O Banco de Portugal submete a Consulta Pública até 19 de agosto, um projeto de instrução relativo ao reporte de incidentes de cibersegurança.
Enquadramento
As entidades supervisionadas pelo Banco de Portugal devem reportar qualquer situação com impacto negativo nos resultados ou capital próprio, incluindo eventos de índole operacional. Por seu lado, as instituições de crédito classificadas como significativas e com sede em Portugal reportam diretamente ao Banco Central Europeu (BCE), nos termos do Regulamento (UE) n.º 468/2014 do BCE, de 16 de abril de 2014, os incidentes de cibersegurança.
A presente Instrução tem como objeto regulamentar o reporte de incidentes de cibersegurança em entidades supervisionadas pelo Banco de Portugal e em instituições de crédito significativas com sede em Portugal supervisionadas pelo BCE. Assim, e no que respeita a estas últimas, o reporte dos aludidos incidentes passa a ser feito ao Banco de Portugal via Portal BPnet, mediante o preenchimento de um modelo de reporte estabelecido para o efeito que será reencaminhado automaticamente ao BCE. Adicionalmente, este reporte será enviado também ao Centro Nacional de Cibersegurança (CNCS), nos termos da Lei n.º 46/2018, de 13 de agosto, sempre que a entidade estiver classificada como Operador de Serviços Essenciais (OSE).
Nos termos desta Instrução, são considerados incidentes de cibersegurança todos os eventos que tenham um efeito adverso na segurança dos sistemas, aplicações ou redes; que comprometam a informação que estes sistemas, aplicações e redes processam, armazenam ou partilham; e/ou que infrinjam as políticas de segurança de informação e uso dos sistemas, aplicações ou redes das entidades.
Resumidamente, este instrumento regulamentar visa:
- Estabelecer o dever de comunicação de incidentes de cibersegurança significativos ou severos em entidades supervisionadas pelo Banco de Portugal e pelo BCE;
- Harmonizar os diferentes reportes de incidentes de cibersegurança do Banco de Portugal, BCE e CNCS, através da implementação de um modelo de reporte único, com uma taxonomia e terminologia comuns, por forma a reduzir a multiplicidade de reportes e consequente sobreposição de esforços;
- Centralizar a comunicação dos incidentes de cibersegurança num ponto único de contacto, no Portal BPnet (www.bportugal.net), via Área de Supervisão Prudencial, no serviço “Reporte de Incidentes de Cibersegurança”, que reencaminhará os reportes de forma automática e imediata ao BCE e/ou CNCS quando aplicável.
Cabe notar que a presente proposta da Instrução não preclude o reporte de incidentes de caráter severo relativo à prestação de serviços de pagamento, regulamentado na Instrução do Banco de Portugal n.º 1/2019, a qual se mantém em vigor, nem o reporte à Comissão Nacional de Proteção de Dados sempre que o incidente de cibersegurança resultar numa violação da proteção dos dados de pessoas singulares, ao abrigo do Regulamento Geral de Proteção de Dados.
Resposta à consulta pública
Os contributos para esta consulta pública devem ser apresentados através do preenchimento do ficheiro Excel disponível nesta página web e remetidos até 19 de agosto, para o endereço de correio eletrónico: consultas.publicas.dsp@bportugal.pt.
Para a colocação de questões deverá ser utilizado o referido endereço de correio eletrónico.
Ressalva-se que o Banco de Portugal poderá publicar os contributos recebidos ao abrigo desta consulta pública, devendo os respondentes que se oponham à publicação da sua comunicação – integral ou parcial – assinalar o campo indicado para o efeito no contributo enviado.