CSIRTs e CERTs

O quadro legislativo das equipas CSIRT/CERT na República Checa é parcialmente estabelecido pela Lei de Segurança Cibernética. Esta lei estabelece as condições para a existência da equipa nacional e governamental CSIRT/CERT, mas por outro lado não restringe a criação e existência de outras equipas CSIRT/CERT.

Com base na Lei de Cibersegurança, duas equipas CERT/CSIRT, nomeadamente nacionais e governamentais, estão obrigatoriamente estabelecidas na República Checa. Cada uma destas equipas tem os direitos e obrigações especificados por lei (Secção 17 e seguintes do AoCS).

As equipas cujo âmbito é definido pela Lei de Segurança Cibernética são obrigadas a respeitar os limites estabelecidos por esta lei.

3.1.1    CERT Nacional

A equipa nacional da CERT é definida na Secção 17 do AoCS.  Também se afirma que:

(1) A CERT nacional assegura, na medida estipulada por este acto, a partilha de informação a nível nacional e internacional no domínio da ciber-segurança.

(2)O operador da CERT nacional

a)    recebe notificações de contactos das autoridades e pessoas referidas na Secção 3 (a), (b) e (h) e regista e armazena estes dados,

b)    recebe relatórios de incidentes de ciber-segurança das autoridades e pessoas referidas na Secção 3 (b) e (h) e regista, armazena e protege estes dados,

c)    avalia os incidentes de cibersegurança no caso dos organismos e pessoas referidos na Secção 3 (b) e (h),

d)    fornece aos organismos e pessoas referidos na Secção 3 (a), (b) e (h) apoio metodológico, assistência e cooperação em caso de incidente de ciber-segurança,

e)    actua como ponto de contacto para os organismos e pessoas referidos na Secção 3 (a), (b) e (h),

f)     avalia as vulnerabilidades no campo da ciber-segurança,

g)    transmite ao Gabinete dados sobre incidentes de ciber-segurança comunicados nos termos da Secção 8 (3), sem declarar o notificador,

h)    transmite os dados nos termos do artigo 16 (5) e (6) mediante pedido ao Instituto,

i)     actuar como CSIRT em conformidade com a legislação pertinente da União Europeia[1] ,

j)     informar a autoridade competente de outro Estado-Membro, sem revelar a identidade do notificador, de um incidente de cibersegurança com impacto significativo na continuidade do serviço básico ou digital nesse Estado-Membro, informando simultaneamente o Gabinete e mantendo os interesses comerciais e de segurança do notificador,

k)    cooperar com CSIRTs de outros Estados Membros; e

l)     recebe relatórios sobre incidentes de cibersegurança das autoridades e pessoas não enumeradas na Secção 3, e se as suas capacidades o permitirem, processa-os e presta apoio metodológico, assistência e cooperação às autoridades ou pessoas afectadas por um incidente de ciber-segurança.

(3) O operador de uma CERT nacional pode, em nome do seu próprio nome e sob a sua própria responsabilidade, exercer também outras actividades económicas no domínio da ciber-segurança não reguladas pela presente Lei, desde que essa actividade não interfira com o cumprimento das obrigações referidas no n.º 2.

(4) O operador do CERT nacional deve, no cumprimento das obrigações referidas no n.º 2, coordenar as suas actividades com o Gabinete.

(5) O operador de uma CERT nacional deve agir de forma imparcial no cumprimento das obrigações previstas no parágrafo 2.

Esta disposição define a instituição do organismo de controlo nacional para o qual é utilizada a abreviatura legislativa CERT nacional e define as suas actividades. O acto assume que a CERT nacional será normalmente dirigida por uma pessoa de direito privado, que celebrará um contrato público com o NBU, e servirá em particular como ponto de contacto e coordenação conjunta para pessoas obrigadas ao abrigo do direito privado. Os fornecedores de serviços de comunicações electrónicas, entidades que fornecem redes de comunicações electrónicas e entidades que fornecem redes significativas implementarão a sua obrigação legal de notificação para o local de trabalho de supervisão nacional.

O modelo de desempenho padrão de direito privado das funções da CERT nacional facilita a comunicação entre a CERT nacional e os devedores que a utilizam como ponto de contacto. Estas pessoas serão também, por regra, de natureza de direito privado. A CERT nacional também poderá participar em redes internacionais de organismos de controlo nacionais privados semelhantes e beneficiar do conhecimento que é informalmente partilhado no seio destas redes.

Dado o significado e a finalidade do acto, o presumível carácter de direito privado da CERT nacional é também apropriado porque o operador da CERT nacional pode, se for uma pessoa de direito privado, tomar iniciativas com base numa autorização tácita, ou seja, qualquer actividade de direito privado não violará as obrigações legais. O operador da CERT nacional poderá assim, por exemplo, prestar assistência metodológica e informativa a entidades fora do âmbito pessoal do acto, ou seja, a pessoas fora da definição de categorias individuais de devedores que demonstrem interesse no mesmo. A CERT nacional poderá desenvolver as suas próprias actividades educativas, editoriais, de investigação ou desenvolvimento, etc. A condição que limita as actividades da CERT nacional realizadas por iniciativa para alcançar o objectivo deste acto é a sua indiscutível conformidade com o cumprimento das obrigações legalmente especificadas no acto.

Relativamente à Secção 17 (2) (a), (b), (d) e (e)

Os prestadores de serviços digitais são adicionados às entidades com as quais o operador nacional CERT comunica e coopera.

Relativamente à Secção 17 (2) (c)

Os prestadores de serviços digitais são adicionados às entidades com as quais o operador nacional CERT coopera, neste caso para as quais avalia incidentes de ciber-segurança. Esta disposição está em guarda inversa à disposição que obriga os prestadores de serviços digitais a comunicar incidentes de cibersegurança ao operador nacional CERT.

Relativamente à Secção 17 (2) (g)

Trata-se de um ajustamento linguístico das disposições e da relação explícita da obrigação de fornecer informações a incidentes comunicados por entidades obrigadas.

Relativamente à Secção 17 (2) (h)

A redacção da disposição é clarificada e a restrição das situações em que a CERT nacional transmite os dados de contacto dos devedores ao Gabinete é suprimida.

Relativamente à Secção 17 (2) (i) a (l)

A CERT (Equipa Nacional de Resposta a Emergências Informáticas) adquire novas competências e obrigações relacionadas ao abrigo da directiva nesta disposição. Esta disposição está estreitamente ligada à Secção 8, que, entre outras coisas, regula a comunicação de incidentes de cibersegurança que tenham afectado o sistema de informação de um fornecedor de serviços digitais. A este respeito, o CERT nacional é determinado, entre outros, como um dos CSIRT (Computer Security Incident Response Team) na República Checa; o CERT governamental (National Cyber Security Centre, que faz parte da NSA) é o segundo CSIRT na acepção da directiva sobre incidentes contra a segurança de redes e sistemas de informação dos provedores de serviços básicos designados.

As equipas CSIRT devem cumprir os requisitos do Anexo I da directiva, o que é cumprido no caso de uma CERT nacional operada pela CZ.NIC pelos requisitos para o operador da CERT nacional estabelecidos na Secção 18 da Lei e pelo conteúdo do contrato público que a NBU celebrou com ela nos termos da Secção 19. Este contrato nos termos do n.º 1 da presente disposição destina-se a assegurar o cumprimento das actividades nos termos da Secção 17, ou seja, também os novos requisitos decorrentes da directiva.

Especificamente, o acto corresponde às tarefas do CSIRT ao abrigo da directiva, como se segue:

CERT nacional: recebe relatórios sobre incidentes de ciber-segurança, avalia-os, fornece apoio metodológico, assistência e cooperação às entidades envolvidas, actua como ponto de contacto, avalia vulnerabilidades no domínio da ciber-segurança, transmite dados sobre incidentes à ANS, actua como CSIRT ao abrigo da directiva, coopera com outros CSIRT, comunica com as autoridades competentes de outros Estados-Membros e, por último mas não menos importante, recebe relatórios voluntários de incidentes de ciber-segurança. Com isto cumpre os requisitos do Apêndice I da Directiva:

• Controlo de incidentes a nível nacional - Secção 17 (2) (b), (c), (l)
• Emissão de alertas e alertas precoces, notificação e divulgação de informação sobre riscos e incidentes aos intervenientes relevantes - Secção 17 (2) (d), (e), (g), (j)
• Resposta a incidentes - Secção 17 (2) (c), (d)
• Fornecimento de análise dinâmica de riscos e incidentes e visão geral da situação - Secção 17 (2) (f)
• Participação na rede CSIRT - ao critério do operador nacional CERT, ver mais comentários sobre a Secção 20.

A obrigação de criar pelo menos uma equipa de segurança CSIRT responsável pela gestão de risco e resolução de incidentes de acordo com procedimentos bem definidos e cumprindo os requisitos das equipas de segurança CSIRT decorre do n.º 1 do artigo 9.

A Directiva SRI estipula que esta equipa obrigatória deve abranger pelo menos os sectores enumerados no Apêndice II (tipos de entidades) e os serviços enumerados no Apêndice III (tipos de serviços digitais).

O apêndice I da Directiva NIS define as tarefas e requisitos para os CSIRTs. Estas tarefas e responsabilidades de acordo com o Apêndice I da Directiva SRI incluem:

1.     Requisitos para CSIRTs

·       Os CSIRTs assegurarão que não haja pontos únicos de falha nos seus serviços de comunicação, para que estes serviços estejam amplamente disponíveis e tenham várias formas de contactar outros e que permitam contactá-los em qualquer altura. Além disso, os canais de comunicação devem ser claramente especificados e bem conhecidos dos parceiros e entidades colaboradoras no âmbito das equipas.

·       As práticas do CSIRT e os seus sistemas de informação de apoio estão localizados num local seguro.

·       Continuidade da actividade:

·       Os CSIRTs devem poder participar em redes de cooperação internacional se desejarem fazer parte delas.

2.     Tarefas dos CSIRTs

·       As tarefas dos CSIRTs incluem, pelo menos:

·      Os CSIRTs estabelecerão uma cooperação com o sector privado.

·      A fim de facilitar a cooperação, os CSIRTs promovem a adopção e utilização de procedimentos comuns ou normalizados nas áreas de:

A Associação CZ.NIC opera a equipa nacional CSIRT da República Checa - CSIRT.CZ (para mais detalhes ver https://csirt.cz/).

Relativamente aos parágrafos (1), (2) e (4)

De acordo com a Lei de Segurança Cibernética, o operador da CERT nacional:

·      recebe notificações de dados de contacto das autoridades e pessoas referidas na Secção 3 (a), (b) e (h) do AoCS e regista e armazena esses dados,

·      recebe relatórios de incidentes de ciber-segurança das autoridades e pessoas referidas na Secção 3 (b) e (h) do AoCS e regista, armazena e protege estes dados,

·      avalia os incidentes de cibersegurança nos organismos e pessoas referidos na Secção 3 (b) e (h) do AoCS,

·      fornece aos organismos e pessoas referidos na Secção 3 (a), (b) e (h) do AoCS apoio metodológico, assistência e cooperação em caso de incidente de ciber-segurança,

·      âmbito de actividade da equipa CSIRT.CZ é toda a gama de endereços da República Checa. CSIRT.CZ pode ser contactado para ajuda por todos os administradores da rede que necessitem de assistência para resolver um incidente que exija coordenação da solução ou que suspeitem que o incidente possa ter um impacto a nível nacional. Mais informações e instruções sobre a comunicação de incidentes podem ser encontradas aqui[2] . A equipa CSIRT.CZ não tem poderes executivos e, na resolução de incidentes, actua como um coordenador que também pode prestar assistência metodológica na resolução dos mesmos.[3]

·      actua como ponto de contacto para os organismos e pessoas referidos na Secção 3 (a), (b) e (h) do AoCS,

·      avalia as vulnerabilidades no campo da ciber-segurança,

·      transmite ao NUKIB dados sobre incidentes de ciber-segurança comunicados nos termos da Secção 8 (3) do AoCS, sem declarar o notificador,

·      transmite dados nos termos da secção 16 (5) e (6) do AoCS a pedido da NUKIB,

·      actuar como CSIRT em conformidade com a Directiva NIS,

·      informar a autoridade competente de outro Estado-Membro, sem revelar a identidade do notificador, de um incidente de cibersegurança com impacto significativo na continuidade do serviço básico ou digital nesse Estado-Membro, informando simultaneamente o Gabinete e mantendo os interesses comerciais e de segurança do notificador,

·      cooperar com CSIRTs de outros Estados Membros,

·      recebe relatórios sobre incidentes de cibersegurança de outras pessoas não referidas na Secção 3 do AoCS, e se as suas capacidades o permitirem, processa-os e presta apoio metodológico, assistência e cooperação às autoridades ou pessoas afectadas por um incidente de cibersegurança.

Nos termos da Secção 17 (4) do AoCS, a Associação CZ.NIC é obrigada a coordenar as actividades da equipa nacional do CSIRT com as actividades do NÚKIB.

Para além das obrigações explicitamente estabelecidas na Lei de Segurança Cibernética, o CSIRT nacional impôs a si próprio outras tarefas[4] , incluindo

·      Informação sobre uma infecção no domínio .CZ

·      pedido apoia o histórico de ameaças no domínio e o contacto directo com o seu titular. Os titulares do domínio são contactados a partir do endereço dedicado malware@nic.cz.

·      Scanner Web

·      Educação e palestras

·      Assistência na criação de uma equipa CERT/CSIRT

·      Grupos de trabalho

·      Testes de stress

·      Sistema de Detecção de Intrusão

·      Funcionamento de honeypots

·      PROKI

Relativamente aos parágrafos (3) e (5)

A disposição da Secção 17 (2) do AoCS permite à Associação CZ.NIC realizar outras actividades económicas no domínio da ciber-segurança em seu próprio nome e sob a sua própria responsabilidade, o que não é regulado directamente pela Lei da Ciber-segurança. Contudo, existe uma condição de que esta actividade económica adicional não interfira com o desempenho das tarefas do CSIRT nacional.

A Associação CZ.NIC é obrigada a agir imparcialmente no cumprimento das obrigações da equipa nacional CSIRT.

De acordo com as disposições da Secção 18 do AoCS, só essa entidade jurídica pode tornar-se o operador de uma CERT nacional

a)    que satisfaça as condições estabelecidas no parágrafo 2 e

b)    com o qual o Instituto celebrou um contrato público nos termos da Secção 19.

(2)O operador de uma CERT nacional só pode ser uma entidade jurídica que

a)    não actua ou não actuou contra os interesses da República Checa no sentido da lei que regula a protecção de informações classificadas,

b)    opera ou gere sistemas ou serviços de informação e redes de comunicações electrónicas[5] ou participa no seu funcionamento e gestão há pelo menos 5 anos,

c)    tem pré-requisitos técnicos no domínio da ciber-segurança,

d)    é membro de uma organização supranacional que opera no domínio da ciber-segurança,

e)    não tem nenhum atraso registado no registo fiscal dos organismos da Administração Financeira da República Checa ou dos organismos da Administração Aduaneira da República Checa ou nos prémios da segurança social e nos prémios do seguro de saúde público,

f)     não foi condenado por uma infracção penal referida na Secção 7 da Lei sobre Responsabilidade Penal de Pessoas Colectivas e Procedimentos Contra elas,

g)    não é uma pessoa estrangeira ao abrigo de outro acto legislativo e

h)    não foi estabelecido ou criado com o único objectivo de obter lucro; isto não afecta a possibilidade de o operador da CERT nacional proceder em conformidade com a Secção 17 (3).

(3) O requerente prova o preenchimento das condições mediante a apresentação de

a)    uma declaração sob juramento no caso do n.º 2, alíneas a) a d), g) e h), e

b)    confirmação do organismo da Administração Financeira da República Checa e da Administração Aduaneira da República Checa, no caso do parágrafo 2 (e).

(4) Do conteúdo da declaração juramentada de acordo com o parágrafo 3 (a), deve ficar claro que o requerente preenche os requisitos pertinentes. A confirmação, nos termos do parágrafo 3 (b), de que o requerente não tem nenhum atraso registado no registo fiscal dos organismos da Administração Financeira da República Checa ou dos organismos da Administração Aduaneira da República Checa ou nos prémios da segurança social e dos seguros de saúde públicos, não pode ter mais de 30 dias. A fim de demonstrar a condição referida no parágrafo 2 (f), o Instituto solicitará um extracto do registo criminal, em conformidade com outro regulamento legal[6] .

(5) O operador da CERT nacional realiza actividades nos termos do artigo 17 (2) (a) a (c), (e) e (g) a (l) gratuitamente. O operador da CERT nacional é obrigado a incorrer nos custos necessários para o correcto e eficiente desempenho das actividades referidas no n.º 2 do artigo 17º.

(6) O Instituto publicará no seu sítio web dados sobre o operador do CERT nacional, nomeadamente o seu nome ou firma, endereço da sede social, número de identificação da entidade, identificador da caixa de dados e endereço do seu sítio web.

Esta disposição estabelece as condições gerais para a selecção do operador CERT nacional. Ao mesmo tempo, o método para estabelecer a sua obrigação de operar um CERT nacional é regulado sob a forma de um contrato de direito público celebrado com a NBU. A utilização do instituto de um contrato público corresponde à presunção de que o operador do CERT nacional será uma pessoa de direito privado. Embora as obrigações do operador nacional do CERT para realizar as actividades especificadas nesta lei sejam principalmente de natureza privada, em relação aos prestadores de serviços de comunicações electrónicas, entidades que fornecem redes de comunicações electrónicas e entidades que fornecem redes significativas, o operador nacional do CERT actuará como uma entidade através da qual estes obrigacionistas desempenham algumas das suas obrigações legais, tipicamente a obrigação de comunicar detalhes de contacto e, no caso de entidades que fornecem redes significativas, também a obrigação de comunicar a ocorrência de incidentes de ciber-segurança.

Dado que a CERT nacional é uma organização de grande importância para o sistema de ciber-segurança da República Checa, o seu operador é obrigado a ter a sua sede social na República Checa. No que diz respeito à exposição da CERT nacional à segurança, não é portanto possível perceber este requisito como discriminatório contra pessoas estabelecidas noutros estados da União Europeia. Integridade, uma estrutura de propriedade transparente e a ausência das devidas obrigações financeiras para com o Estado são as condições formais padrão exigidas em caso de cooperação entre o Estado e uma pessoa regida pelo direito privado. O acto também formula as condições materiais para o desempenho da função do operador nacional da CERT, exigindo que o operador nacional da CERT demonstre as competências factuais, a experiência e as capacidades técnicas para desempenhar as actividades que lhe são impostas por este acto, bem como a capacidade de trabalhar em cooperação com entidades estrangeiras que operam no domínio da ciber-segurança. O acto exige ainda que o operador de uma CERT nacional execute actividades que lhe são confiadas imparcialmente por este acto, independentemente da sua possível relação contratual ou outra com os devedores.

Relativamente à Secção 18 (5)

Esta disposição responde ao alargamento das competências do operador CERT nacional na Secção 17 e alarga adequadamente a gama de actividades que o operador CERT nacional realiza gratuitamente.

Relativamente à Secção 18 (5)

Ajustamento técnico legislativo devido ao alargamento das competências do operador nacional do CERT. A fim de assegurar o cumprimento coerente das obrigações decorrentes da Directiva e subsequentemente da Lei de Segurança Cibernética, a obrigação da CERT nacional é de gastar fundos adequados para assegurar o exercício das competências.

Re parágrafos (1) e (2)

O operador da equipa nacional CERT é a associação CZ.NIC.

As disposições da Secção 18 do AoCS definem as condições em que uma entidade pode tornar-se o operador da CERT nacional.

O operador do CERT nacional só pode ser uma entidade jurídica[7] , com a qual a NUKIB (ou anteriormente NBU) celebrou um contrato de direito público[8] (de acordo com a secção 19 do AoCS), e que preenche as seguintes condições:

a)    não actua ou não actuou contra os interesses da República Checa no sentido da lei que regula a protecção de informações classificadas,

De acordo com a Secção 2 (b) da Lei sobre a Protecção da Informação Classificada e sobre a Competência em matéria de Segurança é "do interesse da República Checa preservar a sua constitucionalidade, soberania e integridade territorial, assegurar a ordem e segurança interna, obrigações internacionais e defesa, proteger a economia e proteger a vida ou saúde dos indivíduos".

b)    opera ou gere sistemas ou serviços de informação e redes de comunicações electrónicas ou participa no seu funcionamento e gestão há pelo menos 5 anos,

c)    tem pré-requisitos técnicos no domínio da ciber-segurança,

d)    é membro de uma organização supranacional que opera no domínio da ciber-segurança,

O requisito de operar um dos sistemas referidos em (c), a existência de pré-requisitos técnicos no domínio da ciber-segurança e a adesão a uma organização multinacional que opera no domínio da ciber-segurança dá ao Estado uma garantia de que a pessoa esteve envolvida na ciber-segurança, na resolução de incidentes, etc. É essencialmente uma demonstração da capacidade factual, experiência e capacidade técnica para realizar as actividades que lhe são impostas pelo AoCS.

e)    não tem nenhum atraso registado no registo fiscal dos organismos da Administração Financeira da República Checa ou dos organismos da Administração Aduaneira da República Checa ou nos prémios da segurança social e nos prémios do seguro de saúde público,

f)     não foi condenado por uma infracção penal referida na Secção 7 da Lei sobre Responsabilidade Penal de Pessoas Colectivas e Procedimentos Contra elas,

A ausência das devidas obrigações financeiras para com o Estado, bem como a prova de integridade, é uma condição padrão para a celebração de um contrato no caso de cooperação entre o Estado e uma pessoa de direito privado.

A Lei sobre a Ciber-segurança na Secção 18 (2) (f) faz uma imprecisão factual causada pela alteração à Lei n.º 418/2011 Sb., sobre a Responsabilidade Criminal das Pessoas Colectivas e Procedimentos contra elas. Nesta lei, a Secção 7 definiu originalmente as infracções penais que uma pessoa colectiva pode cometer. Na actual regulamentação jurídica efectiva, a Secção 7 contém uma definição negativa de infracções penais.

A disposição da Secção 7 da ACLLE (Act on Criminal Liability of Legal Entities) (em vigor desde 1^st de Dezembro de 2016) estipula que uma pessoa colectiva pode ser criminalmente responsável pela prática de todas as infracções penais, com a excepção das infracções penais exaustivamente enumeradas nesta disposição.

Para além da definição do âmbito das infracções penais, a questão da imputabilidade também deve ser abordada no caso da responsabilidade penal das pessoas colectivas. Embora uma pessoa colectiva seja uma construção fictícia, a lei geralmente reconhece, em relação às pessoas colectivas, a sua capacidade de agir legalmente (e portanto ilegalmente), inclusive atribuindo-lhes culpa. A culpa como condição de responsabilidade criminal é imputada a uma pessoa colectiva se as circunstâncias tiverem surgido nos termos da Secção 8 (2) da Lei sobre Responsabilidade Penal das Pessoas Colectivas.

Nos termos da Secção 8 (1) da ACLLE, uma infracção penal cometida por uma pessoa colectiva significa um acto ilegal cometido no seu interesse ou no âmbito das suas actividades, se se tratar de um acto de

a)    um órgão estatutário ou um membro de um órgão estatutário, ou outra pessoa em posição de direcção no seio de uma pessoa colectiva que esteja autorizada a agir em nome ou por conta de uma pessoa colectiva,

b)    uma pessoa numa posição de gestão dentro de uma pessoa colectiva que exerce actividades de gestão ou controlo sobre essa pessoa colectiva, mesmo que não seja a pessoa referida em (a),

c)    uma pessoa que exerça influência decisiva sobre a gestão dessa pessoa colectiva, se a sua conduta for pelo menos uma das condições para a ocorrência de uma responsabilidade penal da pessoa colectiva, ou

d)    um empregado ou pessoa em posição semelhante (doravante referido como "empregado") no desempenho das suas funções, mesmo que não seja a pessoa referida nas alíneas (a) a (c),

se as acções da pessoa acima mencionada puderem ser atribuídas à pessoa colectiva de acordo com a Secção 8 (2) da ACLLE.

g)    não é uma pessoa estrangeira ao abrigo de outra regulamentação legal,

De acordo com a Secção 3024 do Código Civil, uma pessoa estrangeira é uma pessoa singular com residência ou uma pessoa colectiva com sede social fora do território da República Checa.

Devido à importância da equipa nacional CERT no domínio da ciber-segurança na República Checa, é necessário que o operador desta equipa esteja sediado na República Checa. Esta exigência não pode ser entendida como discriminação contra outras pessoas estabelecidas noutro Estado Membro da União.

h)    não tenha sido estabelecido ou criado com o único objectivo de obter lucro; isto não afecta a possibilidade do operador da CERT nacional proceder em conformidade com a Secção 17 (3) do AoCS.

Relativamente aos parágrafos (3) e (4)

Uma entidade jurídica que pretenda tornar-se o operador de uma CERT nacional deve provar o preenchimento das condições, apresentando uma declaração sob juramento [no caso da Secção 18 (2) (a) a (d), (g), (h) do AoCS] e a confirmação do órgão da Administração Financeira da República Checa e da Administração Aduaneira da República Checa [no caso da Secção 18 (2) (e) do AoCS].

O conteúdo da declaração ajuramentada deve indicar claramente que o requerente preenche os requisitos pertinentes. A confirmação de que o requerente não tem nenhum atraso registado no registo fiscal dos organismos da Administração Financeira da República Checa ou dos organismos da Administração Aduaneira da República Checa ou nos prémios da segurança social e de seguro de saúde público, não pode ter mais de 30 dias.

A fim de provar o facto de uma pessoa colectiva não ter sido condenada por uma infracção penal, NUKIB solicitará um extracto do Registo Criminal.

Relativamente ao parágrafo (5)

O operador da CERT nacional realiza gratuitamente as actividades especificadas na Secção 17 (2) do AoCS. As excepções à condição de gratuidade são apenas as seguintes actividades:

• fornece aos organismos e pessoas referidos na Secção 3 (a), (b) e (h) do AoCS apoio metodológico, assistência e cooperação em caso de incidente de ciber-segurança,
• avalia as vulnerabilidades no campo da ciber-segurança.

O operador da CERT nacional é obrigado a incorrer nos custos necessários para o desempenho adequado e eficiente das actividades referidas no nº 2 da Secção 17 do AoCS.

Relativamente ao parágrafo (6)

Devido à possibilidade de contactar o operador da equipa nacional CERT, os dados sobre este operador são publicados no website da NÚKIB. São publicadas as seguintes informações: nome ou razão social, endereço da sede social, número de identificação da entidade, identificador da caixa de dados e endereço do seu sítio web. 

3.1.2    CERT do Governo

CERT do Governo, como parte do Gabinete,

a)    recebe notificações de contactos das autoridades e pessoas referidas na secção 3 (c) a (g),

b)    recebe relatórios de incidentes de cibersegurança das autoridades e das pessoas referidas na Secção 3 (c) a (g),

c)    avalia dados sobre eventos de cibersegurança e incidentes de cibersegurança da infra-estrutura de informação crítica, do sistema básico de informação de serviços, dos sistemas de informação significativos e de outros sistemas de informação da administração pública,

d)    fornece aos organismos e pessoas referidas na Secção 3 (c) a (g) apoio metodológico e assistência,

e)    presta cooperação aos organismos e pessoas referidos na Secção 3 (c) a (g) em caso de incidente de ciber-segurança e evento de ciber-segurança,

f)     recebe sugestões e dados dos organismos e pessoas referidos na Secção 3 e de outros organismos e pessoas e avalia essas sugestões e dados,

g)    recebe dados do operador da CERT nacional e avalia esses dados,

h)    recebe dados de autoridades que actuam no domínio da ciber-segurança no estrangeiro e avalia esses dados,

i)     nos termos da Secção 9 (4), fornece ao operador do CERT nacional, aos organismos que actuam no domínio da ciber-segurança no estrangeiro e a outras pessoas que operam no domínio da ciber-segurança, os dados do registo de incidentes,

j)     avalia as vulnerabilidades no campo da ciber-segurança,

k)    informa a autoridade competente de outro Estado-Membro, sem revelar a identidade do notificador, de um incidente de ciber-segurança que tenha um impacto significativo na continuidade dos serviços básicos nesse Estado-Membro ou que afecte a prestação de serviços digitais nesse Estado-Membro, mantendo simultaneamente os interesses comerciais e de segurança do notificador,

l)     recebe relatórios de um incidente de cibersegurança das autoridades e pessoas não referidas na Secção 3; a CERT governamental processa os relatórios e, se as suas capacidades o permitirem e se for um incidente de cibersegurança com impacto significativo, fornece apoio metodológico, assistência e cooperação às autoridades ou pessoas afectadas pelo incidente de cibersegurança,

m)  actuar como CSIRT em conformidade com a legislação pertinente da União Europeia[9] e

n)    coopera com CSIRTs de outros Estados Membros.

O CERT governamental faz parte do NBU, ou Centro Nacional para a Ciber-segurança, que é uma unidade organizacional do NBU, que assegura as suas actividades. O CERT governamental é concebido como um departamento público central e um "ponto de contacto único" público para a área da ciber-segurança. As suas actividades incluem a recepção de dados de contacto de devedores seleccionados, a recepção de informações sobre a situação de cibersegurança, em particular a recepção de relatórios obrigatórios e de iniciativa de incidentes de cibersegurança e outros dados sobre a situação de cibersegurança de autoridades públicas nacionais e estrangeiras e entidades cooperantes e a sua avaliação. O CERT governamental também presta cooperação a tipos seleccionados de obrigados em caso de incidente de cibersegurança, assegura a cooperação com outros organismos e entidades que asseguram a cibersegurança na República Checa e nos Estados cooperantes ou aliados, e também realiza avaliações de vulnerabilidade de cibersegurança.

Relativamente à Secção 20 (a), (b), (d) e (e)

Entre as entidades com as quais o CERT governamental comunica e coopera, são acrescentadas novas entidades obrigatórias - operadores de serviços básicos e administradores e operadores de sistemas de informação de serviços básicos.

Relativamente à Secção 20 (c)

Os sistemas de informação para os quais a CERT governamental avalia os dados sobre eventos de cibersegurança e incidentes de cibersegurança são complementados por sistemas de informação de cujo funcionamento depende a prestação de serviços básicos.

Relativamente à Secção 20 (i)

Adaptação técnica legislativa resultante da necessidade de acrescentar novas cartas a esta disposição.

Relativamente à Secção 20 (j) e (k) a (n)

O CERT governamental adquire novas competências e obrigações relacionadas ao abrigo da directiva nesta disposição. Esta disposição está estreitamente ligada à Secção 8, que regula a comunicação de incidentes de cibersegurança.

De acordo com a lei, emendada por esta proposta, o CERT governamental: recebe relatórios sobre incidentes de ciber-segurança, avalia-os, fornece apoio metodológico, assistência e cooperação às entidades envolvidas, actua como ponto de contacto, avalia vulnerabilidades no domínio da ciber-segurança, transmite dados sobre incidentes à ANS, actua como CSIRT ao abrigo da directiva, coopera com outros CSIRT, comunica com as autoridades competentes de outros Estados Membros e, por último mas não menos importante, recebe relatórios voluntários de incidentes de ciber-segurança.

Com isto cumpre os requisitos do Apêndice I da Directiva:

·       Monitorização de incidentes a nível nacional - Secção 20 (b), (c), (f), (g), (l).

·       Emissão de alertas e alertas precoces, notificação e divulgação de informação sobre riscos e incidentes aos intervenientes relevantes - Secção 20 (d), (e), (i), (n).

·       Resposta a incidentes - Secção 20 (d), (e).

·       Fornecer uma análise dinâmica dos riscos e incidentes e uma visão geral da situação - Secção 20 (j).

·       Participação na rede CSIRT - Secção 20 (m).

Ao cumprir o papel do CSIRT, a CERT governamental, que faz parte da NBU, também cumprirá os requisitos da Directiva para a participação da equipa CSIRT na rede CSIRT nos termos do Artigo 12 da Directiva. A participação de representantes da CERT nacional será deixada à sua discrição.

O artigo 9º da Directiva estipula que cada Estado-membro criará um ou mais CSIRT, mas não contempla que os representantes de todos os CSIRT de um Estado-membro devem ser obrigados a participar nos trabalhos do CSIRT. A participação plena de pelo menos uma equipa CSIRT é assim suficiente, o que será cumprido pelos representantes da CERT governamental. A disposição regula o procedimento da CERT governamental no caso do incidente de ciber-segurança relatado ter um impacto significativo na continuidade da prestação de serviços básicos, ou o impacto na prestação de serviços digitais noutro Estado Membro da União Europeia. Nesse caso, em conformidade com o n.º 5 do artigo 14º, e por conseguinte com o n.º 6 do artigo 16º da Directiva, é consagrado o poder de uma CERT governamental de informar as autoridades competentes de outros Estados-Membros sobre o incidente.

O artigo 20º da directiva prevê uma situação em que uma entidade que não tenha sido designada como operador de serviços básicos e não seja um fornecedor de serviços digitais detecta e procura abordar a segurança dos seus sistemas de informação. Neste caso, pode voluntariamente comunicar o incidente de ciber-segurança ao CERT governamental e trabalhar com o CERT para resolver a situação. Neste caso, a CERT governamental processará o relatório e, se as suas capacidades o permitirem e se for um incidente de ciber-segurança com um impacto significativo, fornecê-lo-á tão adequadamente como quando um incidente de ciber-segurança lhe é comunicado pelo fornecedor de serviços básicos.

Com base na Lei de Cibersegurança, duas equipas CERT/CSIRT, nomeadamente nacionais e governamentais, estão obrigatoriamente estabelecidas na República Checa.

O operador da CERT nacional é uma entidade jurídica com a qual a NUKIB (antiga NBU) celebrou um contrato de direito público (ver secção 19 do AoCS).

O Governo CERT (GovCERT.CZ - ver https://www.govcert.cz/) é estabelecido de acordo com a lei como parte da Agência Nacional de Cibersegurança e Segurança da Informação (anteriormente sob a responsabilidade do NBU).

De acordo com a Lei da Ciber-segurança, o CERT governamental:

·      recebe notificações de dados de contacto das autoridades e pessoas referidas na Secção 3 (c) a (g) do AoCS,

·      recebe relatórios de incidentes de cibersegurança das autoridades e pessoas referidas na Secção 3 (c) a (g) do AoCS,

·      avalia dados sobre eventos de cibersegurança e incidentes de cibersegurança da infra-estrutura de informação crítica, do sistema básico de informação de serviços, de sistemas de informação significativos e de outros sistemas de informação da administração pública,

·      fornece aos organismos e pessoas referidas na Secção 3 (c) a (g) do AoCS apoio metodológico e assistência,

·      presta cooperação aos organismos e pessoas referidos na Secção 3 (c) a (g) do AoCS em caso de incidente de ciber-segurança e evento de ciber-segurança,

·      recebe sugestões e dados dos organismos e pessoas referidas na Secção 3 do AoCS e de outros organismos e pessoas e avalia essas sugestões e dados,

·      recebe dados do operador da CERT nacional e avalia esses dados,

·      recebe dados de autoridades que actuam no domínio da ciber-segurança no estrangeiro e avalia esses dados,

·      de acordo com os dados do registo de incidentes (ver Secção 9 (4) do AoCS), fornece ao operador do CERT nacional, aos organismos que actuam no domínio da ciber-segurança no estrangeiro e a outras pessoas que operam no domínio da ciber-segurança os dados do registo de incidentes,

·      avalia as vulnerabilidades no campo da ciber-segurança,

·      informa a autoridade competente de outro Estado-Membro, sem revelar a identidade do notificador, de um incidente de ciber-segurança que tenha um impacto significativo na continuidade dos serviços básicos nesse Estado-Membro ou que afecte a prestação de serviços digitais nesse Estado-Membro, mantendo simultaneamente os interesses comerciais e de segurança do notificador,

·      recebe relatórios de um incidente de cibersegurança das autoridades e pessoas não referidas na Secção 3 do AoCS; a CERT governamental processa os relatórios e, se as suas capacidades o permitirem e se for um incidente de cibersegurança com impacto significativo, fornece apoio metodológico, assistência e cooperação às autoridades ou pessoas afectadas pelo incidente de cibersegurança,

·      agir como um CSIRT em conformidade com o artigo 9º da Directiva SRI,

·      coopera com CSIRTs de outros Estados Membros.

Para além das obrigações explicitamente estabelecidas na Lei de Segurança Cibernética, o governo CSIRT impôs a si próprio outras tarefas[11] , incluindo

·      Partilha de dados

GovCERT.CZ obtém vários relatórios e dados relativos a sistemas de informação potencialmente infectados na República Checa em cooperação com várias organizações multinacionais que lidam com a ciber-segurança. Fornece esta informação a outras entidades como parte de actividades pró-activas. Os dados partilhados estão divididos nos seguintes projectos:

·      Implantação de Honeypots

·      Teste de penetração

Esta é uma tentativa legal de invadir os sistemas testados. O resultado é um relatório das vulnerabilidades de segurança do sujeito do teste, que é dirigido exclusivamente ao seu proprietário, que tomará as medidas de segurança adequadas com base no relatório.

Outra opção é realizar um scan de vulnerabilidade de acordo com o OWASP (Open Web Application Security Project).

·      Informação HUB

No site govcert.cz é possível encontrar informações, pesquisas, análises e artigos relativos a ameaças e vulnerabilidades actuais relacionadas com sistemas na República Checa. Estes documentos são complementados por boletins mensais regulares que resumem os incidentes de segurança significativos na República Checa e no estrangeiro.

·      Actividades de educação e investigação

Laboratório forense e laboratório SCADA