Entrar no conteúdo
Decisões

II. Formato e Procedimentos

/ Atualizado em 03.01.2014

1. Por cada violação de segurança ou perda de integridade que deva ser objeto de notificação ao abrigo do disposto no Ponto I, as empresas devem submeter ao ICP-ANACOM:

a) uma notificação inicial, nos termos dos números 4 e 5 deste Ponto II;

b) uma notificação final, nos termos do número 8 e 9 deste Ponto II; e

c) sempre que exigida, em conformidade com o disposto no número 6 deste Ponto II, uma notificação de fim de violação de segurança ou perda de integridade com impacte significativo, nos termos dos números 6 e 7 deste Ponto II.

2. Na circunstância prevista na alínea c) do número 3 do Ponto I, as empresas apenas devem submeter ao ICP-ANACOM uma notificação final nos termos previstos nos números 8 e 9 deste Ponto II, com as devidas adaptações.

3. Na circunstância prevista na alínea g) do número 3 do Ponto I, pode ser dirigida ao ICP-ANACOM uma única série de notificações, nos termos previstos no número 1 do presente Ponto II, desde que as mesmas:

a) abranjam todo o impacte da violação de segurança ou perda de integridade; e

b) sejam apresentadas em representação de todas as empresas.

4. A notificação inicial deve ser enviada logo que seja possível e desde que a empresa possa concluir que existe ou existirá impacte significativo, até uma hora após a verificação da circunstância prevista no Ponto I que, no caso concreto, determinou a obrigação de notificação, devendo a empresa, sem prejuízo do cumprimento deste prazo, dar prioridade à mitigação e à resolução da violação de segurança ou perda de integridade.

5. A notificação prevista no número anterior deve incluir a seguinte informação:

a) Nome, número de telefone e endereço de correio eletrónico de um representante da empresa, para efeito de um eventual contacto por parte do ICP-ANACOM;

b) Data e hora em que a violação de segurança ou perda de integridade assumiu o impacte significativo ou, em caso de impossibilidade de a determinar, da sua deteção;

c) Data e hora em que a violação de segurança ou perda de integridade perdeu o impacte significativo ou, caso o mesmo se mantenha, o prazo estimado para a sua perda;

d) Breve descrição da violação de segurança ou perda de integridade, incluindo a indicação da categoria da causa raiz e, na medida do possível, o seu detalhe;

e) Estimativa possível do seu impacte, em termos de:

i) redes e serviços afetados;

ii) acesso aos serviços de emergência;

iii) número de assinantes ou de acessos afetados;

iv) área geográfica afetada, em km2; e

f) Observações.

6. Após a perda de impacte significativo da violação de segurança ou da perda de integridade e sempre que a mesma não tenha já sido comunicada na notificação inicial, as empresas devem submeter ao ICP-ANACOM, logo que possível, dentro do prazo máximo de duas horas após aquela ter ocorrido, uma notificação de fim de violação de segurança ou perda de integridade com impacte significativo.

7. A notificação referida no número anterior deve, na medida do possível, incluir a seguinte informação:

a) Atualização da informação transmitida na notificação inicial; e

b) Breve descrição das medidas adotadas para a resolução da violação de segurança ou perda de integridade.

8. A notificação final deve ser enviada no prazo de vinte dias úteis a contar do momento em que a violação de segurança ou perda de integridade deixou de assumir um impacte significativo.

9. A notificação prevista no número anterior deve incluir a seguinte informação:

a) Data e hora em que a violação de segurança ou perda de integridade assumiu o impacte significativo ou, em caso de impossibilidade de a determinar, da sua deteção;

b) Data e hora em que a violação de segurança ou perda de integridade perdeu o impacte significativo;

c) Data e hora do início ou, em caso de impossibilidade de o determinar, da deteção da violação de segurança ou perda de integridade e data e hora do respetivo fim, caso sejam diferentes das datas e horas transmitidas, respetivamente, ao abrigo das alíneas a) e b);

d) Impacte da violação de segurança ou perda de integridade em termos de:

i) Redes (incluindo as interligações nacionais e internacionais) e respetivas infraestruturas (incluindo sistemas) e serviços afetados;

ii) Acesso aos serviços de emergência pelo número único de emergência europeu 112 (incluindo o acesso pelo número nacional de emergência 115); 

iii) Número de assinantes ou de acessos afetados, por rede ou serviço;

iv) Percentagem do número de assinantes ou de acessos afetados em relação ao total de assinantes ou de acessos, por rede ou serviço; e

v) Área geográfica afetada, em km2;

e) Descrição da violação de segurança ou perda de integridade, com indicação da categoria da causa raiz e o respetivo detalhe;

f) Indicação das medidas adotadas para mitigar a violação de segurança ou perda de integridade;

g) Indicação das medidas adotadas para a resolução da violação de segurança ou perda de integridade, incluindo, no caso de violações de segurança ou perdas de integridade com tempos de restauração parciais, a cronologia e o detalhe das etapas de restauração;

h) Indicação das medidas adotadas e/ou planeadas para impedir ou minimizar a ocorrência de violações de segurança ou perdas de integridade similares no futuro (no âmbito do planeamento e/ou da exploração, do plano de contingência, dos acordos de interligação, dos acordos de níveis de serviços e de outras áreas pertinentes) e da data em que as mesmas foram ou serão tornadas efetivas;

i) Quando seja o caso, a informação disponibilizada ao público relativamente à violação de segurança ou perda de integridade, incluindo eventuais atualizações da mesma, bem como a data e a hora dessas comunicações;

j) Outra informação relevante; e

k) Observações.

10. Para os efeitos do disposto nos números 5, 7 e 9 deste Ponto II, as violações de segurança ou perdas de integridade podem ter as seguintes categorias de causas raiz:

a) Acidente/Desastre natural;

b) Erro humano;

c) Ataque malicioso;

d) Falha de hardware/software; ou

e) Falha no fornecimento de bens ou serviços por entidade externa.

11. A informação incluída nas notificações previstas neste Ponto II relativamente ao número de assinantes ou de acessos deve, sempre que possível, obedecer às definições fixadas no âmbito das obrigações de entrega de informação periódica ao ICP-ANACOM.

12. As notificações previstas neste Ponto II devem ser realizadas através dos seguintes meios:

a) no que respeita à notificação inicial e à notificação de fim de violação de segurança ou perda de integridade com impacte significativo, através do correio eletrónico notifica@anacom.ptmailto:notifica@anacom.pt e do número de telefone 214340899; e

b) no que respeita à notificação final, através de entrega em mão ou de correio registado.

13. As empresas cujas redes ou serviços sejam impactados no seu funcionamento pela mesma violação de segurança ou perda de integridade, devem cooperar entre si para a correta deteção e avaliação de impacte dessa violação de segurança ou perda de integridade e, no caso previsto na alínea g) do número 3 do Ponto I, para a respetiva notificação.

14. Tendo em vista o cabal cumprimento do disposto neste Anexo A, cabe às empresas implementar todos os meios e os procedimentos necessários à deteção, à avaliação do impacte e à notificação das violações de segurança ou perdas de integridade que preencham as circunstâncias previstas no Ponto I.

Melhore a sua experiência na utilização de serviços.
Conhece o tarifário ideal para si?
Já testou a velocidade da sua Internet?
GEO.ANACOM

Rua Ramalho Ortigão, 51

1099-099 Lisboa
VER NO MAPA
Email: info@anacom.pt
Ligue grátis: 800 206 665
Outros contactos