Número: 115

Emissor: Presidência do Conselho de Ministros

Página do DR: 5035-5037

Diploma / Acto: Resolução do Conselho de Ministros n.º 115/2017

Sumário:

A Resolução do Conselho de Ministros n.º 36/2015, de 12 de junho, aprovou a Estratégia Nacional de Segurança do Ciberespaço (ENSC), com o propósito de aprofundar a segurança das redes e da informação. Visou-se, em especial, garantir a proteção e a defesa das infraestruturas críticas e dos serviços vitais de informação, e potenciar uma utilização livre, segura e eficiente do ciberespaço por parte de todos os cidadãos, das empresas e das entidades públicas e privadas.

A responsabilidade pela segurança do ciberespaço nacional encontra-se distribuída por diferentes entidades com missões e objetivos diversos, sendo, por essa razão, imperioso assegurar a existência de uma abordagem transversal e integradora das variadas sensibilidades, necessidades e capacidades dos diversos setores com intervenção neste âmbito.

Por outro lado, importa dar resposta à necessidade de estabelecer a coordenação político-estratégica, na dependência direta do Primeiro-Ministro ou do membro do Governo em quem ele delegar, com representantes de todas as partes interessadas, conforme definido no n.º 1 do Eixo 1 – Estrutura de segurança do ciberespaço da ENSC, em estrita observância dos princípios da subsidiariedade, complementaridade, cooperação, proporcionalidade e sensibilização elencados na referida estratégia.

Assim, procede-se à criação, através da presente resolução, de um grupo de projeto denominado Conselho Superior de Segurança do Ciberespaço, que funciona na dependência do Primeiro-Ministro ou do membro do Governo em quem aquele delegar, e cuja missão consiste em assegurar a coordenação político-estratégica para a segurança do ciberespaço e o controlo da execução da ENSC e da respetiva revisão.

Além disso, reforça-se o dever de notificação de incidentes de cibersegurança por parte de entidades públicas e dos operadores de infraestruturas críticas, com vista a assegurar a eficácia da respetiva coordenação operacional, bem como uma melhor avaliação situacional, tal como já previsto na alínea e) do n.º 2 do acima referido Eixo 1 da ENSC.

Assim:

Nos termos do artigo 28.º da Lei n.º 4/2004, de 15 de janeiro, e da alínea g) do artigo 199.º da Constituição, o Conselho de Ministros resolve:

1 – Constituir o grupo de projeto denominado Conselho Superior de Segurança do Ciberespaço, doravante abreviadamente designado por CSSC, que funciona na dependência do Primeiro-Ministro ou do membro do Governo em quem aquele delegar, e estabelecer as condições do seu funcionamento.

2 – Determinar que o CSSC tem por missão assegurar a coordenação político-estratégica para a segurança do ciberespaço e o controlo da execução da Estratégia Nacional de Segurança do Ciberespaço (ENSC) e da respetiva revisão.

3 – Determinar que o CSSC tem como objetivos:

a) Assegurar a coordenação político-estratégica para a segurança do ciberespaço;

b) Verificar a implementação da ENSC;

c) Propor a revisão e elaborar a ENSC;

d) Pronunciar-se sobre a ENSC previamente à sua submissão para aprovação;

e) Elaborar anualmente, ou sempre que necessário, relatório de avaliação da execução da ENSC;

f) Propor ao Primeiro-Ministro, ou ao membro do Governo em quem aquele delegar, a aprovação de decisões de caráter programático relacionadas com a definição e execução da ENSC;

g) Responder a solicitações por parte do Primeiro-Ministro, ou do membro do Governo em quem aquele delegar, no âmbito da sua missão.

4 – Determinar que o CSSC tem a seguinte composição:

a) O Primeiro-Ministro ou o membro do Governo em quem aquele delegar, que preside;

b) A Autoridade Nacional de Segurança, que substitui o/a presidente nas suas ausências e impedimentos;

c) O/A Secretário/a-Geral do Sistema de Segurança Interna;

d) O/A Secretário/a-Geral do Sistema de Informações da República Portuguesa;

e) O/A Diretor/a do Serviço de Informações de Segurança;

f) O/A Coordenador/a do Centro Nacional de Cibersegurança;

g) O/A Embaixador/a para a Cibersegurança;

h) O/A Presidente do Conselho Diretivo da Agência para a Modernização Administrativa, I. P.;

i) O/A Diretor/a-Geral da Autoridade Tributária e Aduaneira;

j) O/A Diretor/a de Comunicações e Sistemas de Informação das Forças Armadas;

k) Um representante da Rede Nacional de Segurança Interna;

l) O/A Presidente do Instituto de Gestão Financeira e Equipamentos da Justiça, I. P.;

m) O/A Diretor/a da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Polícia Judiciária;

n) Um representante do Ministério Público, designado pelo/a Procurador/a-Geral da República;

o) O/A Presidente da Fundação para a Ciência e a Tecnologia, I. P.;

p) O/A Diretor/a-Geral da Direção-Geral da Educação;

q) O/A Presidente do Conselho de Administração dos SPMS – Serviços Partilhados do Ministério da Saúde, E. P. E.;

r) O/A Presidente do Conselho de Administração Executivo da Infraestruturas de Portugal, S. A.;

s) O/A Presidente do IAPMEI – Agência para a Competitividade e Inovação, I. P.;

t) Um representante da Rede Nacional de Equipas de Resposta a Incidentes de Segurança Informática (CSIRT).

5 – Estabelecer que, a convite do/a presidente, podem ainda participar nos trabalhos do CSSC representantes indicados por outras entidades, bem como personalidades de reconhecido mérito na área em que são desenvolvidos os trabalhos.

6 – Determinar que os membros do CSSC podem fazer-se representar no desempenho das respetivas funções.

7 – Determinar que pelo exercício de funções no CSSC não são devidos acréscimos remuneratórios.

8 – Determinar que o apoio logístico e administrativo do CSSC é assegurado pelo Gabinete Nacional de Segurança/Centro Nacional de Cibersegurança.

9 – Determinar que os membros do CSSC são designados no prazo máximo de 10 dias úteis a contar da entrada em vigor da presente resolução.

10 – Determinar que os membros do CSSC devem aprovar um regulamento de funcionamento interno, no prazo máximo de 30 dias a contar da entrada em vigor da presente resolução.

11 – Determinar que o CSSC apresentará um relatório final sobre os trabalhos desenvolvidos e termina o seu mandato a 31 de maio de 2018, podendo o mesmo ser prorrogado, mediante resolução do Conselho de Ministros.

12 – Determinar que as entidades públicas e os operadores de infraestruturas críticas têm o dever de notificar o Gabinete Nacional de Segurança/Centro Nacional de Cibersegurança, sem demora injustificada, os incidentes com impacto importante na segurança das redes e dos sistemas de informação.

13 – Determinar que a presente resolução entra em vigor no dia seguinte ao da sua publicação.

Presidência do Conselho de Ministros, 13 de julho de 2017. – Pelo Primeiro-Ministro, Augusto Ernesto Santos Silva, Ministro dos Negócios Estrangeiros.