Polticas e Regimes

Jurdicos de
Proteo de
Infraestruturas
Crticas da
Informao - PICI
Manuel David Masseno

Polticas e Regimes Jurdicos de PICI

Para comear, um Pr-entendimento:

As Cidades Inteligentes so expresses, localizadas e
aprofundadas, da Sociedade em Rede:

A Sociedade em Rede uma sociedade cuja estrutura

social composta por redes assentes nas tecnologias da
informao e da comunicao (M. Castells)

a tnica colocada na estrutura da rede, j no nos contedos

ou no (Ciber)espao
as redes tm existncia fsica e so controlveis pelos
Poderes, tanto Pblicos quanto Privados
os aspetos cruciais j no correspondem ao controle da
informao, mas ao acesso de cada n aos outros ns da rede
e ao controle do que circula na prpria rede

sendo estruturalmente resilientes, as redes so

vulnerveis e da continuidade do seu funcionamento
depende a sobrevivncia das Cidades Inteligentes
2

Polticas e Regimes Jurdicos de PICI

Consequentemente e em sntese, a subsistncia da

Vida em Sociedade, maxime a vida urbana, depende
da disponibilidade, permanente e sem interferncias
externas, das redes de comunicaes eletrnicas:

Direitos Fundamentais acesso aos dados de trafego

e proteo de dados em geral
Atividade empresarial sobretudo com a migrao
para a Nuvem
Democracia Eletrnica voto e participao
Administrao Eletrnica servios pblicos
essenciais
Justia Eletrnica o caso do CITIUS em Portugal
Combate ao Cibercrime Cracking e Botnets
Ciberdefesa NSA e casos da Estnia e Gergia
3

Polticas e Regimes Jurdicos de PICI

Mas, o que se entende por Infraestruturas Crticas?

'Infraestrutura crtica', o elemento, sistema ou parte deste

situado nos Estados-Membros que essencial para a
manuteno de funes vitais para a sociedade, a sade, a
segurana e o bem-estar econmico ou social, e cuja
perturbao ou destruio teria um impacto significativo
num Estado-Membro, dada a impossibilidade de continuar
a assegurar essas funes; (Art. 2. alnea a) da Diretiva
2008/114/CE do Conselho, de 8 de Dezembro de 2008 relativa
identificao e designao das infraestruturas crticas
europeias e avaliao da necessidade de melhorar a sua
proteo)

face ao nosso objeto, uma considerao

municipal, com redes de

Transportes
Energia
gua
Telecomunicaes
4

Polticas e Regimes Jurdicos de PICI

Em seguida iremos tratar de 4 nveis de

resposta, na Unio Europeia e em Portugal,
numa sequncia lgica, mas tambm
cronolgica:
I A Proteo das Infraestruturas Crticas
II A Proteo das Redes de Comunicaes
Eletrnicas

III A Proteo das Infraestruturas Crticas da

Informao
IV A Proteo Criminal das Infraestruturas
Crticas da Informao
5

Polticas e Regimes Jurdicos de PICI

I A Proteo das Infraestruturas Crticas

na Unio Europeia, as preocupaes com a PIC tm 10

anos:

em 17 e 18 de Junho de 2004, o Conselho Europeu

solicitou Comisso que elaborasse uma estratgia global
de reforo da proteo das infraestruturas crticas
a Comunicao da Comisso, de 20 de Outubro de 2004,
Preveno, estado de preparao e capacidade de
resposta aos atentados terroristas [COM (2004) 698 final]
ea
Comunicao da Comisso, de 20 de Outubro de 2004,
Estado de preparao e gesto das consequncias na
luta contra o terrorismo [COM (2004) 701 final]

Polticas e Regimes Jurdicos de PICI

Livro Verde, de 17 de Novembro de 2005, relativo a um

programa europeu de proteco das infraestruturas
crticas [COM (2005) 576 final]
Proposta para uma Deciso do Conselho, de 27 de
Outubro de 2008, sobre uma Rede de Alerta para as
Infraestruturas Crticas (RAIC) [COM (2008) 676 final]

chegando Diretiva 2008/114/CE do Conselho, de 8

de Dezembro de 2008, relativa identificao e
designao das infraestruturas crticas europeias e
avaliao da necessidade de melhorar a sua
proteo

Infraestrutura Crtica Europeia ou ICE, a infraestrutura crtica situada nos Estados-Membros cuja
perturbao ou destruio teria um impacto
significativo em pelo menos dois Estados-Membros.
(Art. 2. alnea b)
7

Polticas e Regimes Jurdicos de PICI

Infraestrutura Crtica Europeia ou ICE, a infraestrutura crtica situada nos Estados-Membros cuja
perturbao ou destruio teria um impacto
significativo em pelo menos dois Estados-Membros.
(Art. 2. alnea b)
centra-se nos setores da energia e dos transportes,
mas podem ser identificados, em simultneo com a
reviso da presente directiva prevista no artigo 11., outros
sectores para efeitos de execuo da presente directiva.
Deve ser dada prioridade ao sector das Tecnologias da
Informao e Comunicao. (Art. 3. n. 3 e Anexo I)
enuncia critrios uniformes de identificao das ICE
(Art. 3.) e procedimentos a tal propsito, por parte
dos Estados-membros (Art. 4.)
prev a elaborao e aprovao de PSO Planos de
segurana dos Operadores (Art. 5.) e a designao de
Agentes Ligao de Segurana (Art. 6.)
8

Polticas e Regimes Jurdicos de PICI

em Portugal, as iniciativas foram sobretudo motivadas

por razes ligadas aos riscos naturais e industriais:

o CNPCE - Conselho Nacional do Planeamento Civil de

Emergncia, entre 2003 e 2011, desenvolveu o Projeto
PIC procedeu:

identificao e classificao das infraestruturas

fundamentais e
tentou avanar com o Programa Nacional para a Proteco
de Infraestruturas Crticas
mas, foi extinto e incorporado na Autoridade Nacional de
Proteo Civil (Art. 42. n. 3 do Decreto-Lei n 126-A/2011
de 29 de dezembro)

a Diretiva 2008/114/CE foi transposta atravs do DecretoLei n 62/2011, de 9 de maio

nada mais foi feito, isto , no existe uma Poltica

Nacional quanto PIC
9

Polticas e Regimes Jurdicos de PICI

II A Proteo das Redes de

Comunicaes Eletrnicas

desde a Unio Europeia, temos uma considerao

especfica destas infra-estruturas, assentes como
essenciais Sociedade da Informao
com uma disciplina que antecipa a projetada para a
Proteo de Infraestuturas Crticas da Informao, e
tudo indica que dever-se- manter
normas e procedimentos de Segurana introduzidos, na
Unio Europeia, pelo Pacote de Reforma das
Telecomunicaes de 2007-2009, atravs da Diretiva
2009/140/CE do Parlamento Europeu e do Conselho, de
25 de novembro de 2009, que altera a Directiva
2002/21/CE relativa a um quadro regulamentar comum
para as redes e servios [Diretiva Regulao]
10

Polticas e Regimes Jurdicos de PICI

Especificamente (Art. 13.-A Segurana e integridade e

Art. 13.-B Aplicao e execuo):

garantias em sede de planeamento e gesto dos riscos de

segurana das redes e dos sistemas, tambm com o
objetivo de minimizar os impactos dos incidentes de
segurana
dever, por parte dos operadores, de notificar os
reguladores em caso de violaes de segurana ou perdas
de integridade com um impacto significativo no
funcionamento das redes e dos servios
dever, de cada regulador nacional, de informar os demais
reguladores e a ENISA Agncia Europeia de Segurana
das Redes e da Informao (Criada pelo Regulamento (CE)
n. 460/2004, do Parlamento Europeu e do Conselho, de 10 de
maro de 2004, agora disciplinada pelo Regulamento (UE) n.
526/2013, do Parlamento Europeu e do Conselho, de 21 de
maio de 2013)
11

Polticas e Regimes Jurdicos de PICI

superviso por parte da Comisso Europeia e da ENISA, com

base em relatrios anuais a serem produzidos pelos
reguladores nacionais
poderes para a Comisso, com a participao da ENISA,
aprovar normas tcnicas de execuo
competncias, reforadas, dos reguladores nacionais para
aprovarem normas vinculativas e inspecionarem os
operadores quanto sua execuo
obrigatoriedade de realizao de auditorias peridicas de
segurana por parte de organismos qualificados
independentes ou pelos prprios reguladores nacionais
atribuio obrigatria de poderes sancionatrios aos
reguladores nacionais

em Portugal, a Diretiva Regulao foi transposta atravs da

Lei n. 51/2011, de 13 de setembro, a qual introduziu a nova
disciplina (Art.s 2.-A e 54.-A a 54.-G), at em detalhe, na
Lei n. 5/2004, de 10 de fevereiro, a Lei das Comunicaes
Electrnicas
12

Polticas e Regimes Jurdicos de PICI

III A Proteo das Infraestruturas Crticas

da Informao
Na Unio Europeia foi acontecendo uma tomada de
conscincia crescente, ao longo de mais de uma dcada

Comunicao da Comisso Segurana das redes e da

informao: Proposta de uma abordagem poltica
europeia [COM (2001) 298 final]
Estratgia da Comisso Para uma sociedade da
informao segura [COM (2006) 251]
Plano de ao e Comunicao sobre A proteo das
infraestruturas crticas da informao [COM (2009) 149]
Comunicao da Comisso Governo da Internet: as
prximas etapas [COM (2009) 277]
Comunicao da Comisso Luta contra a criminalidade
na era digital: criao de um Centro Europeu da
Cibercriminalidade [COM (2012) 0140 final]
13

Polticas e Regimes Jurdicos de PICI

Desde 7 de fevereiro de 2013, est em andamento uma

Nova Estratgia sobre Cibersegurana, Um ciberespao
aberto, seguro e protegido, a qual inclui, explicitamente,
a Proteo das Infraestruturas Crticas da Informao.

apresentada por:

Neelie Kroes, Vice-Presidente da Comisso Europea e Responsvel pela

Agenda Digital

Cecilia Malmstrm, Commissria para os Assuntos Internos, e

Catherine Ashton, Alta Representante da Unio para os Negcios

Estrangeiros e a Poltica de Segurana e Vice-Presidente da Comisso
Europeia

Uma via dupla, interrelacionada:

a) uma Estratgia da Unio Europeia para a cibersegurana:

Um ciberespao aberto, seguro e protegido (JOINT(2013) 1
final) e
b) uma Proposta de diretiva relativa s medidas destinadas a
garantir um elevado nvel de segurana das redes e da
informao na Unio (COM(2013) 48 final)
14

Polticas e Regimes Jurdicos de PICI

a) a Estratgia comea por enunciar os riscos para o

conjunto da Unio Europeia, no domnio dos incidentes de
cibersegurana, e depois, enuncia, explicitamente, os
Princpios da Cibersegurana:

os valores fundamentais da UE aplicam-se tanto no mundo

digital como no mundo fsico

proteger os direitos fundamentais, a liberdade de expresso,

os dados pessoais e a privacidade

acesso para todos Internet

governao multilateral, democrtica e eficiente
responsabilidade partilhada para garantir a segurana

Por outras palavras, a CiberSegurana no um valor em si

e por si, estando funcionalizada aos Valores Fundamentais
do Estado de Direito
15

Polticas e Regimes Jurdicos de PICI

Em seguida, estabelece as Prioridades Estratgicas e

Aes:
1. Garantir a resilincia do ciberespao

reforar a capacidade de resposta concertada, se possvel

com a ENISA
estabelecer requisitos mnimos comuns para a segurana
das redes e da informao - SRI
articular os CERT nacionais com um CERT-EU
envolver o setor privado, na preveno e na resposta, no
segundo caso sobretudo em termos de alertas

2. Reduzir drasticamente a cibercriminalidade

3. Desenvolver a poltica e as capacidades no domnio da
ciberdefesa no quadro da poltica comum de segurana e
defesa (PCSD)
4. Desenvolver os recursos industriais e tecnolgicos para a
cibersegurana
5. Estabelecer uma poltica internacional coerente em matria
de ciberespao para a Unio Europeia
16

Polticas e Regimes Jurdicos de PICI

b) a Proposta de Diretiva, antes de mais, uma iniciativa

modesta, ou prudente:

se [...] estabelece medidas destinadas a garantir um elevado

nvel de segurana das redes e da informao. (Art. 1. n. 1 e
Art. 4.), ser sempre uma harmonizao mnima (Art. 2.),
atendendo diversidade dos nveis de segurana dos vrios
Estados-membros
pretende alcanar uma coordenao no muito constringente
entre os Estados-membros (Art. 1. n. 2 alnea a) e Art. 8.)
o papel da ENISA permanece muito secundrio, em vez de ser
liderante (Art. 8. n. 2)
mas, sobretudo, os setores mais relevantes e sensveis ficaram
fora do mbito de aplicao da Proposta, enquanto
microsistemas auto-suficientes, embora com influncias cruzadas
no que se refere aos contedos (Art. 1 n.s 3, 5 e 6)
ainda assim, s a Administrao Pblica e os operadores de
mercado esto abrangidos pelas exigncias de segurana e
notificao de incidentes (Art. 14)
17

Polticas e Regimes Jurdicos de PICI

por operadore(s) do mercado entendem-se os

fornecedor(es) de servios da sociedade de
informao que permitem a prestao de outros
servios da sociedade da informao [Plataformas de
comrcio eletrnico, Portais de pagamento pela Internet,
Redes sociais, Motores de pesquisa, Servios de
computao em nuvem e Lojas de aplicaes em linha] e

os operador(es) de infraestruturas crticas

essenciais para a manuteno de atividades
econmicas e sociais vitais nos domnios da
energia, dos transportes, da banca, da bolsa e da
sade (Art. 3. n. 8 e Anexo II).

em concluso, no se trata de uma consolidao

normativa, mas, antes, de uma disciplina de
relevncia ainda setorial, e tudo indica que os
deveres previstos sero ainda mais limitados para os
fornecedores de servios...
18

Polticas e Regimes Jurdicos de PICI

uma disciplina caraterizada por:

obrigatoriedade de aprovao de uma Estratgia

um plano de cooperao nacionais, de uma
Autoridade nacional competente em matria de
Segurana de Redes e de Informao e de um
CERT (Art.s 5., 6. e 7.)
cooperao entre as Autoridades nacionais
competentes, coordenada pela Comisso Europeia,
assistida pela ENISA, com um sistema seguro de
partilha de informaes e outro de alerta rpido,
para uma resposta coordenada, com base num
Plano de cooperao da Unio (Art. 8. a 12.)
estabelecimento de exigncias de segurana e
notificao de incidentes, com poderes efetivos de
regulao por parte das Autoridades nacionais
competentes (Art.s 14. e 15.) e
uma normalizao europeia, efetivada pela
Comisso (Art. 16.)
19

Polticas e Regimes Jurdicos de PICI

em sequncia, o Processo legislativo teve

desenvolvimentos:

o Parecer do Comit Econmico e Social Europeu

sobre a Proposta de diretiva [COM(2013) 48 final
2013/0027 (COD)]
o qual aponta a insuficincia da harmonizao e
dos poderes de coordenao previstos
a Resoluo legislativa do Parlamento Europeu, de
13 de maro de 2014, sobre a proposta de diretiva
(COM (2013)0048 C7-0035/2013
2013/0027(COD) (Processo legislativo ordinrio:
primeira leitura)
deixa de parte a Administrao Pblica e centra-se
na situao do operador de infraestruturas
essenciais, alargando o objeto ao ns de
comutao da Internet e da cadeia de
abastecimento alimentar
20

Polticas e Regimes Jurdicos de PICI

um operador de infraestruturas essenciais para a

manuteno de atividades econmicas e sociais
vitais [] e cuja interrupo ou destruio teria um
impacto significativo num Estado-Membro, em
resultado da impossibilidade de continuar a
assegurar essas funes, na medida em que a rede
e os sistemas de informao em causa esto
relacionados com os seus servios essenciais.
(nova redao do Art. 3. n. 8 alnea b)

Relativamente a Portugal, ainda no temos nada... ou

quase:

em Julho de 2012, a Comisso Instaladora do Centro

Nacional de Cibersegurana, nomeada com base na
Resoluo do Conselho de Ministros n. 42/2012, de 13 de
abril de 2012, apresentou ao Governo uma Proposta de
Estratgia Nacional de Cibersegurana, com uma breve
referncia s Infraestruturas Crticas da Informao
21

Polticas e Regimes Jurdicos de PICI

mais recentemente ainda, foi publicado o DecretoLei n. 69/2014, de 9 de maio, procede segunda
alterao ao Decreto-Lei n. 3/2012, de 16 de
janeiro, que aprova a orgnica do Gabinete
Nacional de Segurana, estabelecendo os termos
do funcionamento do Centro Nacional de
Cibersegurana, ao qual caber Exercer os
poderes de autoridade nacional competente em
matria de cibersegurana, relativamente ao
Estado e aos operadores de infraestruturas crticas
nacionais, Contribuir para a assegurar a
segurana dos sistemas de informao e
comunicao do Estado e das infraestruturas
crticas nacionais e Assegurar o planeamento da
utilizao do ciberespao em situaes de crise e
de guerra no mbito do planeamento civil de
emergncia (Art. 2.-A n. 1 alneas c), d) e h)
por enquanto, o CERT.PT continua na FCT
22

Polticas e Regimes Jurdicos de PICI

IV A Proteo Criminal das

Infraestruturas Crticas da Informao

considerao penal especfica das perturbaes das

redes e sistemas de informao essenciais para o
funcionamento da Sociedade em Rede / Cidades
Inteligentes resultantes de ciberataques
na Unio Europeia, esta ligao consta,
explicitamente, da

Estratgia da Unio Europeia para a cibersegurana,

enquanto Prioridade (2.2 Reduzir drasticamente a
cibercriminalidade) e da
Comunicao da Comisso ao Conselho e ao ao
Parlamento Europeu - Luta contra a criminalidade na era
digital: criao de um Centro Europeu da
Cibercriminalidade (COM(2012) 140 final), de 28 de
maro de 2012
23

Polticas e Regimes Jurdicos de PICI

Depois, a Diretiva 2013/40/UE do Parlamento Europeu e do

Conselho, de 12 de agosto de 2013, relativa aos ataques
contra os sistemas de informao, estabelece essa mesma
ligao (Considerandos (3) e (4) e prev a penalizao
enquanto formas qualificadas dos tipos criminais
Interferncia ilegal no sistema (Art. 4.) e Interferncia
ilegal nos dados (Art. 5.), quando Sejam cometidas
contra um sistema de informao que constitua uma
infraestrutura crtica (Art. 9. n. 4 alnea c)

em Portugal, a situao curiosa

na, antiga, Lei n. 109/91, de 17 de agosto, na

Sabotagem informtica (Art. 6.) apenas o valor do
dano surge a qualificar os atos
depois, na Conveno do Conselho da Europa sobre o
Cibercrime, adotada em Budapeste, a 23 de novembro
de 2001, nem a Interferncia em dados (Art. 4.), nem
Interferncia em sistemas (Art. 5.), nada consta
24

Polticas e Regimes Jurdicos de PICI

como tambm nada encontramos na Deciso-Quadro

2005/222/JAI, do Conselho, de 24 de Fevereiro de 2005,
relativa a ataques contra os sistemas de informao, a
propsito da Interferncia ilegal no sistema (Art. 3.)
e da Interferncia ilegal dos dados (Art. 4.)
e ainda no Ante-Projeto de Proposta de Lei

Porm, na atual Lei do Cibercrime, Lei n. 109/2009,

de 15 de setembro, qualificando a Sabotagem

informtica (Art. 5. n. 5 alnea b), surge-nos

uma redao familiar

A perturbao causada atingir de forma grave ou

duradoura um sistema informtico que apoie uma
actividade destinada a assegurar funes sociais
crticas, nomeadamente as cadeias de abastecimento,
a sade, a segurana e o bem-estar econmico das
pessoas, ou o funcionamento regular dos servios
pblicos
25

Polticas e Regimes Jurdicos de PICI

Post Scriptum, ou quando o jogo extrapola a

realidade:

26