Está aqui

Fórum com a Indústria para a Cibersegurança e Resiliência Operacional

Fórum com a Indústria para a Cibersegurança e Resiliência Operacional

O Fórum com a Indústria para a Cibersegurança e Resiliência Operacional (FICRO) é uma estrutura consultiva do Banco de Portugal que reúne representantes do setor bancário, do prestador de serviços críticos de pagamento e da autoridade nacional de cibersegurança. 

Tem como missão contribuir para o reforço da resiliência operacional do sistema financeiro português, através da coordenação e da partilha das melhores práticas neste domínio.  

Em concreto, o Fórum visa:

  • Sensibilizar os membros dos órgãos de administração e de fiscalização das instituições participantes para a importância de atuar na prevenção de eventos operacionais e de cibersegurança, minimizando assim os potenciais impactos negativos e o nível de exposição a estes riscos;
  • Fomentar a compreensão sobre os requisitos legais de cibersegurança e notificação de incidentes de cibersegurança;
  • Aprofundar a cooperação entre o Banco de Portugal e as instituições supervisionadas, fomentando o diálogo e a partilha de informação entre os participantes sobre cibersegurança;
  • Debater as diferentes abordagens à prevenção de incidentes de cibersegurança, nomeadamente através da implementação de metodologias de testes de cibersegurança; 
  • Desenvolver e coordenar a implementação de iniciativas com vista à gestão destes riscos em Portugal, nomeadamente do TIBER-EU;
  • Identificar as principais dificuldades encontradas pelas instituições no desenvolvimento e na aplicação de novas medidas de cibersegurança.
Composição

O Fórum é composto por:

  • Um membro do Conselho de Administração do Banco de Portugal, que preside ao Fórum;
  • Membros da direção e equipas relevantes dos Departamentos de Supervisão Prudencial, de Sistemas de Pagamentos e de Sistemas e Tecnologias de Informação do Banco de Portugal;
  • Membros dos órgãos de administração com os pelouros de sistemas de informação, segurança, digitalização e/ou funções de controlo das instituições designadas como operadores de serviços essenciais do setor bancário ao abrigo da Lei n.º 46/2018, de 13 de agosto; 
  • Um representante da Associação Portuguesa de Bancos (APB);
  • Um representante do Centro Nacional de Cibersegurança (CNCS);
  • Um representante do prestador de serviços críticos de pagamentos (SIBS FPS).
Reuniões

1.ª Reunião plenária (08/04/2021) – Agenda | Síntese

2.ª Reunião plenária (15/12/2021) – Agenda | Síntese

Reunião extraordinária (21/02/2022) – Agenda | Síntese

3.ª Reunião plenária (03/10/2022) – Agenda

TIBER-PT

Quadro de referência

Num contexto de crescente digitalização do setor financeiro, é premente considerar ciberameaças relevantes para as instituições, tal como a necessidade de estas aumentarem a sua maturidade em cibersegurança.

O Conselho do BCE, em 19 de abril de 2018, aprovou a adoção do quadro de referência TIBER-EU para a realização de testes avançados de cibersegurança. O TIBER-EU foi adotado localmente em vários países.

Os testes avançados de cibersegurança (TLPT, na sigla inglesa) diferem dos testes de intrusão convencionais na medida em que procuram simular as táticas, as técnicas e os procedimentos utilizados por agentes que ameaçam a infraestrutura tecnológica crítica para as instituições financeiras. Num teste avançado, não são apenas consideradas as vulnerabilidades presentes na infraestrutura das tecnologias de informação e comunicação (TIC) da instituição, mas também os seus procedimentos internos e recursos humanos, com o conhecimento de apenas um grupo restrito de colaboradores da instituição, a fim de melhor simular as reais capacidades de prevenção, deteção e resposta da instituição.

Foi neste contexto que o Conselho de Administração do Banco de Portugal, como autoridade TIBER em Portugal, aprovou a transposição do quadro de referência TIBER-EU em Portugal, denominado TIBER-PT, em 26 de abril de 2022.

Os testes TIBER-PT realizar-se-ão de forma voluntária, podendo ser autopropostos ou propostos às instituições pelo Banco de Portugal, e a sua gestão competirá às instituições financeiras que os realizem. As instituições deverão, por isso, considerar o teste TIBER-PT como uma oportunidade para identificar pontos fortes e oportunidades de melhoria, tendo em vista um maior nível de maturidade de ciber-resiliência.

O alinhamento com o quadro de referência TIBER-EU garante que os testes realizados de acordo com o TIBER-PT serão reconhecidos por outras jurisdições que tenham igualmente adotado o TIBER-EU.

 

Âmbito

O âmbito do TIBER-PT inclui instituições de crédito, companhias financeiras, companhias financeiras mistas, instituições de pagamento e instituições de moeda com atividade em Portugal. 

 

Contactos

As instituições poderão dirigir as suas questões ou expressar o seu interesse na realização de um teste TIBER-PT enviando um e-mail para tiber@bportugal.pt. 

 

Documentação relevante

Templates locais

TIBER-PT Guide

Risk Management Template

360° Feedback Template

 

Templates gerais

TIBER-EU

TIBER-EU Framework

TIBER-EU Services Procurement Guidelines

TIBER-EU White Team Guidance

Tags