O Regulamento de Execução (UE) 2018/151 da Comissão, de 30 de janeiro de 2018 (Regulamento”) concretiza a legislação europeia já aprovada no âmbito da segurança das redes e sistemas de informação dos prestadores de serviços digitais.
Atualmente, os prestadores de serviços digitais tomam livremente as medidas técnicas e organizativas que considerem adequadas. O Regulamento especifica os elementos que os prestadores de serviços digitais deverão passar a ter em conta na gestão dos riscos à segurança das suas redes e sistemas de informação, a saber:
- A gestão sistematizada das redes e dos sistemas de informação, isto é, a “cartografia” dos sistemas de informação, bem como o estabelecimento de um conjunto de estratégias adequadas de gestão da segurança da informação;
- A segurança física e ambiental, isto é, a disponibilidade de um conjunto de medidas de proteção contra danos que cubra todos os perigos, por exemplo cortes do sistema, erros humanos, ações dolosas e fenómenos naturais;
- A segurança dos fornecimentos, isto é, o estabelecimento e a manutenção de estratégias adequadas para garantir os fornecimentos e a rastreabilidade desses fornecimentos; e
- O controlo do acesso às redes e aos sistemas de informação, isto é, um conjunto de medidas destinadas a garantir que o acesso físico e lógico às redes e aos sistemas de informação é autorizado e restringido com base em requisitos comerciais e de segurança.
O Regulamento fixa também os parâmetros para determinar se o impacto de um incidente nas redes e sistemas de informação é substancial. Num contexto de incidente de segurança, os prestadores de serviço devem agora atender: (i) ao número de pessoas singulares e de pessoas coletivas com as quais foi celebrado um contrato de prestação do serviço que foram afetadas e (ii) ao número de utilizadores que utilizaram o serviço que foram afetados.
O Regulamento entra em vigor a 10 de maio de 2018.