Despacho n.º 9552/2019, de 22 de outubro – Política de Cibersegurança na área do Trabalho, Solidariedade e Segurança Social.
Estabelece o modelo de governação relativo à implementação da política de cibersegurança no âmbito da área do Trabalho, Solidariedade e Segurança Social.
https://dre.pt/home/-/dre/125560085/details/maximized
Os sistemas de informação dos serviços e organismos da área do Trabalho, Solidariedade e Segurança Social estão expostos a riscos vários, que afetam a sua utilização de forma segura. Entre estes riscos, cumpre salientar os relacionados com ataques a redes, sistemas e programas informáticos.
A deteção, prevenção e combate destes fenómenos exige uma atuação coordenada na área do Trabalho, Solidariedade e Segurança Social em articulação com o Centro Nacional de Cibersegurança (CNCS).
Por outro lado, o Instituto de Informática, I. P. (II, I. P.), nos termos do n.º 1 e das alíneas c) e e) do n.º 2 do artigo 3.º do Decreto-Lei n.º 196/2012, de 23 de agosto, tem como missão definir e propor as políticas e estratégias de tecnologias de informação e como atribuição, designadamente, assegurar a construção, gestão e operação de sistemas informáticos, numa lógica de serviços comuns partilhados e assegurar a articulação com organismos com atribuições interministeriais nesta área.
Para mais, o Centro Nacional de Cibersegurança (CNCS) é, nos termos do Decreto-Lei n.º 3/2012, de 16 de janeiro, a entidade que dispõe de poderes de autoridade nacional em matéria de cibersegurança, relativamente ao Estado e aos operadores de infraestruturas críticas nacionais.
Considerando o acima exposto e nos termos da Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico do ciberespaço, transpondo a Diretiva (EU) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes de informação em toda a União, da Resolução do Conselho de Ministros n.º 108/2017, de 26 de julho, que aprovou a Estratégia TIC 2020: Estratégia para a Transformação Digital na Administração Pública e da Resolução do Conselho de Ministros n.º 92/2019, de 5 de junho, que aprovou a Estratégia Nacional de Segurança do Ciberespaço 2019-2023, o II, I. P., assegura, em articulação com o CNCS, de acordo com o presente despacho, a adoção de procedimentos comuns, bem como a notificação obrigatória, centralizada nesta última entidade, de incidentes de cibersegurança que ocorram nos sistemas de informação relevantes da área do Trabalho, Solidariedade e Segurança Social.
Assim, ao abrigo do disposto nas alíneas a) a d) do n.º 2 do artigo 3.º do Decreto-Lei n.º 196/2012, de 23 de agosto, determino o seguinte:
Artigo 1.º
Objeto
O presente despacho estabelece o modelo de governação relativo à implementação da política de cibersegurança no âmbito da área do Trabalho, Solidariedade e Segurança Social.
Artigo 2.º
Âmbito
O presente despacho é aplicável às entidades da área do Trabalho, Solidariedade e Segurança Social.
Artigo 3.º
Modelo de governação
1 – O Instituto de Informática, I. P. (II, I. P.), procede à articulação com o Gabinete Nacional de Segurança/Centro Nacional de Cibersegurança (GNS/CNCS) no âmbito das respetivas competências, por forma a:
a) Elaborar o plano estratégico da Segurança da Informação;
b) Promover a articulação intrainstitucional e interinstitucional, com vista a garantir a cibersegurança das redes e dos sistemas de informação das entidades abrangidas pelo presente despacho, independentemente da sua localização, em função da conectividade existente;
c) Acompanhar, apoiar e monitorizar as medidas de proteção, deteção, resposta e recuperação dos recursos críticos dos sistemas de informação das entidades abrangidas pelo presente despacho;
d) Definir o modelo de avaliação para a gestão e monitorização das medidas de cibersegurança;
e) Desenvolver ações de formação e de comunicação, campanhas de sensibilização, bem como elaborar planos para os riscos de cibersegurança no âmbito das entidades abrangidas pelo presente despacho;
f) Fomentar a gestão segura dos ativos de hardware, software e das redes de comunicações, promovendo a cooperação entre entidades abrangidas pelo presente despacho, a nível regional e local;
g) Promover uma cultura de gestão de risco em matéria de hardware, software e de redes de comunicações, designadamente através da incorporação de requisitos próprios nas aquisições a realizar;
h) Definir estratégias de combate à fraude no âmbito da cibersegurança;
i) Monitorizar e publicar, com caráter regular, os resultados das medidas adotadas.
2 – O II, I. P., define, em articulação com o GNS/CNCS, uma política de cibersegurança comum para a área do Trabalho, Solidariedade e Segurança Social.
3 – O II, I. P., promove uma gestão participativa da segurança que assegure os normativos e modelos de gestão desta função nas entidades abrangidas pelo presente despacho.
4 – O II, I. P., convoca os responsáveis da segurança da informação das entidades abrangidas pelo presente despacho, ao longo do processo de definição normativa, e cria condições de participação destes responsáveis utilizando fóruns destinados ao diálogo e reflexão conjunta.
Artigo 4.º
Medidas e procedimentos de cibersegurança
1 – As medidas e procedimentos de cibersegurança a definir pelo II, I. P., em articulação com o GNS/CNCS, devem prever, designadamente:
a) O contributo para a criação de valor no âmbito da área do Trabalho, Solidariedade e Segurança Social e alinhamento com os respetivos objetivos estratégicos;
b) O envolvimento e partilha de responsabilidades de todos os colaboradores, designadamente órgãos governamentais, órgãos dirigentes, profissionais das tecnologias de informação e trabalhadores em funções públicas;
c) A utilização de boas práticas comuns e de referência na área de cibersegurança;
d) A adoção de uma visão holística da cibersegurança, considerando as dimensões de organização, processos, pessoas e tecnologias;
e) A realização de ações de auditoria inicial e iniciativas de suporte à melhoria contínua;
f) A realização de ações de mitigação de vulnerabilidades e reforço de controlos de curto e médio prazo;
g) A criação de mecanismos de monitorização contínuos, aos sistemas de informação críticos, no âmbito da cibersegurança;
h) A realização de benchmarking e partilha de experiências e informação internacional proveniente das agências especializadas neste âmbito, designadamente, a Agência da União Europeia para a Segurança das Redes e da Informação (ENISA);
i) A implementação de mecanismos de informação ao membro do Governo responsável pela área do Trabalho, Solidariedade e Segurança Social, relativamente a eventos de cibersegurança;
j) A implementação de ações de melhoria contínua por forma a adaptar as políticas e os processos em função dos incidentes ocorridos;
k) Incentivos à investigação em matéria de cibersegurança em parceria com instituições públicas de ensino e investigação, nacionais ou internacionais;
l) A criação de um cadastro das aplicações informáticas dos sistemas de informação das entidades abrangidas pelo presente despacho, até 180 dias após publicação do presente despacho.
2 – O II, I. P., mantém um repositório informático do cadastro mencionado na alínea l) do número anterior, emitindo documento de registo, com validade anual, por cada aplicação e entidade.
Artigo 5.º
Responsabilidades
Compete às entidades abrangidas pelo presente despacho:
a) Adotar a política comum de cibersegurança para a área do Trabalho, Solidariedade e Segurança Social, promovendo as medidas necessárias para a sua operacionalização;
b) Atribuir funções e responsabilidades, bem como designar o responsável de segurança da informação e o responsável técnico de segurança para garantir a colaboração com o responsável máximo de sistemas de informação da respetiva entidade, no prazo máximo de 60 dias após a entrada em vigor do presente despacho, dando conhecimento imediato ao II, I. P.;
c) Elaborar relatórios regulares sobre o perfil evolutivo da implementação das políticas e controlos de segurança na entidade, de forma a permitir avaliar e comparar níveis de maturidade;
d) Garantir a disponibilização dos recursos humanos, tecnológicos e financeiros necessários para assegurar o cumprimento dos níveis de serviço definidos pelo II, I. P.;
e) Assumir um papel participativo e colaborativo na partilha de boas práticas e de melhoria contínua para responder à dinâmica evolutiva dos diversos contextos de cibersegurança;
f) Cumprir as medidas e procedimentos na área da cibersegurança;
g) Promover em tempo útil a disponibilidade dos meios de proteção, deteção, resposta e recuperação reportando aos órgãos competentes, sempre que confrontada com situações que comprometam a segurança;
h) Acompanhar, apoiar e monitorizar o desenvolvimento de medidas de proteção, deteção, resposta e recuperação dos recursos críticos locais;
i) Adotar o modelo de avaliação para a gestão e monitorização das medidas de segurança;
j) Colaborar com o II, I. P., no processo de definição normativo e nos modelos de gestão da segurança a implementar;
k) Cumprir as indicações a emitir por circular normativa do II, I. P., com vista à realização do disposto na alínea l) do n.º 1 do artigo 4.º, garantindo assim toda a colaboração para a constituição do cadastro aplicacional da área do Trabalho, Solidariedade e Segurança Social e sua atualização permanente, no espaço máximo de 90 dias após publicação do presente despacho;
l) Reportar periodicamente ao II, I. P., todos os incidentes de segurança e respetivas ações.
Artigo 6.º
Aquisição e gestão de tecnologias com vista à cibersegurança
1 – Compete ao II, I. P., proceder à agregação das necessidades de aquisição de todos os bens e serviços necessários à implementação dos planos de cibersegurança, promovendo a racionalização de recursos bem como assegurar a tramitação prévia dos procedimentos de aquisição.
2 – Às entidades abrangidas pelo presente despacho cumpre prever nos seus orçamentos as verbas necessárias para acautelar os investimentos necessários no âmbito da modernização tecnológica crítica em cada momento, que resultam da implementação de uma política de segurança e levantamento de necessidades indicadas pelo II, I. P.
Artigo 7.º
Auditorias e avaliações de cibersegurança
Sem prejuízo das competências do GNS/CNCS, compete ao II, I. P., efetuar ou determinar auditorias e avaliações de cibersegurança às entidades abrangidas pelo presente despacho para determinar o nível tecnológico adequado a garantir o nível de segurança definido, bem como a coerência e racionalização entre iniciativas processuais e tecnológicas, sistemas legados e novos sistemas e as aquisições futuras com vista a racionalização dos esforços financeiros.
Artigo 8.º
Financiamento
O custo com as auditorias de cibersegurança que venham a ser determinadas ao abrigo do artigo 7.º é suportado pela entidade auditada.
Artigo 9.º
Recursos humanos e capacitação
1 – O II, I. P., disponibiliza um quadro de referência na formação em cibersegurança com recursos próprios ou recorrendo a parcerias com universidades públicas, e com os organismos públicos de formação, e um programa inicial de formação geral sem encargos para as entidades abrangidas pelo presente despacho.
2 – As entidades abrangidas pelo presente despacho, no âmbito das suas competências para gestão dos recursos humanos, garantem a capacidade de reforço dos quadros internos para a sensibilização em utilização segura de tecnologias de informação e comunicação, implementação das medidas e procedimentos de cibersegurança.
Artigo 10.º
Entrada em vigor
O presente despacho entra em vigor no dia seguinte ao da sua publicação.
4 de outubro de 2019. – O Ministro do Trabalho, Solidariedade e Segurança Social, José António Fonseca Vieira da Silva.
312641624