A Autoridade Nacional de Comunicações (ANACOM) aprovou o Regulamento relativo à Segurança e à Integridade das Redes e Serviços de Comunicações Eletrónicas, que, ao abrigo da Lei das Comunicações Eletrónicas, determina as regras que as empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público devem cumprir relativamente à segurança das redes e dos serviços (âmbito em Anexo).
A aprovação do Regulamento de Segurança das Redes e Serviços insere-se na estratégia de atuação da ANACOM e, em especial, da sua contribuição para que todo o país obtenha o máximo benefício em termos de escolha, preço, qualidade e segurança dos serviços comunicações eletrónicas, através de uma regulação ativa e exigente que promova o investimento eficiente, facilite a partilha de infraestruturas e assegure uma concorrência leal e dinâmica.
A ANACOM assinala ainda a oportunidade desta ação no âmbito de uma matéria que, atenta a evolução tecnológica, caso das redes de muito alta capacidade e do 5G, e o quadro de ameaças às redes e à informação bem como a enorme dependência da sociedade da segurança das redes e serviços de comunicações eletrónicas, é central para assegurar o desenvolvimento e a segurança do país e a defesa dos interesses dos cidadãos.
A iniciativa da ANACOM está também em linha com os mais recentes desenvolvimentos a nível europeu, designadamente com o novo Código Europeu das Comunicações, bem como com as orientações da Agência Europeia para a Segurança das Redes e da Informação (ENISA) e as normas técnicas internacionais.
As novas regras refletem ainda os contributos recebidos no âmbito da consulta pública lançada pela ANACOM para ouvir os vários interessados, sendo de destacar o número significativo de participantes.
A definição das soluções regulamentares teve em especial consideração os acontecimentos que se registaram, nos dois últimos anos, em Portugal, designadamente, os incêndios de 2017 e a tempestade Leslie em 2018, que danificaram e destruíram muitas infraestruturas de comunicações e que vieram evidenciar a dependência do país do bom funcionamento das redes e dos serviços de comunicações eletrónicas. As quebras de segurança e falhas de integridade das redes e serviços impossibilitam o exercício atempado de direitos básicos dos cidadãos, como, por exemplo, fazer ou receber uma chamada, o que em situações de emergência pode ser particularmente grave.
Principais medidas
O novo regulamento consagra a obrigação de se proceder à identificação dos ativos das empresas cujo funcionamento é crítico, que devem ser objeto de classificação e inventariação. Estabelece ainda o reforço da capacidade de articulação entre a ANACOM e as empresas do sector, seja nos tempos de resposta ou nos conteúdos da mesma, bem como com outros sectores que dependem das comunicações eletrónicas – de que são exemplos a melhoria dos fluxos de informação ao nível do reporte de incidentes de segurança, da informação ao público, dos relatórios anuais, das obrigações de cooperação e a materialização dos pontos de contacto permanente.
As novas regras preveem também a nomeação de um responsável de segurança e a adoção de uma política de segurança nas empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público, nos termos definidos na Lei das Comunicações Eletrónicas, requisitos que se afiguram essenciais para melhorar a sua eficácia e eficiência neste domínio. Dá-se ainda relevo à matéria das interdependências que especificamente existem entre as redes e serviços de comunicações eletrónicas e as correspondentes redes de energia elétrica.
O regulamento assenta na clara identificação de que o bom funcionamento das redes e dos serviços é relevante nas situações normais do dia-a-dia, mas sobretudo nas situações de emergência, nas quais são essenciais a preparação e o planeamento, e em que a entreajuda e a colaboração são determinantes para atingir objetivos comuns.
A relevância destas medidas assume especial acuidade no sector das comunicações eletrónicas, por se tratar de uma infraestrutura essencial para que outras entidades, tais como os hospitais, os serviços de emergência, a banca, as empresas de energia, de transportes e de distribuição de água, possam assegurar a continuidade dos seus serviços.
As novas regras definem ainda as condições nas quais as empresas de comunicações eletrónicas devem divulgar ao público as violações de segurança ou as perdas de integridade que tenham impacto significativo, e bem assim as regras e os procedimentos de comunicação que incumbem a tais empresas.
O novo regulamento estabelece igualmente as obrigações de realização de auditorias à segurança das redes e serviços, de envio do respetivo relatório à ANACOM, bem como os requisitos a que devem obedecer as auditorias e os requisitos aplicáveis às entidades auditoras.
Por último, as empresas de comunicações eletrónicas passam a ter o dever de implementar um programa de exercícios, para um período máximo de dois anos, para avaliar a segurança das redes e serviços e a sua adequação, com vista a eventuais melhorias.
O regulamento consagra a criação de uma Comissão de Acompanhamento da aplicação das novas regras, a qual será coordenada pela ANACOM e integrará representantes das empresas de comunicações eletrónicas.
O novo regulamento entrará em vigor no dia seguinte à data da sua publicação em Diário da República, prevendo-se que as diversas obrigações sejam implementadas de modo faseado.
ANACOM recebeu 113 notificações de segurança em 2018
A ANACOM recebeu 113 notificações de violações de segurança ou perdas de integridades das redes em 2018, uma redução de 41% face às 192 notificações recebidas em 2017. As 113 notificações registadas estão próximas dos valores observados nos anos anteriores (105 em 2016 e 100 em 2015), com exceção de 2017, ano em que se verificaram graves incêndios, em junho e outubro, fazendo com que as notificações tivessem subido de forma acentuada.
Número Anual de Notificações (2015-2018)
Unidade: número de notificações
Fonte: ANACOM
Na origem da maior parte dos incidentes de segurança notificados em 2018 estão as falhas no fornecimento de energia ou de circuitos alugados, seguindo-se falhas de hardware/software (devidas a falhas técnicas de sistema) e acidentes/desastres naturais. Os ataques maliciosos, nos quais se incluem os furtos ou os danos em cabos, e os erros humanos também são responsáveis por alguns dos incidentes reportados, mas em menor escala.
Causa das notificações em 2018
Unidade: % de notificações
Fonte: ANACOM
Em 2018, o número total de assinantes/acessos afetados pelos incidentes foi de 3,2 milhões, valor que compara com 11,2 milhões em 2017. O mês de maio foi aquele que registou um maior número de assinantes/acessos afetados, mais de 734 mil. Já o mês de março foi aquele com maior número de notificações, 23 mil.
Os meses de outubro e novembro são os que apresentam valores de número médio diário de assinantes/acessos afetados mais elevados (indicador que considera o número de assinantes/acessos afetados em cada notificação e a duração de cada incidente), de 224 mil e 377 mil assinantes/acessos, respetivamente, valor muito acima da do valor médio diário do ano – 53 mil. A origem daqueles valores deve-se essencialmente a um único incidente que teve impacto num número de assinantes/acessos apreciável e uma duração extremamente elevada, associada à demora na reposição das infraestruturas de comunicações eletrónicas destruídas pela tempestade Leslie ocorrida a 13 de outubro.
Valor médio diário do número de assinantes/acessos afetados em 2015, 2016, 2017 e 2018
ANEXO
Âmbito do regulamento relativo à segurança e à integridade das redes e serviços de comunicações eletrónicas
1 – No cumprimento das suas obrigações em matéria de segurança e integridade das redes e serviços, previstas na lei e no presente regulamento, as empresas devem adotar as medidas de um modo adequado:
a) Às condições normais de funcionamento;
b) Às situações extraordinárias, incluindo, entre outras, as seguintes situações:
i) Incidente de segurança;
ii) Rutura da rede, emergência ou força maior, nos termos previstos no n.º 1 do artigo 49.º da LCE;
iii) Exceções previstas nas alíneas a), b) e c) do n.º 3 do artigo 3.º do Regulamento (UE) 2015/2120 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, que estabelece medidas respeitantes ao acesso à Internet aberta e que altera a Diretiva 2002/22/CE relativa ao serviço universal e aos direitos dos utilizadores em matéria de redes e serviços de comunicações eletrónicas e o Regulamento (UE) 531/2012 relativo à itinerância nas redes de comunicações móveis públicas da União;
iv) Acidente grave ou catástrofe, nos termos previstos nas disposições legais e regulamentares aplicáveis em matéria de proteção civil;
v) Estado de emergência, estado de sítio ou estado de guerra, nos termos previstos nas disposições legais e regulamentares aplicáveis;
vi) Ativação de plano de emergência de proteção civil ou de plano no âmbito do planeamento civil de emergência do sector das comunicações, nos termos previstos nas disposições legais e regulamentares aplicáveis;
vii) Grave ameaça à segurança interna, incluindo as situações de ataques terroristas, nos termos previstos nas disposições legais e regulamentares aplicáveis em matéria de segurança interna.
2 – As empresas devem cumprir as suas obrigações em matéria de segurança e integridade das redes e serviços, previstas na lei e no presente regulamento, de um modo adequado à evolução das condições climáticas e dos riscos de desastre natural ou de outros fenómenos extremos, incluindo tempestades, deslizamentos de terras, inundações, ventos fortes, incêndios florestais, sismos e maremotos, nomeadamente, entre outros aspetos, no que respeita à escolha dos locais, dos equipamentos, dos materiais e das infraestruturas de alojamento e aos procedimentos de proteção e de preservação.
3 – Para efeitos do disposto no número anterior, as empresas devem ter em consideração:
a) A informação emitida pelas entidades competentes nacionais, europeias ou internacionais;
b) A Estratégia Nacional de Adaptação às Alterações Climáticas 2020, aprovada pela Resolução do Conselho de Ministros n.º 56/2015, de 30 de julho.
4 – As empresas devem cumprir as suas obrigações em matéria de segurança e integridade das redes e serviços, previstas na lei e no presente regulamento, em conformidade com as disposições respeitantes à segurança de matérias classificadas no âmbito nacional e no âmbito das organizações internacionais de que Portugal é parte.
5 – As empresas devem assegurar que todos os ativos que, independentemente da sua propriedade, suportem o funcionamento das suas redes ou dos seus serviços, incluindo os equipamentos terminais na medida em que se encontrem sob sua gestão, são abrangidos no cumprimento das suas obrigações em matéria de segurança e integridade das redes e serviços, previstas na lei e no presente regulamento.
6 – Ao abrigo do princípio da boa administração, a ANACOM utiliza a informação transmitida pelas empresas no âmbito do presente regulamento para a prossecução das suas atribuições nas matérias do planeamento de emergência da proteção civil e do planeamento civil de emergência no sector das comunicações.
Consulte:
- Regulamento n.º 303/2019, publicado a 1 de abril https://www.anacom.pt/render.jsp?contentId=1469920
- Regulamento relativo à segurança e à integridade das redes e serviços de comunicações eletrónicas https://www.anacom.pt/render.jsp?contentId=1469121
- Consulta sobre o segundo projeto de regulamento relativo à segurança e à integridade das redes e serviços de comunicações eletrónicas https://www.anacom.pt/render.jsp?contentId=1458518