Foi publicado a 1 de abril de 2019, na Série II do Diário da República, o Regulamento n.º 303/2019https://www.anacom.pt/render.jsp?contentId=1469920 relativo à segurança e à integridade das redes e serviços de comunicações eletrónicas, aprovado por decisão final da ANACOM de 14 de março de 2019https://www.anacom.pt/render.jsp?contentId=1469121.
Este Regulamento consagra a obrigação de se proceder à identificação dos ativos das empresas cujo funcionamento é crítico e que devem ser objeto de classificação e inventariação. Estabelece também o reforço da capacidade de articulação entre a ANACOM e as empresas do sector, seja nos tempos de resposta ou nos conteúdos da mesma, bem como com outros sectores que dependem das comunicações eletrónicas.
As regras preveem a nomeação de um responsável de segurança e a adoção de uma política de segurança nas empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público. O regulamento assenta na clara identificação de que o bom funcionamento das redes e dos serviços é relevante nas situações normais do dia-a-dia, mas sobretudo nas situações de emergência, nas quais são essenciais a preparação e o planeamento, e em que a entreajuda e a colaboração são determinantes para atingir objetivos comuns.
A relevância destas medidas assume especial acuidade no sector das comunicações eletrónicas, por se tratar de uma infraestrutura essencial para que outras entidades, tais como os hospitais, os serviços de emergência, a banca, as empresas de energia, de transportes e de distribuição de água, possam assegurar a continuidade dos seus serviços.
O Regulamento n.º 303/2019 estabelece também:
- as condições nas quais as empresas de comunicações eletrónicas devem divulgar ao público as violações de segurança ou as perdas de integridade que tenham impacto significativo, e bem assim as regras e os procedimentos de comunicação que incumbem a tais empresas;
- as obrigações de realização de auditorias à segurança das redes e serviços, de envio do respetivo relatório à ANACOM, bem como os requisitos a que devem obedecer as auditorias e os requisitos aplicáveis às entidades auditoras;
- que as empresas de comunicações eletrónicas passam a ter o dever de implementar um programa de exercícios, para um período máximo de dois anos, para avaliar a segurança das redes e serviços e a sua adequação, com vista a eventuais melhorias.
O Regulamento consagra ainda a criação de uma Comissão de Acompanhamento da aplicação das novas regras, a qual será coordenada pela ANACOM e integrará representantes das empresas de comunicações eletrónicas. O diploma entra em vigor a 2 de abril, na sua generalidade, mas prevê que diversas obrigações sejam implementadas de modo faseado.
