As entidades supervisionadas pelo Banco de Portugal e em instituições de crédito significativas com sede no país supervisionadas pelo Banco Central Europeu têm 30 dias úteis para se ajustarem às novas regras para reportar «incidentes de cibersegurança classificados como significativos ou severos», segundo um Boletim Oficial publicado esta segunda-feira.
Actualmente, «as entidades supervisionadas pelo Banco de Portugal devem reportar quaisquer situações com impacto no equilíbrio financeiro, nomeadamente eventos com potencial impacto negativo nos resultados ou capital próprio, incluindo incidentes de índole operacional», lê-se na instrução do Banco de Portugal. «Num contexto de importância crescente do risco operacional associado às tecnologias de informação e comunicação, o Banco de Portugal considera que os incidentes de cibersegurança podem comprometer os sistemas e dados das entidades», frisa.
As novas regras abrangem instituições de crédito, a Caixa Central de Crédito Agrícola Mútuo e Caixas de Crédito Agrícola Mútuo, empresas de investimento, instituições de pagamento e instituições de moeda electrónica e sucursais de instituições de crédito com sede no estrangeiro.
As entidades devem comunicar ao Banco de Portugal os ataques através do portal BPnet. Nos casos em que a entidade não tenha temporariamente capacidade operacional para assegurar a comunicação do incidente ou nos casos em que o mesmo esteja indisponível, o reporte poderá ser efectuado, a título excepcional, através de correio electrónico, para o e-mail csirt_report@bportugal.pt, preenchendo e juntando o ficheiro Excel disponível no portal BPnet.
Outra das regras diz respeito aos prazos. As entidades devem submeter o reporte inicial ao Banco de Portugal no prazo de até duas horas, após a detecção do incidente.
