O Chefe do Executivo, depois de ouvido o Conselho Executivo, decreta, nos termos da alínea 5) do artigo 50.º da Lei Básica da Região Administrativa Especial de Macau e do artigo 27.º da Lei n.º 13/2019 (Lei da cibersegurança), para valer como regulamento administrativo complementar, o seguinte:
O presente regulamento administrativo estabelece a regulamentação complementar relativa ao enquadramento institucional da cibersegurança.
1. A Comissão para a Cibersegurança, doravante designada por CPC, e o Centro de Alerta e Resposta a Incidentes de Cibersegurança, doravante designado por CARIC, podem elaborar os regulamentos de funcionamento interno necessários à boa prossecução das suas actividades.
2. Os regulamentos de funcionamento interno referidos no número anterior são homologados mediante despacho do Chefe do Executivo.
Compete à CPC:
1) Acompanhar e avaliar o desenvolvimento e funcionamento dos operadores de infra-estruturas críticas, no âmbito da actividade de cibersegurança;
2) Apreciar e deliberar sobre o relatório geral de cibersegurança da Região Administrativa Especial de Macau, doravante designada por RAEM.
1. A CPC tem a seguinte composição:
1) O Chefe do Executivo, que preside;
2) O Secretário para a Segurança, que exerce funções do vice-presidente e que substitui o presidente nas suas ausências, faltas ou impedimentos;
3) Os demais secretários do Governo;
4) O Chefe do Gabinete do Chefe do Executivo;
5) O Coordenador do Gabinete para a Protecção de Dados Pessoais;
6) Os responsáveis máximos das entidades que integram o CARIC;
7) Os responsáveis máximos das entidades de supervisão designadas no anexo ao presente regulamento administrativo, do qual faz parte integrante.
2. Os membros referidos nas alíneas 3) a 5) do número anterior podem fazer-se substituir pelos seus representantes.
1. As funções do secretário da CPC são desempenhadas pelo director da Polícia Judiciária.
2. Compete ao secretário:
1) Colaborar na elaboração das convocatórias e das ordens de trabalhos das reuniões;
2) Convocar e dirigir reuniões de nível técnico, com representantes do CARIC e das entidades de supervisão, com o objectivo de definir medidas concretas de execução de políticas definidas pela CPC;
3) Elaborar as actas das reuniões e organizar a apresentação dos documentos de apoio relacionados com as reuniões;
4) Organizar a gestão do expediente corrente, do arquivo e das informações da CPC;
5) Informar periodicamente o presidente sobre o andamento dos trabalhos;
6) Executar os demais trabalhos que lhe sejam conferidos pelo presidente.
O presidente pode convidar para participar nas reuniões, sem direito a voto, outras entidades públicas ou privadas ou outras individualidades cujo contributo entenda útil aos trabalhos a desenvolver.
Compete ao Gabinete do Secretário para a Segurança definir os termos em que as entidades que integram o CARIC prestam apoio técnico-administrativo à CPC, sendo os encargos decorrentes do funcionamento da mesma suportados pelo orçamento do mesmo gabinete.
1. O presidente pode determinar a natureza confidencial de determinados temas, conteúdos, actas e documentos de apoio relacionados com as reuniões.
2. A desclassificação da confidencialidade apenas pode ser operada pelo presidente.
Compete ao CARIC:
1) Apresentar anualmente à CPC, para aprovação, um relatório geral de cibersegurança, que contenha, obrigatoriamente;
(1) Apreciações críticas da situação de cibersegurança da RAEM, na perspectiva global e nas perspectivas individualizadas dos sectores público e privado, suportadas por adequada informação estatística de base;
(2) Relatórios de auto-avaliação das entidades que compõem o próprio CARIC, em anexo;
2) Prestar o demais apoio de que a CPC careça;
3) Promover acções de divulgação e sensibilização em matéria de cibersegurança;
4) Promover a divulgação, junto do público, do resultado da investigação dos incidentes de cibersegurança ocorridos, em articulação com as entidades de supervisão.
O CARIC é coordenado pela Polícia Judiciária e integra a Direcção dos Serviços de Administração e Função Pública e a Direcção dos Serviços de Correios e Telecomunicações.
Compete às entidades de supervisão:
1) Definir o regime de gestão da cibersegurança dos operadores sujeitos à sua supervisão, designadamente no que respeita aos mecanismos e instrumentos de rotina de defesa contra ataques e invasões cibernéticos, tendo em conta as orientações preconizadas pela CPC;
2) Colaborar com o CARIC na definição dos procedimentos de alerta e resposta a emergência e na implementação de tais procedimentos quando ocorram incidentes;
3) Recolher os relatórios sobre a cibersegurança dos operadores sujeitos à sua supervisão referidos na alínea 2) do artigo 12.º e no n.º 2 do artigo 14.º da Lei n.º 13/2019, remetendo cópia dos mesmos ao CARIC.
1. Sem prejuízo do disposto no número seguinte, as entidades de supervisão dos operadores privados de infra-estruturas críticas são os designados no anexo ao presente regulamento administrativo.
2. Tratando-se de operadores privados de infra-estruturas críticas referidos nas alíneas 2) e 3) do n.º 3 do artigo 4.º da Lei n.º 13/2019, o Chefe do Executivo pode, mediante despacho a publicar no Boletim Oficial da Região Administrativa Especial de Macau, atribuir a supervisão de cibersegurança a outra entidade pública, que não a Direcção dos Serviços de Correios e Telecomunicações.
O presente regulamento administrativo entra em vigor no dia 22 de Dezembro de 2019.
Aprovado em 15 de Novembro de 2019.
Publique-se.
O Chefe do Executivo, Chui Sai On.
| Entidades de supervisão designadas | Operadores/Domínios de actividades supervisionados |
| Instituto para os Assuntos Municipais | Abate de animais em matadouros legais |
| Abastecimento público grossista de produtos alimentares sujeitos a controlos sanitários e fitossanitários | |
| Direcção dos Serviços de Economia | Abastecimento público grossista de combustíveis |
| Direcção de Inspecção e Coordenação de Jogos | Exploração de jogos de fortuna e azar em casino |
| Autoridade Monetária de Macau | Actividade bancária, financeira e seguradora |
| Serviços de Saúde | Prestação de cuidados de saúde em hospitais |
| Direcção dos Serviços de Assuntos Marítimos e de Água | Abastecimento de água |
| Prestação de serviço público de transportes marítimos | |
| Exploração de portos e terminais marítimos | |
| Direcção dos Serviços de Correios e Telecomunicações | Radiodifusão televisiva e sonora |
| Exploração de redes públicas de telecomunicações fixas ou móveis e prestação de serviços de acesso à internet | |
| Sociedades comerciais de capitais exclusivamente públicos | |
| Pessoas colectivas privadas qualificadas de utilidade pública administrativa cuja actividade se cinja à área científica e tecnológica | |
| Direcção dos Serviços de Protecção Ambiental | Tratamento de águas residuais e recolha e tratamento de resíduos |
| Autoridade da Aviação Civil | Prestação de serviço público de transportes aéreos |
| Exploração de aeroportos e heliportos | |
| Direcção dos Serviços para os Assuntos de Tráfego | Prestação de serviço público de transportes terrestres |
| Gabinete para o Desenvolvimento do Sector Energético | Fornecimento e distribuição de electricidade e gás natural |