Centro Nacional de Cibersegurança | Enquadramento Geral da Cibersegurança no Contexto do Conceito Estratégico de Defesa Nacional |
Parte III – O Centro Nacional de Cibersegurança
Culminando um ciclo histórico de desenvolvimento político e estratégico, os termos de funcionamento do Centro Nacional de Cibersegurança foram estabelecidos pelo DL nº 69/2014, de 9 de Maio, procedendo à segunda alteração ao DL nº 3/2012, de 16 de Janeiro, que aprovou a orgânica do GNS.
1.Integração orgânica do CNC no GNS
O relatório final da CI CNC, constituída pela Resolução do Conselho de Ministros nº 42/2012, de 13 de Abril, apontou para que “ o CNC fosse um novo serviço central da administração directa do Estado, dotado de autonomia administrativa, a funcionar na dependência do Primeiro-Ministro”.
Contudo, nos termos do Preâmbulo do DL nº 69/2014,
- uma vez que vários factores “desaconselham a criação de novos serviços públicos, considerou-se que o aproveitamento das sinergias de um serviço já existente (…) constitui a solução mais adequada para a criação, instalação e operacionalização do CNC”;
- “(…)entende-se que o GNS é o serviço indicado para albergar o CNC na fase inicial do seu funcionamento”;
- “modelo que, contudo, será objecto de avaliação no final do ano de 2017, período que se antecipa necessário para a completa estruturação e funcionamento em cruzeiro do referido Centro, com vista a uma decisão sobre a manutenção do arquétipo agora definido ou a evolução para uma completa autonomização do CNC”.
Opta-se assim por um modelo de operacionalização do CNC com duas características fundamentais:
- um modelo de integração do CNC dentro do GNS e
- um modelo de desenvolvimento orgânico com duas fases:
– fase embrionária: 2014-2017
– fase “cruzeiro”: após 2017.
2.Missão e objectivos do CNC
De acordo com o nº 2 do art. 2º do DL 3/2012, o CNC tem por missão “contribuir para que o país use o ciberespaço de uma forma livre, confiável e segura” através da consecução de dois objectivos fundamentais:
– “promoção da melhoria contínua da cibersegurança nacional e da cooperação internacional, em articulação com as autoridades competentes”;
– “implementação das medidas e instrumentos necessários à antecipação, à deteção, reação e recuperação de situações que, face à iminência ou ocorrência de incidentes ou ciberataques, ponham em causa o funcionamento das infraestruturas críticas e os interesses nacionais”.
3.Competências
3.1.Quadro de competências
De acordo com o nº 1 do art. 2º-A do DL 3/2012, “na prossecução da sua missão, o CNC possui as seguintes competências:
- Desenvolver as capacidades nacionais de prevenção, monitorização, deteção, reação, análise e correção destinadas a fazer face a incidentes de cibersegurança e ciberataques;
- Promover a formação e a qualificação de recursos humanos na área da cibersegurança, com vista à formação de uma comunidade de conhecimento e de uma cultura nacional de cibersegurança;
- Exercer os poderes de autoridade nacional competente em matéria de cibersegurança, relativamente ao Estado e aos operadores de infraestruturas críticas nacionais;
- Contribuir para assegurar a segurança dos sistemas de informação e comunicação do Estado e das infraestruturas críticas nacionais;
- Promover e assegurar a articulação e a cooperação entre os vários intervenientes e responsáveis nacionais na área da cibersegurança;
- Assegurar a produção de referenciais normativos em matéria de cibersegurança;
- Apoiar o desenvolvimento das capacidades técnicas, científicas e industriais, promovendo projectos de inovação e desenvolvimento na área da cibersegurança;
- Assegurar o planeamento da utilização do ciberespaço em situação de crise e de guerra n âmbito do planeamento civil de emergência, no quadro definido pelo DL 73/2013, de 31 de Maio;
- Coordenar a cooperação internacional em matérias de cibersegurança, em articulação com o Ministério dos Negócios Estrangeiros (MNE)”.
Além destas competências expressamente definidas, o CNC poderá “exercer as demais competências que lhe sejam atribuídas” por leis avulsas, nos termos da al. j) do nº 1 do art. 2º-A do DL 3/2012.
3.2.Exercício das competências
O exercício das competências genéricas do CNC, nos termos do nº 2 do art. 2º-A do DL 3/2012,
- “não prejudica as atribuições e competências legalmente cometidas a outras entidades públicas em matéria de segurança do ciberespaço e é exercida em coordenação com estas, através de elementos de ligação designados para o efeito”;
- “em cooperação com entidades privadas que exerçam funções naquela matéria”.
Nas situações específicas de cibersegurança relacionadas com ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo, o exercício das competências do CNC, nos termos do nº 3 do art. 2º-A do DL 3/2012,
- deve ser feito “em articulação com as estruturas nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo”;
- “devendo comunicar à Polícia Judíciária, no mais curto prazo, os factos de que tenha conhecimento relativos à preparação e execução de crimes”.
4.Enquadramento Orgânico-Operacional
4.1.Estrutura Orgânica
4.1.1.Organização do CNC
A estrutura orgânica do CNC obedece ao seguinte organograma[1]:
4.1.2.Enquadramento Orgânico do CNC no GNS
Após a integração orgânica do CNC dentro do GNS, a estrutura orgânica do GNS obedece ao seguinte organograma[2]:
4.2.Quadro de Pessoal
O Quadro de Pessoal do CNC é definido pelo art. 6º-A do DL nº 69/2014, obedecendo o respectivo desenvolvimento à seguinte linha temporal[3]:
4.3.Quadro Orçamental
A evolução do orçamento de exploração previsional do CNC vai obedecer à seguinte linha temporal[4]:
5.Rede Nacional de CERTS
O CNC passará a ser o centro de coordenação dos diferentes CERTS[5] nacionais, de acordo com o seguinte quadro exemplificativo[6]:
NOTAS DE RODAPÉ:
[1] Sobral (2014).
[2] GNS (2014) – disponível em http://www.gns.gov.pt/organograma.aspx
[3] Sobral (2014).
[4] Sobral (2014).
[5] Documentação sobre os CERTS e SIRTS pode ser consultada em http://www.gns.gov.pt/new-ciberseguranca/documenta%C3%A7%C3%A3o-cert-e-csirt.aspx .
[6] Sobral (2014).