wesecure@roboyo.pt +351 933 563 593

Select language:

REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO (DL 65/2021)

O Decreto-Lei 65/2021 (30 de julho) define o Regime Jurídico da Segurança do Ciberespaço em Portugal, elencando as obrigações das entidades abrangidas no âmbito da certificação da cibersegurança e transpondo para a lei nacional o Regulamento (EU) 2019/881 do Parlamento Europeu (17 de abril 2019).
Assim, todos os
  •     Organismos da Administração Pública,
  •     Operadores de Infraestruturas Críticas e de Serviços Essenciais
  •     Prestadores de Serviços Digitais
    • ficam obrigados a:
    •     Comunicar ao CNCS a identidade e contatos do responsável de segurança e do contacto permanente da sua organização;
    •     Desenvolver um plano de segurança da informação;
    •     Elaborar um inventário onde constem todos os ativos e comunicá-lo ao CNCS;
    •     Elaborar relatórios anuais de segurança da informação e apresentá-los ao CNCS;
    •     Realizar uma avaliação de riscos a todos os ativos que garantam a continuidade do funcionamento das redes e dos sistemas de informação.
    •     Reportar incidentes de segurança ao CNCS com a maior brevidade possível.


PRECISA DE AJUDA?

Consigo, produziremos toda a documentação necessária relativo ao Decreto-Lei 65/2021 de 30 de julho, para garantir a conformidade no âmbito da Regulamentação do regime Jurídico da Segurança do Ciberespaço, com os seguintes entregáveis:

  •     INVENTÁRIO DE ATIVOS
  •     RELATÓRIO DE AVALIAÇÃO DE RISCO
  •     PLANO DE SEGURANÇA REAVALIADO
  •     RESPOSTA A INCIDENTES
  •     RELATÓRIO ANUAL

O NOSSO APOIO

Os nossos consultores especialistas possuem uma enorme experiência em apoiar as instituições a garantir a conformidade que o DL65/2021 exige.
Para cada componente que vamos detalhar, apresentaremos (a pedido) uma estimativa de esforço de forma que consiga optar mediante o vosso nível de maturidade atual.

Caso não consiga precisar o quão bem está, propomos ajudá-lo em todas estas fases (que abaixo detalhamos) desde o ínicio ou então solicite-nos uma auditoria DL65/2021 prévia.


CONTACTE-NOS PARA + INFORMAÇÕES

INVENTÁRIO DE ATIVOS

A WeSecure presta-lhe todo o apoio no processo de inventariação de ativos, independentemente do seu estado atual.
Todos os sistemas de informação e comunicação, os equipamentos e os demais recursos físicos e lógicos considerandos essenciais, que suportam, direta ou indiretamente, um ou mais serviços da sua organização são considerados ativos.
Os ativos essenciais para a prestação dos serviços da sua organização constituirão o inventário necessário como entregável para evidenciar o cumprimento, que, quando finalizado será assinado pelo responsável de segurança da sua organização.

O detalhe do inventário de ativos será proposto, sendo que, para cada ativo, garantiremos o respeito pelas instruções técnicas emitidas pelo CNCS, sendo constituído pelo menos, pela seguinte estrutura:
DISPOSITIVOS FÍSICOS E SISTEMAS ID.GA-1
APLICAÇÕES [ID.GA-2
3. ATIVOS ACESSÍVEIS PUBLICAMENTE ATRAVÉS DA INTERNET

AVALIAÇÃO DE RISCO

A WeSecure apoiará a elaboração em todo o processo de avaliação de risco.
De forma a garantir o entregável que aqui se exige (Relatório de Avaliação de Risco) a WeSecure apreciará inicialmente as avaliações de risco tidas, caso existam.
Se não existirem o processo será iniciado.
Para tal, a WeSecure propõe uma implementação processual orientada à gestão do risco, que permita à sua organização a tomada de decisão de forma priorizada e informada, no contexto da cibersegurança.
A gestão do risco da sua organização, será efetuada de forma sistematizada e numa lógica de melhoria, para permitir à sua organização identificar, quantificar e estabelecer as prioridades face a critérios de aceitação do risco e objetivos relevantes.

Assim, a Gestão do Risco em Segurança da Informação baseada na norma ISO/IEC 27005, terá as seguintes fases:

  •     1. Estabelecer o contexto
  •     2. Avaliação do Risco
  •     3. Tratamento do risco
  •     4. Aceitação do risco
  •     5. Comunicação e consulta
  •     6. Monitorização e revisão do risco

PLANO DE SEGURANÇA REAVALIADO

O Plano de Segurança da sua organização, será reavaliado pela WeSecure caso exista.
Caso contrário, será criado de forma a incluir as medidas relativas à segurança das redes e da informação.
Em qualquer dos casos será mantido de forma atualizada, conforme requisito legal, e incluirá:

  •     a política de segurança, a descrição das medidas organizativas e a formação de recursos humanos;
  •     a descrição de todas as medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes;
  •     a identificação do responsável de segurança;
  •     a identificação do ponto de contacto permanente.

RELATÓRIO ANUAL

A WeSecure apoiará na elaboração do relatório anual a ser comunicado ao CNCS até até ao último dia útil do mês de janeiro do ano civil seguinte aos quais os mesmos se reportam.
Este Relatório Anual respeitará a estrutura constante do anexo IV do Aviso 21606/2021

COMUNICAÇÃO DE INCIDENTES DE CIBERSEGURANÇA

CENTRO nacional DE CIBERSEGURANÇA
O envio de notificações de incidentes e de informação adicional relevante é realizado no website do CNCS (www.cncs.gov.pt), através da opção “Notificação de Incidentes”, ou por meio da API também disponibilizada pelo CNCS para esse efeito.
No caso de a entidade estar tecnicamente impossibilitada de usar os meios acima referidos, a notificação poderá excecionalmente ser feita via e-mail (cert@cert.pt) ou por telefone (210 497 399 ou 910 599 284).
Se precisar de ajuda, a WeSecure apoiará com a equipa especializada CSIRT.

COMUNICAÇÃO DE CARGOS

A comunicação do responsável de segurança e do ponto de contacto permanente devem ser comunicados para o e-mail sri@cncs.gov.pt, anexando o formulário constante do Anexo II ao Regulamento, disponível no site do CNCS.
Note-se que a mesma pessoa pode assegurar estas duas funções, desde que consiga assegurar uma disponibilidade contínua, 24 horas por dia, sete dias por semana, do ponto de contacto permanente.

CONTACTE-NOS PARA + INFORMAÇÕES