{"id":809,"date":"2022-02-22T18:08:52","date_gmt":"2022-02-22T18:08:52","guid":{"rendered":"http:\/\/www.regulacaodociberespaco.com\/?p=809"},"modified":"2022-02-23T11:24:38","modified_gmt":"2022-02-23T11:24:38","slug":"regulamento-comunicacoes-centro-nacional-ciberseguranca","status":"publish","type":"post","link":"https:\/\/regulacaodociberespaco.com\/inicio\/legislacao\/ciberseguranca\/regulamento-comunicacoes-centro-nacional-ciberseguranca\/","title":{"rendered":"Regulamento que configura instru\u00e7\u00e3o t\u00e9cnica relativa a comunica\u00e7\u00f5es entre as entidades e o Centro Nacional de Ciberseguran\u00e7a"},"content":{"rendered":"

Regulamento n.\u00ba 183\/2022<\/strong><\/a><\/p>\n

Sum\u00e1rio: Regulamento que configura instru\u00e7\u00e3o t\u00e9cnica relativa a comunica\u00e7\u00f5es entre as entidades e o Centro Nacional de Ciberseguran\u00e7a.<\/p>\n

Instru\u00e7\u00e3o t\u00e9cnica relativa \u00e0 comunica\u00e7\u00e3o e informa\u00e7\u00e3o referentes a pontos de contacto permanente, respons\u00e1vel de seguran\u00e7a, invent\u00e1rio de ativos, relat\u00f3rio anual e notifica\u00e7\u00e3o de incidentes<\/p>\n

A Lei n.\u00ba 46\/2018, de 13 de agosto<\/a>, estabeleceu o regime jur\u00eddico da seguran\u00e7a do ciberespa\u00e7o, transpondo a Diretiva (UE) 2016\/1148<\/a>, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado n\u00edvel comum de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o em toda a Uni\u00e3o.<\/p>\n

O regime jur\u00eddico da seguran\u00e7a do ciberespa\u00e7o aplica-se \u00e0s entidades da Administra\u00e7\u00e3o P\u00fablica, aos operadores de infraestruturas cr\u00edticas, aos operadores de servi\u00e7os essenciais, aos prestadores de servi\u00e7os digitais, bem como a quaisquer outras entidades que utilizem redes e sistemas de informa\u00e7\u00e3o, nomeadamente, no \u00e2mbito da notifica\u00e7\u00e3o volunt\u00e1ria de incidentes.<\/p>\n

O regime jur\u00eddico da seguran\u00e7a do ciberespa\u00e7o estabeleceu a Estrutura de Seguran\u00e7a do Ciberespa\u00e7o, consagrando o Centro Nacional de Ciberseguran\u00e7a como Autoridade Nacional de Ciberseguran\u00e7a e o \u00abCERT.PT\u00bb como Equipa de Resposta a Incidentes de Seguran\u00e7a Inform\u00e1tica Nacional.<\/p>\n

Foram ainda estabelecidas as obriga\u00e7\u00f5es de notifica\u00e7\u00e3o de incidentes \u00e0 Autoridade Nacional de Ciberseguran\u00e7a e as obriga\u00e7\u00f5es de implementa\u00e7\u00e3o de requisitos de seguran\u00e7a para a Administra\u00e7\u00e3o P\u00fablica, os operadores de infraestruturas cr\u00edticas, os operadores de servi\u00e7os essenciais e os prestadores de servi\u00e7os digitais.<\/p>\n

O regime jur\u00eddico da seguran\u00e7a do ciberespa\u00e7o foi objeto de regulamenta\u00e7\u00e3o atrav\u00e9s do Decreto-Lei n.\u00ba 65\/2021<\/a>, de 30 de julho, que procede ainda \u00e0 execu\u00e7\u00e3o, na ordem jur\u00eddica nacional, das obriga\u00e7\u00f5es decorrentes do Regulamento (UE) 2019\/881<\/a>, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, permitindo a implementa\u00e7\u00e3o de um quadro nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a.<\/p>\n

Em consequ\u00eancia, foi necess\u00e1rio a aprova\u00e7\u00e3o de Instru\u00e7\u00e3o T\u00e9cnica complementar ao Decreto-Lei n.\u00ba 65\/2021<\/a>, de 30 de julho, tendo como base legal a previs\u00e3o do n.\u00ba 5 do artigo 7.\u00ba da Lei n.\u00ba 46\/2018, de 13 de agosto, para definir os termos de aplica\u00e7\u00e3o quanto \u00e0s seguintes disposi\u00e7\u00f5es do Decreto-Lei n.\u00ba 65\/2021<\/a>, de 30 de julho:<\/p>\n

    \n
  1. a) N.os 3, 4 e 5 do artigo 4.\u00ba, referente \u00e0 indica\u00e7\u00e3o de ponto de contacto permanente;<\/li>\n
  2. b) N.os 2, 3 e 4 do artigo 5.\u00ba referente \u00e0 indica\u00e7\u00e3o do respons\u00e1vel de seguran\u00e7a;<\/li>\n
  3. c) N.os 1, 2 e 3 do artigo 6.\u00ba referentes \u00e0 informa\u00e7\u00e3o que, para cada ativo, deve constar do invent\u00e1rio de ativos e \u00e0 comunica\u00e7\u00e3o da lista de ativos;<\/li>\n
  4. d) N.os 1, 2, 3 e 4 do artigo 8.\u00ba relativo \u00e0 informa\u00e7\u00e3o que deve constar do relat\u00f3rio anual e \u00e0 comunica\u00e7\u00e3o do relat\u00f3rio anual;<\/li>\n
  5. e) N.\u00ba 1 do artigo 12.\u00ba, n.\u00ba 1 do artigo 13.\u00ba, n.\u00ba 1 do artigo 14.\u00ba, n.\u00ba 1 do artigo 15.\u00ba e n.\u00ba 2 do artigo 17.\u00ba referentes ao envio das notifica\u00e7\u00f5es de incidentes e de informa\u00e7\u00e3o adicional.<\/li>\n<\/ol>\n

    Nos termos das compet\u00eancias que lhe s\u00e3o cometidas e de acordo com os poderes e fun\u00e7\u00f5es do Centro Nacional de Ciberseguran\u00e7a, como Autoridade Nacional de Ciberseguran\u00e7a, o subdiretor-geral do Gabinete Nacional de Seguran\u00e7a respons\u00e1vel pela coordena\u00e7\u00e3o do Centro Nacional de Ciberseguran\u00e7a, aprovou por despacho de 3 de novembro de 2021 projeto de regulamento que configura uma Instru\u00e7\u00e3o T\u00e9cnica relativa \u00e0 comunica\u00e7\u00e3o e informa\u00e7\u00e3o referentes a pontos de contacto permanente, respons\u00e1vel de seguran\u00e7a, invent\u00e1rio de ativos, relat\u00f3rio anual e notifica\u00e7\u00e3o de incidentes, o qual foi submetido a consulta p\u00fablica atrav\u00e9s do Aviso n.\u00ba 21606, de 17 de novembro, publicado no Di\u00e1rio da Rep\u00fablica, 2.\u00aa s\u00e9rie, n.\u00ba 223.<\/p>\n

    Findo o prazo de consulta p\u00fablica, foram recebidas 13 pron\u00fancias. Atento os contributos recebidos e de acordo com a fundamenta\u00e7\u00e3o estabelecida no relat\u00f3rio da consulta p\u00fablica, o projeto de regulamento em consulta p\u00fablica foi objeto das altera\u00e7\u00f5es que se entenderam como oportunas e pertinentes de acordo com as sugest\u00f5es realizadas.<\/p>\n

    A fundamenta\u00e7\u00e3o da an\u00e1lise realizada pelo CNCS e das decis\u00f5es tomadas consta do relat\u00f3rio da consulta p\u00fablica, que se encontra publicado no s\u00edtio institucional do CNCS na Internet, em conjunto com as pron\u00fancias integrais recebidas. Este relat\u00f3rio cont\u00e9m refer\u00eancia a todos os contributos recebidos, bem como o resultado da aprecia\u00e7\u00e3o que reflete o entendimento sobre os mesmos e os fundamentos das op\u00e7\u00f5es tomadas pelo CNCS.<\/p>\n

    Assim, nos termos e em cumprimento do disposto na al\u00ednea c) do n.\u00ba 1 do artigo 2.\u00ba-A, no artigo 3.\u00ba e no n.\u00ba 4 do artigo 4.\u00ba do Decreto-Lei n.\u00ba 3\/2012<\/a>, de 16 de janeiro, na reda\u00e7\u00e3o atual, que aprova a org\u00e2nica do Gabinete Nacional de Seguran\u00e7a, nos termos do n.\u00ba 5 do artigo 7.\u00ba da Lei n.\u00ba 46\/2018<\/a>, de 13 de agosto, que estabelece o regime jur\u00eddico da seguran\u00e7a do ciberespa\u00e7o e ao abrigo das compet\u00eancias que me foram delegadas atrav\u00e9s da al\u00ednea a) do n.\u00ba 1 do Despacho n.\u00ba 8689\/2021, de 23 de agosto, do diretor-geral do Gabinete Nacional de Seguran\u00e7a, publicado no Di\u00e1rio da Rep\u00fablica, 2.\u00aa s\u00e9rie, de 2 de setembro de 2021, aprovo, nos termos referidos e fundamentados no relat\u00f3rio da consulta p\u00fablica do projeto de regulamento, o seguinte Regulamento que configura Instru\u00e7\u00e3o T\u00e9cnica relativa \u00e0 comunica\u00e7\u00e3o e informa\u00e7\u00e3o referentes a pontos de contacto permanente, respons\u00e1vel de seguran\u00e7a, invent\u00e1rio de ativos, relat\u00f3rio anual e notifica\u00e7\u00e3o de incidentes:<\/p>\n

    28 de janeiro de 2022. – O Coordenador do Centro Nacional de Ciberseguran\u00e7a, Jos\u00e9 Lino Alves dos Santos.<\/p>\n

    Instru\u00e7\u00e3o t\u00e9cnica relativa \u00e0 comunica\u00e7\u00e3o e informa\u00e7\u00e3o referentes a pontos de contacto permanente, respons\u00e1vel de seguran\u00e7a, invent\u00e1rio de ativos, relat\u00f3rio anual e notifica\u00e7\u00e3o de incidentes<\/p>\n

    No \u00e2mbito da compet\u00eancia de emitir instru\u00e7\u00f5es de ciberseguran\u00e7a atribu\u00edda ao Centro Nacional de Ciberseguran\u00e7a (CNCS) de acordo com o n.\u00ba 5 do artigo 7.\u00ba da Lei n.\u00ba 46\/2018<\/a>, de 13 de agosto, e com o previsto no n.\u00ba 1 do artigo 19.\u00ba do Decreto-Lei n.\u00ba 65\/2021<\/a>, de 30 de julho de 2021, que regulamenta o Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o e define as obriga\u00e7\u00f5es em mat\u00e9ria de certifica\u00e7\u00e3o da ciberseguran\u00e7a em execu\u00e7\u00e3o do Regulamento (UE) 2019\/881<\/a> do Parlamento Europeu, de 17 de abril de 2019, serve a presente Instru\u00e7\u00e3o para definir os termos de aplica\u00e7\u00e3o deste normativo quanto \u00e0s seguintes disposi\u00e7\u00f5es: n.os 3, 4 e 5 do artigo 4.\u00ba, referente \u00e0 indica\u00e7\u00e3o de ponto de contacto permanente; n.os 2, 3 e 4 do artigo 5.\u00ba referente \u00e0 indica\u00e7\u00e3o do respons\u00e1vel de seguran\u00e7a; n.os 1, 2 e 3 do artigo 6.\u00ba referentes \u00e0 informa\u00e7\u00e3o que, para cada ativo, deve constar do invent\u00e1rio de ativos e \u00e0 comunica\u00e7\u00e3o da lista de ativos; n.os 1, 2, 3 e 4 do artigo 8.\u00ba relativo \u00e0 informa\u00e7\u00e3o que deve constar do relat\u00f3rio anual e \u00e0 comunica\u00e7\u00e3o do relat\u00f3rio anual; n.\u00ba 1 do artigo 12.\u00ba, n.\u00ba 1 do artigo 13.\u00ba, n.\u00ba 1 do artigo 14.\u00ba, n.\u00ba 1 do artigo 15.\u00ba e n.\u00ba 2 do artigo 17.\u00ba referentes ao envio das notifica\u00e7\u00f5es de incidentes e de informa\u00e7\u00e3o adicional.<\/p>\n

     <\/p>\n

    Artigo 1.\u00ba<\/p>\n

    Envio e tratamento de informa\u00e7\u00e3o<\/p>\n

    1 – O envio de informa\u00e7\u00e3o ao CNCS no \u00e2mbito dos artigos 4.\u00ba, 5.\u00ba, 6.\u00ba e 8.\u00ba do Decreto-Lei n.\u00ba 65\/2021<\/a>, de 30 de julho de 2021, deve ser realizada por meios eletr\u00f3nicos para o endere\u00e7o de correio eletr\u00f3nico sri@cncs.gov.pt, ou via API (application programming interface) disponibilizada pelo CNCS para o efeito.<\/p>\n

    2 – Caso as entidades pretendam enviar a informa\u00e7\u00e3o protegida por m\u00e9todo criptogr\u00e1fico, podem proteger a informa\u00e7\u00e3o utilizando a chave p\u00fablica de PGP, associada ao endere\u00e7o de correio eletr\u00f3nico referido no n\u00famero anterior, publicada no s\u00edtio na Internet do CNCS.<\/p>\n

    3 – O CNCS mant\u00e9m e gere a informa\u00e7\u00e3o recebida nos n\u00fameros anteriores, num sistema de informa\u00e7\u00e3o seguro em conformidade com as disposi\u00e7\u00f5es respeitantes \u00e0 seguran\u00e7a de mat\u00e9rias classificadas com o grau de seguran\u00e7a Reservado na marca Nacional, salvo quando necess\u00e1rio grau de seguran\u00e7a superior.<\/p>\n

     <\/p>\n

    Artigo 2.\u00ba<\/p>\n

    Ponto de contacto permanente<\/p>\n

    1 – O ponto de contacto permanente deve ser comunicado ao CNCS nos termos dos n.os 3, 4 e 5, do artigo 4.\u00ba do Decreto-Lei n.\u00ba 65\/2021<\/a>, de 30 de julho de 2021.<\/p>\n

    2 – A informa\u00e7\u00e3o a constar da comunica\u00e7\u00e3o a realizar ao CNCS deve conter o nome da pessoa ou pessoas respons\u00e1veis, ou servi\u00e7o dispon\u00edvel ou equipa operacional, por assegurar as fun\u00e7\u00f5es de ponto de contacto permanente, e indica\u00e7\u00e3o dos meios de contacto principais e alternativos, nomeadamente contendo, no m\u00ednimo, a seguinte informa\u00e7\u00e3o:<\/p>\n

      \n
    1. a) Nome da entidade;<\/li>\n
    2. b) Endere\u00e7o de correio eletr\u00f3nico principal;<\/li>\n
    3. c) Endere\u00e7o de correio eletr\u00f3nico alternativo;<\/li>\n
    4. d) N\u00famero de telefone fixo principal, se aplic\u00e1vel;<\/li>\n
    5. e) N\u00famero de telefone m\u00f3vel principal;<\/li>\n
    6. f) N\u00famero de telefone fixo alternativo, se aplic\u00e1vel;<\/li>\n
    7. g) N\u00famero de telefone m\u00f3vel alternativo;<\/li>\n
    8. h) Outros contactos alternativos.<\/li>\n<\/ol>\n

       <\/p>\n

      3 – Esta comunica\u00e7\u00e3o deve ser realizada para o endere\u00e7o de correio eletr\u00f3nico indicado no n.\u00ba 1 do artigo 1.\u00ba da presente Instru\u00e7\u00e3o, preenchendo e juntando o formul\u00e1rio, constante do anexo I \u00e0 presente Instru\u00e7\u00e3o, e dispon\u00edvel no s\u00edtio na Internet do Centro Nacional de Ciberseguran\u00e7a, que deve ser descarregado ap\u00f3s a publica\u00e7\u00e3o da presente Instru\u00e7\u00e3o.<\/p>\n

       <\/p>\n

      Artigo 3.\u00ba<\/p>\n

      Respons\u00e1vel de seguran\u00e7a<\/p>\n

      1 – A indica\u00e7\u00e3o da pessoa designada para as fun\u00e7\u00f5es de respons\u00e1vel de seguran\u00e7a deve ser comunicada ao CNCS nos termos dos n.os 2, 3 e 4 do artigo 5.\u00ba do Decreto-Lei n.\u00ba 65\/2021<\/a>, de 30 de julho de 2021.<\/p>\n

      2 – A informa\u00e7\u00e3o a constar da comunica\u00e7\u00e3o a realizar ao CNCS deve conter o nome da pessoa designada para assegurar as fun\u00e7\u00f5es de respons\u00e1vel de seguran\u00e7a nomeadamente contendo, no m\u00ednimo, a seguinte informa\u00e7\u00e3o:<\/p>\n

        \n
      1. a) Nome da entidade;<\/li>\n
      2. b) Nome do respons\u00e1vel de seguran\u00e7a;<\/li>\n
      3. c) Cargo do respons\u00e1vel de seguran\u00e7a;<\/li>\n
      4. d) Endere\u00e7o de correio eletr\u00f3nico;<\/li>\n
      5. e) N\u00famero de telefone fixo, se aplic\u00e1vel;<\/li>\n
      6. f) N\u00famero de telefone m\u00f3vel.<\/li>\n<\/ol>\n

         <\/p>\n

        3 – Esta comunica\u00e7\u00e3o deve ser realizada para o endere\u00e7o de correio eletr\u00f3nico indicado no n.\u00ba 1 do artigo 1.\u00ba da presente Instru\u00e7\u00e3o, preenchendo e juntando o formul\u00e1rio, constante do anexo II \u00e0 presente Instru\u00e7\u00e3o, e dispon\u00edvel no s\u00edtio na Internet do Centro Nacional de Ciberseguran\u00e7a, que deve ser descarregado ap\u00f3s a publica\u00e7\u00e3o da presente Instru\u00e7\u00e3o.<\/p>\n

         <\/p>\n

        Artigo 4.\u00ba<\/p>\n

        Invent\u00e1rio de ativos<\/p>\n

        1 – Para os efeitos do disposto na presente instru\u00e7\u00e3o, entende -se por \u00abAtivo\u00bb todo o sistema de informa\u00e7\u00e3o e comunica\u00e7\u00e3o, os equipamentos e os demais recursos f\u00edsicos e l\u00f3gicos considerados essenciais, geridos ou detidos pela entidade, que suportam, direta ou indiretamente, um ou mais servi\u00e7os.<\/p>\n

        2 – Para cada ativo identificado de acordo com o n.\u00ba 1 do artigo 6.\u00ba do Decreto-Lei n.\u00ba 65\/2021<\/a>, de 30 de julho de 2021 aplica-se o seguinte:<\/p>\n

        2.1 – A entidade deve efetuar o invent\u00e1rio dos seus equipamentos de acordo com as seguintes regras:<\/p>\n

          \n
        1. a) Os dispositivos f\u00edsicos e sistemas devem ser inventariados com a seguinte informa\u00e7\u00e3o:<\/li>\n
        2. i) N\u00famero de invent\u00e1rio;<\/li>\n
        3. ii) Nome e modelo do equipamento;<\/li>\n<\/ol>\n

          iii) N\u00famero de s\u00e9rie;<\/p>\n

            \n
          1. iv) Localiza\u00e7\u00e3o.<\/li>\n
          2. b) Os dispositivos ligados \u00e0 rede devem ter a seguinte informa\u00e7\u00e3o complementar:<\/li>\n
          3. i) Endere\u00e7o IP;<\/li>\n
          4. ii) Endere\u00e7o de hardware.<\/li>\n
          5. c) Os respons\u00e1veis dos dispositivos e sistemas devem ser identificados com, pelo menos, os seguintes elementos:<\/li>\n
          6. i) Nome;<\/li>\n
          7. ii) Contacto;<\/li>\n<\/ol>\n

            iii) Departamento.<\/p>\n

              \n
            1. d) Os dispositivos f\u00edsicos e sistemas devem ser classificados de acordo com a sua criticidade para a entidade.<\/li>\n<\/ol>\n

               <\/p>\n

              2.2 – A entidade deve elaborar o invent\u00e1rio de todas as suas aplica\u00e7\u00f5es, identificando:<\/p>\n

                \n
              1. a) Informa\u00e7\u00e3o necess\u00e1ria ao invent\u00e1rio de uma aplica\u00e7\u00e3o, nomeadamente:<\/li>\n
              2. i) Nome do software;<\/li>\n
              3. ii) Vers\u00e3o;<\/li>\n<\/ol>\n

                iii) Fabricante.<\/p>\n

                 <\/p>\n

                  \n
                1. b) Os respons\u00e1veis pelas aplica\u00e7\u00f5es com, pelo menos, os seguintes elementos:<\/li>\n
                2. i) Nome;<\/li>\n
                3. ii) Contacto;<\/li>\n<\/ol>\n

                  iii) Departamento.<\/p>\n

                   <\/p>\n

                    \n
                  1. c) A classifica\u00e7\u00e3o em fun\u00e7\u00e3o da criticidade da aplica\u00e7\u00e3o para a entidade;<\/li>\n
                  2. d) Quando aplic\u00e1vel, o tipo de contrato de suporte em vigor com o fornecedor da aplica\u00e7\u00e3o ou plataforma de software.<\/li>\n<\/ol>\n

                     <\/p>\n

                    3 – Para efeitos do n.\u00ba 3 do artigo 6.\u00ba do Decreto-Lei n.\u00ba 65\/2021<\/a>, de 30 de julho de 2021, as entidades devem comunicar ao CNCS, com base no invent\u00e1rio de ativos a que se refere o n.\u00ba 1 do artigo 6.\u00ba do referido normativo, para todos os ativos diretamente acess\u00edveis publicamente atrav\u00e9s da Internet, uma lista com a seguinte informa\u00e7\u00e3o:<\/p>\n

                      \n
                    1. a) Servi\u00e7o suportado;<\/li>\n
                    2. b) Nome do equipamento\/Nome do software;<\/li>\n
                    3. c) Modelo\/Vers\u00e3o;<\/li>\n
                    4. d) Endere\u00e7o IP, se aplic\u00e1vel;<\/li>\n
                    5. e) Fully Qualified Domain Names (FQDNs), se aplic\u00e1vel;<\/li>\n
                    6. f) Fabricante.<\/li>\n<\/ol>\n

                       <\/p>\n

                      4 – A lista a que se refere o n\u00famero anterior deve ser remetida para o endere\u00e7o de correio eletr\u00f3nico indicado no n.\u00ba 1 do artigo 1.\u00ba da presente Instru\u00e7\u00e3o, preenchendo e juntando o formul\u00e1rio, constante do anexo III \u00e0 presente Instru\u00e7\u00e3o, e dispon\u00edvel no s\u00edtio na Internet do Centro Nacional de Ciberseguran\u00e7a, que deve ser descarregado ap\u00f3s a publica\u00e7\u00e3o da presente Instru\u00e7\u00e3o.<\/p>\n

                       <\/p>\n

                      Artigo 5.\u00ba<\/p>\n

                      Relat\u00f3rio anual<\/p>\n

                      1 – O relat\u00f3rio anual deve ser comunicado ao CNCS nos termos dos n.os 2 e 3 do artigo 8.\u00ba do Decreto-Lei n.\u00ba 65\/2021<\/a>, de 30 de julho de 2021, contendo a informa\u00e7\u00e3o referida no n.\u00ba 1 do mesmo artigo.<\/p>\n

                      2 – O relat\u00f3rio anual deve ser remetido para o endere\u00e7o de correio eletr\u00f3nico indicado no n.\u00ba 1 do artigo 1.\u00ba da presente Instru\u00e7\u00e3o, preenchendo e juntando um ficheiro PDF, o qual dever\u00e1 respeitar a estrutura constante do anexo IV \u00e0 presente Instru\u00e7\u00e3o, e dispon\u00edvel no s\u00edtio na Internet do Centro Nacional de Ciberseguran\u00e7a, que deve ser descarregado ap\u00f3s a publica\u00e7\u00e3o da presente Instru\u00e7\u00e3o.<\/p>\n

                       <\/p>\n

                      Artigo 6.\u00ba<\/p>\n

                      Notifica\u00e7\u00f5es de incidentes<\/p>\n

                      1 – O envio das notifica\u00e7\u00f5es de incidentes e de informa\u00e7\u00e3o adicional, de acordo com os termos dos artigos 11.\u00ba a 16.\u00ba do Decreto-Lei n.\u00ba 65\/2021<\/a>, de 30 de julho de 2021, com produ\u00e7\u00e3o de efeitos prevista no n.\u00ba 2 do artigo 23.\u00ba, deve ser realizado atrav\u00e9s do s\u00edtio na Internet do Centro Nacional de Ciberseguran\u00e7a (https:\/\/www.cncs.gov.pt) na funcionalidade \u00abNotifica\u00e7\u00e3o de Incidentes\u00bb, mediante o preenchimento do modelo de reporte estabelecido para o efeito, ou via API (application programming interface) disponibilizada pelo CNCS para o efeito.<\/p>\n

                      2 – Nos casos em que a entidade em resultado do incidente ou por outro motivo de natureza eminentemente t\u00e9cnica devidamente justificado, n\u00e3o tem temporariamente capacidade operacional para assegurar a notifica\u00e7\u00e3o no s\u00edtio na Internet do Centro Nacional de Ciberseguran\u00e7a, ou nos casos em que o mesmo esteja indispon\u00edvel, a notifica\u00e7\u00e3o poder\u00e1 ser efetuada, a t\u00edtulo excecional, atrav\u00e9s:<\/p>\n

                        \n
                      1. a) De correio eletr\u00f3nico remetido para o seguinte endere\u00e7o: cert@cert.pt;<\/li>\n
                      2. b) Por telefone atrav\u00e9s do n\u00famero (+351) 210 497 399;<\/li>\n
                      3. c) Por telefone atrav\u00e9s do n\u00famero (+351) 910 599 284, em disponibilidade cont\u00ednua (24 horas por dia e sete dias por semana).<\/li>\n<\/ol>\n

                         <\/p>\n

                        3 – Caso as entidades pretendam enviar a notifica\u00e7\u00e3o protegida por m\u00e9todo criptogr\u00e1fico, podem proteger a informa\u00e7\u00e3o utilizando a chave p\u00fablica de PGP, associada ao endere\u00e7o de correio eletr\u00f3nico referido na al\u00ednea a) do n\u00famero anterior, publicada no s\u00edtio na Internet do CNCS.<\/p>\n

                        4 – O CNCS mant\u00e9m e gere a informa\u00e7\u00e3o recebida nos n\u00fameros anteriores, num sistema de informa\u00e7\u00e3o seguro em conformidade com as disposi\u00e7\u00f5es respeitantes \u00e0 seguran\u00e7a de mat\u00e9rias classificadas com o grau de seguran\u00e7a Reservado na marca Nacional, salvo quando necess\u00e1rio grau de seguran\u00e7a superior.<\/p>\n

                         <\/p>\n

                        ANEXO I<\/p>\n

                        (a que se refere o artigo 2.\u00ba)<\/p>\n

                        Ponto de contacto permanente<\/p>\n

                        (ver documento original)<\/a><\/p>\n

                         <\/p>\n

                        ANEXO II<\/p>\n

                        (a que se refere o artigo 3.\u00ba)<\/p>\n

                        Respons\u00e1vel de seguran\u00e7a<\/p>\n

                        (ver documento original)<\/a><\/p>\n

                         <\/p>\n

                        ANEXO III<\/p>\n

                        (a que se refere o artigo 4.\u00ba)<\/p>\n

                        Lista de ativos<\/p>\n

                        (ver documento original)<\/a><\/p>\n

                         <\/p>\n

                        ANEXO IV<\/p>\n

                        (a que se refere o artigo 5.\u00ba)<\/p>\n

                        Relat\u00f3rio anual<\/p>\n

                        1 – Designa\u00e7\u00e3o da entidade:<\/p>\n

                        2 – Ano civil e per\u00edodo de tempo do relat\u00f3rio:<\/p>\n

                        3 – Descri\u00e7\u00e3o sum\u00e1ria das principais atividades desenvolvidas em mat\u00e9ria de seguran\u00e7a das redes e dos servi\u00e7os de informa\u00e7\u00e3o:<\/p>\n

                        4 – Estat\u00edstica trimestral de todos os incidentes, com indica\u00e7\u00e3o do n\u00famero e do tipo dos incidentes:<\/p>\n

                        5 – An\u00e1lise agregada dos incidentes de seguran\u00e7a com impacto relevante ou substancial, com informa\u00e7\u00e3o sobre:<\/p>\n

                        5.1 – N\u00famero de utilizadores afetados pela perturba\u00e7\u00e3o do servi\u00e7o<\/p>\n

                        5.2 – Dura\u00e7\u00e3o dos incidentes<\/p>\n

                        5.3 – Distribui\u00e7\u00e3o geogr\u00e1fica, no que se refere \u00e0 zona afetada pelo incidente, incluindo a indica\u00e7\u00e3o de impacto transfronteiri\u00e7o<\/p>\n

                        6 – Recomenda\u00e7\u00f5es de atividades, de medidas ou de pr\u00e1ticas que promovam a melhoria da seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o:<\/p>\n

                        7 – Problemas identificados e medidas implementadas na sequ\u00eancia dos incidentes:<\/p>\n

                        8 – Qualquer outra informa\u00e7\u00e3o relevante:<\/p>\n

                         <\/p>\n

                        Data:<\/p>\n

                        Respons\u00e1vel de seguran\u00e7a:<\/p>\n

                        Assinatura do Respons\u00e1vel de seguran\u00e7a:<\/p>\n","protected":false},"excerpt":{"rendered":"

                        Regulamento n.\u00ba 183\/2022 Sum\u00e1rio: Regulamento que configura instru\u00e7\u00e3o t\u00e9cnica relativa a comunica\u00e7\u00f5es entre as entidades e o Centro Nacional de Ciberseguran\u00e7a. Instru\u00e7\u00e3o t\u00e9cnica relativa \u00e0 comunica\u00e7\u00e3o e informa\u00e7\u00e3o referentes a pontos de contacto permanente, respons\u00e1vel de seguran\u00e7a, invent\u00e1rio de ativos, relat\u00f3rio anual e notifica\u00e7\u00e3o de incidentes A Lei n.\u00ba 46\/2018, de 13 de agosto, estabeleceu […]<\/p>\n","protected":false},"author":1,"featured_media":810,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[6],"tags":[21,13,18,20,19,22],"_links":{"self":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/809"}],"collection":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/comments?post=809"}],"version-history":[{"count":6,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/809\/revisions"}],"predecessor-version":[{"id":818,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/809\/revisions\/818"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media\/810"}],"wp:attachment":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media?parent=809"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/categories?post=809"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/tags?post=809"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}