Entrar no conteúdo
Institucional

Notificação de violações de segurança e perdas de integridade nas redes e serviços de comunicações electrónicas e respectiva divulgação pública - sentido provável de decisão

Projecto de decisão relativo:

  • Às circunstâncias, formato e procedimentos aplicáveis às exigências de comunicação das violações de segurança ou das perdas de integridade com impacte significativo no funcionamento das redes e serviços pelas empresas que oferecem redes de comunicações públicas ou serviços de comunicações electrónicas acessíveis ao público;
     
  • Às condições em que o ICP-ANACOM considera existir um interesse público na divulgação ao público, por parte das empresas que oferecem redes de comunicações públicas ou serviços de comunicações electrónicas acessíveis ao público, das violações de segurança ou das perdas de integridade com impacte significativo no funcionamento das redes e serviços, e conteúdo, meios e prazos relativos à referida divulgação.

Deliberação

Em 25 de Novembro de 2009 o Parlamento Europeu e o Conselho aprovaram:

  • A Directiva 2009/136/CE 1 que altera a Directiva 2002/22/CE relativa ao serviço universal e aos direitos dos utilizadores em matéria de redes e serviços de comunicações electrónicas, a Directiva 2002/58/CE relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas e o Regulamento (CE) n.o 2006/2004 relativo à cooperação entre as autoridades nacionais responsáveis pela aplicação da legislação de defesa do consumidor;
     
  • A Directiva 2009/140/CE 2 que altera a Directiva 2002/21/CE relativa a um quadro regulamentar comum para as redes e serviços de comunicações electrónicas, a Directiva 2002/19/CE relativa ao acesso e interligação de redes de comunicações electrónicas e recursos conexos e a Directiva 2002/20/CE relativa à autorização de redes e serviços de comunicações electrónicas.


As quais determinaram a alteração do quadro regulatório, quer ao nível Europeu, quer ao nível dos Estados-Membros através da transposição daqueles actos para a respectiva legislação nacional.

Assumem relevância no contexto do presente documento as alterações introduzidas na Directiva 2002/21/CE relativa a um quadro regulamentar comum para as redes e serviços de comunicações electrónicas, nomeadamente o novo Capítulo III-A: Segurança e Integridade de Redes e Serviços, integrado pelos artigos 13.º A e 13.º B.

A introdução daquele capítulo visa reforçar o nível de segurança das comunicações electrónicas, cada vez mais fundamental para toda a economia e para a sociedade em geral, nomeadamente dotando as Autoridades Reguladoras Nacionais (ARN) e a Agência Europeia para a Segurança das Redes e da Informação (ENISA) dos meios necessários para desempenharem as suas funções neste âmbito.

Com efeito, conforme refere o considerando 44 da Directiva 2009/140/CE, “a complexidade dos sistemas, as falhas técnicas ou erros humanos, os acidentes ou os ataques aos sistemas podem, todos eles, ter consequências no funcionamento e na disponibilidade das infra-estruturas físicas através das quais se fornecem serviços importantes para os cidadãos da EU, incluindo serviços de governo electrónico”.

Ainda no mesmo considerando é referida a necessidade de tanto a ENISA como as ARN’s possuírem “os meios necessários para desempenharem as suas funções, inclusivamente poderes para obterem informações suficientes que lhes permitam avaliar o nível de segurança das redes ou serviços, assim como dados completos e fiáveis sobre os incidentes concretos de segurança que tenham tido um impacte significativo no funcionamento das redes ou dos serviços” e que “deverá exigir-se aos fornecedores de redes e serviços de comunicações electrónicas que tomem medidas para proteger a sua integridade e segurança em função dos riscos avaliados, tendo em conta, na aplicação dessas medidas, o estado da técnica”.

A Lei n.º 51/2011 3 de 13 de Setembro veio alterar a Lei n.º 5/2004 de 10 de Fevereiro, transpondo a Directiva 2009/140/CE e republicando a Lei das Comunicações Electrónicas (LCE) na sua redacção actual.

A transposição do anteriormente referido novo Capítulo III-A da Directiva 2002/21/CE relativa a um quadro regulamentar comum para as redes e serviços de comunicações electrónicas é acolhida na LCE através do novo Capítulo V do Título III (Oferta de redes e serviços de comunicações electrónicas) – Segurança e integridade das redes e serviços, integrado pelos artigos 54.º-A a 54.º-G.

Pela relevância que o ICP-ANACOM atribui à segurança das redes e serviços de comunicações electrónicas, entendeu o seu Conselho de Administração criar na sua estrutura, a partir de 1 de Março de 2007, o Gabinete de Segurança das Comunicações, actualmente Direcção de Segurança das Comunicações, com a missão de “assegurar o exercício das competências atribuídas ao ICP-ANACOM relativas à segurança das comunicações, às comunicações de emergência, ao planeamento civil de emergência e à normalização; promover e acompanhar a política de segurança interna da organização.”.

O ICP-ANACOM promoveu desde aquela data várias iniciativas, nomeadamente Workshops e Estudos relativos à Segurança das Comunicações Electrónicas, atento à necessidade de garantir a segurança e a integridade das redes e serviços de comunicações electrónicos acessíveis ao público que, pela sua importância na actividade socioeconómica, contribui para valores e objectivos importantes para a sociedade.

Essas iniciativas têm-se destinado também a promover no sector uma cultura de segurança e ao mesmo tempo de alerta e de mudança de mentalidade, destacando a necessidade de, entre outros, as empresas que oferecem redes de comunicações públicas ou serviços de comunicações electrónicas acessíveis ao público se dotarem de meios que lhes permitam responder em tempo aos novos desafios com que já hoje se defrontam em matéria de segurança e integridade das redes e serviços.

Por outro lado, tem também o ICP-ANACOM acompanhado vários fora que a nível europeu e internacional debatem esta matéria, aqui se destacando a ENISA pela relevância que o novo quadro regulatório lhe incumbe, nomeadamente fornecendo competências especializadas e aconselhamento, e promovendo o intercâmbio de melhores práticas.

Neste sentido, acompanhámos e participámos nos trabalhos que a ENISA vem desenvolvendo desde 2010 sobre a matéria, nomeadamente os relativos a linhas de orientação sobre as notificações de violações de segurança e de perdas de integridade («incidentes de segurança» no presente documento) 4, os quais foram tidos em consideração.

Como já referido, a LCE, republicada em 13 de Setembro na sua redacção actual, dispõe nos artigos 54.º-A a 54.º-G a matéria relativa a segurança e integridade das redes e serviços.

Trata-se de uma área nova no quadro regulatório das comunicações electrónicas, em que quer a nível europeu quer a nível nacional há todo um caminho a percorrer no sentido de melhor garantir a segurança e integridade das redes e serviços de comunicações electrónicas.

Para atingir esse objectivo aqueles artigos contemplam várias  obrigações para as empresas que oferecem redes de comunicações públicas ou serviços de comunicações electrónicas acessíveis ao público e concretizam competências, poderes e deveres de informação para o ICP-ANACOM.

Considera-se que, à parte o que se refere seguidamente, o disposto na LCE é claro e preciso para que as empresas e o ICP-ANACOM possam desenvolver o seu trabalho nesta matéria no curto prazo, permitindo posteriormente e em tempo fazer uma reflexão sobre o caminho entretanto percorrido e então melhorar, se for o caso, a densificação quer da presente presente matéria quer de eventuais medidas adicionais para uma melhoria do objectivo prosseguido no âmbito da segurança e integridade das redes e serviços de comunicações electrónicas.

Com efeito e quanto às notificações das violações de segurança ou das perdas de integridade com impacte significativo no funcionamento das redes e serviços, previstas no artigo 54.º-B da LCE, importa que o ICP-ANACOM proceda desde já em conformidade com o disposto no n.º 2 do artigo 54.º-C da LCE, definindo as circunstâncias, o formato e os procedimentos aplicáveis às exigências de comunicação de violações de segurança ou perdas de integridade das redes.

Este aspecto é relevante, nomeadamente em termos de previsibilidade da regulação, garantindo coerência na abordagem à matéria, pois caso contrário cada empresa poderia balizar diferentemente a matéria prejudicando assim uma análise objectiva das notificações submetidas ao ICP-ANACOM, e também essencial para uma correcta aplicação de todo o sistema de notificações e relatórios previsto na legislação nacional e comunitária nesta matéria, nomeadamente quanto aos relatórios anuais que o ICP-ANACOM deverá apresentar à Comissão Europeia e à ENISA (alínea c) do artigo 54.º-E da LCE).

O devido enquadramento das notificações torna-se ainda relevante pois estas permitem, nomeadamente:

  • Adquirir conhecimento com as medidas de detecção, resposta e recuperação tomadas no âmbito dos incidentes de segurança;
  • Disseminar informação entre partes interessadas;
  • Aceder a um histórico de incidentes de segurança;
  • Propor e fiscalizar acções de seguimento;
  • Analisar ameaças;
  • Identificar boas práticas;
  • Recolher matéria para eventuais cenários a usar em exercícios;
  • Compreender possíveis tendências futuras.


Outro aspecto que em nosso entender importa especificar desde já serão aqueles incidentes de segurança que, no interesse do público, devam ser publicamente divulgados pelas empresas que oferecem redes de comunicações públicas ou serviços de comunicações electrónicas acessíveis ao público nos termos previstos na alínea b) do artigo 54.º-E da LCE, sem necessidade de determinação prévia pelo ICP-ANACOM, de modo a que essa informação seja disponibilizada ao público dentro do mais curto prazo possível.

Com efeito, a previsível evidência pública de que se reveste o impacte de determinados incidentes de segurança e o interesse do público em geral e dos assinantes das empresas em particular em obter tão breve quanto possível a respectiva informação, aconselha a que o ICP-ANACOM considere a priori de interesse público a informação a disponibilizar ao público, sobre determinados incidentes de segurança, pelas empresas que oferecem redes de comunicações públicas ou serviços de comunicações electrónicas acessíveis ao público.

Assim, ao abrigo do disposto na alínea d) do artigo 9.º dos Estatutos, anexos ao Decreto-Lei n.º 309/2001, de 7 de Dezembro, no âmbito das atribuições previstas na alínea b) do artigo 6.º dos mesmos Estatutos e na alínea f) do n.º 4 do artigo 5.º da Lei n.º 5/2004, de 10 de Fevereiro, com a redacção que lhe foi conferida pela Lei n.º 51/2011, de 13 de Setembro (LCE) e no exercício das competências previstas no n.º 2 do artigo 54.º-C e na alínea b) do artigo 54.º-E, o Conselho de Administração do ICP-ANACOM delibera:

1. Aprovar os projectos de decisão relativos:

a) Às circunstâncias, ao formato e aos procedimentos aplicáveis às exigências de comunicação das violações de segurança ou das perdas de integridade com impacte significativo no funcionamento das redes e serviços, pelas empresas que oferecem redes de comunicações públicas ou serviços de comunicações electrónicas acessíveis ao público, de acordo com o definido no Anexo A a esta deliberação; e

b) Às condições em que o ICP-ANACOM considera existir um interesse público na divulgação ao público, por parte das empresas que oferecem redes de comunicações públicas ou serviços de comunicações electrónicas acessíveis ao público, das violações de segurança ou das perdas de integridade com impacte significativo no funcionamento das redes e serviços, de acordo com o definido no Anexo B a esta deliberação.

2. Submeter os projectos de decisão constantes do ponto n.º 1 desta deliberação a audiência prévia das entidades interessadas, de acordo com o disposto nos artigos 100.º e 101.º do Código de Procedimento Administrativo, e, nos termos do disposto no artigo 8.º e no n.º 4 do artigo 54.º-C da LCE, ao procedimento geral de consulta, fixando o prazo de vinte dias úteis para que os interessados se pronunciem por escrito e devendo a informação considerada confidencial ser expressamente identificada pelos mesmos.

Notas
nt_title
 
1 Directiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25.11.2009https://www.anacom.pt/render.jsp?contentId=1010644.
2 Directiva 2009/140/CE do Parlamento Europeu e do Conselho, de 25.11.2009https://www.anacom.pt/render.jsp?contentId=1011236.
3 Lei n.º 51/2011, de 13 de Setembrohttps://www.anacom.pt/render.jsp?contentId=1097032.
4 Technical Guideline on Incident Reportinghttp://www.enisa.europa.eu/act/res/reporting-incidents/incidents-reporting-to-enisa/technical-guideline-on-incident-reporting.

Melhore a sua experiência na utilização de serviços.
Conhece o tarifário ideal para si?
Já testou a velocidade da sua Internet?
GEO.ANACOM

Rua Ramalho Ortigão, 51

1099-099 Lisboa
VER NO MAPA
Email: info@anacom.pt
Ligue grátis: 800 206 665
Outros contactos