REGIÃO ADMINISTRATIVA ESPECIAL DE MACAU

Versão Chinesa

REGIÃO ADMINISTRATIVA ESPECIAL DE MACAU

Regulamento Administrativo n.º 35/2019

Comissão para a Cibersegurança, Centro de Alerta e Resposta a Incidentes de Cibersegurança e entidades de supervisão de cibersegurança

O Chefe do Executivo, depois de ouvido o Conselho Executivo, decreta, nos termos da alínea 5) do artigo 50.º da Lei Básica da Região Administrativa Especial de Macau e do artigo 27.º da Lei n.º 13/2019 (Lei da cibersegurança), para valer como regulamento administrativo complementar, o seguinte:

CAPÍTULO I

Disposições gerais

Artigo 1.º

Objecto

O presente regulamento administrativo estabelece a regulamentação complementar relativa ao enquadramento institucional da cibersegurança.

Artigo 2.º

Regulamentos de funcionamento interno

1. A Comissão para a Cibersegurança, doravante designada por CPC, e o Centro de Alerta e Resposta a Incidentes de Cibersegurança, doravante designado por CARIC, podem elaborar os regulamentos de funcionamento interno necessários à boa prossecução das suas actividades.

2. Os regulamentos de funcionamento interno referidos no número anterior são homologados mediante despacho do Chefe do Executivo.

CAPÍTULO II

Comissão para a Cibersegurança

Artigo 3.º

Competências

Compete à CPC:

1) Acompanhar e avaliar o desenvolvimento e funcionamento dos operadores de infra-estruturas críticas, no âmbito da actividade de cibersegurança;

2) Apreciar e deliberar sobre o relatório geral de cibersegurança da Região Administrativa Especial de Macau, doravante designada por RAEM.

Artigo 4.º

Composição

1. A CPC tem a seguinte composição:

1) O Chefe do Executivo, que preside;

2) O Secretário para a Segurança, que exerce funções do vice-presidente e que substitui o presidente nas suas ausências, faltas ou impedimentos;

3) Os demais secretários do Governo;

4) O Chefe do Gabinete do Chefe do Executivo;

5) O Coordenador do Gabinete para a Protecção de Dados Pessoais;

6) Os responsáveis máximos das entidades que integram o CARIC;

7) Os responsáveis máximos das entidades de supervisão designadas no anexo ao presente regulamento administrativo, do qual faz parte integrante.

2. Os membros referidos nas alíneas 3) a 5) do número anterior podem fazer-se substituir pelos seus representantes.

Artigo 5.º

Secretário

1. As funções do secretário da CPC são desempenhadas pelo director da Polícia Judiciária.

2. Compete ao secretário:

1) Colaborar na elaboração das convocatórias e das ordens de trabalhos das reuniões;

2) Convocar e dirigir reuniões de nível técnico, com representantes do CARIC e das entidades de supervisão, com o objectivo de definir medidas concretas de execução de políticas definidas pela CPC;

3) Elaborar as actas das reuniões e organizar a apresentação dos documentos de apoio relacionados com as reuniões;

4) Organizar a gestão do expediente corrente, do arquivo e das informações da CPC;

5) Informar periodicamente o presidente sobre o andamento dos trabalhos;

6) Executar os demais trabalhos que lhe sejam conferidos pelo presidente.

Artigo 6.º

Participação de outras entidades ou individualidades nas reuniões

O presidente pode convidar para participar nas reuniões, sem direito a voto, outras entidades públicas ou privadas ou outras individualidades cujo contributo entenda útil aos trabalhos a desenvolver.

Artigo 7.º

Apoio técnico-administrativo e meios financeiros

Compete ao Gabinete do Secretário para a Segurança definir os termos em que as entidades que integram o CARIC prestam apoio técnico-administrativo à CPC, sendo os encargos decorrentes do funcionamento da mesma suportados pelo orçamento do mesmo gabinete.

Artigo 8.º

Sigilo

1. O presidente pode determinar a natureza confidencial de determinados temas, conteúdos, actas e documentos de apoio relacionados com as reuniões.

2. A desclassificação da confidencialidade apenas pode ser operada pelo presidente.

CAPÍTULO III

Centro de Alerta e Resposta a Incidentes de Cibersegurança

Artigo 9.º

Competências

Compete ao CARIC:

1) Apresentar anualmente à CPC, para aprovação, um relatório geral de cibersegurança, que contenha, obrigatoriamente;

(1) Apreciações críticas da situação de cibersegurança da RAEM, na perspectiva global e nas perspectivas individualizadas dos sectores público e privado, suportadas por adequada informação estatística de base;

(2) Relatórios de auto-avaliação das entidades que compõem o próprio CARIC, em anexo;

2) Prestar o demais apoio de que a CPC careça;

3) Promover acções de divulgação e sensibilização em matéria de cibersegurança;

4) Promover a divulgação, junto do público, do resultado da investigação dos incidentes de cibersegurança ocorridos, em articulação com as entidades de supervisão.

Artigo 10.º

Composição

O CARIC é coordenado pela Polícia Judiciária e integra a Direcção dos Serviços de Administração e Função Pública e a Direcção dos Serviços de Correios e Telecomunicações.

CAPÍTULO IV

Entidades de supervisão de cibersegurança

Artigo 11.º

Competências

Compete às entidades de supervisão:

1) Definir o regime de gestão da cibersegurança dos operadores sujeitos à sua supervisão, designadamente no que respeita aos mecanismos e instrumentos de rotina de defesa contra ataques e invasões cibernéticos, tendo em conta as orientações preconizadas pela CPC;

2) Colaborar com o CARIC na definição dos procedimentos de alerta e resposta a emergência e na implementação de tais procedimentos quando ocorram incidentes;

3) Recolher os relatórios sobre a cibersegurança dos operadores sujeitos à sua supervisão referidos na alínea 2) do artigo 12.º e no n.º 2 do artigo 14.º da Lei n.º 13/2019, remetendo cópia dos mesmos ao CARIC.

Artigo 12.º

Designação das entidades de supervisão de cibersegurança dos operadores privados de infra-estruturas críticas

1. Sem prejuízo do disposto no número seguinte, as entidades de supervisão dos operadores privados de infra-estruturas críticas são os designados no anexo ao presente regulamento administrativo.

2. Tratando-se de operadores privados de infra-estruturas críticas referidos nas alíneas 2) e 3) do n.º 3 do artigo 4.º da Lei n.º 13/2019, o Chefe do Executivo pode, mediante despacho a publicar no Boletim Oficial da Região Administrativa Especial de Macau, atribuir a supervisão de cibersegurança a outra entidade pública, que não a Direcção dos Serviços de Correios e Telecomunicações.

CAPÍTULO V

Disposição final

Artigo 13.º

Entrada em vigor

O presente regulamento administrativo entra em vigor no dia 22 de Dezembro de 2019.

Aprovado em 15 de Novembro de 2019.

Publique-se.

O Chefe do Executivo, Chui Sai On.

———

ANEXO

(a que se referem a alínea 7) do n.º 1 do artigo 4.º e o n.º 1 do artigo 12.º)

Entidades de supervisão designadas Operadores/Domínios de actividades supervisionados
Instituto para os Assuntos Municipais Abate de animais em matadouros legais
Abastecimento público grossista de produtos alimentares sujeitos a controlos sanitários e fitossanitários
Direcção dos Serviços de Economia Abastecimento público grossista de combustíveis
Direcção de Inspecção e Coordenação de Jogos Exploração de jogos de fortuna e azar em casino
Autoridade Monetária de Macau Actividade bancária, financeira e seguradora
Serviços de Saúde Prestação de cuidados de saúde em hospitais
Direcção dos Serviços de Assuntos Marítimos e de Água Abastecimento de água
Prestação de serviço público de transportes marítimos
Exploração de portos e terminais marítimos
Direcção dos Serviços de Correios e Telecomunicações Radiodifusão televisiva e sonora
Exploração de redes públicas de telecomunicações fixas ou móveis e prestação de serviços de acesso à internet
Sociedades comerciais de capitais exclusivamente públicos
Pessoas colectivas privadas qualificadas de utilidade pública administrativa cuja actividade se cinja à área científica e tecnológica
Direcção dos Serviços de Protecção Ambiental Tratamento de águas residuais e recolha e tratamento de resíduos
Autoridade da Aviação Civil Prestação de serviço público de transportes aéreos
Exploração de aeroportos e heliportos
Direcção dos Serviços para os Assuntos de Tráfego Prestação de serviço público de transportes terrestres
Gabinete para o Desenvolvimento do Sector Energético Fornecimento e distribuição de electricidade e gás natural