos 54.º-A a 54.º-G da Lei das Comunicações Eletrónicas, as empresas em atividade à data de entrada em vigor do presente regulamento devem:
a) No prazo de 40 dias úteis a contar da data de entrada em vigor do presente regulamento, aprovar a política de segurança e estabelecer a função de responsável da segurança, nos termos previstos no artigo 14.º, comunicando à ANACOM, dentro do mesmo prazo, os elementos previstos nas alíneas a) e b) do n.º 1 e no n.º 2 do artigo 18.º;
b) No prazo de 60 dias úteis a contar da data de entrada em vigor do presente regulamento, classificar os ativos previstos nas alíneas a), c) e d) do n.º 3 do artigo 8.º;
c) No prazo de 80 dias úteis a contar da data de entrada em vigor do presente regulamento:
i) Estabelecer a função de ponto de contacto permanente, nos termos previstos no artigo 15.º, comunicando à ANACOM, dentro do mesmo prazo, os elementos previstos na alínea c) do n.º 1 e no n.º 3 do artigo 18.º;
ii) Caso aplicável, adotar os procedimentos de controlo da gestão excecional de tráfego de acesso à Internet, nos termos previstos no artigo 11.º;
d) No prazo de 18 meses a contar da data de entrada em vigor do presente regulamento:
i) Concluir a classificação dos ativos e o inventário de ativos, nos termos previstos, respetivamente, nos artigos 8.º e 9.º, e enviar a versão inicial da lista prevista na alínea a) do n.º 5 do artigo 9.º;
ii) Adotar todas as restantes medidas de segurança aplicáveis nos termos previstos no Título II e no Anexo ao presente regulamento, sem prejuízo do disposto nos n.os 3 e 5 do presente artigo;
iii) Concluir a elaboração do plano de segurança, nos termos previstos no artigo 17.º
3 – Sem prejuízo do cumprimento do disposto nos artigos 54.º-A a 54.º-G da Lei das Comunicações Eletrónicas, as empresas em atividade à data de entrada em vigor do presente regulamento devem ainda:
a) Elaborar o primeiro relatório anual de segurança, nos termos previstos no artigo 19.º, a reportar ao 1.º ano civil seguinte ao ano civil da data de entrada em vigor do presente regulamento;
b) Elaborar e executar o primeiro programa de exercícios, nos termos previstos no artigo 12.º, no 2.º ano civil seguinte ao ano civil da data de entrada em vigor do presente regulamento;
c) Caso se encontrem abrangidas pelo dever de realização de auditoria, ao abrigo do disposto no artigo 25.º, apresentar à ANACOM a primeira proposta de auditoria, nos termos previstos no artigo 31.º, no prazo de dois anos a contar da data de entrada em vigor do presente regulamento.
4 – Sem prejuízo do cumprimento do disposto nos artigos 54.º-A a 54.º-G da Lei das Comunicações Eletrónicas, as empresas que iniciem a sua atividade após a data de entrada em vigor do presente regulamento devem cumprir o disposto nos n.os 2 e 3, nos prazos aí fixados, ou, se posteriores, nos prazos fixados nos correspondentes artigos.
5 – O disposto no artigo 13.º e no Título III entra em vigor no prazo de um ano a contar da data de entrada em vigor do presente regulamento.
6 – Sem prejuízo do cumprimento do disposto nos artigos 54.º-A a 54.º-G da Lei das Comunicações Eletrónicas e no presente regulamento, o disposto no n.º 2 do artigo 5.º apenas entra em vigor na data da respetiva entrada em produção.
7 – No caso dos prestadores de serviços energéticos e tendo em consideração a interdependência setorial, a entrada em vigor das disposições relativas ao restabelecimento prioritário da oferta de redes e serviços, nos termos previstos no n.º 4 do artigo 22.º e na alínea b) do objetivo n.º 19 do Anexo, depende da entrada em vigor de condições de cooperação e de tratamento prioritário às empresas, no âmbito das disposições legais e regulamentares aplicáveis no setor energético.
Artigo 36.º
Norma revogatória
A decisão da ANACOM de 12 de dezembro de 2013 é revogada a partir do termo do prazo de um ano a contar da data de entrada em vigor do presente regulamento.
ANEXO
Objetivos e medidas de segurança
[a que se refere a alínea a) do artigo 7.º]
1 – Política de segurança
Estabelecer e manter uma política de segurança das redes e serviços adequada.
(ver documento original)
2 – Governação e gestão dos riscos
Estabelecer e manter um quadro adequado de governação e gestão dos riscos com vista a identificar, prevenir, gerir e reduzir os riscos para a segurança das redes e serviços.
(ver documento original)
3 – Funções e responsabilidades no domínio da segurança
Estabelecer e manter uma estrutura adequada de funções e responsabilidades no domínio da segurança das redes e serviços.
(ver documento original)
4 – Segurança nos contratos com terceiros
Estabelecer e manter uma política de segurança para os contratos com terceiros, com vista a garantir que as dependências de terceiros não afetem negativamente a segurança das redes e serviços.
(ver documento original)
5 – Verificação de credenciais e de referências
Assegurar uma adequada verificação de credenciais e de referências dos colaboradores envolvidos, na medida necessária para as suas funções e responsabilidades.
(ver documento original)
6 – Conhecimento, formação e treino em matéria de segurança
Assegurar que os colaboradores dispõem de conhecimentos suficientes e recebem formação e treino regulares em matéria de segurança das redes e serviços.
(ver documento original)
7 – Mudança de colaboradores
Estabelecer e manter um procedimento adequado de gestão das mudanças de colaboradores ou das mudanças de funções e responsabilidades.
(ver documento original)
8 – Tratamento de violações
Estabelecer e manter um procedimento disciplinar para os colaboradores em caso de violação de políticas de segurança das redes e serviços ou estabelecer um procedimento mais abrangente que inclua incidentes de segurança causados por violações de políticas de segurança das redes e serviços por parte dos colaboradores.
(ver documento original)
9 – Segurança física e ambiental
Estabelecer e manter a segurança física e ambiental adequada dos ativos.
(ver documento original)
10 – Segurança dos fornecimentos
Estabelecer e manter uma segurança adequada dos fornecimentos (incluindo, entre outros, infraestruturas de alojamento, circuitos alugados, energia elétrica e combustível).
(ver documento original)
11 – Controlo de acesso aos ativos
Estabelecer e manter controlos de acesso físico e lógico adequados aos ativos.
(ver documento original)
12 – Integridade dos ativos
Estabelecer e manter a integridade dos ativos e protegê-los contra vírus, códigos maliciosos e outro software malicioso que alterem ou possam alterar a sua segurança e funcionalidade.
(ver documento original)
13 – Procedimentos operacionais
Estabelecer e manter procedimentos para a operação dos ativos classificados nas classes A ou B pelos colaboradores.
(ver documento original)
14 – Gestão de alterações
Estabelecer procedimentos de gestão de alterações aos ativos classificados nas classes A ou B com vista a minimizar a probabilidade de incidentes de segurança.
(ver documento original)
15 – Gestão dos ativos
Estabelecer e manter procedimentos de gestão dos ativos e de controlo de configurações de modo a gerir a disponibilidade e a configuração dos ativos classificados nas classes A ou B.
(ver documento original)
16 – Procedimentos de gestão de incidentes de segurança
Estabelecer e manter procedimentos de gestão de incidentes de segurança e de reencaminhamento para os colaboradores adequados.
(ver documento original)
17 – Capacidade de deteção de incidentes de segurança
Estabelecer e manter uma capacidade de deteção de incidentes de segurança, com vista a assegurar uma resposta célere, eficaz e ordenada aos incidentes de segurança.
(ver documento original)
18 – Notificação e comunicação de incidentes de segurança
Estabelecer e manter procedimentos adequados de notificação e comunicação de incidentes de segurança, tendo em consideração o disposto na lei.
(ver documento original)
19 – Estratégia de continuidade e planos de contingência
Estabelecer e manter planos de contingência e uma estratégia de continuidade do funcionamento das redes e serviços.
(ver documento original)
20 – Capacidades de recuperação de desastres
Estabelecer e manter capacidades adequadas de recuperação de desastres para o restauro das redes e serviços no caso de desastres naturais ou de grandes proporções e outros fenómenos extremos, tendo em consideração, nomeadamente, a evolução das condições climáticas da região e as situações extraordinárias.
(ver documento original)
21 – Políticas de monitorização e registo de eventos
Estabelecer e manter sistemas e funções de monitorização e de registo de eventos relativos aos ativos classificados nas classes A ou B.
(ver documento original)
22 – Exercícios de planos de contingência
Estabelecer e manter políticas de teste e de exercício de planos de contingência e de redundância, sempre que necessário em colaboração com terceiros.
(ver documento original)
23 – Teste dos ativos
Estabelecer e manter políticas para testar os ativos, nomeadamente em caso de ligação a novos ativos.
(ver documento original)
24 – Avaliações de segurança
Estabelecer e manter uma política adequada para a realização de avaliações de segurança das redes serviços.
(ver documento original)
25 – Monitorização da conformidade
Estabelecer e manter uma política relativa à monitorização da conformidade com os requisitos legais e regulamentares.
(ver documento original)
6 de julho de 2018. – O Presidente do Conselho de Administração, João António Cadete de Matos.
311572254