ASF coloca em consulta pública projeto de ação face a ciberataques

A Autoridade de Seguros e Fundos de Pensões (ASF) colocou a partir desta quinta-feira em consulta pública um projeto de uma norma regulamentar relativo à comunicação de incidentes severos relacionados com as tecnologias de informação e comunicação (TIC) por parte de empresas do setor segurador.

Segundo a ASF, este projeto visa preparar e antecipar, de forma mitigada e gradual, os requisitos estabelecidos pela norma europeia Dora que visa fortalecer as operações das instituições financeiras em caso de ciberataque.

Interessados devem lançar os seus comentários relativos ao projeto até dia 1 de julho deste ano, utilizando a tabela de comentários disponibilizada para o efeito, para o e-mail consultaspublicas@asf.com.pt.

A norma considera como incidente severo relacionado com as TIC quando existe “um acesso doloso, não autorizado e efetivo às redes e sistemas de formação da entidade” e um “incidente que afeta serviços críticos da entidade”.

Verifica-se este segundo ponto quando ocorrem duas ou mais das seguintes situações: “o número de clientes afetados pelo incidente é superior a 10% do total de clientes que utilizam o serviço afetado ou é superior a cem mil clientes”, “a duração do incidente é superior a 24 horas ou o tempo de indisponibilidade do serviço crítico é superior a duas horas; “o incidente afeta a disponibilidade, autenticidade, integridade ou confidencialidade dos dados, com impacto ou potencial impacto negativo na implementação dos objetivos de negocio ou no cumprimento de exigências regulatórias”, quando “tem impacto económico, nomeadamente quando os custos e as perdas diretos e indiretos incorridos pela entidade devido ao incidente excedam ou são suscetíveis de exceder os cem mil euros, excluindo eventuais montantes recuperáveis”; ou quando tem um impacto reputacional na empresa.

Se um incidente apresentar as características supracitadas, “as empresas devem apresentar a notificação inicial à ASF até quatro horas depois do incidente ser classificado como severo, ou no máximo 24 horas desde o momento que é detetado.

O relatório intercalar deve ser apresentando 72 horas depois da atribuição da classificação do incidente como severa ou assim que a empresas recuperar as suas atividades e voltar a operar normalmente.

Por último, o relatório final deve ser apresentado no prazo de um mês, contando desde a classificação do acidente como severo ou um dia após o acidente ser dado como resolvido.

Estas informações devem ser enviados à ASF através de formulários próprios que estão em fase preparação e ficarão disponíveis no seu site após aprovação do Conselho de Administração da entidade reguladora.

As empresas abrangidas por esta norma são as seguradoras e resseguradoras e mediadoras de seguros, resseguros e de seguros a titulo provisório ou com sede em Portugal, em ambos os casos inclui seu exercício através de uma sucursal ou em regime de Livre Prestação de Serviços (LPS) noutros países da União Europeia. Também estão incluídas entidades gestoras de fundos de pensões autorizadas em Portugal.