Polticas e Regimes
Jurdicos de
Proteo de
Infraestruturas
Crticas da
Informao - PICI
Manuel David Masseno
�Polticas e Regimes Jurdicos de PICI
Para comear, um Pr-entendimento:
As Cidades Inteligentes so expresses, localizadas e
aprofundadas, da Sociedade em Rede:
A Sociedade em Rede uma sociedade cuja estrutura
social composta por redes assentes nas tecnologias da
informao e da comunicao (M. Castells)
a tnica colocada na estrutura da rede, j no nos contedos
ou no (Ciber)espao
as redes tm existncia fsica e so controlveis pelos
Poderes, tanto Pblicos quanto Privados
os aspetos cruciais j no correspondem ao controle da
informao, mas ao acesso de cada n aos outros ns da rede
e ao controle do que circula na prpria rede
sendo estruturalmente resilientes, as redes so
vulnerveis e da continuidade do seu funcionamento
depende a sobrevivncia das Cidades Inteligentes
2
�Polticas e Regimes Jurdicos de PICI
Consequentemente e em sntese, a subsistncia da
Vida em Sociedade, maxime a vida urbana, depende
da disponibilidade, permanente e sem interferncias
externas, das redes de comunicaes eletrnicas:
Direitos Fundamentais acesso aos dados de trafego
e proteo de dados em geral
Atividade empresarial sobretudo com a migrao
para a Nuvem
Democracia Eletrnica voto e participao
Administrao Eletrnica servios pblicos
essenciais
Justia Eletrnica o caso do CITIUS em Portugal
Combate ao Cibercrime Cracking e Botnets
Ciberdefesa NSA e casos da Estnia e Gergia
3
�Polticas e Regimes Jurdicos de PICI
Mas, o que se entende por Infraestruturas Crticas?
'Infraestrutura crtica', o elemento, sistema ou parte deste
situado nos Estados-Membros que essencial para a
manuteno de funes vitais para a sociedade, a sade, a
segurana e o bem-estar econmico ou social, e cuja
perturbao ou destruio teria um impacto significativo
num Estado-Membro, dada a impossibilidade de continuar
a assegurar essas funes; (Art. 2. alnea a) da Diretiva
2008/114/CE do Conselho, de 8 de Dezembro de 2008 relativa
identificao e designao das infraestruturas crticas
europeias e avaliao da necessidade de melhorar a sua
proteo)
face ao nosso objeto, uma considerao
municipal, com redes de
Transportes
Energia
gua
Telecomunicaes
4
�Polticas e Regimes Jurdicos de PICI
Em seguida iremos tratar de 4 nveis de
resposta, na Unio Europeia e em Portugal,
numa sequncia lgica, mas tambm
cronolgica:
I A Proteo das Infraestruturas Crticas
II A Proteo das Redes de Comunicaes
Eletrnicas
III A Proteo das Infraestruturas Crticas da
Informao
IV A Proteo Criminal das Infraestruturas
Crticas da Informao
5
�Polticas e Regimes Jurdicos de PICI
I A Proteo das Infraestruturas Crticas
na Unio Europeia, as preocupaes com a PIC tm 10
anos:
em 17 e 18 de Junho de 2004, o Conselho Europeu
solicitou Comisso que elaborasse uma estratgia global
de reforo da proteo das infraestruturas crticas
a Comunicao da Comisso, de 20 de Outubro de 2004,
Preveno, estado de preparao e capacidade de
resposta aos atentados terroristas [COM (2004) 698 final]
ea
Comunicao da Comisso, de 20 de Outubro de 2004,
Estado de preparao e gesto das consequncias na
luta contra o terrorismo [COM (2004) 701 final]
�Polticas e Regimes Jurdicos de PICI
Livro Verde, de 17 de Novembro de 2005, relativo a um
programa europeu de proteco das infraestruturas
crticas [COM (2005) 576 final]
Proposta para uma Deciso do Conselho, de 27 de
Outubro de 2008, sobre uma Rede de Alerta para as
Infraestruturas Crticas (RAIC) [COM (2008) 676 final]
chegando Diretiva 2008/114/CE do Conselho, de 8
de Dezembro de 2008, relativa identificao e
designao das infraestruturas crticas europeias e
avaliao da necessidade de melhorar a sua
proteo
Infraestrutura Crtica Europeia ou ICE, a infraestrutura crtica situada nos Estados-Membros cuja
perturbao ou destruio teria um impacto
significativo em pelo menos dois Estados-Membros.
(Art. 2. alnea b)
7
�Polticas e Regimes Jurdicos de PICI
Infraestrutura Crtica Europeia ou ICE, a infraestrutura crtica situada nos Estados-Membros cuja
perturbao ou destruio teria um impacto
significativo em pelo menos dois Estados-Membros.
(Art. 2. alnea b)
centra-se nos setores da energia e dos transportes,
mas podem ser identificados, em simultneo com a
reviso da presente directiva prevista no artigo 11., outros
sectores para efeitos de execuo da presente directiva.
Deve ser dada prioridade ao sector das Tecnologias da
Informao e Comunicao. (Art. 3. n. 3 e Anexo I)
enuncia critrios uniformes de identificao das ICE
(Art. 3.) e procedimentos a tal propsito, por parte
dos Estados-membros (Art. 4.)
prev a elaborao e aprovao de PSO Planos de
segurana dos Operadores (Art. 5.) e a designao de
Agentes Ligao de Segurana (Art. 6.)
8
�Polticas e Regimes Jurdicos de PICI
em Portugal, as iniciativas foram sobretudo motivadas
por razes ligadas aos riscos naturais e industriais:
o CNPCE - Conselho Nacional do Planeamento Civil de
Emergncia, entre 2003 e 2011, desenvolveu o Projeto
PIC procedeu:
identificao e classificao das infraestruturas
fundamentais e
tentou avanar com o Programa Nacional para a Proteco
de Infraestruturas Crticas
mas, foi extinto e incorporado na Autoridade Nacional de
Proteo Civil (Art. 42. n. 3 do Decreto-Lei n 126-A/2011
de 29 de dezembro)
a Diretiva 2008/114/CE foi transposta atravs do DecretoLei n 62/2011, de 9 de maio
nada mais foi feito, isto , no existe uma Poltica
Nacional quanto PIC
9
�Polticas e Regimes Jurdicos de PICI
II A Proteo das Redes de
Comunicaes Eletrnicas
desde a Unio Europeia, temos uma considerao
especfica destas infra-estruturas, assentes como
essenciais Sociedade da Informao
com uma disciplina que antecipa a projetada para a
Proteo de Infraestuturas Crticas da Informao, e
tudo indica que dever-se- manter
normas e procedimentos de Segurana introduzidos, na
Unio Europeia, pelo Pacote de Reforma das
Telecomunicaes de 2007-2009, atravs da Diretiva
2009/140/CE do Parlamento Europeu e do Conselho, de
25 de novembro de 2009, que altera a Directiva
2002/21/CE relativa a um quadro regulamentar comum
para as redes e servios [Diretiva Regulao]
10
�Polticas e Regimes Jurdicos de PICI
Especificamente (Art. 13.-A Segurana e integridade e
Art. 13.-B Aplicao e execuo):
garantias em sede de planeamento e gesto dos riscos de
segurana das redes e dos sistemas, tambm com o
objetivo de minimizar os impactos dos incidentes de
segurana
dever, por parte dos operadores, de notificar os
reguladores em caso de violaes de segurana ou perdas
de integridade com um impacto significativo no
funcionamento das redes e dos servios
dever, de cada regulador nacional, de informar os demais
reguladores e a ENISA Agncia Europeia de Segurana
das Redes e da Informao (Criada pelo Regulamento (CE)
n. 460/2004, do Parlamento Europeu e do Conselho, de 10 de
maro de 2004, agora disciplinada pelo Regulamento (UE) n.
526/2013, do Parlamento Europeu e do Conselho, de 21 de
maio de 2013)
11
�Polticas e Regimes Jurdicos de PICI
superviso por parte da Comisso Europeia e da ENISA, com
base em relatrios anuais a serem produzidos pelos
reguladores nacionais
poderes para a Comisso, com a participao da ENISA,
aprovar normas tcnicas de execuo
competncias, reforadas, dos reguladores nacionais para
aprovarem normas vinculativas e inspecionarem os
operadores quanto sua execuo
obrigatoriedade de realizao de auditorias peridicas de
segurana por parte de organismos qualificados
independentes ou pelos prprios reguladores nacionais
atribuio obrigatria de poderes sancionatrios aos
reguladores nacionais
em Portugal, a Diretiva Regulao foi transposta atravs da
Lei n. 51/2011, de 13 de setembro, a qual introduziu a nova
disciplina (Art.s 2.-A e 54.-A a 54.-G), at em detalhe, na
Lei n. 5/2004, de 10 de fevereiro, a Lei das Comunicaes
Electrnicas
12
�Polticas e Regimes Jurdicos de PICI
III A Proteo das Infraestruturas Crticas
da Informao
Na Unio Europeia foi acontecendo uma tomada de
conscincia crescente, ao longo de mais de uma dcada
Comunicao da Comisso Segurana das redes e da
informao: Proposta de uma abordagem poltica
europeia [COM (2001) 298 final]
Estratgia da Comisso Para uma sociedade da
informao segura [COM (2006) 251]
Plano de ao e Comunicao sobre A proteo das
infraestruturas crticas da informao [COM (2009) 149]
Comunicao da Comisso Governo da Internet: as
prximas etapas [COM (2009) 277]
Comunicao da Comisso Luta contra a criminalidade
na era digital: criao de um Centro Europeu da
Cibercriminalidade [COM (2012) 0140 final]
13
�Polticas e Regimes Jurdicos de PICI
Desde 7 de fevereiro de 2013, est em andamento uma
Nova Estratgia sobre Cibersegurana, Um ciberespao
aberto, seguro e protegido, a qual inclui, explicitamente,
a Proteo das Infraestruturas Crticas da Informao.
apresentada por:
Neelie Kroes, Vice-Presidente da Comisso Europea e Responsvel pela
Agenda Digital
Cecilia Malmstrm, Commissria para os Assuntos Internos, e
Catherine Ashton, Alta Representante da Unio para os Negcios
Estrangeiros e a Poltica de Segurana e Vice-Presidente da Comisso
Europeia
Uma via dupla, interrelacionada:
a) uma Estratgia da Unio Europeia para a cibersegurana:
Um ciberespao aberto, seguro e protegido (JOINT(2013) 1
final) e
b) uma Proposta de diretiva relativa s medidas destinadas a
garantir um elevado nvel de segurana das redes e da
informao na Unio (COM(2013) 48 final)
14
�Polticas e Regimes Jurdicos de PICI
a) a Estratgia comea por enunciar os riscos para o
conjunto da Unio Europeia, no domnio dos incidentes de
cibersegurana, e depois, enuncia, explicitamente, os
Princpios da Cibersegurana:
os valores fundamentais da UE aplicam-se tanto no mundo
digital como no mundo fsico
proteger os direitos fundamentais, a liberdade de expresso,
os dados pessoais e a privacidade
acesso para todos Internet
governao multilateral, democrtica e eficiente
responsabilidade partilhada para garantir a segurana
Por outras palavras, a CiberSegurana no um valor em si
e por si, estando funcionalizada aos Valores Fundamentais
do Estado de Direito
15
�Polticas e Regimes Jurdicos de PICI
Em seguida, estabelece as Prioridades Estratgicas e
Aes:
1. Garantir a resilincia do ciberespao
reforar a capacidade de resposta concertada, se possvel
com a ENISA
estabelecer requisitos mnimos comuns para a segurana
das redes e da informao - SRI
articular os CERT nacionais com um CERT-EU
envolver o setor privado, na preveno e na resposta, no
segundo caso sobretudo em termos de alertas
2. Reduzir drasticamente a cibercriminalidade
3. Desenvolver a poltica e as capacidades no domnio da
ciberdefesa no quadro da poltica comum de segurana e
defesa (PCSD)
4. Desenvolver os recursos industriais e tecnolgicos para a
cibersegurana
5. Estabelecer uma poltica internacional coerente em matria
de ciberespao para a Unio Europeia
16
�Polticas e Regimes Jurdicos de PICI
b) a Proposta de Diretiva, antes de mais, uma iniciativa
modesta, ou prudente:
se [...] estabelece medidas destinadas a garantir um elevado
nvel de segurana das redes e da informao. (Art. 1. n. 1 e
Art. 4.), ser sempre uma harmonizao mnima (Art. 2.),
atendendo diversidade dos nveis de segurana dos vrios
Estados-membros
pretende alcanar uma coordenao no muito constringente
entre os Estados-membros (Art. 1. n. 2 alnea a) e Art. 8.)
o papel da ENISA permanece muito secundrio, em vez de ser
liderante (Art. 8. n. 2)
mas, sobretudo, os setores mais relevantes e sensveis ficaram
fora do mbito de aplicao da Proposta, enquanto
microsistemas auto-suficientes, embora com influncias cruzadas
no que se refere aos contedos (Art. 1 n.s 3, 5 e 6)
ainda assim, s a Administrao Pblica e os operadores de
mercado esto abrangidos pelas exigncias de segurana e
notificao de incidentes (Art. 14)
17
�Polticas e Regimes Jurdicos de PICI
por operadore(s) do mercado entendem-se os
fornecedor(es) de servios da sociedade de
informao que permitem a prestao de outros
servios da sociedade da informao [Plataformas de
comrcio eletrnico, Portais de pagamento pela Internet,
Redes sociais, Motores de pesquisa, Servios de
computao em nuvem e Lojas de aplicaes em linha] e
os operador(es) de infraestruturas crticas
essenciais para a manuteno de atividades
econmicas e sociais vitais nos domnios da
energia, dos transportes, da banca, da bolsa e da
sade (Art. 3. n. 8 e Anexo II).
em concluso, no se trata de uma consolidao
normativa, mas, antes, de uma disciplina de
relevncia ainda setorial, e tudo indica que os
deveres previstos sero ainda mais limitados para os
fornecedores de servios...
18
�Polticas e Regimes Jurdicos de PICI
uma disciplina caraterizada por:
obrigatoriedade de aprovao de uma Estratgia
um plano de cooperao nacionais, de uma
Autoridade nacional competente em matria de
Segurana de Redes e de Informao e de um
CERT (Art.s 5., 6. e 7.)
cooperao entre as Autoridades nacionais
competentes, coordenada pela Comisso Europeia,
assistida pela ENISA, com um sistema seguro de
partilha de informaes e outro de alerta rpido,
para uma resposta coordenada, com base num
Plano de cooperao da Unio (Art. 8. a 12.)
estabelecimento de exigncias de segurana e
notificao de incidentes, com poderes efetivos de
regulao por parte das Autoridades nacionais
competentes (Art.s 14. e 15.) e
uma normalizao europeia, efetivada pela
Comisso (Art. 16.)
19
�Polticas e Regimes Jurdicos de PICI
em sequncia, o Processo legislativo teve
desenvolvimentos:
o Parecer do Comit Econmico e Social Europeu
sobre a Proposta de diretiva [COM(2013) 48 final
2013/0027 (COD)]
o qual aponta a insuficincia da harmonizao e
dos poderes de coordenao previstos
a Resoluo legislativa do Parlamento Europeu, de
13 de maro de 2014, sobre a proposta de diretiva
(COM (2013)0048 C7-0035/2013
2013/0027(COD) (Processo legislativo ordinrio:
primeira leitura)
deixa de parte a Administrao Pblica e centra-se
na situao do operador de infraestruturas
essenciais, alargando o objeto ao ns de
comutao da Internet e da cadeia de
abastecimento alimentar
20
�Polticas e Regimes Jurdicos de PICI
um operador de infraestruturas essenciais para a
manuteno de atividades econmicas e sociais
vitais [] e cuja interrupo ou destruio teria um
impacto significativo num Estado-Membro, em
resultado da impossibilidade de continuar a
assegurar essas funes, na medida em que a rede
e os sistemas de informao em causa esto
relacionados com os seus servios essenciais.
(nova redao do Art. 3. n. 8 alnea b)
Relativamente a Portugal, ainda no temos nada... ou
quase:
em Julho de 2012, a Comisso Instaladora do Centro
Nacional de Cibersegurana, nomeada com base na
Resoluo do Conselho de Ministros n. 42/2012, de 13 de
abril de 2012, apresentou ao Governo uma Proposta de
Estratgia Nacional de Cibersegurana, com uma breve
referncia s Infraestruturas Crticas da Informao
21
�Polticas e Regimes Jurdicos de PICI
mais recentemente ainda, foi publicado o DecretoLei n. 69/2014, de 9 de maio, procede segunda
alterao ao Decreto-Lei n. 3/2012, de 16 de
janeiro, que aprova a orgnica do Gabinete
Nacional de Segurana, estabelecendo os termos
do funcionamento do Centro Nacional de
Cibersegurana, ao qual caber Exercer os
poderes de autoridade nacional competente em
matria de cibersegurana, relativamente ao
Estado e aos operadores de infraestruturas crticas
nacionais, Contribuir para a assegurar a
segurana dos sistemas de informao e
comunicao do Estado e das infraestruturas
crticas nacionais e Assegurar o planeamento da
utilizao do ciberespao em situaes de crise e
de guerra no mbito do planeamento civil de
emergncia (Art. 2.-A n. 1 alneas c), d) e h)
por enquanto, o CERT.PT continua na FCT
22
�Polticas e Regimes Jurdicos de PICI
IV A Proteo Criminal das
Infraestruturas Crticas da Informao
considerao penal especfica das perturbaes das
redes e sistemas de informao essenciais para o
funcionamento da Sociedade em Rede / Cidades
Inteligentes resultantes de ciberataques
na Unio Europeia, esta ligao consta,
explicitamente, da
Estratgia da Unio Europeia para a cibersegurana,
enquanto Prioridade (2.2 Reduzir drasticamente a
cibercriminalidade) e da
Comunicao da Comisso ao Conselho e ao ao
Parlamento Europeu - Luta contra a criminalidade na era
digital: criao de um Centro Europeu da
Cibercriminalidade (COM(2012) 140 final), de 28 de
maro de 2012
23
�Polticas e Regimes Jurdicos de PICI
Depois, a Diretiva 2013/40/UE do Parlamento Europeu e do
Conselho, de 12 de agosto de 2013, relativa aos ataques
contra os sistemas de informao, estabelece essa mesma
ligao (Considerandos (3) e (4) e prev a penalizao
enquanto formas qualificadas dos tipos criminais
Interferncia ilegal no sistema (Art. 4.) e Interferncia
ilegal nos dados (Art. 5.), quando Sejam cometidas
contra um sistema de informao que constitua uma
infraestrutura crtica (Art. 9. n. 4 alnea c)
em Portugal, a situao curiosa
na, antiga, Lei n. 109/91, de 17 de agosto, na
Sabotagem informtica (Art. 6.) apenas o valor do
dano surge a qualificar os atos
depois, na Conveno do Conselho da Europa sobre o
Cibercrime, adotada em Budapeste, a 23 de novembro
de 2001, nem a Interferncia em dados (Art. 4.), nem
Interferncia em sistemas (Art. 5.), nada consta
24
�Polticas e Regimes Jurdicos de PICI
como tambm nada encontramos na Deciso-Quadro
2005/222/JAI, do Conselho, de 24 de Fevereiro de 2005,
relativa a ataques contra os sistemas de informao, a
propsito da Interferncia ilegal no sistema (Art. 3.)
e da Interferncia ilegal dos dados (Art. 4.)
e ainda no Ante-Projeto de Proposta de Lei
Porm, na atual Lei do Cibercrime, Lei n. 109/2009,
de 15 de setembro, qualificando a Sabotagem
informtica (Art. 5. n. 5 alnea b), surge-nos
uma redao familiar
A perturbao causada atingir de forma grave ou
duradoura um sistema informtico que apoie uma
actividade destinada a assegurar funes sociais
crticas, nomeadamente as cadeias de abastecimento,
a sade, a segurana e o bem-estar econmico das
pessoas, ou o funcionamento regular dos servios
pblicos
25
�Polticas e Regimes Jurdicos de PICI
Post Scriptum, ou quando o jogo extrapola a
realidade:
26
![000040905[pg1]](https://imgv2-2-f.scribdassets.com/img/document/324339216/149x198/d2fda41ceb/1474141714?v=1)
Rui M. C. Pimenta
