ASF coloca em consulta pública projeto de ação face a ciberataques

  • ECO Seguros
  • 6 Junho 2024

Atenção seguradoras, resseguradoras e mediadores. Está em consulta pública um projeto de uma norma regulamentar relativo à comunicação de incidentes severos relacionados com as TIC.

A Autoridade de Seguros e Fundos de Pensões (ASF) colocou a partir desta quinta-feira em consulta pública um projeto de uma norma regulamentar relativo à comunicação de incidentes severos relacionados com as tecnologias de informação e comunicação (TIC) por parte de empresas do setor segurador.

Segundo a ASF, este projeto visa preparar e antecipar, de forma mitigada e gradual, os requisitos estabelecidos pela norma europeia Dora que visa fortalecer as operações das instituições financeiras em caso de ciberataque.

Interessados devem lançar os seus comentários relativos ao projeto até dia 1 de julho deste ano, utilizando a tabela de comentários disponibilizada para o efeito, para o e-mail consultaspublicas@asf.com.pt.

A norma considera como incidente severo relacionado com as TIC quando existe “um acesso doloso, não autorizado e efetivo às redes e sistemas de formação da entidade” e um “incidente que afeta serviços críticos da entidade”.

Verifica-se este segundo ponto quando ocorrem duas ou mais das seguintes situações: “o número de clientes afetados pelo incidente é superior a 10% do total de clientes que utilizam o serviço afetado ou é superior a cem mil clientes”, “a duração do incidente é superior a 24 horas ou o tempo de indisponibilidade do serviço crítico é superior a duas horas; “o incidente afeta a disponibilidade, autenticidade, integridade ou confidencialidade dos dados, com impacto ou potencial impacto negativo na implementação dos objetivos de negocio ou no cumprimento de exigências regulatórias”, quando “tem impacto económico, nomeadamente quando os custos e as perdas diretos e indiretos incorridos pela entidade devido ao incidente excedam ou são suscetíveis de exceder os cem mil euros, excluindo eventuais montantes recuperáveis”; ou quando tem um impacto reputacional na empresa.

Se um incidente apresentar as características supracitadas, “as empresas devem apresentar a notificação inicial à ASF até quatro horas depois do incidente ser classificado como severo, ou no máximo 24 horas desde o momento que é detetado.

O relatório intercalar deve ser apresentando 72 horas depois da atribuição da classificação do incidente como severa ou assim que a empresas recuperar as suas atividades e voltar a operar normalmente.

Por último, o relatório final deve ser apresentado no prazo de um mês, contando desde a classificação do acidente como severo ou um dia após o acidente ser dado como resolvido.

Estas informações devem ser enviados à ASF através de formulários próprios que estão em fase preparação e ficarão disponíveis no seu site após aprovação do Conselho de Administração da entidade reguladora.

As empresas abrangidas por esta norma são as seguradoras e resseguradoras e mediadoras de seguros, resseguros e de seguros a titulo provisório ou com sede em Portugal, em ambos os casos inclui seu exercício através de uma sucursal ou em regime de Livre Prestação de Serviços (LPS) noutros países da União Europeia. Também estão incluídas entidades gestoras de fundos de pensões autorizadas em Portugal.

Assine o ECO Premium

No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.

De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.

Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.

Comentários ({{ total }})

ASF coloca em consulta pública projeto de ação face a ciberataques

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião