Este texto visa dar a conhecer as principais regras e novidades em matéria de segurança das redes e serviços, aplicáveis às empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público, ao abrigo dos artigos 59.º e seguintes da Nova Lei das Comunicações Eletrónicas.
Como é definido o conceito de segurança das redes e serviços ao abrigo da Nova Lei da Comunicações Eletrónicas?
Ao abrigo da Nova Lei das Comunicações Eletrónicas, o conceito “segurança das redes e serviços” é definido como “a capacidade das redes e serviços de comunicações eletrónicas para resistir, com um dado nível de confiança, a qualquer ação que comprometa a disponibilidade, a autenticidade, a integridade ou a confidencialidade dessas redes e serviços, dos dados armazenados, transmitidos ou tratados ou dos serviços associados oferecidos ou acessíveis através dessas redes ou serviços” (artigo 3.º/1/pp).
A nova lei acolhe, assim, a definição introduzida no Regulamento n.º 303/2019 da ANACOM, relativo à segurança e à integridade das redes e serviços de comunicações eletrónicas.
Quais são as principais novidades da Nova Lei das Comunicações Eletrónicas em matéria de segurança das redes e serviços?
Pese embora a Nova Lei das Comunicações Eletrónicas mantenha uma parte substancial do leque de obrigações e regras de segurança previstas na anterior Lei das Comunicações Eletrónicas – em particular, obrigações gerais de segurança, medidas de execução, requisitos adicionais, disposições em matéria de auditorias e instruções vinculativas, – o novo regime apresenta novidades significativas.
Desde logo, a Nova Lei das Comunicações Eletrónicas robusteceu e densificou as obrigações, medidas de execução e requisitos em matéria de segurança, com um nível de detalhe e exigência adicional em comparação com a lei anterior.
As disposições aplicáveis em matéria de incidentes de segurança sofreram alterações relevantes, no sentido de fortalecer e consolidar os requisitos de notificação exigidos às empresas, bem como agilizar a coordenação e cooperação entre autoridades reguladoras e outras entidades numa lógica extra sectorial.
Por outro lado, a Nova Lei das Comunicações Eletrónicas introduz um mecanismo de assistência e cooperação com a Equipa de Resposta a Incidentes de Segurança Informática Nacional, bem como prevê expressamente a consulta e cooperação com outras entidades, tais como as autoridades judiciárias e policiais, o Centro Nacional de Cibersegurança (“CNCS”) e a Comissão Nacional de Proteção de Dados (“CNPD”).
Em determinados casos, a Nova Lei das Comunicações Eletrónicas sujeita a utilização de equipamentos em redes de comunicações eletrónicas à realização de uma avaliação de segurança, realizada por uma Comissão de Avaliação de Segurança constituída no âmbito do Conselho Superior de Segurança do Ciberespaço.
Quais são as principais obrigações gerais em matéria de segurança das redes e serviços?
À semelhança do disposto no regime anterior, as empresas devem implementar medidas técnicas e organizacionais que assegurem um nível de segurança adequado ao risco para a segurança das redes e serviços (artigo 59.º).
Estas medidas devem, em especial, impedir ou minimizar o impacto dos incidentes de segurança nos utilizadores e nas outras redes e serviços e, bem assim, ter em conta o estado da técnica e quaisquer informações, orientações, avaliações e decisões de entidades competentes nacionais, da União Europeia ou internacionais.
Contudo, um aspeto inovador face à lei anterior é a exigência de tais medidas serem orientadas de acordo com aspetos específicos de segurança. Entre outros elementos, as empresas (e a ANACOM) devem ter em conta: (i) a segurança e integridade das redes e dos recursos, incluindo a segurança física e ambiental e o controlo do acesso às redes; (ii) a gestão e deteção de incidentes de segurança, bem como a sua notificação e divulgação às entidades competentes e ao público em geral; (iii) a gestão da continuidade operacional, incluindo estratégias de continuidade de serviço e planos de contingência e recuperação; e, ainda, (iv) a monitorização, auditorias e testes, incluindo exercícios relativos aos planos de contingência, avaliações de segurança e a monitorização da conformidade (artigo 59.º/3).
É também de notar a previsão expressa da emissão, por parte da ANACOM, de instruções vinculativas relativas a medidas para evitar a ocorrência e assegurar a resolução de incidentes de segurança.
Quais são as principais obrigações específicas em matéria de segurança das redes e serviços?
Em concordância com o regime anterior, a Nova Lei das Comunicações Eletrónicas estabelece a obrigatoriedade de cumprimento de medidas técnicas de execução, requisitos adicionais e procedimentos em matéria de segurança – subsequentemente concretizados e aprovados pela ANACOM.
No entanto, a nova lei impõe medidas novas e mais concretas, que não constavam da lei anterior, nem constam atualmente do Regulamento n.º 303/2019. A título ilustrativo, a previsão de: (i) condições específicas para a virtualização de funções de rede; (ii) condições para a subcontratação de funções; (iii) a adoção de estratégias de diversificação de fornecedores e, ainda, (iv) a localização do centro de operação da rede e do centro de operação de segurança no território nacional ou no território de um Estado-Membro da UE.
Saliente-se ainda um outro aspeto fundamental introduzido pela Nova Lei das Comunicações Eletrónicas: a necessidade de parecer prévio vinculativo do CNCS para a aprovação de quaisquer medidas de execução e/ou de definição das circunstâncias, formato e procedimentos aplicáveis às obrigações de notificação de incidentes de segurança.
O que são incidentes de segurança ao abrigo da Nova Lei das Comunicações Eletrónicas?
Considera-se um incidente de segurança um “evento com um efeito adverso real na segurança das redes ou serviços de comunicações eletrónicas” (artigo 3.º/1/m).
Apesar de ligeiramente distinta, a definição corresponde essencialmente à definição já constante do Regulamento n.º 303/2019 (note-se a ausência da referência “incluindo uma violação de segurança ou perda de integridade”). Não obstante a semelhança entre os conceitos, as disposições aplicáveis em matéria de incidentes de segurança sofreram alterações substanciais.
A que entidades devem ser notificados os incidentes de segurança ao abrigo da Nova Lei das Comunicações Eletrónicas?
As empresas devem notificar a ANACOM e o CNCS, sem demora injustificada, de quaisquer incidentes de segurança com impacto significativo no funcionamento das redes ou serviços, bem como informar o público em geral quando assim determinado pela ANACOM (artigo 60.º). Além disso, o novo regime confere à ANACOM poderes para informar diretamente outras autoridades nacionais relevantes, incluindo as autoridades judiciárias e policiais e a CNPD – o que terá necessariamente consequências práticas para as empresas, nomeadamente quando o incidente de segurança em causa envolva um incidente de dados pessoais.
A obrigatoriedade de notificação ao CNCS é uma novidade marcante e digna de destaque, na medida em que o Regulamento n.º 303/2019 apenas menciona, quanto a este tema, que: (i) o cumprimento da obrigação de notificação à ANACOM não prejudica a notificação de incidentes a outras autoridades competentes, tais como o Ministério Público, o CNCS, a CNPD e outras autoridades regionais, locais e sectoriais; e, bem assim, que (ii) a ANACOM pode, em colaboração com outras autoridades competentes, formular recomendações quanto à articulação entre os vários procedimentos de notificação eventualmente aplicáveis.
O que deve entender-se por incidente com impacto significativo no funcionamento das redes ou serviços?
A Nova Lei das Comunicações Eletrónicas introduz uma lista exemplificativa de critérios para a definição das circunstâncias em que um incidente de segurança tem um impacto significativo (e que devem ser tidos em conta pela ANACOM nessa avaliação), critérios estes correspondem essencialmente a fatores e circunstâncias que parecem já abrangidos pela letra do Regulamento n.º 303/2019. Estes critérios são (artigo 61.º/3):
(i) O número de utilizadores afetados;
(ii) A duração do incidente;
(iii) A distribuição geográfica e a dimensão da área ou das áreas afetadas;
(iv) A medida em que o funcionamento da rede ou do serviço é afetado;
(v) A dimensão do impacto nas atividades económicas e sociais, incluindo no acesso aos serviços de emergência.
Os operadores estão obrigados a informar os utilizadores afetadas por incidentes de segurança?
Numa novidade face ao regime anterior, os operadores têm a obrigação de, em caso de ameaça específica e significativa de incidente de segurança, informar gratuitamente os utilizadores potencialmente afetados de quaisquer possíveis medidas de prevenção ou de resposta que estes possam adotar e, se adequado, da própria ameaça (artigo 60.º/2).
De notar que esta obrigação implica a necessidade de informar os utilizadores, não apenas em caso de ocorrência de incidente, mas mesmo em caso de ameaça de incidente. Atendendo a que a Nova Lei das Comunicações Eletrónicas não define o conceito de “ameaça específica e significativa”, afigura-se incerto, por ora, qual o seu alcance exato.
Como se compatibiliza o Regulamento n.º 303/2019 com a Nova Lei das Comunicações Eletrónicas?
Em geral, a Nova Lei das Comunicações Eletrónicas incorpora obrigações e disposições já existentes no Regulamento n.º 303/2019, que foi adotado ao abrigo da lei anterior com o objetivo de concretizar as obrigações e medidas de execução gerais aí previstas, incluindo em matéria de notificação de incidentes de segurança.
Contudo, considerando que a Nova Lei das Comunicações Eletrónicas:
(i) Estabelece que a aprovação de medidas técnicas de execução, bem como de medidas que definam as circunstâncias e procedimentos associados às obrigações de notificação de incidentes de segurança, carecem de parecer prévio vinculativo do CNCS;
(ii) Apresenta novidades em matéria de obrigações e medidas de execução, como sejam as obrigações de notificação de incidentes ao CNCS, de informar os utilizadores de ameaças de incidentes de segurança ou de cumprir condições específicas para a virtualização de funções de rede; e
(iii) Prevê a possibilidade de a ANACOM emitir instruções vinculativas, em particular em matéria de prevenção e mitigação de incidentes de segurança, bem como aprovar os regulamentos necessários à execução na Nova Lei das Comunicações Eletrónicas;
afigura-se expectável, à luz da necessidade de coordenação com o CNCS e, bem assim, da necessidade de concretizar em sede regulamentar obrigações e medidas de execução inovadoras face à lei anterior, que o Regulamento n.º 303/2019 seja revisto ou aprovado um novo regulamento para acolhimento das novidades legislativas em matéria de integridade e segurança.
Permanecem dúvidas, no entanto, sobre a forma específica como serão compatibilizadas as soluções suscitadas pelo novo regime, bem como se estas alterações implicarão a revogação, parcial ou total, das disposições existentes em matéria de integridade e segurança ao abrigo do Regulamento n.º 303/2019, que permanecem em vigor até que sejam substituídas ou revogadas (artigo 10.º/2).
Key takeaways
Na senda do que se prevê no CECE e, bem assim, à luz do que são os riscos e realidade atuais do setor das comunicações eletrónicas e, de forma transversal, a nossa economia e contexto tecnológico, a Nova Lei das Comunicações Eletrónicas introduz novos cuidados e obrigações em matéria de segurança e incidentes de segurança.
Acompanhando uma tendência legislativa e regulatória crescente com enfoque na segurança e cibersegurança, a Nova Lei das Comunicações Eletrónicas parece iniciar uma primeira tentativa de conciliação de uma miríade de instrumentos legislativos e autoridades reguladoras que, embora distintos, acabam por se interligar em torno desta matéria.
Por ora, revela-se incerta a mecânica que será utilizada para compatibilizar os diversos instrumentos e obrigações legais e, bem assim, coordenar as atuações e competências das autoridades reguladoras relevantes. Avulta aqui, em especial, a multiplicidade de disposições legais potencialmente aplicáveis – a título exemplificativo, o regime de proteção de dados pessoais, o regime jurídico da segurança do ciberespaço e o regime aplicável às infraestruturas críticas – e, ainda, à proliferação de autoridades e entidades com competências na matéria – nomeadamente, a ANACOM, a CNPD, o CNCS ou o Conselho Nacional de Planeamento Civil de Emergência.
Trata-se, pois, de um conjunto significativo de disposições e de entidades relevantes cuja interpretação e integração não se revelará fácil.
