Leis e regulamentos que regem a Ciber-segurança

Em 2000, o Estado começou a abordar sistematicamente a questão da ciber-segurança.

A Resolução governamental n.º 205 foi adoptada para tratar de questões de cibersegurança na República Checa em 2010.[1] Esta resolução estabeleceu o MICR (Ministério do Interior da República Checa) como gestor da questão da ciber-segurança e, ao mesmo tempo, como autoridade nacional para esta área. O Ministro do Interior foi ainda instruído a fazê-lo:

1.     coordenar as actividades de outras instituições estatais no domínio da garantia da ciber-segurança,

2.     coordenar a representação da República Checa em matéria de cibersegurança em fóruns internacionais, incluindo a participação de organismos estatais nas actividades de organizações internacionais relevantes,

3.     submeter o estatuto do Conselho Coordenador Interministerial para a Ciber-Segurança ao governo para aprovação até 30 de Abril de 2010,

4.     submeter uma estratégia de ciber-segurança ao governo até 15 de Dezembro de 2010,

5.     começar a assegurar o funcionamento do local de trabalho governamental da CSIRT (Equipa de Resposta a Incidentes de Segurança Informática) o mais tardar até 31 de Dezembro de 2010.

Em 19 de Outubro de 2011, o Governo da República Checa adoptou a Resolução n.º 781 sobre a criação da Autoridade Nacional de Segurança (em checo: Národní bezpečnostní úřad, NBU) como guardiã das questões de ciber-segurança e ao mesmo tempo a autoridade nacional nesta área.[2] Em simultâneo com esta resolução, o Governo da República Checa criou o Conselho de Segurança Cibernética[3] e aprovou a criação do Centro Nacional de Segurança Cibernética (como parte do NBU).

Em 2011, foi adoptada a Estratégia para a Ciber-segurança da República Checa para o período de 2011 a 2015[4] e foi adoptado um plano de acção para esta estratégia. Contudo, dada a transferência de responsabilidade do Ministério do Interior para o NBU, esta estratégia é mais frequentemente referida como tal: Estratégia para a área da cibersegurança da República Checa para o período de 2012 a 2015.[5]

Os objectivos e medidas estratégicas apresentados foram estabelecidos na estratégia apresentada:

·       criação de um quadro legislativo,

·       criação do Centro Nacional de Segurança Cibernética e do gabinete governamental CERT,

·       protecção de infra-estruturas de informação crítica,

·       reforço da ciber-segurança dos sistemas de informação e comunicação da administração pública,

·       racionalizar a luta contra a criminalidade no ciberespaço,

·       coordenação de actividades para garantir a ciber-segurança na Europa,

·       utilização de tecnologias de informação fiáveis e fidedignas,

·       sensibilização para a ciber-segurança,

·       resposta aos ciberataques.

A 28 de Junho de 2013, o NBU apresentou ao Governo da República Checa um projecto de lei sobre ciber-segurança. O processo legislativo subsequente teve lugar sem quaisquer comentários significativos e a Lei n.º 181/2014 Coll., sobre Segurança Cibernética e emendas a leis relacionadas (Lei de Segurança Cibernética) entrou em vigor a 29 de Agosto de 2014 com efeitos a partir de 1 de Janeiro de 2015.

Em simultâneo com a lei, foram elaborados instrumentos legais estatutários, nomeadamente

·      Decreto nº 316/2014, sobre medidas de segurança, incidentes de ciber-segurança, medidas reactivas e sobre a determinação dos requisitos de arquivamento no domínio da ciber-segurança (Decreto sobre Ciber-segurança);

·      Decreto nº 317/2014, que estabelece sistemas de informação importantes e os seus critérios de definição;

·      Decreto n.º 315/2014, alteração ao Decreto Governamental n.º 432/2010 Coll., sobre os critérios para determinar o elemento de infra-estrutura crítica.

Todos os instrumentos estatutários entraram em vigor ao mesmo tempo que a Lei de Segurança Cibernética.

Em Agosto de 2015, o operador da Equipa Nacional CERT foi seleccionado com base nos requisitos estabelecidos na CSA. A associação CZ.NIC tornou-se este operador.[6] Em 18 de Dezembro de 2015, foi assinado o Contrato Público sobre a Segurança das Actividades da CERT Nacional e sobre a Cooperação no Domínio da Ciber-segurança.[7] Este contrato foi celebrado por um período indeterminado.

A Lei de Segurança Cibernética sofreu duas alterações significativas desde 2015, ano em que entrou em vigor.

A primeira alteração foi feita pela Lei n.º 104/2017 Coll.,[8] com efeitos a partir de 1 de Julho de 2017 e pela Lei n.º 205/2017 Coll. com efeitos a partir de 1 de Agosto de 2017. Esta alteração alargou o círculo de devedores abrangidos pela CSA para incluir operadores de sistemas de informação e alterou ainda certas sanções.

A segunda alteração significativa de conteúdo foi feita pela Lei n.º 205/2017 Coll.,[9] com efeitos a partir de 1 de Agosto de 2017. Esta alteração implementou a Directiva 2004/1148 do Parlamento Europeu e do Conselho, de 6 de Julho de 2016, relativa a medidas destinadas a assegurar um elevado nível comum de segurança das redes e sistemas de informação na União Europeia (NIS) na CSA e, ao mesmo tempo, foi criado o Gabinete Nacional para a Segurança Cibernética e da Informação (NUKIB). Este assumiu os direitos e obrigações no domínio da ciber-segurança do NBU, incluindo a protecção de informações classificadas nos sistemas de informação e comunicação e a protecção criptográfica. NUKIB é o órgão administrativo central nas áreas acima referidas.

Actualmente, a questão da ciber-segurança é especificamente abordada pela Cybersecurity Act. No entanto, aspectos parciais da protecção da República Checa contra ciberataques podem ser encontrados noutros regulamentos legais. Em termos de ciber-segurança, os documentos mais importantes são os seguintes

Actos constitucionais

·      Lei Constitucional n.º 1/1993 Coll., a Constituição da República Checa, com as alterações que lhe foram introduzidas

·      Lei Constitucional n.º 2/1993 Coll., Carta dos Direitos e Liberdades Fundamentais, com as alterações que lhe foram introduzidas[10]

·      Lei Constitucional n.º 110/1998 Coll., sobre a Segurança da República Checa

Actos

·      Lei n.º 106/1999 Coll., sobre o livre acesso à informação, com as alterações que lhe foram introduzidas

·      Lei nº 101/2000 Coll., sobre a Protecção de Dados Pessoais e Alteração de Algumas Leis, com as alterações que lhe foram introduzidas[11]

·      Lei nº 121/2000 Coll., sobre Direitos de Autor, sobre Direitos Relacionados com os Direitos de Autor e sobre Alterações a Certas Leis (Copyright Act), com as alterações que lhe foram introduzidas

·      Lei nº 240/2000 Coll., sobre gestão de crises e alterações a certas leis (Lei da Crise), com as alterações que lhe foram introduzidas

·      Lei n.º 365/2000 Coll., sobre Sistemas de Informação da Administração Pública, com as alterações que lhe foram introduzidas

·      Lei n.º 480/2004 Coll., sobre certos serviços da sociedade da informação e sobre alterações a certas leis (Lei sobre certos serviços da sociedade da informação), com as alterações que lhe foram introduzidas [12]

·      Lei n.º 127/2005 Coll., sobre Comunicações Electrónicas, com as alterações que lhe foram introduzidas [13]

·      Lei n.º 412/2005 Coll., sobre a Protecção de Informações Classificadas e sobre a Autorização de Segurança, com as alterações que lhe foram introduzidas [14]

·      Lei n.º 69/2006 Coll., sobre a Imposição de Sanções Internacionais, com as alterações que lhe foram introduzidas

·      Lei n.º 300/2008 Coll., sobre Leis Electrónicas e Conversão Autorizada de Documentos, com as alterações que lhe foram introduzidas

·      Lei n.º 40/2009 Coll., Código Penal, com as alterações que lhe foram introduzidas [15]

·      Lei n.º 111/2009 Coll., sobre Registos Básicos, com as alterações que lhe foram introduzidas

·      Lei n.º 418/2011 Coll., relativa à Responsabilidade Penal das Pessoas Colectivas e aos Processos contra elas

·      Lei nº 89/2012 Coll., o Código Civil

·      Lei n.º 181/2014 Coll., sobre Ciber-segurança e emendas a leis conexas (Cybersecurity Act)

·      Lei n.º 297/2016 Coll., sobre Serviços Criação de Confiança para Transacções Electrónicas

Instrumentos estatutários

·      Decreto Governamental n.º 522/2005 Coll., que estabelece listas de informações classificadas, com as alterações que lhe foram introduzidas 

·      Decreto nº 523/2005 Coll., sobre a segurança dos sistemas de informação e comunicação e outros dispositivos electrónicos que tratam informações classificadas e sobre a certificação das câmaras de rastreio, com as alterações que lhe foram introduzidas

·      Decreto nº 529/2006 Coll., sobre os requisitos de estrutura e conteúdo do conceito de informação e documentação operacional e sobre os requisitos para a gestão da segurança e qualidade dos sistemas de informação da administração pública (Decreto sobre a gestão a longo prazo dos sistemas de informação da administração pública)

·      Regulamento Governamental n.º 432/2010 Coll., sobre os critérios para determinar o elemento de infra-estrutura crítica

·      Decreto nº 357/2012 Coll., sobre a retenção, transferência e eliminação dos dados de tráfego e localização

·      Decreto nº 317/2014 Coll., sobre sistemas de informação importantes e respectivos critérios de definição

·      Decreto nº 437/2017 Coll., sobre os critérios para a determinação do operador do serviço de base

·      Decreto n.º 82/2018 Coll. , sobre medidas de segurança, incidentes de cibersegurança, medidas reactivas, requisitos de arquivamento no domínio da cibersegurança e eliminação de dados (Decreto sobre Cibersegurança)