Debates Parlamentares - Diário 110, p. 53 (2018-05-09)

O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.

Não foi possivel carregar a página pretendida. Reportar Erro

9 DE MAIO DE 2018

De salientar que o governo decidiu isentar deste regime as empresas que operam na infraestrutura dos

mercados financeiros e bancários, sob o argumento de que já existem «atos jurídicos da UE» que estabelecem

requisitos específicos para o setor quanto à segurança da rede e dos sistemas de informação das empresas ou

à notificação de incidentes de cibersegurança. As empresas do setor devem continuar a cumprir os requisitos-

padrão estabelecidos pelo Bank of England e/ou pela Financial Conduct Authority.

Resulta ainda da consulta efetuada a intenção do governo de atualizar a legislação nacional, codificando os

requisitos de reporte de incidentes de modo a harmonizar a regulamentação de segurança cibernética das

infraestruturas do mercado financeiro a regulamentações equivalentes que serão introduzidas nos restantes

setores na sequência da transposição da Diretiva (UE) 2016/1148.

3) O National Cyber Security Centre (NCSC) que aprovou um guia para os operadores de serviços essenciais

sobre o tipo de medidas de segurança a implementar, ficou com as suas funções circunscritas à segurança

cibernética.

4) O governo pretende também simplificar o regime de resposta a incidentes, separar os procedimentos de

resposta a incidentes dos procedimentos de notificação de incidentes, e o regime de sanções de modo a reduzir

o risco de coimas superiores a 17 milhões de libras. O sistema sancionatório só servirá como dissuasor e não

serão emitidas multas quando os operadores de serviços essenciais tiverem avaliado adequadamente os riscos,

adotado as medidas de segurança apropriadas e articulado com os reguladores, mas ainda assim tenham sofrido

um ataque.

O governo reconhece a possibilidade dos operadores de serviços essenciais que violem as regras

decorrentes da aplicação da Diretiva possam, também, violar simultaneamente outra legislação e admitiu que

pudessem receber mais do que uma multa oriunda de diferentes reguladores em relação à violação da mesma

regra de segurança. O princípio é o de que os operadores de serviços essenciais e os fornecedores de serviços

digitais não devam ser condenados duplamente pela mesma infração, mas admite que possa haver uma razão

para serem sancionados, pelo mesmo evento, sob regimes diferentes porque as sanções podem estar

relacionadas com diferentes aspetos da infração e a impactos diferentes.

Admitindo que não é possível evitar essa dupla penalização sem prejudicar a aplicação da Diretiva, a opção

política foi a de encorajar as autoridades competentes a trabalhar com os reguladores no caso de haver

diferentes regimes aplicáveis a fim de determinar a abordagem a ser adotada. Tal não limitará a capacidade da

autoridade competente em aplicar a sanção adequada às circunstâncias, mas incentivará a consideração de

outros regimes.

Destacam-se conexos com a matéria em apreço, o Data Protection Act, e os Privacy and Electronic

Communications Regulations. Existem ainda bastantes guias práticos, situados num plano regulamentar, com

orientações específicas sobre a matéria, tanto para organizações como para cidadãos os quais podem ser

encontrados no portal do Information Commisioner Office.

Pertinente para consulta, o National Cyber Security Strategy 2016-2020 tem também uma versão oficial em

língua portuguesa.

Organizações internacionais

CONSELHO DA EUROPA

Concluída e aprovada em novembro de 2001, a Convenção sobre o Cibercrime foi apresentada para

assinatura e ratificação aos 47 Estados-membros, bem como a outros Estados presentes com o estatuto de

observador, entre os quais Estados Unidos da América, Japão, África do Sul e Canadá. Foi ainda acrescentado

um protocolo adicional em janeiro de 2003 com o intuito de abordar as questões de natureza racista e xenófobas

no ciberespaço: Additional Protocol to the Convention on Cybercrime, concerning the criminalisation of acts of a

racist and xenophobic nature committed through computer systems.

Até à data só não foi assinada pela Federação Russa, não tendo ainda sido ratificada pela Irlanda, Suécia e

África do Sul. Esta Convenção entrou em vigor a dia 1 de julho de 2004 após ser ratificada por 5 países, dos

quais 3 são Estados-membros do Conselho de Europa.

9 DE MAIO DE 2018 53 De salientar que o governo decidiu isentar deste regime as empresas que operam na infraestrutura dos mercados financeiros e bancários, sob o argumento de que já existem «atos jurídicos da UE» que estabelecem requisitos específicos para o setor quanto à segurança da rede e dos sistemas de informação das empresas ou à notificação de incidentes de cibersegurança. As empresas do setor devem continuar a cumprir os requisitos-padrão estabelecidos pelo Bank of England e/ou pela Financial Conduct Authority. Resulta ainda da consulta efetuada a intenção do governo de atualizar a legislação nacional, codificando os requisitos de reporte de incidentes de modo a harmonizar a regulamentação de segurança cibernética das infraestruturas do mercado financeiro a regulamentações equivalentes que serão introduzidas nos restantes setores na sequência da transposição da Diretiva (UE) 2016/1148. 3) O National Cyber Security Centre (NCSC) que aprovou um guia para os operadores de serviços essenciais sobre o tipo de medidas de segurança a implementar, ficou com as suas funções circunscritas à segurança cibernética. 4) O governo pretende também simplificar o regime de resposta a incidentes, separar os procedimentos de resposta a incidentes dos procedimentos de notificação de incidentes, e o regime de sanções de modo a reduzir o risco de coimas superiores a 17 milhões de libras. O sistema sancionatório só servirá como dissuasor e não serão emitidas multas quando os operadores de serviços essenciais tiverem avaliado adequadamente os riscos, adotado as medidas de segurança apropriadas e articulado com os reguladores, mas ainda assim tenham sofrido um ataque. O governo reconhece a possibilidade dos operadores de serviços essenciais que violem as regras decorrentes da aplicação da Diretiva possam, também, violar simultaneamente outra legislação e admitiu que pudessem receber mais do que uma multa oriunda de diferentes reguladores em relação à violação da mesma regra de segurança. O princípio é o de que os operadores de serviços essenciais e os fornecedores de serviços digitais não devam ser condenados duplamente pela mesma infração, mas admite que possa haver uma razão para serem sancionados, pelo mesmo evento, sob regimes diferentes porque as sanções podem estar relacionadas com diferentes aspetos da infração e a impactos diferentes. Admitindo que não é possível evitar essa dupla penalização sem prejudicar a aplicação da Diretiva, a opção política foi a de encorajar as autoridades competentes a trabalhar com os reguladores no caso de haver diferentes regimes aplicáveis a fim de determinar a abordagem a ser adotada. Tal não limitará a capacidade da autoridade competente em aplicar a sanção adequada às circunstâncias, mas incentivará a consideração de outros regimes. Destacam-se conexos com a matéria em apreço, o Data Protection Act, e os Privacy and Electronic Communications Regulations. Existem ainda bastantes guias práticos, situados num plano regulamentar, com orientações específicas sobre a matéria, tanto para organizações como para cidadãos os quais podem ser encontrados no portal do Information Commisioner Office. Pertinente para consulta, o National Cyber Security Strategy 2016-2020 tem também uma versão oficial em língua portuguesa. Organizações internacionais CONSELHO DA EUROPA Concluída e aprovada em novembro de 2001, a Convenção sobre o Cibercrime foi apresentada para assinatura e ratificação aos 47 Estados-membros, bem como a outros Estados presentes com o estatuto de observador, entre os quais Estados Unidos da América, Japão, África do Sul e Canadá. Foi ainda acrescentado um protocolo adicional em janeiro de 2003 com o intuito de abordar as questões de natureza racista e xenófobas no ciberespaço: Additional Protocol to the Convention on Cybercrime, concerning the criminalisation of acts of a racist and xenophobic nature committed through computer systems.Até à data só não foi assinada pela Federação Russa, não tendo ainda sido ratificada pela Irlanda, Suécia e África do Sul. Esta Convenção entrou em vigor a dia 1 de julho de 2004 após ser ratificada por 5 países, dos quais 3 são Estados-membros do Conselho de Europa.

Descarregar páginas