|
DL n.º 20/2022, de 28 de Janeiro RESILIÊNCIA DAS INFRAESTRUTURAS CRÍTICAS NACIONAIS E EUROPEIAS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Aprova os procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias _____________________ |
|
Decreto-Lei n.º 20/2022, de 28 de janeiro
O enquadramento legal relativo à identificação e proteção de infraestruturas essenciais para a saúde, a segurança e o bem-estar económico e social da sociedade nos setores da energia e transportes encontra-se estabelecido no Decreto-Lei n.º 62/2011, de 9 de maio, que transpôs para a ordem jurídica interna a Diretiva 2008/114/CE, do Conselho, de 8 de dezembro de 2008, relativa à identificação e designação das infraestruturas críticas europeias e à avaliação da necessidade de melhorar a sua proteção.
Decorrida mais de uma década sobre a entrada em vigor daquele ato legislativo afigura-se necessária a sua revisão, tendo por base a experiência adquirida na sua aplicação. Procura-se, por esta via, retificar lapsos entretanto detetados, mas sobretudo agilizar a aplicação do regime jurídico, alinhando o seu conteúdo com as práticas que vêm sendo adotadas por outros Estados-Membros da União Europeia.
Deste modo, procura-se clarificar o âmbito de aplicação do referido enquadramento legal, enfatizando a sua natureza transetorial e conferindo às entidades representativas de cada setor um papel mais ativo no processo de identificação das respetivas infraestruturas críticas nacionais. Por outro lado, ajustam-se os prazos previstos para assegurar a adoção das medidas e ações de proteção e aumento da resiliência a aplicar às infraestruturas identificadas.
A revisão ora operada constitui, igualmente, uma oportunidade para reforçar o caráter holístico da proteção de infraestruturas críticas, alinhando o teor do presente decreto-lei com o disposto noutros normativos de caráter transversal, como a Lei de Segurança Interna, a Estratégia Nacional de Combate ao Terrorismo, a Estratégia Nacional de Segurança no Ciberespaço, o Regime Jurídico da Segurança do Ciberespaço, o Conceito Estratégico de Defesa Nacional e o Sistema Nacional de Planeamento Civil de Emergência, assim como em diversa legislação setorial específica.
Por outro lado, procede-se à alteração da orgânica do Centro de Gestão da Rede Informática do Governo (CEGER) com vista a adequá-lo para responder aos desafios vindouros, nomeadamente, e em especial, os que resultam da execução do Plano de Recuperação e Resiliência (PRR) ou da Estratégia para a Inovação e Modernização do Estado e da Administração Pública 2020-2023, bem como do Plano de Ação para a Transição Digital de Portugal.
Com efeito, na sequência da pandemia da doença COVID-19 e da necessidade de robustecer os mecanismos de resiliência dos países da União Europeia, foi elaborado o PRR, que prevê investimentos e metas a executar até 2026, tendo o previsto no PRR sido refletido, entre outros, na Estratégia supra identificada e naquele Plano de Ação.
Deste modo, é alterada a orgânica do CEGER, serviço responsável pela gestão da rede informática do Governo (RING) e pela prestação de apoio nos domínios das tecnologias de informação e de comunicações e dos sistemas de informação, sendo, por isso, um serviço fundamental ao bom funcionamento do Governo.
Em face da constante e rápida evolução e desenvolvimento das tecnologias de informação e da utilização de meios eletrónicos - circunstância que foi ainda mais evidente na sequência da pandemia da doença COVID-19 - , é necessário assegurar que o CEGER tem meios humanos adequados para assegurar a segurança da RING, ao que acresce terem sido aprovadas, no âmbito da «componente 19 - Administração Pública - Capacitação, Digitalização, Interoperabilidade e Cibersegurança» do PRR, diversas iniciativas que têm como objetivos gerais o robustecimento da RING, a capacitação dos recursos humanos e a implementação de um sistema seguro de comunicações móveis.
Com efeito, torna-se essencial dotar o CEGER dos meios necessários para assegurar as suas atribuições, capacitando-o para uma melhor resposta às exigências tecnológicas atuais, ao desenvolvimento de soluções relacionadas com a desmaterialização de processos, com a mobilidade de acessos ou com a manutenção de infraestruturas de rede, sempre sem descurar os aspetos relacionados com a segurança.
Foram ouvidos o Banco de Portugal, a Comissão do Mercado de Valores Mobiliários, a Autoridade de Supervisão de Seguros e Fundos de Pensões, a Associação Nacional de Municípios Portugueses, a Autoridade Nacional de Comunicações e a Autoridade Nacional da Aviação Civil.
Assim:
Nos termos do disposto no n.º 1 do artigo 24.º da Lei n.º 4/2004, de 15 de janeiro, na sua redação atual, e na alínea a) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:
|
CAPÍTULO I
Disposição geral
| Artigo 1.º
Objeto |
O presente decreto-lei:
a) Estabelece os procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias, procedendo à consolidação no direito nacional da transposição da Diretiva 2008/114/CE, do Conselho, de 8 de dezembro de 2008;
b) Procede à segunda alteração ao Decreto-Lei n.º 163/2007, de 3 de maio, alterado pelo Decreto-Lei n.º 16/2012, de 26 de janeiro, que aprova a orgânica do Centro de Gestão da Rede Informática do Governo. |
| |
|
|
|
|
CAPÍTULO II
Procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias
| Artigo 2.º
Definições |
Para efeitos do presente decreto-lei, entende-se por:
a) «Área de segurança», o espaço físico localizado no interior de uma infraestrutura crítica, dotado de medidas de segurança adequadas ao grau de classificação da informação aí processada e dos sistemas instalados, considerados essenciais para o seu funcionamento;
b) «Entidade setorial», a entidade com funções de regulação, controlo ou fiscalização de cada setor e subsetor relevante;
c) «Informações sensíveis», os factos, dados e informação relacionados com a segurança de uma infraestrutura crítica, que são considerados informação classificada nos termos previstos do artigo 5.º, nomeadamente a sua designação, os respetivos planos de segurança, assim como outros elementos que, se divulgados, podem ser utilizados para planear e agir com o objetivo de provocar a perturbação do funcionamento ou a destruição da infraestrutura crítica;
d) «Infraestrutura crítica», a componente, sistema ou parte deste que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação do funcionamento ou destruição teria um impacto significativo, dada a impossibilidade de continuar a assegurar essas funções;
e) «Infraestrutura crítica europeia», a infraestrutura crítica nacional cuja perturbação do funcionamento ou destruição teria um impacto significativo em, pelo menos, mais um Estado-Membro da União Europeia;
f) «Infraestrutura crítica nacional», a infraestrutura crítica situada em território português cuja perturbação do funcionamento ou destruição teria um impacto significativo à escala nacional;
g) «Operador», o proprietário ou a entidade responsável pelo funcionamento de uma infraestrutura crítica, nacional ou europeia;
h) «Plano de segurança de infraestrutura crítica», o documento, elaborado pelo operador, destinado a identificar os elementos essenciais e as vulnerabilidades da infraestrutura crítica, bem como as medidas e ações a executar para assegurar a sua proteção e aumentar a sua resiliência. |
| |
|
|
|
|
Artigo 3.º
Âmbito de aplicação |
O presente decreto-lei aplica-se à identificação, designação, proteção e aumento da resiliência das:
a) Infraestruturas críticas nacionais dos setores constantes do seu anexo e do qual faz parte integrante;
b) Infraestruturas críticas europeias dos setores da energia e dos transportes, nos termos do anexo referido na alínea anterior. |
| |
|
|
|
|
Artigo 4.º
Deveres de proteção e de colaboração |
1 - Os operadores devem zelar pela proteção, aumento da resiliência e manutenção das funções e serviços das respetivas infraestruturas críticas.
2 - Sem prejuízo do disposto no número anterior, as entidades setoriais devem, no âmbito das respetivas competências, colaborar com os operadores na proteção, aumento da resiliência e manutenção das funções e serviços das infraestruturas críticas.
3 - As entidades com competências próprias no âmbito do presente decreto-lei devem:
a) Colaborar entre si, através da partilha de informações relevantes à proteção e aumento da resiliência das infraestruturas críticas, bem como no procedimento de identificação e de designação das mesmas;
b) Facultar aos operadores, através dos respetivos agentes de ligação de segurança, o acesso às melhores práticas e metodologias disponíveis, bem como, sempre que possível, informação sobre os novos avanços técnicos relacionados com a proteção das infraestruturas críticas.
4 - Caso os operadores estejam sujeitos a deveres especiais de proteção, previstos em legislação setorial nacional ou europeia, que tenham, pelo menos, efeitos equivalentes às obrigações previstas no presente decreto-lei, o seu cumprimento substitui os deveres de proteção previstos no presente decreto-lei. |
| |
|
|
|
|
Artigo 5.º
Informações sensíveis |
1 - As informações sensíveis relacionadas com a designação, a proteção e o aumento da resiliência das infraestruturas críticas são objeto de classificação de segurança, nos termos da legislação sobre informação classificada.
2 - Sem prejuízo do disposto no número anterior, a designação das infraestruturas críticas, nacionais ou europeias, tem o grau de classificação de segurança mínimo de «reservado».
3 - Os agentes de ligação de segurança, os elementos de contacto da infraestrutura e as demais pessoas que, por força do presente decreto-lei, tratem informação classificada, são sujeitos a um processo de credenciação de segurança, no grau adequado, pela Autoridade Nacional de Segurança.
4 - As entidades envolvidas na execução do presente decreto-lei asseguram o cumprimento dos normativos aplicáveis à proteção e ao manuseamento da informação classificada e que as informações classificadas referidas no n.º 1 não são utilizadas para fins distintos da proteção das infraestruturas críticas.
5 - O disposto no presente artigo aplica-se igualmente às informações não escritas trocadas durante reuniões em que sejam debatidos assuntos sensíveis. |
| |
|
|
|
|
1 - A identificação e a designação das infraestruturas críticas são efetuadas pelo Conselho Nacional de Planeamento Civil de Emergência (CNPCE).
2 - O CNPCE aprova, igualmente, os critérios de identificação das infraestruturas críticas, mediante proposta das respetivas entidades setoriais.
3 - O CNPCE pode solicitar parecer a outras entidades que considere relevantes, para efeitos do disposto no número anterior. |
| |
|
|
|
|
Artigo 7.º
Entidades sectoriais |
1 - As entidades setoriais são identificadas no anexo ao presente decreto-lei e do qual faz parte integrante.
2 - As entidades setoriais podem solicitar a colaboração de outras entidades consideradas relevantes, no âmbito das respetivas atribuições. |
| |
|
|
|
|
Artigo 8.º
Identificação das infraestruturas críticas nacionais |
1 - As entidades setoriais elaboram uma lista das infraestruturas do respetivo setor com potencial para serem designadas como infraestruturas críticas nacionais, efetuando uma apreciação qualitativa das consequências provocadas pela inoperacionalidade de cada infraestrutura, nomeadamente:
a) O impacto económico, estimado em termos de importância dos prejuízos económicos e da degradação de bens ou serviços, incluindo também os potenciais efeitos ambientais;
b) O impacto na sociedade, avaliado em termos de impacto na soberania nacional, na confiança das populações e na perturbação da vida quotidiana, incluindo a perda de serviços essenciais;
c) A possibilidade de ocorrência de acidentes, avaliada em termos de número potencial de feridos ou vítimas mortais.
2 - As entidades setoriais selecionam as infraestruturas que, constando da lista referida no número anterior, consideram dever ser designadas como críticas no respetivo setor, aplicando os critérios de identificação fixados pelo CNPCE, tendo em especial consideração:
a) O tipo de bens produzidos ou serviços prestados pela infraestrutura crítica;
b) As alternativas disponíveis no fornecimento dos bens produzidos ou serviços prestados pela infraestrutura crítica;
c) A população e área geográfica afetada por uma eventual perturbação do funcionamento ou destruição da infraestrutura crítica;
d) A duração de uma eventual perturbação do funcionamento da infraestrutura crítica e o tempo previsível para a sua recuperação.
3 - Com base na seleção referida no número anterior, as entidades setoriais ordenam as infraestruturas críticas do respetivo setor e submetem ao CNPCE uma proposta fundamentada quanto às que devem ser identificadas como infraestruturas críticas nacionais.
4 - O CNPCE avalia a proposta das entidades setoriais e aprova a identificação das infraestruturas críticas nacionais em cada setor.
5 - O CNPCE pode identificar infraestruturas críticas diferentes das propostas pelas entidades setoriais quando:
a) Seja detentor de indicadores distintos dos aplicados pelas entidades setoriais;
b) Sejam conexas com outras infraestruturas críticas nacionais, do mesmo ou de outro setor, nomeadamente por as poderem afetar em caso de perturbação do funcionamento ou destruição.
6 - O CNPCE comunica a identificação de uma infraestrutura crítica nacional ao respetivo operador, notificando-o para, querendo, se pronunciar sobre a referida identificação, fixando um prazo não inferior a dez dias para o efeito. |
| |
|
|
|
|
|