Testa a velocidade da tua internet com o

Instituições financeiras passam a ter de comunicar ao BdP incidentes de cibersegurança

25 nov 2019 17:56

Este artigo tem mais de 4 anos

As entidades supervisionadas pelo Banco de Portugal (BdP) e as instituições de crédito significativas com sede em Portugal supervisionadas pelo Banco Central Europeu (BCE) vão passar a ter de reportar ao supervisor "incidentes de cibersegurança significativos ou severos".

Nos termos da instrução n.º 21/2019 publicada hoje no suplemento do Boletim Oficial n.º 11/2019 do BdP – que vem regulamentar o reporte destes incidentes e entra em vigor dentro de 30 dias úteis – “num contexto de importância crescente do risco operacional associado às tecnologias de informação e comunicação, o Banco de Portugal considera que os incidentes de cibersegurança podem comprometer os sistemas e dados das entidades”.

Neste contexto, vem clarificar que “são considerados incidentes de cibersegurança todos os eventos de segurança de informação com probabilidade elevada de comprometer operações de negócio e/ou ameaçar a segurança da informação”.

Em causa, especifica, estão eventos que “impliquem um efeito adverso na segurança dos sistemas, aplicações ou redes”, comprometam a informação que estes processam, armazenam ou partilham ou “infrinjam as políticas de segurança de informação e uso dos sistemas, aplicações ou redes das entidades”.

O dever de comunicação de “incidentes de cibersegurança significativos ou severos” passa a ter de ser cumprido pelas instituições de crédito, Caixa Central de Crédito Agrícola Mútuo e Caixas de Crédito Agrícola Mútuo, empresas de investimento, instituições de pagamento, instituições de moeda eletrónica e sucursais de instituições de crédito com sede no estrangeiro, “desde que exerçam a sua atividade em Portugal”.

Segundo o BdP, o objetivo da instrução agora publicada é “harmonizar os processos de reporte e agilizar a comunicação das entidades através de um ponto único de contacto que reencaminhará, se necessário e sem demora, a informação ao BCE e ao Centro Nacional de Cibersegurança (CNCS), consoante o âmbito e a natureza do incidente”.

“Adicionalmente, a presente instrução não prejudica o dever de comunicação pelas instituições à Comissão Nacional de Proteção de Dados (CNPD) de qualquer violação da proteção de dados em consequência do incidente de cibersegurança suscetível de resultar num risco para os direitos e liberdades das pessoas singulares”, lê-se no texto da instrução.