O Banco de Portugal publicou,a 25 de Novembro, a instrução 21/2019 a qual regulamenta o reporte de incidentes de cibersegurança e entra em vigor dentro de 30 dias a contar daquela data.
O Banco de Portugal considera que os incidentes de cibersegurança podem comprometer sistemas e dados das entidades supervisionadas. Neste sentido, estas devem reportar incidentes significativos e severos.
O reporte visa regulamentar o reporte de incidentes de cibersegurança em entidades supervisionadas pelo Banco de Portugal e instituições de crédito com sede em Portugal, supervisionadas pelo Banco Central Europeu.
Recorde-se que algumas instituições de crédito são hoje consideradas Operadores de Serviços Essenciais e também devem notificar o Centro Nacional de Cibersegurança.
A instituição aponta que são considerados incidentes de cibersegurança todos os eventos de segurança de informação com possibilidade elevada de comprometer operações de negócio e/ou ameaçar a segurança de informação”.
A obrigação deve ser cumprida pelas instituições de crédito, caixa central de crédito agrícola mútuo e caixas de crédito agrícola mútuo, empresas de investimento, instituições de pagamento, instituições de moeda electrónica e sucursais de crédito com sede no estrangeiro, desde que exerçam actividade em Portugal.