As obrigações e sanções previstas no Regime Jurídico de Segurança do Ciberespaço

É indiscutível que vivemos hoje num Mundo mais digital do que aquele em que vivíamos ontem, e as entidades públicas não fogem a essa realidade, sendo mesmo expectável que a administração pública seja um exemplo e um motor propulsor para o desenvolvimento de Portugal por via da transição digital.

Exemplo disso são as variadíssimas medidas levadas a cabo um pouco por toda a administração do Estado, veja-se o caso de programas como o conhecido simplex, ou de planos de ação, como o da transição digital aprovado recentemente pela Resolução do Conselho de Ministros n.º 30/2020.

Resultado da evolução a que assistimos, aliada aos normativos que indicam esse caminho, temos que a maioria, ou mesmo todos os procedimentos, tramitam hoje em formato, suporte e/ou canais de comunicação digitais.

O aumento da utilização dos recursos digitais, não poderia ter outra consequência que não a de um equivalente aumento das preocupações com a sua segurança.

Reflexo disso é a quantidade de legislação comunitária e nacional que se aplica em matéria de segurança informática, e a que deve atender toda a Administração Pública. Administração essa a quem já não lhe é deixada margem para utilização do seu poder discricionário, mas antes sim, a quem é exigido o cabal cumprimento de um conjunto muito significativo de complexas normas, a que corresponde um rigoroso quadro sancionatório em caso de incumprimento.

Temos assim, aplicáveis a toda Administração Pública, o Regime Jurídico de Segurança do Ciberespaço, aprovado pela Lei 46/2018, de 13 de agosto, complementado pela regulamentação estabelecida no Decreto-Lei 65/2021, de 30 de julho.

Resulta dai um conjunto de requisitos e obrigações que devem ser verificados, sob pena de aplicação do regime sancionatório que prevê a aplicação de coimas entre os 5000€ e os 50000€.

Salientamos o dever de cumprir as medidas técnicas e organizativas para gerir os riscos que se colocam à segurança das redes, dos sistemas e dos dados, entre elas as obrigações de:

  • Definir um ponto de contacto permanente a nível operacional e técnico;
  • Designar um responsável de segurança;
  • Elaborar e manter atualizado um inventário dos ativos;
  • Elaborar e manter atualizado um plano de segurança;
  • Elaborar relatório anual em matéria de segurança informática;
  • Realizar periodicamente da análise de riscos, com identificação de todas as ameaças e respetivos: impactos, probabilidades de ocorrência, medidas preventivas e de resposta para cada um dos riscos.

Destas obrigações, muitas têm o seu prazo limite ultrapassado, podendo estar a sua entidade já em situação de incumprimento.

Contacte-nos! Saiba como podemos colaborar com a sua entidade neste processo, contribuindo para o cumprimento da legislação, minimizando os riscos de segurança e evitando contraordenações.

Contacte-nos para mais informações!