AngoLEX

Legislação Angolana a distancia de um click
Contactos Perguntas Frequentes Mapa do Site Política de Uso
INÍCIO
SOBRE NÓS
LEGISLAÇÃO
Constituição de Angola Códigos Leis Decretos Legislativo Presidencial Decretos Presidencial
DICIONÁRIO JURÍDICO
Expressões Correntes Latinismos
MEUS FAVORITOS
CONTACTOS
DOAÇÕES


Portal da
Legislação Angolana

Links Rápido

Instrutivo n.º 10/2020 - Reporte de Incidentes de Segurança Cibernética

SUMÁRIO

  1. 1. Objecto e Âmbito
  2. 2. Âmbito de Incidentes de Segurança Cibernética
  3. 3. Classificação de Incidentes de Segurança Cibernética
  4. 4. Indicações Relativas a Critérios de Materialidade
  5. 5. Canal de Comunicação
  6. 6. Forma de Comunicação
  7. 7. Modelo de Comunicação
  8. 8. Sanções
  9. 9. Dúvidas e Omissões
  10. 10. Entrada em vigor
1. Objecto e Âmbito
  1. 1.1 O presente Instrutivo estabelece o dever de comunicação de incidentes de segurança cibernética ao Banco Nacional de Angola que sejam classificados como significativos ou muito significativos.
  2. 1.2 O presente Instrutivo é aplicável às Instituições Financeiras sob supervisão do Banco Nacional de Angola, adiante abreviadamente designadas por Instituições, nos termos e condições previstos na Lei de Bases das Instituições Financeiras.
⇡ Início da Página
2. Âmbito de Incidentes de Segurança Cibernética
  1. 2.1 Para efeitos do presente Instrutivo, consideram-se incidentes de segurança cibernética as violações na política de segurança de um sistema de informação de uma Instituição, afectando os pressupostos da sua segurança, dentre as quais destacamos a disponibilidade, integridade e confidencialidade do referido sistema.
  2. 2.2 As Instituições referidas no número 1 do presente Instrutivo devem comunicar, em base individual e consolidada, ao Banco Nacional de Angola, todos os incidentes cibernéticos que produzam danos económicos e financeiros, sociais e reputacionais nas entidades incluídas no perímetro de supervisão, independentemente do local onde estas últimas prestam a sua actividade, no prazo de 4h após a detecção do primeiro incidente.
⇡ Início da Página
3. Classificação de Incidentes de Segurança Cibernética
  1. 3.1 As Instituições devem classificar como significativos ou muito significativos os incidentes de segurança cibernética, usando para o efeito os dados e informações recolhidas no âmbito da avaliação de risco cibernético, o qual engloba também o impacto derivado dos mesmos, sendo que os parâmetros identificados (significativos e muito significativos) devem estar alinhados entre a área de tecnologias de informação e de negócio, visando essencialmente evitar danos económicos e financeiros, sociais e reputacionais decorrentes destes incidentes.
  2. 3.2 Sem prejuízo do disposto no subponto anterior, o Banco Nacional de Angola pode, com base na sua avaliação dos incidentes, alterar o nível de risco apresentado pela referida Instituição.
⇡ Início da Página
4. Indicações Relativas a Critérios de Materialidade
  1. 4.1 Para determinar o número de utilizadores afectados, devem ser considerados todos os clientes, nacionais ou estrangeiros, particulares ou empresas, que possuam uma relação contratual com as Instituições abrangidas pelo presente Instrutivo.
  2. 4.2 Para avaliação de incidentes relacionados com a computação em nuvem e servidores, é preciso analisar se as bases de dados centrais e back-ups foram comprometidos e que informações constavam em cada uma delas.
  3. 4.3 Para o cálculo do potencial impacto económico, devem ser consideradas as perdas globais, directas e indirectas, associadas à ocorrência do incidente de segurança cibernética.
  4. 4.4 As perdas globais previstas no subponto anterior devem ser avaliadas em termos absolutos ou, em alternativa, com base na importância relativa para a Instituição.
  5. 4.5 Qualquer incidente de segurança cibernética deve ser considerado significativo se resultar em incumprimentos legais ou regulamentares por parte da entidade afectada.
  6. 4.6 Qualquer incidente de segurança cibernética com potencial risco sistémico deve ser considerado muito significativo.
⇡ Início da Página
5. Canal de Comunicação
  1. 5.1 As Instituições devem comunicar ao Banco Nacional de Angola os incidentes classificados como significativos ou muito significativos através do Portal das Instituições Financeiras (PIF).
  2. 5.2 Nos casos em que Instituições não tem temporariamente capacidade operacional para assegurar a comunicação do incidente no PIF, ou em casos em que o mesmo esteja indisponível, em consequência do incidente ou por outro motivo de natureza eminentemente técnica (devidamente justificado), o reporte deve ser feito, a título excepcional, através de correio electrónico remetido para o seguinte endereço: reportecibernético@bna.ao.
⇡ Início da Página
6. Forma de Comunicação
  1. 6.1 As Instituições devem recolher toda a informação possível sobre o incidente e preencher os campos de informação requeridos no reporte, conforme Anexo do presente Instrutivo.
  2. 6.2 As entidades podem enviar informação adicional que entendam ser relevante para o Banco Nacional de Angola.
  3. 6.3 O Banco Nacional de Angola pode em qualquer altura e sempre que lhe se revelar necessário solicitar às instituições informação adicional sobre os incidentes de segurança cibernética reportados.
⇡ Início da Página
7. Modelo de Comunicação
  1. 7.1 O reporte de incidentes divide-se em três fases: Inicial, Intercalar e Final, que devem ser preenchidas, de forma incremental e sequencial.
  2. 7.2 As Instituições devem submeter o reporte inicial na periodicidade definida no artigo 8.º do Aviso do Aviso n.º 08/2020, de 02 de Abril, sobre Política de Segurança Cibernética e Adopção de Computação em Nuvem. O reporte inicial deve incluir informação com as características gerais do incidente, bem como possíveis consequências do mesmo.
  3. 7.3 As Instituições devem submeter um reporte intercalar no prazo de 20 (vinte) dias, após o reporte inicial, preenchendo os campos de informação identificados no modelo de reporte. O reporte intercalar deve conter informação detalhada sobre o tipo de incidente e o seu impacto.
  4. 7.4 As Instituições devem submeter um reporte final no prazo de até 45 (quarenta e cinco) dias após o reporte inicial. O reporte final deve reflectir a informação recolhida na investigação interna das causas do incidente, bem como potenciais medidas mitigadoras adoptadas ou previstas para resolver o incidente e evitar a sua recorrência no futuro.
  5. 7.5 Na eventualidade do incidente não ficar inteiramente resolvido no prazo de 45 (quarenta e cinco) dias úteis, após o reporte inicial, as Instituições devem ainda assim submeter o reporte final ao Banco Nacional de Angola no prazo estipulado para o efeito.
  6. 7.6 Sem prejuízo do subponto anterior, as instituições devem, sempre que o incidente não seja superado depois de 45 (quarenta e cinco) dias, a contar da data do reporte inicial, informar o Banco Nacional de Angola, sobre as razões que levaram a não superação do incidente reportado.
⇡ Início da Página
8. Sanções

A violação das disposições constantes do presente Instrutivo é punível nos termos da Lei n.º 12/15, de 17 de Junho - Lei de Bases das Instituições Financeiras.

⇡ Início da Página
9. Dúvidas e Omissões

As dúvidas e omissões resultantes da interpretação e aplicação do presente Instrutivo são resolvidas pelo Banco Nacional de Angola.

⇡ Início da Página
10. Entrada em vigor

O presente Instrutivo entra em vigor no prazo de 30 (trinta) dias após a sua publicação.

PUBLIQUE-SE.

Luanda, 29 de Maio de 2020.

O GOVERNADOR

JOSÉ DE LIMA MASSANO

Contactos Perguntas Frequentes Mapa do Site Política de Uso
Todos os direitos reservados © AngoLEX | 2022