10.1. Implementação das alterações ao quadro regulatório


ICP-ANACOM aprovou, a 12 de dezembro de 2013, a decisão relativa às medidas que definem as circunstâncias, formato e procedimentos a observar pelas empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público, no cumprimento das suas obrigações de notificar esta Autoridade das violações de segurança ou das perdas de integridade com impacto significativo no funcionamento das redes e serviços. Esta deliberação contém ainda a determinação do dever de informação ao público das violações de segurança ou das perdas de integridade que o ICP-ANACOM considera de interesse público, por parte dessas empresas.

Foi aprovado na mesma data o estabelecimento do Centro de Reporte de Notificações de Violações de Segurança e Perdas de Integridade (CRN) e as ações a desenvolver pelo ICP-ANACOM para o operacionalizar a partir de 12 de junho de 2014.

No que respeita às medidas técnicas de execução e a auditorias de segurança, o ICP-ANACOM desenvolveu em 2013 trabalho com vista a aprovar um conjunto de decisões sobre medidas em matéria de segurança das comunicações, com a finalidade de melhorar a fiabilidade e a segurança das redes e serviços de comunicações eletrónicas, dando resposta àquilo que a legislação em vigor consagra, nomeadamente: medidas técnicas de execução respeitantes às obrigações das empresas em matéria de segurança e integridade; requisitos adicionais às medidas técnicas de execução; e requisitos a que devem obedecer as auditorias à segurança das redes e serviços.

Para efeitos da implementação do quadro regulatório no respeitante à segurança e integridade de redes e serviços, o ICP-ANACOM, a par de outras autoridades congéneres, tem participado ativamente nos trabalhos desenvolvidos a nível europeu, com a facilitação da Agência Europeia para a Segurança das Redes e da Informação (ENISA), os quais resultaram na obtenção de um consenso em torno de dois documentos de orientação técnica para as ARN - o Technical Guideline on Incident Reporting e o Technical Guideline on Security Measures.

Importa assim sublinhar que as medidas de segurança que estão a ser preparadas irão basear-se, fundamentalmente, no documento Technical Guideline on Security Measures: Technical Guidance on the Security Measures in Article 13. Este documento publicado pela ENISA fornece orientação às ARN sobre a forma de garantir que as empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público tomam medidas de segurança apropriadas.

Nesta sequência, o ICP-ANACOM pretende estabelecer um quadro referencial relativo à segurança do sector das comunicações eletrónicas, aplicável às empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público, com o objetivo de as reforçar em termos de resiliência e de gestão do risco, promovendo a melhoria da sua robustez, capacidade de adaptação e recuperação rápida a incidentes, eventos ou ocorrências que possam ter um efeito adverso na funcionalidade e disponibilidade dos serviços que prestam.