Cibersegurança na Saúde: SPMS e CHUC assinam protocolo de cooperação

29/11/2017

A SPMS – Serviços Partilhados do Ministério da Saúde, EPE, através da sua Academia de Formação, assinou, no dia 27 de novembro, um protocolo com o Centro Hospitalar e Universitário de Coimbra (CHUC), para a criação do Centro de Desenvolvimento e Capacitação em Cibersegurança na Saúde.

A Academia da SPMS pretende que o CHUC passe a assumir um papel fundamental na investigação da cibersegurança de dispositivos clínicos, quer em termos de hardware, quer no software utilizado, devendo realizar experimentação, ou seja, «ensaios clínicos» de cibersegurança.

No âmbito do protocolo assinado, e em alinhamento com o plano estratégico das duas instituições, pretende-se que o Centro de Desenvolvimento e Capacitação em Cibersegurança possa contribuir para a divulgação, em todo o Serviço Nacional de Saúde (SNS), das melhores práticas em cibersegurança, promover a formação e capacitação em tecnologias de informação e cibersegurança para profissionais de saúde, dinamizar a formação, integrada nos currículos das universidades e politécnicos e, ainda, potenciar o desenvolvimento de inovações tecnológicas em matéria de ciberdefesa relevantes aos riscos próprios da saúde.

No final da sessão de transformação digital realizada no CHUC, Henrique Martins, Presidente do Conselho de Administração da SPMS, destacou a localização central de Coimbra e a Universidade, com as faculdades de Medicina, Farmácia e Enfermagem, como essenciais para «um polo tecnológico de saúde em desenvolvimento e que beneficia muito de ser capacitado com um know-how de cibersegurança que pode ser um fator diferenciador».

Através deste protocolo, a SPMS e o CHUC vão estabelecer uma rede de cooperação a vários níveis, com a finalidade de promover a qualificação dos profissionais de saúde integrados no SNS e aumentar a competitividade dos serviços prestados.

Para saber mais, consulte:

Serviços Partilhados do Ministério da Saúde – Notícias

Cibersegurança em eHealth: Lisboa recebeu conferência europeia sobre segurança

16/11/2017

«Esta iniciativa é da maior importância estratégica e fico muito orgulhoso pela mesma ter lugar em Portugal» foram algumas das palavras de Manuel Delgado, Secretário de Estado da Saúde, na sessão de abertura da 3rd eHealth Security Conference – Segurança em eHealth – Proteção do Hospital do Futuro”, que decorreu, no dia 15 de novembro, no Auditório da Faculdade de Medicina Dentária da Universidade de Lisboa.

Organizada pela SPMS – Serviços Partilhados do Ministério da Saúde, EPE, e pela ENISA – Agência Europeia para a Segurança das Redes e da Informação, esta conferência europeia contou com cerca de 700 participantes e mais de 20 oradores, na maioria peritos europeus, que debateram questões relevantes sobre a segurança do ciberespaço, nomeadamente numa área sensível como os dados de saúde dos cidadãos.

spms_evento_1

«O negócio que pode resultar da utilização abusiva de bases de dados de resultados clínicos e de terapêuticas constitui focos de interesse para muitos grupos que, de forma fraudulenta ou criminosa, pretendem apoderar-se deste conhecimento», sublinhou o Secretário de Estado da Saúde, destacando a atuação da SPMS no desenvolvimento de processos de automatização de dados e partilha de informação, como nunca antes aconteceu, no sistema de saúde português.

Seguiram-se intervenções de representantes da Comissão Europeia e do Diretor-Geral do Gabinete Nacional de Segurança, Gameiro Marques, que evidenciou o trabalho que tem sido desenvolvido em Portugal, no que diz respeito à cibersegurança, reforçando a ideia de que é fundamental incrementar o conhecimento digital e preparar para antecipar desafios e situações de risco de ciberataques, quer no setor público, quer no setor privado.

Henrique Martins, Presidente do Conselho de Administração da SPMS destacou algumas das iniciativas em curso ao nível da segurança em eHealth, não apenas nos hospitais, mas também nos cuidados de saúde primários em Portugal.

spms_evento_2

O protocolo com a Associação Nacional das Farmácias (ANF) para a cibersegurança, assinado ontem, foi referido como medida importante para a área da saúde, uma vez que representa o maior número de empresas privadas com acesso a dados de utentes, adiantando que: «Temos um conjunto de regras específicas para a SPMS e instituições do SNS, no que se refere a cibersegurança. Estamos a trabalhar na implementação destas regras também pelos privados, desenvolvendo protocolos de colaboração».

Na sua apresentação, Henrique Martins ressalvou, também, que  a estratégia passa, essencialmente, por uma melhor preparação e maior conhecimento dos profissionais e dos cidadãos em geral, quando falamos de segurança de informação clínica. Para assegurar o envolvimento das equipas, a SPMS criou materiais de divulgação, como autocolantes e blocos de post-its, que contêm regras simples (mandamentos) que devem ser seguidas por todos nas atividades diárias.

Para saber mais visite:

Modelo de governação relativo à implementação da política de cibersegurança da saúde


«Despacho n.º 8877/2017

A crescente utilização de meios tecnológicos na área da saúde permite disponibilizar informação aos cidadãos e profissionais de saúde em tempo útil, incrementando, no entanto, a sua exposição ao risco.

O atual nível de complexidade dos sistemas de informação e os riscos que lhes são inerentes, reclamam a criação e manutenção de meios que permitam a vigilância permanente do estado desses mecanismos e sempre que possível a sua otimização, a fim de garantir a adequada segurança dos mesmos.

Neste contexto, torna-se crucial dotar todo o ecossistema de saúde dos meios, dos recursos técnicos e logísticos e das competências necessárias à melhor preservação dos meios tecnológicos ao serviço do cidadão, garantindo a proteção da informação e a preservação da qualidade dos recursos que contribuem para a prestação contínua de serviços públicos de cuidados de saúde.

A proteção, a vigilância e as avaliações de segurança do sistema nacional de saúde devem ser uma constante, quer para a minimização do risco de perda de dados, quer como garantia da qualidade dos serviços prestados.

A SPMS – Serviços Partilhados do Ministério da Saúde, E. P. E. (SPMS, E. P. E.), nos termos do Decreto-Lei n.º 19/2010, de 22 de março, alterado pelos Decretos-Leis n.os 108/2011, de 17 de novembro, 209/2015, de 25 de setembro, e 32/2016, de 28 de junho, no âmbito dos serviços partilhados de sistemas e tecnologias de informação, tem por missão a cooperação, a partilha de conhecimentos e informação e o desenvolvimento de atividades de prestação de serviços nas áreas dos sistemas e tecnologias de informação e de comunicação, garantindo a operacionalidade e segurança das infraestruturas tecnológicas e dos sistemas de informação do Ministério da Saúde e promovendo a definição e utilização de normas, metodologias e requisitos que garantam a interoperabilidade e interconexão dos sistemas de informação da saúde, entre si e com os sistemas de informação transversais à Administração Pública.

O Centro Nacional de Cibersegurança (CNCS) é, nos termos do Decreto-Lei n.º 3/2012, de 16 de janeiro, alterado pelos Decretos-Leis n.os 162/2013, de 4 de dezembro, e 69/2014, de 9 de maio, a autoridade nacional em matéria de cibersegurança, relativamente ao Estado e aos operadores de infraestruturas críticas nacionais. Neste contexto:

Considerando a Estratégia Nacional de Segurança do Ciberespaço, aprovada pela Resolução do Conselho de Ministros n.º 36/2015, de 12 de junho;

Considerando que se encontra em curso o processo de transposição da Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União, para o ordenamento jurídico nacional;

Sendo, ainda, fundamental garantir o cadastro periodicamente atualizado do parque aplicacional em operação no Ministério da Saúde e Serviço Nacional de Saúde, bem como o controlo da sua conformidade com o presente normativo;

Considerando o protocolo celebrado no dia 21 de fevereiro de 2017, entre o Gabinete Nacional de Segurança/Centro Nacional de Cibersegurança (GNS/CNCS) e a SPMS, E. P. E., que tem por objeto estabelecer as formas de cooperação entre estas duas entidades na troca de conhecimentos e no desenvolvimento e aprofundamento das capacidades nacionais de cibersegurança;

Tendo em conta a verificação de um crescente número de incidentes de segurança e considerando a ameaça que estes representam para o funcionamento das redes e dos sistemas de informação, torna-se premente reforçar os mecanismos de proteção desses sistemas, particularmente para proteção dos dados de saúde e do funcionamento do Serviço Nacional de Saúde e Ministério da Saúde.

Nestes termos, ao abrigo do disposto no n.º 5, do artigo 3.º do Decreto-Lei n.º 19/2010, de 22 de março, na redação dada pelo Decreto-Lei n.º 108/2011, de 17 de novembro, determino o seguinte:

Artigo 1.º

Objeto

O presente despacho estabelece o modelo de governação relativo à implementação da política de cibersegurança da saúde.

Artigo 2.º

Âmbito

O presente despacho é aplicável aos estabelecimentos, serviços e organismos do Serviço Nacional de Saúde (SNS) e do Ministério da Saúde (MS), bem como às entidades do setor empresarial do Estado da área da saúde.

Artigo 3.º

Modelo de Governação

1 – A SPMS – Serviços Partilhados do Ministério da Saúde, E. P. E. (SPMS, E. P. E.), deverá articular-se com o Gabinete Nacional de Segurança/Centro Nacional de Cibersegurança (GNS/CNCS), no âmbito das respetivas competências por forma a:

a) Promover a articulação intrainstitucional e interinstitucional, com vista a garantir a cibersegurança das redes e dos sistemas de informação de saúde, independentemente da sua localização, em função da conectividade existente;

b) Acompanhar, apoiar e monitorizar as medidas de proteção, deteção, resposta e recuperação dos recursos críticos do SNS;

c) Definir o modelo de avaliação para a gestão e monitorização das medidas de cibersegurança;

d) Desenvolver ações de formação, campanhas de sensibilização e desenvolvimento de planos e ações de comunicação para os riscos de cibersegurança junto às entidades do SNS e do MS;

e) Fomentar a gestão segura dos ativos de hardware, software e redes e comunicações, promovendo a cooperação entre instituições de saúde, a nível regional e local;

f) Promover uma cultura de gestão de risco em matéria de software ou do hardware e redes e comunicações, designadamente através da incorporação de requisitos de gestão de risco nas aquisições a realizar;

g) Definir estratégias de combate à fraude no âmbito da cibersegurança;

h) Monitorizar e publicar com caráter regular os resultados das medidas adotadas.

2 – A SPMS, E. P. E., define, após validação prévia do GNS/CNCS, as políticas de cibersegurança para as entidades referidas no artigo 2.º

3 – A SPMS, E. P. E., promove uma gestão participativa da segurança que assegure os normativos e modelos de gestão da função segurança nas entidades referidas no artigo 2.º

4 – A SPMS, E. P. E., convoca os responsáveis de segurança da informação das entidades referidas no artigo 2.º, ao longo do processo de definição normativa, e cria condições de participação destes responsáveis utilizando fóruns destinados ao diálogo e reflexão conjunta.

Artigo 4.º

Medidas e procedimentos de cibersegurança

1 – As medidas e procedimentos de cibersegurança a definir pela SPMS, E. P. E., em articulação com GNS/CNCS devem prever, designadamente:

a) Contributo para a criação de valor no setor da saúde e alinhamento com as estratégias e objetivos do MS e entidades locais;

b) Envolvimento e partilha de responsabilidades de todos os colaboradores, designadamente órgãos governamentais, órgãos dirigentes, profissionais de saúde, profissionais das Tecnologias de Informação e outros profissionais;

c) Utilização de boas práticas comuns e alinhamento com boas práticas de referência na área de cibersegurança e, em especial, no âmbito do setor da Saúde;

d) Adoção de uma visão holística da cibersegurança, considerando as dimensões de Organização, Processos, Pessoas e Tecnologias;

e) Ações de auditoria inicial e iniciativas de suporte à melhoria contínua;

f) Ações de mitigação de vulnerabilidades e reforço de controlos de curto e médio prazo;

g) Comportamentos organizacionais;

h) Benchmarking e partilha de experiências e informação internacional proveniente das agências especializadas neste âmbito, designadamente, a Agência da União Europeia para a Segurança das Redes e da Informação;

i) Mecanismos de informação ao membro do Governo responsável pela área da saúde e aos utilizadores dos sistemas quanto aos riscos, medidas e ações a adotar;

j) A implementação de processos de melhoria contínua por forma a adaptar as políticas e os processos em função dos incidentes ocorridos;

k) Incentivos à investigação em matéria de cibersegurança em parceria com instituições públicas de ensino e investigação, nacionais ou internacionais;

l) Criação de um cadastro das aplicações informáticas do SNS/MS até 90 dias após publicação do presente despacho;

2 – A SPMS, E. P. E., mantém um repositório informático do cadastro mencionado na alínea supra, emitindo documento de registo, com validade anual, por cada aplicação e entidade.

Artigo 5.º

Responsabilidades

Compete às entidades abrangidas pelo presente despacho:

a) Adotar as medidas relativas ao Programa de Gestão de Risco e Segurança do eSIS;

b) Atribuir as funções e responsabilidades de responsável de segurança da informação (Chief Information Security Officer – CISO) e de responsável técnico de segurança (Chief Security Officer – CSO) para garantir a colaboração com o responsável máximo de sistemas de informação da respetiva entidade, e serem indicados à SPMS, E. P. E., no prazo máximo de 60 dias após a entrada em vigor do presente despacho;

c) Elaborar relatórios regulares sobre o perfil evolutivo da implementação das políticas e controlos de segurança na entidade, de forma a permitir avaliar e comparar níveis de maturidade;

d) Garantir a disponibilização dos recursos humanos, tecnológicos e financeiros, necessários para assegurar o cumprimento dos níveis de serviço definidos pela SPMS, E. P. E.;

e) Assumir um papel participativo e colaborativo na partilha de boas práticas e de melhoria contínua para responder à dinâmica evolutiva dos diversos contextos de cibersegurança;

f) Cumprir as medidas e procedimentos na área da cibersegurança;

g) Promover em tempo útil a disponibilidade dos meios de proteção, deteção, resposta e recuperação reportando aos órgãos competentes, sempre que confrontada com situações que comprometam a segurança;

h) Acompanhar, apoiar e monitorizar o desenvolvimento de medidas de proteção, deteção, resposta e recuperação dos recursos críticos locais;

i) Adotar o modelo de avaliação para a gestão e monitorização das medidas de segurança;

j) Colaborar com a SPMS, E. P. E., no processo de definição normativo e nos modelos de gestão da segurança a implementar.

k) Cumprir as indicações a emitir por circular normativa da SPMS, E. P. E., com vista à realização do disposto na alínea l) do artigo 4.º, garantindo assim toda a colaboração para a constituição do cadastro aplicacional do MS e sua atualização permanente, no espaço máximo de 30 dias após publicação do presente despacho.

Artigo 6.º

Aquisição e gestão de tecnologias com vista à cibersegurança

1 – Compete à SPMS, E. P. E., proceder à agregação das necessidades de aquisição de todos os bens e serviços necessários à implementação dos planos de cibersegurança na saúde, bem como assegurar a tramitação prévia dos procedimentos de aquisição nos termos definidos no contrato de mandato administrativo a celebrar entre a SPMS, E. P. E., e as entidades adquirentes.

2 – A agregação das necessidades prevista no número anterior é obrigatória para todas as entidades referidas no artigo 2.º

3 – Às instituições referidas no número anterior cumpre prever nos seus orçamentos as verbas necessárias para acautelar os investimentos necessários no âmbito da modernização tecnológica crítica em cada momento, que resultam da implementação de uma política de segurança e levantamento de necessidades indicadas pela SPMS, E. P. E.

Artigo 7.º

Auditorias e avaliações de cibersegurança

Sem prejuízo das competências do GNS/CNCS, compete à SPMS, E. P. E., efetuar ou determinar auditorias e avaliações de cibersegurança às entidades abrangidas pelo presente despacho para determinar o nível tecnológico adequado a garantir o nível de segurança definido, bem como a coerência entre iniciativas processuais e tecnológicas, sistemas legados e novos sistemas e as aquisições futuras com vista a racionalização dos esforços financeiros.

Artigo 8.º

Financiamento

1 – O custo com as auditorias de cibersegurança, que venham a ser determinadas ao abrigo do artigo 7.º, é suportado pela entidade auditada, no âmbito do seu plano de investimentos em tecnologias de informação.

2 – As ações efetuadas pela SPMS, E. P. E., ao abrigo do artigo 7.º são suportadas pelas verbas do contrato programa entre Administração Central do Sistema de Saúde, I. P. (ACSS, I. P.) e a SPMS, E. P. E.

Artigo 9.º

Recursos Humanos e Capacitação

1 – As entidades garantem formação e certificação dos seus quadros técnicos em matéria de cibersegurança, garantir formação e sensibilização dos profissionais de saúde e outros trabalhadores em matéria de segurança da informação e indicar um responsável de alto nível para a segurança da informação.

2 – A SPMS, E. P. E., disponibiliza um quadro de referência na formação em cibersegurança com recursos próprios ou recorrendo a parcerias com universidades públicas, e um programa inicial de formação geral sem encargos para as entidades do SNS.

3 – A ACSS, I. P., no âmbito das suas competências para gestão dos Recursos Humanos no SNS e MS, garante a capacidade de reforço dos quadros internos que garantam a existência de meios humanos para implementação das medidas e procedimentos de cibersegurança referidas no presente despacho.

Artigo 10.º

Adesão voluntária

As entidades convencionadas com o SNS, bem como outras entidades públicas ou privadas, designadamente as que integrem as Regiões Autónomas, podem aderir ao programa de cibersegurança objeto do presente despacho, mediante contrato de adesão a celebrar com a SPMS, E. P. E.

Artigo 11.º

Entrada em vigor

O presente despacho entra em vigor no dia seguinte ao da sua publicação.

29 de setembro de 2017. – O Secretário de Estado da Saúde, Manuel Martins dos Santos Delgado.»


Informação do Portal SNS:

Modelo de governação para a política de cibersegurança

Tendo em conta a verificação de um crescente número de incidentes de segurança e considerando a ameaça que estes representam para o funcionamento das redes e dos sistemas de informação, o Governo considera que torna-se premente reforçar os mecanismos de proteção desses sistemas, particularmente para proteção dos dados de saúde e do funcionamento do Serviço Nacional de Saúde e Ministério da Saúde.

Assim, através do Despacho n.º 8877/2017, publicado esta segunda-feira, dia 9 de outubro, é estabelecido o modelo de governação relativo à implementação da política de cibersegurança da saúde, aplicável aos estabelecimentos, serviços e organismos do Serviço Nacional de Saúde (SNS) e do Ministério da Saúde, bem como às entidades do setor empresarial do Estado da área da saúde.

De acordo com o diploma, que entra em entra em vigor no dia seguinte ao da sua publicação, a SPMS – Serviços Partilhados do Ministério da Saúde, deverá articular-se com o Gabinete Nacional de Segurança/Centro Nacional de Cibersegurança, no âmbito das respetivas competências por forma a:

  • Promover a articulação intrainstitucional e interinstitucional, com vista a garantir a cibersegurança das redes e dos sistemas de informação de saúde, independentemente da sua localização, em função da conectividade existente;
  • Acompanhar, apoiar e monitorizar as medidas de proteção, deteção, resposta e recuperação dos recursos críticos do SNS;
  • Definir o modelo de avaliação para a gestão e monitorização das medidas de cibersegurança;
  • Desenvolver ações de formação, campanhas de sensibilização e desenvolvimento de planos e ações de comunicação para os riscos de cibersegurança junto às entidades do SNS e do Ministério da Saúde;
  • Fomentar a gestão segura dos ativos de hardware, software e redes e comunicações, promovendo a cooperação entre instituições de saúde, a nível regional e local;
  • Promover uma cultura de gestão de risco em matéria de software ou do hardware e redes e comunicações, designadamente através da incorporação de requisitos de gestão de risco nas aquisições a realizar;
  • Definir estratégias de combate à fraude no âmbito da cibersegurança;
  • Monitorizar e publicar com caráter regular os resultados das medidas adotadas.

A SPMS, define, após validação prévia do Gabinete Nacional de Segurança/Centro Nacional de Cibersegurança, as políticas de cibersegurança para os estabelecimentos, serviços e organismos do Serviço Nacional de Saúde e do Ministério da Saúde, bem como às entidades do setor empresarial do Estado da área da saúde.

Consulte:

Despacho n.º 8877/2017 – Diário da República n.º 194/2017, Série II de 2017-10-09
Saúde – Gabinete do Secretário de Estado da Saúde
Estabelece o modelo de governação relativo à implementação da política de cibersegurança da saúde

Cibersegurança: Boas Práticas no uso do e-mail nas instituições do SNS

30/06/2017

No mundo digital em que vivemos, considerar a cibersegurança é essencial, não só nos instrumentos de comunicação utilizados como em todos os meios de acesso à informação.

O e-mail é uma das ferramentas comunicacionais mais poderosas e com maior utilização. No entanto, pode ser uma forma fácil de desencadear fraudes, prejudicando cidadãos, empresas e organizações. Os golpes (esquemas) mais frequentes utilizam uma combinação de e-mails e websites fictícios, para enganar e fazer com que as “vítimas” divulguem informações sensíveis.

Como nos podemos proteger de ameaças e crimes informáticos?
Através de um conjunto de boas práticas de segurança no uso do e-mail, é possível minimizar as oportunidades de ser alvo de fraude. Siga as recomendações:

Boas Práticas no uso do e-mail

Não seguiu as boas práticas no uso de e-mail e foi vítima de fraude?
Se revelou informações confidenciais sobre a sua organização deve reportar a situação aos responsáveis da sua organização, ou empresa, incluindo administradores de rede. Altere imediatamente todas as passwords que possa ter revelado. Se usou a mesma password para vários recursos, certifique-se que a altera em cada conta e, no futuro, não a use.

Para saber mais, consulte:

Alertas e Segurança

Entidades do SNS Têm 10 Dias Úteis Para Designar o Responsável pela Notificação Obrigatória (RNO) de Incidentes de Cibersegurança

  • Despacho n.º 1348/2017 – Diário da República n.º 28/2017, Série II de 2017-02-08
    Saúde – Gabinete do Secretário de Estado da Saúde

    Determina que as entidades do Serviço Nacional de Saúde (SNS) e os órgãos, serviços e organismos do Ministério da Saúde, encontram-se obrigados a proceder à notificação de incidentes de segurança aos Serviços Partilhados do Ministério da Saúde, E. P. E. (SPMS, E. P. E.), devendo no prazo de 10 dias úteis, designar o Responsável pela Notificação Obrigatória (RNO) de incidentes de cibersegurança, comunicando à SPMS, E. P. E., os respetivos nomes e contactos

«Despacho n.º 1348/2017

A crescente utilização de meios tecnológicos na área da saúde permitem disponibilizar informação em tempo útil para acesso aos cidadãos e profissionais de saúde, incrementando no entanto, a exposição ao risco.

O nível de complexidade que pode ser atingido leva a prever que não seja suficiente adotar mecanismos de proteção e segurança, sendo necessário também garantir meios que permitam vigiar em permanência o estado desses mecanismos e sempre que possível otimizá-los.

Neste contexto, torna-se crucial implementar, transversalmente a todos os serviços, organismos e entidades na área da saúde, a boa prática de registo centralizado de incidentes de segurança, contribuindo para a vigilância do sistema nacional e, em última instância, para a minimização do risco de perda de dados dos seus sistemas centrais, através da análise e tratamento dos registos realizados.

Considerando que a SPMS – Serviços Partilhados do Ministério da Saúde, E. P. E. (SPMS, E. P. E.), nos termos do Decreto-Lei n.º 19/2010, de 22 de março, alterado pelos Decretos-Leis n.os 108/2011, de 17 de novembro, 209/2015, de 25 de setembro, e 32/2016, de 28 de junho, tem como missão a cooperação, partilha de conhecimentos e informação, e o desenvolvimento de atividades de prestação de serviços nas áreas dos sistemas e tecnologias de informação e de comunicação.

Considerando que o Centro Nacional de Cibersegurança (CNCSeg) é, nos termos do Decreto-Lei n.º 3/2012, de 16 de janeiro, alterado pelos Decretos-Leis n.os 162/2013, de 4 de dezembro, e 69/2014, de 9 de maio, a entidade que dispõe de poderes de autoridade nacional em matéria de cibersegurança, relativamente ao Estado e aos operadores de infraestruturas críticas nacionais.

Dando cumprimento ao disposto no ponto 5.6.7 do anexo à Resolução do Conselho de Ministros n.º 62/2016, de 17 de outubro, que aprovou a Estratégia Nacional para o Ecossistema de Informação de Saúde 2020 (ENESIS 2020), e dando continuidade à estratégia de serviços partilhados, a SPMS, E. P. E., assegura o estabelecimento de um protocolo de cooperação e articulação com o CNCSeg, para assegurar a notificação obrigatória, centralizada nesta última entidade, de incidentes de cibersegurança do Serviço Nacional de Saúde (SNS) e do Ministério da Saúde, bem como para garantir a adoção de procedimentos comuns e a utilização de taxonomias definidas para o efeito pelo CNCSeg.

Atento ao disposto nos n.os 1 e 5 do artigo 3.º do Decreto-Lei n.º 19/2010, de 22 de março, alterado pelos Decretos-Leis n.os 108/2011, de 17 de novembro, 209/2015, de 25 de setembro, e 32/2016, de 28 de junho, determino o seguinte:

1 – As entidades do Serviço Nacional de Saúde (SNS) e os órgãos, serviços e organismos do Ministério da Saúde encontram-se obrigados a proceder à notificação de incidentes de segurança à SPMS – Serviços Partilhados do Ministério da Saúde, E. P. E. (SPMS, E. P. E.).

2 – As entidades e serviços referidos no número anterior devem, no prazo de 10 dias úteis após a entrada em vigor do presente despacho, designar o Responsável pela Notificação Obrigatória (RNO) de incidentes de cibersegurança, comunicando à SPMS, E. P. E., os respetivos nomes e contactos, designadamente o número de telefone e endereço de correio eletrónico.

3 – O RNO assegura a operacionalização do “Procedimento da Notificação Obrigatória Centralizada de Incidentes de Cibersegurança (NOCICS) das entidades do Serviço Nacional de Saúde e do Ministério da Saúde ao CNCS” (doravante designado apenas por Procedimento de Notificação) e desempenha funções como ponto único de contacto da entidade com o Elemento de Coordenação Operacional de Segurança (ECOS) da Saúde.

4 – O Procedimento de Notificação, previamente definido pela SPMS, E. P. E., e a lista das classes e categorias de incidentes, são divulgados, no prazo máximo de 10 dias a contar da publicação do presente despacho, através de Circular Informativa, sendo este o meio também a utilizar nas atualizações ou revisões subsequentes.

5 – O Procedimento de Notificação deve estabelecer a data a partir da qual tem início a notificação obrigatória de incidentes de Cibersegurança à SPMS, E. P. E.

6 – A participação nas sessões de esclarecimento promovidas pela SPMS, E. P. E., no âmbito desta matéria, é de caráter obrigatório, devendo ser garantida a presença de um elemento do órgão de direção e do Conselho de Administração/Diretivo do serviço, organismo ou entidade e o respetivo RNO.

7 – À SPMS, E. P.E, compete nomear, no prazo de 10 dias úteis a contar da publicação do presente despacho, o Elemento de Coordenação Operacional de Segurança (ECOS) da Saúde, o qual deve assegurar a operacionalização do Procedimento de Notificação e desempenhar funções de ponto único de contacto, do Ministério da Saúde, junto do Centro Nacional de Cibersegurança.

8 – A SPMS, E. P. E., garante a entrada em funcionamento de uma plataforma informática para suporte à NOCICS no prazo de 180 dias.

9 – A SPMS, E. P. E., deve promover a adoção de boas práticas através da partilha de normas e procedimentos junto das entidades abrangidas pelo presente despacho.

10 – À SPMS, E. P. E., compete coordenar e monitorizar a implementação e operacionalização das boas práticas, garantindo uma melhoria contínua da resposta a ciber-riscos, no setor da saúde.

11 – Trimestralmente, ou sempre que se justifique, a SPMS, E. P. E., reporta a este Gabinete os incidentes de segurança considerados significativos.

12 – O presente despacho entra em vigor no dia seguinte ao da sua publicação.

27 de janeiro de 2017. – O Secretário de Estado da Saúde, Manuel Martins dos Santos Delgado.»