A 13 de Agosto de 2018 foi publicada a Lei n.º 46/2018, que veio estabelecer o regime jurídico da segurança do ciberespaço, transpondo a Directiva (UE) 2016/1148 do Parlamento Europeu.
O presente regime estabeleceu uma estrutura de segurança do ciberespaço composta por:
Conselho Superior de Segurança do Ciberespaço, órgão específico de consulta do Primeiro-Ministro para os assuntos relativos à segurança do ciberespaço;
Centro Nacional de Cibersegurança, que exerce funções de regulação, regulamentação, supervisão, fiscalização e funções sancionatórias;
Equipa de Resposta a Incidentes de Segurança Informática Nacional, o CERT.PT.
Abrangidas pelo âmbito de aplicação deste regime jurídico da segurança do ciberespaço encontram-se a Administração Pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais, os prestadores de serviços digitais e quaisquer entidades que utilizem redes e sistemas de informação. A estas entidades é imposto o cumprimento de diferentes requisitos de segurança e de notificação de incidentes.
No que respeita aos requisitos de segurança, as entidades devem cumprir as medidas técnicas e organizativas adequadas a gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam.
Acresce que, em caso de incidente com relevância em termos de segurança das redes e dos sistemas de informação, a entidade deve obrigatoriamente notificar o Centro Nacional de Cibersegurança (no caso de a entidade ser prestadora de serviços digitais, a obrigação de notificar só se aplica se o prestador tiver acesso à informação necessária para avaliar o impacto do acidente). Esta notificação deve incluir informações que permitam ao Centro Nacional de Cibersegurança determinar o impacto transfronteiriço dos incidentes. Na determinação do impacto do incidente relevam factores tais como o número de utilizadores afectados, a duração do incidente e a distribuição geográfica respeitante à zona afectada pelo incidente (no caso de se tratar de um prestador de serviços digitais acrescem factores como o nível de gravidade da perturbação do funcionamento do serviço e a extensão do impacto nas actividades económicas e societais).
O Centro Nacional de Cibersegurança, sempre que as circunstâncias o permitam, presta ao notificante informações que possam contribuir para o tratamento eficaz do incidente.
Encontra-se, ainda, prevista a possibilidade de quaisquer entidades poderem notificar, a título voluntário, os incidentes com impacto importante na continuidade dos serviços por si prestados.
Como mencionado anteriormente, a fiscalização e aplicação de sanções, nos termos deste regime, compete ao Centro Nacional de Cibersegurança.
Constituem infracções muito graves o incumprimento da obrigação de implementar requisitos de segurança e o incumprimento de instruções de cibersegurança emitidas pelo Centro Nacional de Cibersegurança. Por sua vez, as infracções graves dizem respeito ao incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança dos incidentes, do exercício de actividade no sector das infraestruturas digitais e da identificação como prestador de serviços digitais.
São considerados prestadores de serviços digitais todas as pessoas colectivas que prestam um serviço digital, encontrando-se excluídas da aplicação do presente diploma as micro e pequenas empresas.
A presente lei aguarda regulamentação específica no prazo de 150 dias, mas entrou em vigor no dia 14 de Agosto de 2018.