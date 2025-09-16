A Administração do Ciberespaço da China (CAC) anunciou ontem uma nova regulação que obriga os operadores de redes e serviços digitais a reportar incidentes de cibersegurança em prazos que variam de meia hora a quatro horas. A norma, intitulada “Medidas para a gestão de relatórios de incidentes de cibersegurança”, entrará em vigor a 1 de Novembro.

A CAC definiu como incidentes de cibersegurança aqueles causados por ataques, falhas técnicas ou erros humanos que provoquem danos a sistemas, dados ou serviços com impacto nacional, social ou económico.

O texto, com 14 artigos, estabelece que os operadores de infra-estruturas críticas devem notificar as autoridades de protecção e a polícia em menos de uma hora e que estas, em casos “graves ou especialmente graves”, devem elevar o alerta à CAC e ao Ministério da Segurança Pública num prazo máximo de 30 minutos.

Os órgãos centrais do Estado terão um prazo de duas horas e os demais operadores, de quatro.

Os relatórios deverão incluir informações básicas sobre o sistema afectado, o tipo de incidente, os danos causados, as medidas adoptadas e pistas para uma possível investigação, como vectores de ataque ou vulnerabilidades detectadas.

Em ataques de ‘ransomware’ – programa malicioso que emprega criptografia, evitando que a vítima tenha acesso aos dados –, será obrigatório detalhar o valor exigido como resgate.

A CAC habilitou seis canais para as notificações: um portal específico, um endereço de correio eletrónico, fax e contas oficiais no WeChat. Os operadores também serão obrigados a apresentar, no prazo de 30 dias após a resolução do incidente, um relatório final com as causas, os danos, as responsabilidades e as medidas correctivas.

O regulamento prevê sanções para aqueles que ocultem, atrasem ou falsifiquem dados, com agravantes se isso gerar “consequências graves”.nPor outro lado, se forem aplicadas medidas razoáveis e for feito um relatório atempado, as autoridades poderão reduzir ou mesmo isentar de responsabilidade.

Ir mais além

O anexo da norma estabelece quatro níveis de gravidade, que incluem desde vazamentos de milhões de dados pessoais até a manipulação de portais governamentais com divulgação “em grande escala de informações ilegais”.

As autoridades insistem que a medida se inspira em práticas internacionais, como as dos Estados Unidos ou da União Europeia, embora o seu alcance alimente o debate sobre se também constitui um reforço do controlo estatal sobre o ciberespaço num país onde o Google, o X ou o YouTube continuam bloqueados há anos.