O secretário de Estado da Digitalização e da Modernização Administrativa afirmou que há medidas do Regime Jurídico da Segurança do Ciberespaço que "não estão a ser seguidas" e que as "entidades relevantes" estão a ser informadas disso.
Corpo do artigo
Mário Campolargo falava no âmbito da discussão do Orçamento do Estado para 2023 (OE2023), na comissão parlamentar conjunta de orçamento e Finanças, de Economia, Obras Públicas, Planeamento e Habitação e de Administração Pública, Ordenamento do Território e Poder Local.
O Regime Jurídico da Segurança do Ciberespaço aplica-se às entidades da Administração Pública, aos operadores de infraestruturas críticas, aos operadores de serviços essenciais, aos prestadores de serviços digitais, bem como a quaisquer outras entidades que utilizem redes e sistemas de informação, nomeadamente, no âmbito da notificação voluntária de incidentes.
"Até agora temos feito um conjunto de atividades particularmente pedagógicas, mas devo dizer que nos últimos meses fizemos um diagnóstico da maneira como os operadores de serviços essenciais ou os operadores de infraestruturas críticas ou os prestadores de serviços digitais e as próprias entidades da Administração Pública estão ou não estão comprometidas a implementar as medidas que são importantes no contexto deste regime jurídico", disse Campolargo aos deputados.
Na sequência disso, foi detetado que nem todas as medidas de segurança no ciberespaço estão em conformidade com a lei. "Verificámos, aliás, que algumas delas não estão a ser seguidas", apontou.
Portanto, "estamos neste momento no processo de informar as entidades relevantes, aquelas que estão sob a jurisdição deste Regime Jurídico de Segurança do Ciberespaço da sua não conformidade e do risco que obviamente têm de serem sujeitos a coimas", rematou o governante.
Por exemplo, a Administração Pública, os operadores de infraestruturas críticas, de serviços essenciais e os prestadores de serviços digitais são obrigados a notificar o Centro Nacional de Cibersegurança (CNCS) da ocorrência de incidentes, de acordo com a lei.
Esta informação consta do decreto-lei n.º 65/2021, de 30 de julho, que regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança e prevê um regime sancionatório em caso de incumprimento, que pode ir até aos 44,8 mil euros para as entidades e 3,7 mil euros para as pessoas singulares.
O decreto-lei estabelece os requisitos de segurança das redes e dos sistemas de informação que devem ser cumpridos pela Administração Pública, pelos operadores de infraestruturas críticas e pelos operadores de serviços essenciais.
Estas entidades "devem implementar todos os meios e os procedimentos necessários à deteção, à avaliação do impacto e à notificação de incidentes com impacto relevante ou substancial", lê-se no diploma.