|
DL n.º 20/2022, de 28 de Janeiro RESILIÊNCIA DAS INFRAESTRUTURAS CRÍTICAS NACIONAIS E EUROPEIAS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Aprova os procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias _____________________ |
|
Decreto-Lei n.º 20/2022, de 28 de janeiro
O enquadramento legal relativo à identificação e proteção de infraestruturas essenciais para a saúde, a segurança e o bem-estar económico e social da sociedade nos setores da energia e transportes encontra-se estabelecido no Decreto-Lei n.º 62/2011, de 9 de maio, que transpôs para a ordem jurídica interna a Diretiva 2008/114/CE, do Conselho, de 8 de dezembro de 2008, relativa à identificação e designação das infraestruturas críticas europeias e à avaliação da necessidade de melhorar a sua proteção.
Decorrida mais de uma década sobre a entrada em vigor daquele ato legislativo afigura-se necessária a sua revisão, tendo por base a experiência adquirida na sua aplicação. Procura-se, por esta via, retificar lapsos entretanto detetados, mas sobretudo agilizar a aplicação do regime jurídico, alinhando o seu conteúdo com as práticas que vêm sendo adotadas por outros Estados-Membros da União Europeia.
Deste modo, procura-se clarificar o âmbito de aplicação do referido enquadramento legal, enfatizando a sua natureza transetorial e conferindo às entidades representativas de cada setor um papel mais ativo no processo de identificação das respetivas infraestruturas críticas nacionais. Por outro lado, ajustam-se os prazos previstos para assegurar a adoção das medidas e ações de proteção e aumento da resiliência a aplicar às infraestruturas identificadas.
A revisão ora operada constitui, igualmente, uma oportunidade para reforçar o caráter holístico da proteção de infraestruturas críticas, alinhando o teor do presente decreto-lei com o disposto noutros normativos de caráter transversal, como a Lei de Segurança Interna, a Estratégia Nacional de Combate ao Terrorismo, a Estratégia Nacional de Segurança no Ciberespaço, o Regime Jurídico da Segurança do Ciberespaço, o Conceito Estratégico de Defesa Nacional e o Sistema Nacional de Planeamento Civil de Emergência, assim como em diversa legislação setorial específica.
Por outro lado, procede-se à alteração da orgânica do Centro de Gestão da Rede Informática do Governo (CEGER) com vista a adequá-lo para responder aos desafios vindouros, nomeadamente, e em especial, os que resultam da execução do Plano de Recuperação e Resiliência (PRR) ou da Estratégia para a Inovação e Modernização do Estado e da Administração Pública 2020-2023, bem como do Plano de Ação para a Transição Digital de Portugal.
Com efeito, na sequência da pandemia da doença COVID-19 e da necessidade de robustecer os mecanismos de resiliência dos países da União Europeia, foi elaborado o PRR, que prevê investimentos e metas a executar até 2026, tendo o previsto no PRR sido refletido, entre outros, na Estratégia supra identificada e naquele Plano de Ação.
Deste modo, é alterada a orgânica do CEGER, serviço responsável pela gestão da rede informática do Governo (RING) e pela prestação de apoio nos domínios das tecnologias de informação e de comunicações e dos sistemas de informação, sendo, por isso, um serviço fundamental ao bom funcionamento do Governo.
Em face da constante e rápida evolução e desenvolvimento das tecnologias de informação e da utilização de meios eletrónicos - circunstância que foi ainda mais evidente na sequência da pandemia da doença COVID-19 - , é necessário assegurar que o CEGER tem meios humanos adequados para assegurar a segurança da RING, ao que acresce terem sido aprovadas, no âmbito da «componente 19 - Administração Pública - Capacitação, Digitalização, Interoperabilidade e Cibersegurança» do PRR, diversas iniciativas que têm como objetivos gerais o robustecimento da RING, a capacitação dos recursos humanos e a implementação de um sistema seguro de comunicações móveis.
Com efeito, torna-se essencial dotar o CEGER dos meios necessários para assegurar as suas atribuições, capacitando-o para uma melhor resposta às exigências tecnológicas atuais, ao desenvolvimento de soluções relacionadas com a desmaterialização de processos, com a mobilidade de acessos ou com a manutenção de infraestruturas de rede, sempre sem descurar os aspetos relacionados com a segurança.
Foram ouvidos o Banco de Portugal, a Comissão do Mercado de Valores Mobiliários, a Autoridade de Supervisão de Seguros e Fundos de Pensões, a Associação Nacional de Municípios Portugueses, a Autoridade Nacional de Comunicações e a Autoridade Nacional da Aviação Civil.
Assim:
Nos termos do disposto no n.º 1 do artigo 24.º da Lei n.º 4/2004, de 15 de janeiro, na sua redação atual, e na alínea a) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:
|
CAPÍTULO I
Disposição geral
| Artigo 1.º
Objeto |
O presente decreto-lei:
a) Estabelece os procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias, procedendo à consolidação no direito nacional da transposição da Diretiva 2008/114/CE, do Conselho, de 8 de dezembro de 2008;
b) Procede à segunda alteração ao Decreto-Lei n.º 163/2007, de 3 de maio, alterado pelo Decreto-Lei n.º 16/2012, de 26 de janeiro, que aprova a orgânica do Centro de Gestão da Rede Informática do Governo. |
| |
|
|
|
|
CAPÍTULO II
Procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias
| Artigo 2.º
Definições |
Para efeitos do presente decreto-lei, entende-se por:
a) «Área de segurança», o espaço físico localizado no interior de uma infraestrutura crítica, dotado de medidas de segurança adequadas ao grau de classificação da informação aí processada e dos sistemas instalados, considerados essenciais para o seu funcionamento;
b) «Entidade setorial», a entidade com funções de regulação, controlo ou fiscalização de cada setor e subsetor relevante;
c) «Informações sensíveis», os factos, dados e informação relacionados com a segurança de uma infraestrutura crítica, que são considerados informação classificada nos termos previstos do artigo 5.º, nomeadamente a sua designação, os respetivos planos de segurança, assim como outros elementos que, se divulgados, podem ser utilizados para planear e agir com o objetivo de provocar a perturbação do funcionamento ou a destruição da infraestrutura crítica;
d) «Infraestrutura crítica», a componente, sistema ou parte deste que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação do funcionamento ou destruição teria um impacto significativo, dada a impossibilidade de continuar a assegurar essas funções;
e) «Infraestrutura crítica europeia», a infraestrutura crítica nacional cuja perturbação do funcionamento ou destruição teria um impacto significativo em, pelo menos, mais um Estado-Membro da União Europeia;
f) «Infraestrutura crítica nacional», a infraestrutura crítica situada em território português cuja perturbação do funcionamento ou destruição teria um impacto significativo à escala nacional;
g) «Operador», o proprietário ou a entidade responsável pelo funcionamento de uma infraestrutura crítica, nacional ou europeia;
h) «Plano de segurança de infraestrutura crítica», o documento, elaborado pelo operador, destinado a identificar os elementos essenciais e as vulnerabilidades da infraestrutura crítica, bem como as medidas e ações a executar para assegurar a sua proteção e aumentar a sua resiliência. |
| |
|
|
|
|
Artigo 3.º
Âmbito de aplicação |
O presente decreto-lei aplica-se à identificação, designação, proteção e aumento da resiliência das:
a) Infraestruturas críticas nacionais dos setores constantes do seu anexo e do qual faz parte integrante;
b) Infraestruturas críticas europeias dos setores da energia e dos transportes, nos termos do anexo referido na alínea anterior. |
| |
|
|
|
|
Artigo 4.º
Deveres de proteção e de colaboração |
1 - Os operadores devem zelar pela proteção, aumento da resiliência e manutenção das funções e serviços das respetivas infraestruturas críticas.
2 - Sem prejuízo do disposto no número anterior, as entidades setoriais devem, no âmbito das respetivas competências, colaborar com os operadores na proteção, aumento da resiliência e manutenção das funções e serviços das infraestruturas críticas.
3 - As entidades com competências próprias no âmbito do presente decreto-lei devem:
a) Colaborar entre si, através da partilha de informações relevantes à proteção e aumento da resiliência das infraestruturas críticas, bem como no procedimento de identificação e de designação das mesmas;
b) Facultar aos operadores, através dos respetivos agentes de ligação de segurança, o acesso às melhores práticas e metodologias disponíveis, bem como, sempre que possível, informação sobre os novos avanços técnicos relacionados com a proteção das infraestruturas críticas.
4 - Caso os operadores estejam sujeitos a deveres especiais de proteção, previstos em legislação setorial nacional ou europeia, que tenham, pelo menos, efeitos equivalentes às obrigações previstas no presente decreto-lei, o seu cumprimento substitui os deveres de proteção previstos no presente decreto-lei. |
| |
|
|
|
|
Artigo 5.º
Informações sensíveis |
1 - As informações sensíveis relacionadas com a designação, a proteção e o aumento da resiliência das infraestruturas críticas são objeto de classificação de segurança, nos termos da legislação sobre informação classificada.
2 - Sem prejuízo do disposto no número anterior, a designação das infraestruturas críticas, nacionais ou europeias, tem o grau de classificação de segurança mínimo de «reservado».
3 - Os agentes de ligação de segurança, os elementos de contacto da infraestrutura e as demais pessoas que, por força do presente decreto-lei, tratem informação classificada, são sujeitos a um processo de credenciação de segurança, no grau adequado, pela Autoridade Nacional de Segurança.
4 - As entidades envolvidas na execução do presente decreto-lei asseguram o cumprimento dos normativos aplicáveis à proteção e ao manuseamento da informação classificada e que as informações classificadas referidas no n.º 1 não são utilizadas para fins distintos da proteção das infraestruturas críticas.
5 - O disposto no presente artigo aplica-se igualmente às informações não escritas trocadas durante reuniões em que sejam debatidos assuntos sensíveis. |
| |
|
|
|
|
1 - A identificação e a designação das infraestruturas críticas são efetuadas pelo Conselho Nacional de Planeamento Civil de Emergência (CNPCE).
2 - O CNPCE aprova, igualmente, os critérios de identificação das infraestruturas críticas, mediante proposta das respetivas entidades setoriais.
3 - O CNPCE pode solicitar parecer a outras entidades que considere relevantes, para efeitos do disposto no número anterior. |
| |
|
|
|
|
Artigo 7.º
Entidades sectoriais |
1 - As entidades setoriais são identificadas no anexo ao presente decreto-lei e do qual faz parte integrante.
2 - As entidades setoriais podem solicitar a colaboração de outras entidades consideradas relevantes, no âmbito das respetivas atribuições. |
| |
|
|
|
|
|