Skip to main content

ANACOM aprova Regulamento de Segurança das Redes e Serviços de Comunicações Eletrónicas

  A Autoridade Nacional de Comunicações (ANACOM) aprovou o Regulamento relativo à Segurança e à Integridade das Redes e Serviços de Comunicações Eletrónicas, que, ao abrigo da Lei das Comunicações Eletrónicas, determina as regras que as empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público devem cumprir relativamente à […]

 

A Autoridade Nacional de Comunicações (ANACOM) aprovou o Regulamento relativo à Segurança e à Integridade das Redes e Serviços de Comunicações Eletrónicas, que, ao abrigo da Lei das Comunicações Eletrónicas, determina as regras que as empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público devem cumprir relativamente à segurança das redes e dos serviços (âmbito em Anexo).

A aprovação do Regulamento de Segurança das Redes e Serviços insere-se na estratégia de atuação da ANACOM e, em especial, da sua contribuição para que todo o país obtenha o máximo benefício em termos de escolha, preço, qualidade e segurança dos serviços comunicações eletrónicas, através de uma regulação ativa e exigente que promova o investimento eficiente, facilite a partilha de infraestruturas e assegure uma concorrência leal e dinâmica.

A ANACOM assinala ainda a oportunidade desta ação no âmbito de uma matéria que, atenta a evolução tecnológica, caso das redes de muito alta capacidade e do 5G, e o quadro de ameaças às redes e à informação bem como a enorme dependência da sociedade da segurança das redes e serviços de comunicações eletrónicas, é central para assegurar o desenvolvimento e a segurança do país e a defesa dos interesses dos cidadãos.

 

A iniciativa da ANACOM está também em linha com os mais recentes desenvolvimentos a nível europeu, designadamente com o novo Código Europeu das Comunicações, bem como com as orientações da Agência Europeia para a Segurança das Redes e da Informação (ENISA) e as normas técnicas internacionais.

As novas regras refletem ainda os contributos recebidos no âmbito da consulta pública lançada pela ANACOM para ouvir os vários interessados, sendo de destacar o número significativo de participantes.

A definição das soluções regulamentares teve em especial consideração os acontecimentos que se registaram, nos dois últimos anos, em Portugal, designadamente, os incêndios de 2017 e a tempestade Leslie em 2018, que danificaram e destruíram muitas infraestruturas de comunicações e que vieram evidenciar a dependência do país do bom funcionamento das redes e dos serviços de comunicações eletrónicas. As quebras de segurança e falhas de integridade das redes e serviços impossibilitam o exercício atempado de direitos básicos dos cidadãos, como, por exemplo, fazer ou receber uma chamada, o que em situações de emergência pode ser particularmente grave.

 

Principais medidas

O novo regulamento consagra a obrigação de se proceder à identificação dos ativos das empresas cujo funcionamento é crítico, que devem ser objeto de classificação e inventariação. Estabelece ainda o reforço da capacidade de articulação entre a ANACOM e as empresas do sector, seja nos tempos de resposta ou nos conteúdos da mesma, bem como com outros sectores que dependem das comunicações eletrónicas – de que são exemplos a melhoria dos fluxos de informação ao nível do reporte de incidentes de segurança, da informação ao público, dos relatórios anuais, das obrigações de cooperação e a materialização dos pontos de contacto permanente.

As novas regras preveem também a nomeação de um responsável de segurança e a adoção de uma política de segurança nas empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público, nos termos definidos na Lei das Comunicações Eletrónicas, requisitos que se afiguram essenciais para melhorar a sua eficácia e eficiência neste domínio. Dá-se ainda relevo à matéria das interdependências que especificamente existem entre as redes e serviços de comunicações eletrónicas e as correspondentes redes de energia elétrica.

O regulamento assenta na clara identificação de que o bom funcionamento das redes e dos serviços é relevante nas situações normais do dia-a-dia, mas sobretudo nas situações de emergência, nas quais são essenciais a preparação e o planeamento, e em que a entreajuda e a colaboração são determinantes para atingir objetivos comuns.

 

A relevância destas medidas assume especial acuidade no sector das comunicações eletrónicas, por se tratar de uma infraestrutura essencial para que outras entidades, tais como os hospitais, os serviços de emergência, a banca, as empresas de energia, de transportes e de distribuição de água, possam assegurar a continuidade dos seus serviços.

As novas regras definem ainda as condições nas quais as empresas de comunicações eletrónicas devem divulgar ao público as violações de segurança ou as perdas de integridade que tenham impacto significativo, e bem assim as regras e os procedimentos de comunicação que incumbem a tais empresas.

O novo regulamento estabelece igualmente as obrigações de realização de auditorias à segurança das redes e serviços, de envio do respetivo relatório à ANACOM, bem como os requisitos a que devem obedecer as auditorias e os requisitos aplicáveis às entidades auditoras.

Por último, as empresas de comunicações eletrónicas passam a ter o dever de implementar um programa de exercícios, para um período máximo de dois anos, para avaliar a segurança das redes e serviços e a sua adequação, com vista a eventuais melhorias.

O regulamento consagra a criação de uma Comissão de Acompanhamento da aplicação das novas regras, a qual será coordenada pela ANACOM e integrará representantes das empresas de comunicações eletrónicas.

O novo regulamento entrará em vigor no dia seguinte à data da sua publicação em Diário da República, prevendo-se que as diversas obrigações sejam implementadas de modo faseado.

 

ANACOM recebeu 113 notificações de segurança em 2018

A ANACOM recebeu 113 notificações de violações de segurança ou perdas de integridades das redes em 2018, uma redução de 41% face às 192 notificações recebidas em 2017. As 113 notificações registadas estão próximas dos valores observados nos anos anteriores (105 em 2016 e 100 em 2015), com exceção de 2017, ano em que se verificaram graves incêndios, em junho e outubro, fazendo com que as notificações tivessem subido de forma acentuada.

 

Número Anual de Notificações (2015-2018)

A ANACOM recebeu 113 notificações de violações de segurança ou perdas de integridades das redes em 2018, uma redução de 41% face às 192 notificações recebidas em 2017.
 

Unidade: número de notificações
Fonte: ANACOM
 

Na origem da maior parte dos incidentes de segurança notificados em 2018 estão as falhas no fornecimento de energia ou de circuitos alugados, seguindo-se falhas de hardware/software(devidas a falhas técnicas de sistema) e acidentes/desastres naturais. Os ataques maliciosos, nos quais se incluem os furtos ou os danos em cabos, e os erros humanos também são responsáveis por alguns dos incidentes reportados, mas em menor escala.

 

Causa das notificações em 2018

Na origem da maior parte dos incidentes de segurança notificados em 2018 estão as falhas no fornecimento de energia ou de circuitos alugados, seguindo-se falhas de hardware/software (devidas a falhas técnicas de sistema) e acidentes/desastres naturais.

Unidade: % de notificações
Fonte: ANACOM

Em 2018, o número total de assinantes/acessos afetados pelos incidentes foi de 3,2 milhões, valor que compara com 11,2 milhões em 2017. O mês de maio foi aquele que registou um maior número de assinantes/acessos afetados, mais de 734 mil. Já o mês de março foi aquele com maior número de notificações, 23 mil.

Os meses de outubro e novembro são os que apresentam valores de número médio diário de assinantes/acessos afetados mais elevados (indicador que considera o número de assinantes/acessos afetados em cada notificação e a duração de cada incidente), de 224 mil e 377 mil assinantes/acessos, respetivamente, valor muito acima da do valor médio diário do ano – 53 mil. A origem daqueles valores deve-se essencialmente a um único incidente que teve impacto num número de assinantes/acessos apreciável e uma duração extremamente elevada, associada à demora na reposição das infraestruturas de comunicações eletrónicas destruídas pela tempestade Leslie ocorrida a 13 de outubro.

 

Valor médio diário do número de assinantes/acessos afetados em 2015, 2016, 2017 e 2018

Os meses de outubro e novembro são os que apresentam valores de número médio diário de assinantes/acessos afetados mais elevados.

 


A Autoridade Nacional de Comunicações (ANACOM) aprovou o Regulamento relativo à Segurança e à Integridade das Redes e Serviços de Comunicações Eletrónicas, que, ao abrigo da Lei das Comunicações Eletrónicas, determina as regras que as empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público devem cumprir relativamente à segurança das redes e dos serviços (âmbito em Anexo).

A aprovação do Regulamento de Segurança das Redes e Serviços insere-se na estratégia de atuação da ANACOM e, em especial, da sua contribuição para que todo o país obtenha o máximo benefício em termos de escolha, preço, qualidade e segurança dos serviços comunicações eletrónicas, através de uma regulação ativa e exigente que promova o investimento eficiente, facilite a partilha de infraestruturas e assegure uma concorrência leal e dinâmica.

A ANACOM assinala ainda a oportunidade desta ação no âmbito de uma matéria que, atenta a evolução tecnológica, caso das redes de muito alta capacidade e do 5G, e o quadro de ameaças às redes e à informação bem como a enorme dependência da sociedade da segurança das redes e serviços de comunicações eletrónicas, é central para assegurar o desenvolvimento e a segurança do país e a defesa dos interesses dos cidadãos.

A iniciativa da ANACOM está também em linha com os mais recentes desenvolvimentos a nível europeu, designadamente com o novo Código Europeu das Comunicações, bem como com as orientações da Agência Europeia para a Segurança das Redes e da Informação (ENISA) e as normas técnicas internacionais.

As novas regras refletem ainda os contributos recebidos no âmbito da consulta pública lançada pela ANACOM para ouvir os vários interessados, sendo de destacar o número significativo de participantes.

A definição das soluções regulamentares teve em especial consideração os acontecimentos que se registaram, nos dois últimos anos, em Portugal, designadamente, os incêndios de 2017 e a tempestade Leslie em 2018, que danificaram e destruíram muitas infraestruturas de comunicações e que vieram evidenciar a dependência do país do bom funcionamento das redes e dos serviços de comunicações eletrónicas. As quebras de segurança e falhas de integridade das redes e serviços impossibilitam o exercício atempado de direitos básicos dos cidadãos, como, por exemplo, fazer ou receber uma chamada, o que em situações de emergência pode ser particularmente grave.

Principais medidas
O novo regulamento consagra a obrigação de se proceder à identificação dos ativos das empresas cujo funcionamento é crítico, que devem ser objeto de classificação e inventariação. Estabelece ainda o reforço da capacidade de articulação entre a ANACOM e as empresas do sector, seja nos tempos de resposta ou nos conteúdos da mesma, bem como com outros sectores que dependem das comunicações eletrónicas – de que são exemplos a melhoria dos fluxos de informação ao nível do reporte de incidentes de segurança, da informação ao público, dos relatórios anuais, das obrigações de cooperação e a materialização dos pontos de contacto permanente.

As novas regras preveem também a nomeação de um responsável de segurança e a adoção de uma política de segurança nas empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público, nos termos definidos na Lei das Comunicações Eletrónicas, requisitos que se afiguram essenciais para melhorar a sua eficácia e eficiência neste domínio. Dá-se ainda relevo à matéria das interdependências que especificamente existem entre as redes e serviços de comunicações eletrónicas e as correspondentes redes de energia elétrica.

O regulamento assenta na clara identificação de que o bom funcionamento das redes e dos serviços é relevante nas situações normais do dia-a-dia, mas sobretudo nas situações de emergência, nas quais são essenciais a preparação e o planeamento, e em que a entreajuda e a colaboração são determinantes para atingir objetivos comuns.

A relevância destas medidas assume especial acuidade no sector das comunicações eletrónicas, por se tratar de uma infraestrutura essencial para que outras entidades, tais como os hospitais, os serviços de emergência, a banca, as empresas de energia, de transportes e de distribuição de água, possam assegurar a continuidade dos seus serviços.

As novas regras definem ainda as condições nas quais as empresas de comunicações eletrónicas devem divulgar ao público as violações de segurança ou as perdas de integridade que tenham impacto significativo, e bem assim as regras e os procedimentos de comunicação que incumbem a tais empresas.

O novo regulamento estabelece igualmente as obrigações de realização de auditorias à segurança das redes e serviços, de envio do respetivo relatório à ANACOM, bem como os requisitos a que devem obedecer as auditorias e os requisitos aplicáveis às entidades auditoras.

Por último, as empresas de comunicações eletrónicas passam a ter o dever de implementar um programa de exercícios, para um período máximo de dois anos, para avaliar a segurança das redes e serviços e a sua adequação, com vista a eventuais melhorias.

O regulamento consagra a criação de uma Comissão de Acompanhamento da aplicação das novas regras, a qual será coordenada pela ANACOM e integrará representantes das empresas de comunicações eletrónicas.

O novo regulamento entrará em vigor no dia seguinte à data da sua publicação em Diário da República, prevendo-se que as diversas obrigações sejam implementadas de modo faseado.

ANACOM recebeu 113 notificações de segurança em 2018
A ANACOM recebeu 113 notificações de violações de segurança ou perdas de integridades das redes em 2018, uma redução de 41% face às 192 notificações recebidas em 2017. As 113 notificações registadas estão próximas dos valores observados nos anos anteriores (105 em 2016 e 100 em 2015), com exceção de 2017, ano em que se verificaram graves incêndios, em junho e outubro, fazendo com que as notificações tivessem subido de forma acentuada.

Número Anual de Notificações (2015-2018)

A ANACOM recebeu 113 notificações de violações de segurança ou perdas de integridades das redes em 2018, uma redução de 41% face às 192 notificações recebidas em 2017.

Unidade: número de notificações
Fonte: ANACOM

Na origem da maior parte dos incidentes de segurança notificados em 2018 estão as falhas no fornecimento de energia ou de circuitos alugados, seguindo-se falhas de hardware/software (devidas a falhas técnicas de sistema) e acidentes/desastres naturais. Os ataques maliciosos, nos quais se incluem os furtos ou os danos em cabos, e os erros humanos também são responsáveis por alguns dos incidentes reportados, mas em menor escala.

Causa das notificações em 2018

Na origem da maior parte dos incidentes de segurança notificados em 2018 estão as falhas no fornecimento de energia ou de circuitos alugados, seguindo-se falhas de hardware/software (devidas a falhas técnicas de sistema) e acidentes/desastres naturais.

Unidade: % de notificações
Fonte: ANACOM

Em 2018, o número total de assinantes/acessos afetados pelos incidentes foi de 3,2 milhões, valor que compara com 11,2 milhões em 2017. O mês de maio foi aquele que registou um maior número de assinantes/acessos afetados, mais de 734 mil. Já o mês de março foi aquele com maior número de notificações, 23 mil.

Os meses de outubro e novembro são os que apresentam valores de número médio diário de assinantes/acessos afetados mais elevados (indicador que considera o número de assinantes/acessos afetados em cada notificação e a duração de cada incidente), de 224 mil e 377 mil assinantes/acessos, respetivamente, valor muito acima da do valor médio diário do ano – 53 mil. A origem daqueles valores deve-se essencialmente a um único incidente que teve impacto num número de assinantes/acessos apreciável e uma duração extremamente elevada, associada à demora na reposição das infraestruturas de comunicações eletrónicas destruídas pela tempestade Leslie ocorrida a 13 de outubro.

Valor médio diário do número de assinantes/acessos afetados em 2015, 2016, 2017 e 2018

Os meses de outubro e novembro são os que apresentam valores de número médio diário de assinantes/acessos afetados mais elevados.