As entidades supervisionadas pelo Banco de Portugal (BdP) e as instituições de crédito significativas com sede em Portugal supervisionadas pelo Banco Central Europeu (BCE) vão passar a ter de reportar ao supervisor “incidentes de cibersegurança significativos ou severos”.
Nos termos da instrução n.º 21/2019 publicada hoje no suplemento do Boletim Oficial n.º 11/2019 do BdP – que vem regulamentar o reporte destes incidentes e entra em vigor dentro de 30 dias úteis – “num contexto de importância crescente do risco operacional associado às tecnologias de informação e comunicação, o Banco de Portugal considera que os incidentes de cibersegurança podem comprometer os sistemas e dados das entidades”.
Neste contexto, vem clarificar que “são considerados incidentes de cibersegurança todos os eventos de segurança de informação com probabilidade elevada de comprometer operações de negócio e/ou ameaçar a segurança da informação”.
Em causa, especifica, estão eventos que “impliquem um efeito adverso na segurança dos sistemas, aplicações ou redes”, comprometam a informação que estes processam, armazenam ou partilham ou “infrinjam as políticas de segurança de informação e uso dos sistemas, aplicações ou redes das entidades”.
O dever de comunicação de “incidentes de cibersegurança significativos ou severos” passa a ter de ser cumprido pelas instituições de crédito, Caixa Central de Crédito Agrícola Mútuo e Caixas de Crédito Agrícola Mútuo, empresas de investimento, instituições de pagamento, instituições de moeda eletrónica e sucursais de instituições de crédito com sede no estrangeiro, “desde que exerçam a sua atividade em Portugal”.
Segundo o BdP, o objetivo da instrução agora publicada é “harmonizar os processos de reporte e agilizar a comunicação das entidades através de um ponto único de contacto que reencaminhará, se necessário e sem demora, a informação ao BCE e ao Centro Nacional de Cibersegurança (CNCS), consoante o âmbito e a natureza do incidente”.
“Adicionalmente, a presente instrução não prejudica o dever de comunicação pelas instituições à Comissão Nacional de Proteção de Dados (CNPD) de qualquer violação da proteção de dados em consequência do incidente de cibersegurança suscetível de resultar num risco para os direitos e liberdades das pessoas singulares”, lê-se no texto da instrução.
Conheça os resultados do sorteio do Euromilhões. Veja os números do Euromilhões de 7 de…
O Lúpus Eritematoso Sistémico (LES) é uma doença autoimune em que o sistema imune ataca…
Euro Dreams Resultados Portugal: A mais recente chave do EuroDreams é revelada hoje. Conheça os…
Sete de maio de 1945 assinala o princípio do fim da II Guerra Mundial, com a…
Milhão: onde saiu hoje? Saiba tudo sobre o último código do Milhão de sexta-feira e…
Artigo de opinião da Dra. Cláudia Ferrão – Núcleo de Estudos de Doenças Respiratórias da…