China / ÁsiaChina | Estabelecidos prazos de até 4 horas para relatar incidentes cibernéticos Hoje Macau - 16 Set 2025 A Administração do Ciberespaço da China (CAC) anunciou ontem uma nova regulação que obriga os operadores de redes e serviços digitais a reportar incidentes de cibersegurança em prazos que variam de meia hora a quatro horas. A norma, intitulada “Medidas para a gestão de relatórios de incidentes de cibersegurança”, entrará em vigor a 1 de Novembro. A CAC definiu como incidentes de cibersegurança aqueles causados por ataques, falhas técnicas ou erros humanos que provoquem danos a sistemas, dados ou serviços com impacto nacional, social ou económico. O texto, com 14 artigos, estabelece que os operadores de infra-estruturas críticas devem notificar as autoridades de protecção e a polícia em menos de uma hora e que estas, em casos “graves ou especialmente graves”, devem elevar o alerta à CAC e ao Ministério da Segurança Pública num prazo máximo de 30 minutos. Os órgãos centrais do Estado terão um prazo de duas horas e os demais operadores, de quatro. Os relatórios deverão incluir informações básicas sobre o sistema afectado, o tipo de incidente, os danos causados, as medidas adoptadas e pistas para uma possível investigação, como vectores de ataque ou vulnerabilidades detectadas. Em ataques de ‘ransomware’ – programa malicioso que emprega criptografia, evitando que a vítima tenha acesso aos dados –, será obrigatório detalhar o valor exigido como resgate. A CAC habilitou seis canais para as notificações: um portal específico, um endereço de correio eletrónico, fax e contas oficiais no WeChat. Os operadores também serão obrigados a apresentar, no prazo de 30 dias após a resolução do incidente, um relatório final com as causas, os danos, as responsabilidades e as medidas correctivas. O regulamento prevê sanções para aqueles que ocultem, atrasem ou falsifiquem dados, com agravantes se isso gerar “consequências graves”.nPor outro lado, se forem aplicadas medidas razoáveis e for feito um relatório atempado, as autoridades poderão reduzir ou mesmo isentar de responsabilidade. Ir mais além O anexo da norma estabelece quatro níveis de gravidade, que incluem desde vazamentos de milhões de dados pessoais até a manipulação de portais governamentais com divulgação “em grande escala de informações ilegais”. As autoridades insistem que a medida se inspira em práticas internacionais, como as dos Estados Unidos ou da União Europeia, embora o seu alcance alimente o debate sobre se também constitui um reforço do controlo estatal sobre o ciberespaço num país onde o Google, o X ou o YouTube continuam bloqueados há anos.
