«Despacho n.º 1348/2017
A crescente utilização de meios tecnológicos na área da saúde permitem disponibilizar informação em tempo útil para acesso aos cidadãos e profissionais de saúde, incrementando no entanto, a exposição ao risco.
O nível de complexidade que pode ser atingido leva a prever que não seja suficiente adotar mecanismos de proteção e segurança, sendo necessário também garantir meios que permitam vigiar em permanência o estado desses mecanismos e sempre que possível otimizá-los.
Neste contexto, torna-se crucial implementar, transversalmente a todos os serviços, organismos e entidades na área da saúde, a boa prática de registo centralizado de incidentes de segurança, contribuindo para a vigilância do sistema nacional e, em última instância, para a minimização do risco de perda de dados dos seus sistemas centrais, através da análise e tratamento dos registos realizados.
Considerando que a SPMS – Serviços Partilhados do Ministério da Saúde, E. P. E. (SPMS, E. P. E.), nos termos do Decreto-Lei n.º 19/2010, de 22 de março, alterado pelos Decretos-Leis n.os 108/2011, de 17 de novembro, 209/2015, de 25 de setembro, e 32/2016, de 28 de junho, tem como missão a cooperação, partilha de conhecimentos e informação, e o desenvolvimento de atividades de prestação de serviços nas áreas dos sistemas e tecnologias de informação e de comunicação.
Considerando que o Centro Nacional de Cibersegurança (CNCSeg) é, nos termos do Decreto-Lei n.º 3/2012, de 16 de janeiro, alterado pelos Decretos-Leis n.os 162/2013, de 4 de dezembro, e 69/2014, de 9 de maio, a entidade que dispõe de poderes de autoridade nacional em matéria de cibersegurança, relativamente ao Estado e aos operadores de infraestruturas críticas nacionais.
Dando cumprimento ao disposto no ponto 5.6.7 do anexo à Resolução do Conselho de Ministros n.º 62/2016, de 17 de outubro, que aprovou a Estratégia Nacional para o Ecossistema de Informação de Saúde 2020 (ENESIS 2020), e dando continuidade à estratégia de serviços partilhados, a SPMS, E. P. E., assegura o estabelecimento de um protocolo de cooperação e articulação com o CNCSeg, para assegurar a notificação obrigatória, centralizada nesta última entidade, de incidentes de cibersegurança do Serviço Nacional de Saúde (SNS) e do Ministério da Saúde, bem como para garantir a adoção de procedimentos comuns e a utilização de taxonomias definidas para o efeito pelo CNCSeg.
Atento ao disposto nos n.os 1 e 5 do artigo 3.º do Decreto-Lei n.º 19/2010, de 22 de março, alterado pelos Decretos-Leis n.os 108/2011, de 17 de novembro, 209/2015, de 25 de setembro, e 32/2016, de 28 de junho, determino o seguinte:
1 – As entidades do Serviço Nacional de Saúde (SNS) e os órgãos, serviços e organismos do Ministério da Saúde encontram-se obrigados a proceder à notificação de incidentes de segurança à SPMS – Serviços Partilhados do Ministério da Saúde, E. P. E. (SPMS, E. P. E.).
2 – As entidades e serviços referidos no número anterior devem, no prazo de 10 dias úteis após a entrada em vigor do presente despacho, designar o Responsável pela Notificação Obrigatória (RNO) de incidentes de cibersegurança, comunicando à SPMS, E. P. E., os respetivos nomes e contactos, designadamente o número de telefone e endereço de correio eletrónico.
3 – O RNO assegura a operacionalização do “Procedimento da Notificação Obrigatória Centralizada de Incidentes de Cibersegurança (NOCICS) das entidades do Serviço Nacional de Saúde e do Ministério da Saúde ao CNCS” (doravante designado apenas por Procedimento de Notificação) e desempenha funções como ponto único de contacto da entidade com o Elemento de Coordenação Operacional de Segurança (ECOS) da Saúde.
4 – O Procedimento de Notificação, previamente definido pela SPMS, E. P. E., e a lista das classes e categorias de incidentes, são divulgados, no prazo máximo de 10 dias a contar da publicação do presente despacho, através de Circular Informativa, sendo este o meio também a utilizar nas atualizações ou revisões subsequentes.
5 – O Procedimento de Notificação deve estabelecer a data a partir da qual tem início a notificação obrigatória de incidentes de Cibersegurança à SPMS, E. P. E.
6 – A participação nas sessões de esclarecimento promovidas pela SPMS, E. P. E., no âmbito desta matéria, é de caráter obrigatório, devendo ser garantida a presença de um elemento do órgão de direção e do Conselho de Administração/Diretivo do serviço, organismo ou entidade e o respetivo RNO.
7 – À SPMS, E. P.E, compete nomear, no prazo de 10 dias úteis a contar da publicação do presente despacho, o Elemento de Coordenação Operacional de Segurança (ECOS) da Saúde, o qual deve assegurar a operacionalização do Procedimento de Notificação e desempenhar funções de ponto único de contacto, do Ministério da Saúde, junto do Centro Nacional de Cibersegurança.
8 – A SPMS, E. P. E., garante a entrada em funcionamento de uma plataforma informática para suporte à NOCICS no prazo de 180 dias.
9 – A SPMS, E. P. E., deve promover a adoção de boas práticas através da partilha de normas e procedimentos junto das entidades abrangidas pelo presente despacho.
10 – À SPMS, E. P. E., compete coordenar e monitorizar a implementação e operacionalização das boas práticas, garantindo uma melhoria contínua da resposta a ciber-riscos, no setor da saúde.
11 – Trimestralmente, ou sempre que se justifique, a SPMS, E. P. E., reporta a este Gabinete os incidentes de segurança considerados significativos.
12 – O presente despacho entra em vigor no dia seguinte ao da sua publicação.
27 de janeiro de 2017. – O Secretário de Estado da Saúde, Manuel Martins dos Santos Delgado.»