Nos termos da instrução n.º 21/2019 publicada hoje no suplemento do Boletim Oficial n.º 11/2019 do BdP – que vem regulamentar o reporte destes incidentes e entra em vigor dentro de 30 dias úteis – “num contexto de importância crescente do risco operacional associado às tecnologias de informação e comunicação, o Banco de Portugal considera que os incidentes de cibersegurança podem comprometer os sistemas e dados das entidades”.
Neste contexto, vem clarificar que “são considerados incidentes de cibersegurança todos os eventos de segurança de informação com probabilidade elevada de comprometer operações de negócio e/ou ameaçar a segurança da informação”.
Em causa, especifica, estão eventos que “impliquem um efeito adverso na segurança dos sistemas, aplicações ou redes”, comprometam a informação que estes processam, armazenam ou partilham ou “infrinjam as políticas de segurança de informação e uso dos sistemas, aplicações ou redes das entidades”.
O dever de comunicação de “incidentes de cibersegurança significativos ou severos” passa a ter de ser cumprido pelas instituições de crédito, Caixa Central de Crédito Agrícola Mútuo e Caixas de Crédito Agrícola Mútuo, empresas de investimento, instituições de pagamento, instituições de moeda eletrónica e sucursais de instituições de crédito com sede no estrangeiro, “desde que exerçam a sua atividade em Portugal”.
Segundo o BdP, o objetivo da instrução agora publicada é “harmonizar os processos de reporte e agilizar a comunicação das entidades através de um ponto único de contacto que reencaminhará, se necessário e sem demora, a informação ao BCE e ao Centro Nacional de Cibersegurança (CNCS), consoante o âmbito e a natureza do incidente”.
“Adicionalmente, a presente instrução não prejudica o dever de comunicação pelas instituições à Comissão Nacional de Proteção de Dados (CNPD) de qualquer violação da proteção de dados em consequência do incidente de cibersegurança suscetível de resultar num risco para os direitos e liberdades das pessoas singulares”, lê-se no texto da instrução.
Comentários