Devem ser reportados à SPA/MF os incidentes de segurança e adulterações de sistemas e plataformas, de que trata o item 2, do anexo IV, da Portaria nº 722, de 2024, bem como os incidentes que gerem indisponibilidade de sistema por período superior a 2 horas ou que afetem componentes críticos de que trata o art. 2º, inciso VI, da Portaria nº 722, de 2024.
Os reportes devem ser enviados por meio do Sistema Eletrônico de Informações (SEI) nos prazo a seguir, contabilizados a partir do incidente ou da ciência do fato:
a) Em até 24h: documento com informações básicas sobre o incidente (inclusive sobre qual sistema/plataforma afetado, bem como data, hora e motivo do mau funcionamento).
b) Em até 72h: (i) complementação do reporte inicial, se for o caso, (ii) medidas adotadas pelo operador para correção do problema (inclusive data e hora em que o sistema/plataforma foi restaurado); (iii) impacto sobre os usuários, se houver; e (iv) indícios ou informações de que o incidente afetou componente crítico, em conformidade com o disposto no art. 6º, § 4º da Portaria nº 722, de 2024.
c) Em até 5 dias: confirmação ou rejeição dos indícios mencionados no item 'b', 'iv', quando for o caso;
d) Em até 14 dias: status letter da certificadora que trate da recertificação, quando o incidente tiver afetado componente crítico.
Na hipótese de recertificação, o novo documento deve ser enviado à SPA/MF no prazo de até 30 dias do incidente ou da ciência do fato.