https:\/\/dre.pt\/home\/-\/dre\/116029384\/details\/maximized<\/a><\/p>\nEstabelece o regime jur\u00eddico da seguran\u00e7a do ciberespa\u00e7o, transpondo a Diretiva (UE) 2016\/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado n\u00edvel comum de seguran\u00e7a das redes e da informa\u00e7\u00e3o em toda a Uni\u00e3o.<\/p>\n
A Assembleia da Rep\u00fablica decreta, nos termos da al\u00ednea c) do artigo 161.\u00ba da Constitui\u00e7\u00e3o, o seguinte:<\/p>\n
CAP\u00cdTULO I<\/p>\n
Disposi\u00e7\u00f5es gerais<\/p>\n
Artigo 1.\u00ba<\/p>\n
Objeto<\/p>\n
A presente lei estabelece o regime jur\u00eddico da seguran\u00e7a do ciberespa\u00e7o, transpondo a Diretiva (UE) 2016\/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado n\u00edvel comum de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o em toda a Uni\u00e3o.<\/p>\n
Artigo 2.\u00ba<\/p>\n
\u00c2mbito<\/p>\n
1 – A presente lei aplica-se:<\/p>\n
a) \u00c0 Administra\u00e7\u00e3o P\u00fablica;<\/p>\n
b) Aos operadores de infraestruturas cr\u00edticas;<\/p>\n
c) Aos operadores de servi\u00e7os essenciais;<\/p>\n
d) Aos prestadores de servi\u00e7os digitais;<\/p>\n
e) A quaisquer outras entidades que utilizem redes e sistemas de informa\u00e7\u00e3o.<\/p>\n
2 – Para efeitos do disposto na presente lei, integram a Administra\u00e7\u00e3o P\u00fablica:<\/p>\n
a) O Estado;<\/p>\n
b) As regi\u00f5es aut\u00f3nomas;<\/p>\n
c) As autarquias locais;<\/p>\n
d) As entidades administrativas independentes;<\/p>\n
e) Os institutos p\u00fablicos;<\/p>\n
f) As empresas p\u00fablicas;<\/p>\n
g) As associa\u00e7\u00f5es p\u00fablicas.<\/p>\n
3 – A presente lei aplica-se aos prestadores de servi\u00e7os digitais que tenham o seu estabelecimento principal em territ\u00f3rio nacional ou, n\u00e3o o tendo, designem um representante estabelecido em territ\u00f3rio nacional, desde que a\u00ed prestem servi\u00e7os digitais.<\/p>\n
4 – Para efeitos do n\u00famero anterior, considera-se que um prestador de servi\u00e7os digitais tem o seu estabelecimento principal em territ\u00f3rio nacional quando a\u00ed tiver a sua sede.<\/p>\n
5 – Caso uma entidade se enquadre simultaneamente em mais do que uma das al\u00edneas a) a c) do n.\u00ba 1, aplica-se o regime que resultar mais exigente para a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o.<\/p>\n
6 – A presente lei n\u00e3o se aplica:<\/p>\n
a) \u00c0s redes e sistemas de informa\u00e7\u00e3o diretamente relacionados com o comando e controlo do Estado-Maior-General das For\u00e7as Armadas e dos ramos das For\u00e7as Armadas;<\/p>\n
b) \u00c0s redes e sistemas de informa\u00e7\u00e3o que processem informa\u00e7\u00e3o classificada.<\/p>\n
7 – O disposto na presente lei n\u00e3o prejudica o cumprimento da legisla\u00e7\u00e3o aplic\u00e1vel em mat\u00e9ria:<\/p>\n
a) De prote\u00e7\u00e3o de dados pessoais, designadamente o disposto no Regulamento (UE) n.\u00ba 2016\/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (Regulamento Geral sobre a Prote\u00e7\u00e3o de Dados), e na Lei n.\u00ba 26\/2016, de 22 de agosto;<\/p>\n
b) De identifica\u00e7\u00e3o e designa\u00e7\u00e3o de infraestruturas cr\u00edticas nacionais e europeias, designadamente do Decreto-Lei n.\u00ba 62\/2011, de 9 de maio;<\/p>\n
c) De luta contra o abuso sexual e a explora\u00e7\u00e3o sexual de crian\u00e7as e a pornografia infantil, designadamente da Lei n.\u00ba 103\/2015, de 24 de agosto;<\/p>\n
d) De prote\u00e7\u00e3o do utente de servi\u00e7os p\u00fablicos essenciais, designadamente da Lei n.\u00ba 23\/96, de 26 de julho;<\/p>\n
e) De seguran\u00e7a e de emerg\u00eancia no setor das comunica\u00e7\u00f5es eletr\u00f3nicas, designadamente da Lei n.\u00ba 5\/2004, de 10 de fevereiro.<\/p>\n
8 – A presente lei n\u00e3o prejudica as medidas destinadas a salvaguardar as fun\u00e7\u00f5es essenciais do Estado, incluindo medidas de prote\u00e7\u00e3o da informa\u00e7\u00e3o cuja divulga\u00e7\u00e3o seja contr\u00e1ria aos interesses de seguran\u00e7a nacional, \u00e0 manuten\u00e7\u00e3o de ordem p\u00fablica ou a permitir a investiga\u00e7\u00e3o, a dete\u00e7\u00e3o e a repress\u00e3o de infra\u00e7\u00f5es penais.<\/p>\n
Artigo 3.\u00ba<\/p>\n
Defini\u00e7\u00f5es<\/p>\n
Para efeitos da presente lei, entende-se por:<\/p>\n
a) \u00abEquipa de resposta a incidentes de seguran\u00e7a inform\u00e1tica\u00bb, a equipa que atua por refer\u00eancia a uma comunidade de utilizadores definida, em representa\u00e7\u00e3o de uma entidade, prestando um conjunto de servi\u00e7os de seguran\u00e7a que inclua, designadamente, o servi\u00e7o de tratamento e resposta a incidentes de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o;<\/p>\n
b) \u00abEspecifica\u00e7\u00e3o t\u00e9cnica\u00bb, um documento que define os requisitos t\u00e9cnicos que um produto, processo, servi\u00e7o ou sistema devem cumprir;<\/p>\n
c) \u00abIncidente\u00bb, um evento com um efeito adverso real na seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o;<\/p>\n
d) \u00abInfraestrutura cr\u00edtica\u00bb, a componente, sistema ou parte deste situado em territ\u00f3rio nacional que \u00e9 essencial para a manuten\u00e7\u00e3o de fun\u00e7\u00f5es vitais para a sociedade, a sa\u00fade, a seguran\u00e7a e o bem-estar econ\u00f3mico ou social, e cuja perturba\u00e7\u00e3o ou destrui\u00e7\u00e3o teria um impacto significativo, dada a impossibilidade de continuar a assegurar essas fun\u00e7\u00f5es;<\/p>\n
e) \u00abNorma\u00bb, uma especifica\u00e7\u00e3o t\u00e9cnica, aprovada por um organismo de normaliza\u00e7\u00e3o reconhecido, para aplica\u00e7\u00e3o repetida ou continuada, cuja observ\u00e2ncia n\u00e3o \u00e9 obrigat\u00f3ria;<\/p>\n
f) \u00abOperador de infraestrutura cr\u00edtica\u00bb, uma entidade p\u00fablica ou privada que opera uma infraestrutura cr\u00edtica;<\/p>\n
g) \u00abOperador de servi\u00e7os essenciais\u00bb, uma entidade p\u00fablica ou privada que presta um servi\u00e7o essencial;<\/p>\n
h) \u00abPonto de troca de tr\u00e1fego\u00bb, uma estrutura de rede que permite a interliga\u00e7\u00e3o de mais de dois sistemas aut\u00f3nomos independentes a fim de facilitar a troca de tr\u00e1fego na Internet;<\/p>\n
i) \u00abPrestador de servi\u00e7os digitais\u00bb, uma pessoa coletiva que presta um servi\u00e7o digital;<\/p>\n
j) \u00abPrestador de servi\u00e7os do sistema de nomes de dom\u00ednio\u00bb, uma entidade que presta servi\u00e7os do sistema de nomes de dom\u00ednio (DNS) na Internet;<\/p>\n
k) \u00abRede e sistema de informa\u00e7\u00e3o\u00bb, qualquer dispositivo ou conjunto de dispositivos interligados ou associados, em que um ou mais de entre eles desenvolve, em execu\u00e7\u00e3o de um programa, o tratamento automatizado de dados inform\u00e1ticos, bem como a rede de comunica\u00e7\u00f5es eletr\u00f3nicas que suporta a comunica\u00e7\u00e3o entre eles e o conjunto de dados inform\u00e1ticos armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos, tendo em vista o seu funcionamento, utiliza\u00e7\u00e3o, prote\u00e7\u00e3o e manuten\u00e7\u00e3o;<\/p>\n
l) \u00abRegisto de nomes de dom\u00ednio de topo\u00bb, uma entidade que administra e opera o registo de nomes de dom\u00ednio da Internet de um dom\u00ednio de topo espec\u00edfico;<\/p>\n
m) \u00abRepresentante do prestador de servi\u00e7os digitais\u00bb, uma pessoa singular ou coletiva, estabelecida na Uni\u00e3o Europeia, expressamente designada para atuar por conta de um prestador de servi\u00e7os digitais a\u00ed n\u00e3o estabelecido;<\/p>\n
n) \u00abRisco\u00bb, uma circunst\u00e2ncia ou um evento, razoavelmente identific\u00e1veis, com um efeito adverso potencial na seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o;<\/p>\n
o) \u00abSeguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o\u00bb, a capacidade das redes e dos sistemas de informa\u00e7\u00e3o para resistir, com um dado n\u00edvel de confian\u00e7a, a a\u00e7\u00f5es que comprometam a confidencialidade, a integridade, a disponibilidade, a autenticidade e o n\u00e3o rep\u00fadio dos dados armazenados, transmitidos ou tratados, ou dos servi\u00e7os conexos oferecidos por essas redes ou por esses sistemas de informa\u00e7\u00e3o, ou acess\u00edveis atrav\u00e9s deles;<\/p>\n
p) \u00abServi\u00e7o de computa\u00e7\u00e3o em nuvem\u00bb, um servi\u00e7o digital que permite o acesso a um conjunto modul\u00e1vel e adapt\u00e1vel de recursos computacionais partilh\u00e1veis;<\/p>\n
q) \u00abServi\u00e7o de mercado em linha\u00bb, um servi\u00e7o digital que permite aos consumidores ou aos comerciantes celebrarem contratos de venda ou de presta\u00e7\u00e3o de servi\u00e7os por via eletr\u00f3nica com comerciantes, quer no s\u00edtio na Internet do mercado em linha, quer no s\u00edtio na Internet de um comerciante que utilize os servi\u00e7os de computa\u00e7\u00e3o disponibilizados pelo mercado em linha;<\/p>\n
r) \u00abServi\u00e7o de motor de pesquisa em linha\u00bb, um servi\u00e7o digital que permite aos utilizadores consultarem todos os s\u00edtios na Internet, ou s\u00edtios na Internet numa determinada l\u00edngua, com base numa pesquisa sobre qualquer assunto e que fornece liga\u00e7\u00f5es onde podem ser encontradas informa\u00e7\u00f5es relacionadas com o conte\u00fado solicitado;<\/p>\n
s) \u00abServi\u00e7o digital\u00bb, um servi\u00e7o da sociedade da informa\u00e7\u00e3o prestado \u00e0 dist\u00e2ncia, por via eletr\u00f3nica;<\/p>\n
t) \u00abServi\u00e7o essencial\u00bb, um servi\u00e7o essencial para a manuten\u00e7\u00e3o de atividades societais ou econ\u00f3micas cruciais, que dependa de redes e sistemas de informa\u00e7\u00e3o e em rela\u00e7\u00e3o ao qual a ocorr\u00eancia de um incidente possa ter efeitos perturbadores relevantes na presta\u00e7\u00e3o desse servi\u00e7o;<\/p>\n
u) \u00abSistema de nomes de dom\u00ednio\u00bb (DNS), um sistema de nomes distribu\u00eddos hierarquicamente numa rede que encaminha pesquisas sobre nomes de dom\u00ednio;<\/p>\n
v) \u00abTratamento de incidentes\u00bb, todos os procedimentos de apoio \u00e0 dete\u00e7\u00e3o, an\u00e1lise, conten\u00e7\u00e3o e resposta a um incidente.<\/p>\n
Artigo 4.\u00ba<\/p>\n
Estrat\u00e9gia Nacional de Seguran\u00e7a do Ciberespa\u00e7o<\/p>\n
1 – A Estrat\u00e9gia Nacional de Seguran\u00e7a do Ciberespa\u00e7o define o enquadramento, os objetivos e as linhas de a\u00e7\u00e3o do Estado nesta mat\u00e9ria, de acordo com o interesse nacional.<\/p>\n
2 – A Estrat\u00e9gia Nacional de Seguran\u00e7a do Ciberespa\u00e7o \u00e9 aprovada por resolu\u00e7\u00e3o do Conselho de Ministros, sob proposta do Primeiro-Ministro, ouvido o Conselho Superior de Seguran\u00e7a do Ciberespa\u00e7o.<\/p>\n
CAP\u00cdTULO II<\/p>\n
Estrutura de seguran\u00e7a do ciberespa\u00e7o<\/p>\n
Artigo 5.\u00ba<\/p>\n
Conselho Superior de Seguran\u00e7a do Ciberespa\u00e7o<\/p>\n
1 – O Conselho Superior de Seguran\u00e7a do Ciberespa\u00e7o \u00e9 o \u00f3rg\u00e3o espec\u00edfico de consulta do Primeiro-Ministro para os assuntos relativos \u00e0 seguran\u00e7a do ciberespa\u00e7o.<\/p>\n
2 – O Conselho Superior de Seguran\u00e7a do Ciberespa\u00e7o tem a seguinte composi\u00e7\u00e3o:<\/p>\n
a) O membro do Governo respons\u00e1vel pela \u00e1rea da ciberseguran\u00e7a, que preside;<\/p>\n
b) A Autoridade Nacional de Seguran\u00e7a, que substitui o presidente nas suas aus\u00eancias e impedimentos;<\/p>\n
c) O Secret\u00e1rio-Geral do Sistema de Seguran\u00e7a Interna;<\/p>\n
d) O Secret\u00e1rio-Geral do Sistema de Informa\u00e7\u00f5es da Rep\u00fablica Portuguesa;<\/p>\n
e) Dois Deputados designados pela Assembleia da Rep\u00fablica atrav\u00e9s do m\u00e9todo de Hondt;<\/p>\n
f) O Diretor do Servi\u00e7o de Informa\u00e7\u00f5es de Seguran\u00e7a;<\/p>\n
g) O Diretor do Servi\u00e7o de Informa\u00e7\u00f5es Estrat\u00e9gicas de Defesa;<\/p>\n
h) O Coordenador do Centro Nacional de Ciberseguran\u00e7a;<\/p>\n
i) O Embaixador para a ciberdiplomacia;<\/p>\n
j) Um representante da \u00e1rea da administra\u00e7\u00e3o eleitoral;<\/p>\n
k) O Presidente do Conselho Diretivo da Ag\u00eancia para a Moderniza\u00e7\u00e3o Administrativa, I. P.;<\/p>\n
l) O Diretor-Geral da Autoridade Tribut\u00e1ria e Aduaneira;<\/p>\n
m) O Diretor do Centro de Gest\u00e3o da Rede Inform\u00e1tica do Governo;<\/p>\n
n) O Presidente do Conselho Diretivo da Entidade de Servi\u00e7os Partilhados da Administra\u00e7\u00e3o P\u00fablica, I. P.;<\/p>\n
o) O Diretor de Comunica\u00e7\u00f5es e Sistemas de Informa\u00e7\u00e3o do Estado-Maior-General das For\u00e7as Armadas;<\/p>\n
p) Um representante da Rede Nacional de Seguran\u00e7a Interna;<\/p>\n
q) O Presidente do Instituto de Gest\u00e3o Financeira e Equipamentos da Justi\u00e7a, I. P.;<\/p>\n
r) O Diretor da Unidade Nacional de Combate ao Cibercrime e \u00e0 Criminalidade Tecnol\u00f3gica da Pol\u00edcia Judici\u00e1ria;<\/p>\n
s) Um representante do Minist\u00e9rio P\u00fablico designado pelo Procurador-Geral da Rep\u00fablica;<\/p>\n
t) O Presidente da Funda\u00e7\u00e3o para a Ci\u00eancia e a Tecnologia, I. P.;<\/p>\n
u) O Diretor-Geral de Educa\u00e7\u00e3o;<\/p>\n
v) O Presidente do Conselho de Administra\u00e7\u00e3o da SPMS – Servi\u00e7os Partilhados do Minist\u00e9rio da Sa\u00fade, E. P. E.;<\/p>\n
w) O Presidente do Conselho de Administra\u00e7\u00e3o Executivo da Infraestruturas de Portugal, S. A.;<\/p>\n
x) O Presidente do Conselho Diretivo do IAPMEI – Ag\u00eancia para a Competitividade e Inova\u00e7\u00e3o, I. P.;<\/p>\n
y) O Presidente do Conselho de Administra\u00e7\u00e3o da Autoridade Nacional de Comunica\u00e7\u00f5es;<\/p>\n
z) Um representante da Dire\u00e7\u00e3o de Recursos Naturais, Seguran\u00e7a e Servi\u00e7os Mar\u00edtimos;<\/p>\n
aa) Um representante da Rede Nacional de Equipas de Resposta a Incidentes de Seguran\u00e7a Inform\u00e1tica.<\/p>\n
3 – A composi\u00e7\u00e3o do Conselho Superior de Seguran\u00e7a do Ciberespa\u00e7o inclui tamb\u00e9m um representante do governo da Regi\u00e3o Aut\u00f3noma dos A\u00e7ores e um representante do governo da Regi\u00e3o Aut\u00f3noma da Madeira.<\/p>\n
4 – O presidente, por sua iniciativa ou a pedido de qualquer dos membros do Conselho, pode convocar outros titulares de \u00f3rg\u00e3os p\u00fablicos ou convidar outras personalidades de reconhecido m\u00e9rito para participar em reuni\u00f5es do Conselho Superior de Seguran\u00e7a do Ciberespa\u00e7o.<\/p>\n
Artigo 6.\u00ba<\/p>\n
Compet\u00eancias do Conselho Superior de Seguran\u00e7a do Ciberespa\u00e7o<\/p>\n
1 – Compete ao Conselho Superior de Seguran\u00e7a do Ciberespa\u00e7o:<\/p>\n
a) Assegurar a coordena\u00e7\u00e3o pol\u00edtico-estrat\u00e9gica para a seguran\u00e7a do ciberespa\u00e7o;<\/p>\n
b) Verificar a implementa\u00e7\u00e3o da Estrat\u00e9gia Nacional de Seguran\u00e7a do Ciberespa\u00e7o;<\/p>\n
c) Pronunciar-se sobre a Estrat\u00e9gia Nacional de Seguran\u00e7a do Ciberespa\u00e7o previamente \u00e0 sua submiss\u00e3o para aprova\u00e7\u00e3o;<\/p>\n
d) Elaborar anualmente, ou sempre que necess\u00e1rio, relat\u00f3rio de avalia\u00e7\u00e3o da execu\u00e7\u00e3o da Estrat\u00e9gia Nacional de Seguran\u00e7a do Ciberespa\u00e7o;<\/p>\n
e) Propor ao Primeiro-Ministro, ou ao membro do Governo em quem este delegar, a aprova\u00e7\u00e3o de decis\u00f5es de car\u00e1cter program\u00e1tico relacionadas com a defini\u00e7\u00e3o e execu\u00e7\u00e3o da Estrat\u00e9gia Nacional de Seguran\u00e7a do Ciberespa\u00e7o;<\/p>\n
f) Emitir parecer sobre mat\u00e9rias relativas \u00e0 seguran\u00e7a do ciberespa\u00e7o;<\/p>\n
g) Responder a solicita\u00e7\u00f5es por parte do Primeiro-Ministro, ou do membro do Governo em quem este delegar, no \u00e2mbito das suas compet\u00eancias.<\/p>\n
2 – O relat\u00f3rio anual de avalia\u00e7\u00e3o da execu\u00e7\u00e3o da Estrat\u00e9gia Nacional de Seguran\u00e7a do Ciberespa\u00e7o \u00e9 enviado \u00e0 Assembleia da Rep\u00fablica at\u00e9 31 de mar\u00e7o do ano posterior \u00e0quele a que se reporta.<\/p>\n
Artigo 7.\u00ba<\/p>\n
Centro Nacional de Ciberseguran\u00e7a<\/p>\n
1 – O Centro Nacional de Ciberseguran\u00e7a funciona no \u00e2mbito do Gabinete Nacional de Seguran\u00e7a e \u00e9 a Autoridade Nacional de Ciberseguran\u00e7a.<\/p>\n
2 – O Centro Nacional de Ciberseguran\u00e7a tem por miss\u00e3o garantir que o Pa\u00eds usa o ciberespa\u00e7o de uma forma livre, confi\u00e1vel e segura, atrav\u00e9s da promo\u00e7\u00e3o da melhoria cont\u00ednua da ciberseguran\u00e7a nacional e da coopera\u00e7\u00e3o internacional, em articula\u00e7\u00e3o com todas as autoridades competentes, bem como da defini\u00e7\u00e3o e implementa\u00e7\u00e3o das medidas e instrumentos necess\u00e1rios \u00e0 antecipa\u00e7\u00e3o, dete\u00e7\u00e3o, rea\u00e7\u00e3o e recupera\u00e7\u00e3o de situa\u00e7\u00f5es que, face \u00e0 imin\u00eancia ou ocorr\u00eancia de incidentes, ponham em causa o interesse nacional, o funcionamento da Administra\u00e7\u00e3o P\u00fablica, dos operadores de infraestruturas cr\u00edticas, dos operadores de servi\u00e7os essenciais e dos prestadores de servi\u00e7os digitais.<\/p>\n
3 – O Centro Nacional de Ciberseguran\u00e7a \u00e9 o ponto de contacto \u00fanico nacional para efeitos de coopera\u00e7\u00e3o internacional, sem preju\u00edzo das atribui\u00e7\u00f5es legais da Pol\u00edcia Judici\u00e1ria relativas a coopera\u00e7\u00e3o internacional em mat\u00e9ria penal.<\/p>\n
4 – O Centro Nacional de Ciberseguran\u00e7a exerce as fun\u00e7\u00f5es de regula\u00e7\u00e3o, regulamenta\u00e7\u00e3o, supervis\u00e3o, fiscaliza\u00e7\u00e3o e sancionat\u00f3rias nos termos das suas compet\u00eancias.<\/p>\n
5 – O Centro Nacional de Ciberseguran\u00e7a tem o poder de emitir instru\u00e7\u00f5es de ciberseguran\u00e7a e de definir o n\u00edvel nacional de alerta de ciberseguran\u00e7a.<\/p>\n
6 – Qualquer disposi\u00e7\u00e3o legal de ciberseguran\u00e7a carece do parecer pr\u00e9vio do Centro Nacional de Ciberseguran\u00e7a.<\/p>\n
7 – O Centro Nacional de Ciberseguran\u00e7a atua em articula\u00e7\u00e3o e estreita coopera\u00e7\u00e3o com as estruturas nacionais respons\u00e1veis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo, devendo comunicar \u00e0 autoridade competente, no mais curto prazo, os factos de que tenha conhecimento relativos \u00e0 prepara\u00e7\u00e3o e execu\u00e7\u00e3o de crimes.<\/p>\n
8 – O Centro Nacional de Ciberseguran\u00e7a atua em articula\u00e7\u00e3o com a Comiss\u00e3o Nacional de Prote\u00e7\u00e3o de Dados quando estejam em causa incidentes que tenham dado origem \u00e0 viola\u00e7\u00e3o de dados pessoais.<\/p>\n
9 – O Centro Nacional de Ciberseguran\u00e7a pode solicitar a quaisquer entidades p\u00fablicas ou privadas toda a colabora\u00e7\u00e3o ou aux\u00edlio que julgue necess\u00e1rios para o exerc\u00edcio das suas atividades.<\/p>\n
Artigo 8.\u00ba<\/p>\n
Equipa de Resposta a Incidentes de Seguran\u00e7a Inform\u00e1tica Nacional<\/p>\n
1 – A Equipa de Resposta a Incidentes de Seguran\u00e7a Inform\u00e1tica Nacional \u00e9 o \u00abCERT.PT\u00bb.<\/p>\n
2 – O \u00abCERT.PT\u00bb funciona no Centro Nacional de Ciberseguran\u00e7a.<\/p>\n
Artigo 9.\u00ba<\/p>\n
Compet\u00eancias do \u00abCERT.PT\u00bb<\/p>\n
O \u00abCERT.PT\u00bb possui as seguintes compet\u00eancias:<\/p>\n
a) Exercer a coordena\u00e7\u00e3o operacional na resposta a incidentes, nomeadamente em articula\u00e7\u00e3o com as equipas de resposta a incidentes de seguran\u00e7a inform\u00e1tica setoriais existentes;<\/p>\n
b) Monitorizar os incidentes com implica\u00e7\u00f5es a n\u00edvel nacional;<\/p>\n
c) Ativar mecanismos de alerta r\u00e1pido;<\/p>\n
d) Intervir na rea\u00e7\u00e3o, an\u00e1lise e mitiga\u00e7\u00e3o de incidentes;<\/p>\n
e) Proceder \u00e0 an\u00e1lise din\u00e2mica dos riscos;<\/p>\n
f) Assegurar a coopera\u00e7\u00e3o com entidades p\u00fablicas e privadas;<\/p>\n
g) Promover a ado\u00e7\u00e3o e a utiliza\u00e7\u00e3o de pr\u00e1ticas comuns ou normalizadas;<\/p>\n
h) Participar nos fora nacionais de coopera\u00e7\u00e3o de equipas de resposta a incidentes de seguran\u00e7a inform\u00e1tica;<\/p>\n
i) Assegurar a representa\u00e7\u00e3o nacional nos fora internacionais de coopera\u00e7\u00e3o de equipas de resposta a incidentes de seguran\u00e7a inform\u00e1tica;<\/p>\n
j) Participar em eventos de treino nacionais e internacionais.<\/p>\n
Artigo 10.\u00ba<\/p>\n
Operadores de servi\u00e7os essenciais<\/p>\n
Os operadores de servi\u00e7os essenciais enquadram-se num dos tipos de entidades que atuam nos setores e subsetores constantes do anexo \u00e0 presente lei, da qual faz parte integrante.<\/p>\n
Artigo 11.\u00ba<\/p>\n
Prestadores de servi\u00e7os digitais<\/p>\n
Os prestadores de servi\u00e7os digitais prestam os seguintes servi\u00e7os:<\/p>\n
a) Servi\u00e7o de mercado em linha;<\/p>\n
b) Servi\u00e7o de motor de pesquisa em linha;<\/p>\n
c) Servi\u00e7o de computa\u00e7\u00e3o em nuvem.<\/p>\n
CAP\u00cdTULO III<\/p>\n
Seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o<\/p>\n
Artigo 12.\u00ba<\/p>\n
Defini\u00e7\u00e3o de requisitos de seguran\u00e7a e normaliza\u00e7\u00e3o<\/p>\n
1 – Os requisitos de seguran\u00e7a s\u00e3o definidos nos termos previstos em legisla\u00e7\u00e3o pr\u00f3pria, sem preju\u00edzo do disposto no artigo 18.\u00ba<\/p>\n
2 – Os requisitos de seguran\u00e7a n\u00e3o se aplicam:<\/p>\n
a) \u00c0s empresas sujeitas aos requisitos previstos nos artigos 54.\u00ba-A a 54.\u00ba-G da lei das comunica\u00e7\u00f5es eletr\u00f3nicas, aprovada pela Lei n.\u00ba 5\/2004, de 10 de fevereiro, na sua reda\u00e7\u00e3o atual;<\/p>\n
b) Aos prestadores de servi\u00e7os de confian\u00e7a previstos no artigo 19.\u00ba do Regulamento (UE) n.\u00ba 910\/2014, de 23 de julho, do Parlamento Europeu e do Conselho, relativo \u00e0 identifica\u00e7\u00e3o eletr\u00f3nica e aos servi\u00e7os de confian\u00e7a para as transa\u00e7\u00f5es eletr\u00f3nicas no mercado interno.<\/p>\n
3 – Os requisitos de seguran\u00e7a s\u00e3o definidos de forma a permitir a utiliza\u00e7\u00e3o de normas e especifica\u00e7\u00f5es t\u00e9cnicas internacionalmente aceites aplic\u00e1veis \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o, sem imposi\u00e7\u00e3o ou discrimina\u00e7\u00e3o em favor da utiliza\u00e7\u00e3o de um determinado tipo de tecnologia.<\/p>\n
Artigo 13.\u00ba<\/p>\n
Defini\u00e7\u00e3o de requisitos de notifica\u00e7\u00e3o de incidentes<\/p>\n
1 – Os requisitos de notifica\u00e7\u00e3o de incidentes s\u00e3o definidos nos termos previstos em legisla\u00e7\u00e3o pr\u00f3pria, sem preju\u00edzo do disposto no artigo 19.\u00ba<\/p>\n
2 – Os requisitos de notifica\u00e7\u00e3o de incidentes n\u00e3o se aplicam:<\/p>\n
a) \u00c0s empresas sujeitas aos requisitos previstos nos artigos 54.\u00ba-A a 54.\u00ba-G da lei das comunica\u00e7\u00f5es eletr\u00f3nicas, aprovada pela Lei n.\u00ba 5\/2004, de 10 de fevereiro, na sua reda\u00e7\u00e3o atual;<\/p>\n
b) Aos prestadores de servi\u00e7os de confian\u00e7a previstos no artigo 19.\u00ba do Regulamento (UE) n.\u00ba 910\/2014, de 23 de julho, do Parlamento Europeu e do Conselho, relativo \u00e0 identifica\u00e7\u00e3o eletr\u00f3nica e aos servi\u00e7os de confian\u00e7a para as transa\u00e7\u00f5es eletr\u00f3nicas no mercado interno.<\/p>\n
Artigo 14.\u00ba<\/p>\n
Requisitos de seguran\u00e7a para a Administra\u00e7\u00e3o P\u00fablica e operadores de infraestruturas cr\u00edticas<\/p>\n
1 – A Administra\u00e7\u00e3o P\u00fablica e os operadores de infraestruturas cr\u00edticas devem cumprir as medidas t\u00e9cnicas e organizativas adequadas e proporcionais para gerir os riscos que se colocam \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que utilizam.<\/p>\n
2 – As medidas previstas no n\u00famero anterior devem garantir um n\u00edvel de seguran\u00e7a adequado ao risco em causa, tendo em conta os progressos t\u00e9cnicos mais recentes.<\/p>\n
3 – A Administra\u00e7\u00e3o P\u00fablica e os operadores de infraestruturas cr\u00edticas tomam as medidas adequadas para evitar os incidentes que afetem a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o utilizados e para reduzir ao m\u00ednimo o seu impacto.<\/p>\n
Artigo 15.\u00ba<\/p>\n
Notifica\u00e7\u00e3o de incidentes para a Administra\u00e7\u00e3o P\u00fablica e operadores de infraestruturas cr\u00edticas<\/p>\n
1 – A Administra\u00e7\u00e3o P\u00fablica e os operadores de infraestruturas cr\u00edticas notificam o Centro Nacional de Ciberseguran\u00e7a dos incidentes com um impacto relevante na seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o, no prazo definido na legisla\u00e7\u00e3o pr\u00f3pria referida no artigo 13.\u00ba<\/p>\n
2 – A notifica\u00e7\u00e3o dos operadores de infraestruturas cr\u00edticas inclui informa\u00e7\u00e3o que permita ao Centro Nacional de Ciberseguran\u00e7a determinar o impacto transfronteiri\u00e7o dos incidentes.<\/p>\n
3 – A notifica\u00e7\u00e3o n\u00e3o acarreta responsabilidades acrescidas para a parte notificante.<\/p>\n
4 – A fim de determinar a relev\u00e2ncia do impacto de um incidente s\u00e3o tidos em conta, designadamente, os seguintes par\u00e2metros:<\/p>\n
a) O n\u00famero de utilizadores afetados;<\/p>\n
b) A dura\u00e7\u00e3o do incidente;<\/p>\n
c) A distribui\u00e7\u00e3o geogr\u00e1fica, no que se refere \u00e0 zona afetada pelo incidente.<\/p>\n
5 – Sempre que as circunst\u00e2ncias o permitam, o Centro Nacional de Ciberseguran\u00e7a presta ao notificante as informa\u00e7\u00f5es relevantes relativas ao seguimento da sua notifica\u00e7\u00e3o, nomeadamente informa\u00e7\u00f5es que possam contribuir para o tratamento eficaz do incidente.<\/p>\n
6 – O Centro Nacional de Ciberseguran\u00e7a, ap\u00f3s consultar o notificante, pode divulgar incidentes espec\u00edficos de acordo com o interesse p\u00fablico, salvaguardando a seguran\u00e7a e os interesses dos operadores de infraestruturas cr\u00edticas.<\/p>\n
Artigo 16.\u00ba<\/p>\n
Requisitos de seguran\u00e7a para os operadores de servi\u00e7os essenciais<\/p>\n
1 – Os operadores de servi\u00e7os essenciais devem cumprir as medidas t\u00e9cnicas e organizativas adequadas e proporcionais para gerir os riscos que se colocam \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que utilizam.<\/p>\n
2 – As medidas previstas no n\u00famero anterior devem garantir um n\u00edvel de seguran\u00e7a adequado ao risco em causa, tendo em conta os progressos t\u00e9cnicos mais recentes.<\/p>\n
3 – Os operadores de servi\u00e7os essenciais tomam as medidas adequadas para evitar os incidentes que afetem a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o utilizados para a presta\u00e7\u00e3o dos seus servi\u00e7os essenciais e para reduzir ao m\u00ednimo o seu impacto, a fim de assegurar a continuidade desses servi\u00e7os.<\/p>\n
Artigo 17.\u00ba<\/p>\n
Notifica\u00e7\u00e3o de incidentes para os operadores de servi\u00e7os essenciais<\/p>\n
1 – Os operadores de servi\u00e7os essenciais notificam o Centro Nacional de Ciberseguran\u00e7a dos incidentes com um impacto relevante na continuidade dos servi\u00e7os essenciais por si prestados, no prazo definido na legisla\u00e7\u00e3o pr\u00f3pria referida no artigo 13.\u00ba<\/p>\n
2 – A notifica\u00e7\u00e3o inclui informa\u00e7\u00e3o que permita ao Centro Nacional de Ciberseguran\u00e7a determinar o impacto transfronteiri\u00e7o dos incidentes.<\/p>\n
3 – A notifica\u00e7\u00e3o n\u00e3o acarreta responsabilidades acrescidas para a parte notificante.<\/p>\n
4 – A fim de determinar a relev\u00e2ncia do impacto de um incidente s\u00e3o tidos em conta, designadamente, os seguintes par\u00e2metros:<\/p>\n
a) O n\u00famero de utilizadores afetados pela perturba\u00e7\u00e3o do servi\u00e7o essencial;<\/p>\n
b) A dura\u00e7\u00e3o do incidente;<\/p>\n
c) A distribui\u00e7\u00e3o geogr\u00e1fica, no que se refere \u00e0 zona afetada pelo incidente.<\/p>\n
5 – Com base na informa\u00e7\u00e3o prestada na notifica\u00e7\u00e3o, o Centro Nacional de Ciberseguran\u00e7a informa os pontos de contacto \u00fanicos dos outros Estados-Membros afetados, caso o incidente tenha um impacto importante na continuidade dos servi\u00e7os essenciais nesses Estados-Membros.<\/p>\n
6 – No caso referido no n\u00famero anterior, o Centro Nacional de Ciberseguran\u00e7a salvaguarda a seguran\u00e7a e os interesses do operador de servi\u00e7os essenciais, bem como a confidencialidade da informa\u00e7\u00e3o prestada na sua notifica\u00e7\u00e3o.<\/p>\n
7 – Sempre que as circunst\u00e2ncias o permitam, o Centro Nacional de Ciberseguran\u00e7a presta ao operador de servi\u00e7os essenciais notificante as informa\u00e7\u00f5es relevantes relativas ao seguimento da sua notifica\u00e7\u00e3o, nomeadamente informa\u00e7\u00f5es que possam contribuir para o tratamento eficaz do incidente.<\/p>\n
8 – O Centro Nacional de Ciberseguran\u00e7a transmite as notifica\u00e7\u00f5es referidas no n.\u00ba 1 aos pontos de contacto \u00fanicos dos outros Estados-Membros afetados.<\/p>\n
9 – O Centro Nacional de Ciberseguran\u00e7a, ap\u00f3s consultar o notificante, pode divulgar informa\u00e7\u00e3o relativa a incidentes espec\u00edficos de acordo com o interesse p\u00fablico.<\/p>\n
10 – Se um operador de servi\u00e7os essenciais depender de um terceiro prestador de servi\u00e7os digitais para a presta\u00e7\u00e3o de um servi\u00e7o essencial, notifica todos os impactos importantes na continuidade dos seus servi\u00e7os, decorrentes dos incidentes que afetem o prestador de servi\u00e7os digitais.<\/p>\n
Artigo 18.\u00ba<\/p>\n
Requisitos de seguran\u00e7a para os prestadores de servi\u00e7os digitais<\/p>\n
1 – Os prestadores de servi\u00e7os digitais identificam e tomam as medidas t\u00e9cnicas e organizativas adequadas e proporcionais para gerir os riscos que se colocam \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que utilizam no contexto da oferta dos servi\u00e7os digitais.<\/p>\n
2 – As medidas referidas no n\u00famero anterior devem garantir um n\u00edvel de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o adequado ao risco em causa, tendo em conta os progressos t\u00e9cnicos mais recentes, e devem ter em conta os seguintes fatores:<\/p>\n
a) A seguran\u00e7a dos sistemas e das instala\u00e7\u00f5es;<\/p>\n
b) O tratamento dos incidentes;<\/p>\n
c) A gest\u00e3o da continuidade das atividades;<\/p>\n
d) O acompanhamento, a auditoria e os testes realizados;<\/p>\n
e) A conformidade com as normas internacionais.<\/p>\n
3 – Os prestadores de servi\u00e7os digitais tomam medidas para evitar os incidentes que afetem a seguran\u00e7a das suas redes e sistemas de informa\u00e7\u00e3o e para reduzir ao m\u00ednimo o seu impacto nos servi\u00e7os digitais, a fim de assegurar a continuidade desses servi\u00e7os.<\/p>\n
4 – O presente artigo n\u00e3o se aplica \u00e0s microempresas nem \u00e0s pequenas empresas, tal como definidas pelo Decreto-Lei n.\u00ba 372\/2007, de 6 de novembro, na sua reda\u00e7\u00e3o atual.<\/p>\n
5 – Os elementos constantes dos n.os 1 a 3 s\u00e3o objeto de Regulamento de Execu\u00e7\u00e3o da Comiss\u00e3o Europeia.<\/p>\n
Artigo 19.\u00ba<\/p>\n
Notifica\u00e7\u00e3o de incidentes para os prestadores de servi\u00e7os digitais<\/p>\n
1 – Os prestadores de servi\u00e7os digitais notificam o Centro Nacional de Ciberseguran\u00e7a dos incidentes com impacto substancial na presta\u00e7\u00e3o dos servi\u00e7os digitais, no prazo definido na legisla\u00e7\u00e3o pr\u00f3pria referida no artigo 13.\u00ba<\/p>\n
2 – A notifica\u00e7\u00e3o referida no n\u00famero anterior inclui informa\u00e7\u00e3o que permita ao Centro Nacional de Ciberseguran\u00e7a determinar a import\u00e2ncia dos impactos transfronteiri\u00e7os.<\/p>\n
3 – A notifica\u00e7\u00e3o n\u00e3o acarreta responsabilidades acrescidas para a parte notificante.<\/p>\n
4 – A fim de determinar se o impacto de um incidente \u00e9 substancial, s\u00e3o tidos em conta os seguintes par\u00e2metros:<\/p>\n
a) O n\u00famero de utilizadores afetados pelo incidente, nomeadamente de utilizadores que dependem do servi\u00e7o para prestarem os seus pr\u00f3prios servi\u00e7os;<\/p>\n
b) A dura\u00e7\u00e3o do incidente;<\/p>\n
c) A distribui\u00e7\u00e3o geogr\u00e1fica, no que se refere \u00e0 zona afetada pelo incidente;<\/p>\n
d) O n\u00edvel de gravidade da perturba\u00e7\u00e3o do funcionamento do servi\u00e7o;<\/p>\n
e) A extens\u00e3o do impacto nas atividades econ\u00f3micas e societais.<\/p>\n
5 – A obriga\u00e7\u00e3o de notificar um incidente s\u00f3 se aplica se o prestador de servi\u00e7os digitais tiver acesso a informa\u00e7\u00e3o necess\u00e1ria para avaliar o impacto de um incidente em fun\u00e7\u00e3o dos fatores a que se refere o n.\u00ba 2 do artigo anterior.<\/p>\n
6 – Se os incidentes referidos no n.\u00ba 1 disserem respeito a dois ou mais Estados-Membros, o Centro Nacional de Ciberseguran\u00e7a informa os pontos de contacto \u00fanicos dos outros Estados-Membros afetados.<\/p>\n
7 – No caso referido no n\u00famero anterior, o Centro Nacional de Ciberseguran\u00e7a salvaguarda a seguran\u00e7a e os interesses do prestador de servi\u00e7os digitais.<\/p>\n
8 – O Centro Nacional de Ciberseguran\u00e7a, ap\u00f3s consultar o notificante, pode divulgar incidentes espec\u00edficos de acordo com o interesse p\u00fablico.<\/p>\n
9 – O presente artigo n\u00e3o se aplica \u00e0s microempresas nem \u00e0s pequenas empresas, tal como definidas pelo Decreto-Lei n.\u00ba 372\/2007, de 6 de novembro, na sua reda\u00e7\u00e3o atual.<\/p>\n
10 – Os elementos constantes dos n.os 1 a 5 s\u00e3o objeto de Regulamento de Execu\u00e7\u00e3o da Comiss\u00e3o Europeia.<\/p>\n
Artigo 20.\u00ba<\/p>\n
Notifica\u00e7\u00e3o volunt\u00e1ria de incidentes<\/p>\n
1 – Sem preju\u00edzo da obriga\u00e7\u00e3o de notifica\u00e7\u00e3o de incidentes prevista na presente lei, quaisquer entidades podem notificar, a t\u00edtulo volunt\u00e1rio, os incidentes com impacto importante na continuidade dos servi\u00e7os por si prestados.<\/p>\n
2 – No tratamento das notifica\u00e7\u00f5es volunt\u00e1rias, aplica-se o disposto no artigo 17.\u00ba, com as necess\u00e1rias adapta\u00e7\u00f5es.<\/p>\n
3 – A notifica\u00e7\u00e3o volunt\u00e1ria n\u00e3o pode dar origem \u00e0 imposi\u00e7\u00e3o \u00e0 entidade notificante de obriga\u00e7\u00f5es \u00e0s quais esta n\u00e3o teria sido sujeita se n\u00e3o tivesse procedido a essa notifica\u00e7\u00e3o.<\/p>\n
CAP\u00cdTULO IV<\/p>\n
Fiscaliza\u00e7\u00e3o e san\u00e7\u00f5es<\/p>\n
Artigo 21.\u00ba<\/p>\n
Compet\u00eancias de fiscaliza\u00e7\u00e3o e sancionat\u00f3rias<\/p>\n
As compet\u00eancias de fiscaliza\u00e7\u00e3o e de aplica\u00e7\u00e3o das san\u00e7\u00f5es previstas na presente lei cabem ao Centro Nacional de Ciberseguran\u00e7a.<\/p>\n
Artigo 22.\u00ba<\/p>\n
Contraordena\u00e7\u00f5es<\/p>\n
As infra\u00e7\u00f5es ao disposto na presente lei constituem contraordena\u00e7\u00f5es, nos termos dos artigos seguintes.<\/p>\n
Artigo 23.\u00ba<\/p>\n
Infra\u00e7\u00f5es muito graves<\/p>\n
1 – Constituem infra\u00e7\u00f5es muito graves:<\/p>\n
a) O incumprimento da obriga\u00e7\u00e3o de implementar requisitos de seguran\u00e7a tal como previsto nos artigos 14.\u00ba, 16.\u00ba e 18.\u00ba;<\/p>\n
b) O incumprimento de instru\u00e7\u00f5es de ciberseguran\u00e7a emitidas pelo Centro Nacional de Ciberseguran\u00e7a tal como previsto no n.\u00ba 5 do artigo 7.\u00ba<\/p>\n
2 – As contraordena\u00e7\u00f5es referidas no n\u00famero anterior s\u00e3o punidas com coima de (euro) 5000 a (euro) 25 000, tratando-se de uma pessoa singular, e de (euro) 10 000 a (euro) 50 000, no caso de se tratar de uma pessoa coletiva.<\/p>\n
Artigo 24.\u00ba<\/p>\n
Infra\u00e7\u00f5es graves<\/p>\n
1 – Constituem infra\u00e7\u00f5es graves:<\/p>\n
a) O incumprimento da obriga\u00e7\u00e3o de notificar o Centro Nacional de Ciberseguran\u00e7a dos incidentes tal como previsto nos artigos 15.\u00ba, 17.\u00ba e 19.\u00ba;<\/p>\n
b) O incumprimento da obriga\u00e7\u00e3o de notificar o Centro Nacional de Ciberseguran\u00e7a do exerc\u00edcio de atividade no setor das infraestruturas digitais tal como previsto no n.\u00ba 3 do artigo 29.\u00ba;<\/p>\n
c) O incumprimento da obriga\u00e7\u00e3o de notificar o Centro Nacional de Ciberseguran\u00e7a da identifica\u00e7\u00e3o como prestador de servi\u00e7os digitais tal como previsto no artigo 30.\u00ba<\/p>\n
2 – As contraordena\u00e7\u00f5es referidas no n\u00famero anterior s\u00e3o punidas com coima de (euro) 1000 a (euro) 3000, tratando-se de uma pessoa singular, e de (euro) 3000 a (euro) 9000, no caso de se tratar de uma pessoa coletiva.<\/p>\n
Artigo 25.\u00ba<\/p>\n
Neglig\u00eancia<\/p>\n
A neglig\u00eancia \u00e9 pun\u00edvel, sendo os limites m\u00ednimos e m\u00e1ximos das coimas reduzidos a metade.<\/p>\n
Artigo 26.\u00ba<\/p>\n
Instru\u00e7\u00e3o dos processos de contraordena\u00e7\u00e3o e aplica\u00e7\u00e3o de san\u00e7\u00f5es<\/p>\n
Compete ao Centro Nacional de Ciberseguran\u00e7a instruir os processos de contraordena\u00e7\u00e3o e ao respetivo dirigente m\u00e1ximo a aplica\u00e7\u00e3o das coimas.<\/p>\n
Artigo 27.\u00ba<\/p>\n
Produto das coimas<\/p>\n
O produto das coimas reverte em:<\/p>\n
a) 60 % para o Estado;<\/p>\n
b) 40 % para o Centro Nacional de Ciberseguran\u00e7a.<\/p>\n
Artigo 28.\u00ba<\/p>\n
Regime subsidi\u00e1rio<\/p>\n
Em mat\u00e9ria contraordenacional, em tudo o que n\u00e3o estiver previsto na presente lei, aplica-se o disposto no regime geral das contraordena\u00e7\u00f5es.<\/p>\n
CAP\u00cdTULO V<\/p>\n
Disposi\u00e7\u00f5es finais<\/p>\n
Artigo 29.\u00ba<\/p>\n
Identifica\u00e7\u00e3o de operadores de servi\u00e7os essenciais<\/p>\n
1 – Para efeito do cumprimento da presente lei, o Centro Nacional de Ciberseguran\u00e7a identifica os operadores de servi\u00e7os essenciais at\u00e9 9 de novembro de 2018.<\/p>\n
2 – A identifica\u00e7\u00e3o referida no n\u00famero anterior \u00e9 objeto de atualiza\u00e7\u00e3o anual.<\/p>\n
3 – As entidades do setor das infraestruturas digitais devem comunicar de imediato ao Centro Nacional de Ciberseguran\u00e7a o exerc\u00edcio da respetiva atividade.<\/p>\n
Artigo 30.\u00ba<\/p>\n
Identifica\u00e7\u00e3o de prestadores de servi\u00e7os digitais<\/p>\n
1 – Os prestadores de servi\u00e7os digitais devem comunicar de imediato ao Centro Nacional de Ciberseguran\u00e7a o exerc\u00edcio da respetiva atividade.<\/p>\n
2 – O dever de notifica\u00e7\u00e3o referido no n\u00famero anterior n\u00e3o \u00e9 aplic\u00e1vel \u00e0s micro nem \u00e0s pequenas empresas, tal como definidas pelo Decreto-Lei n.\u00ba 372\/2007, de 6 de novembro, na sua reda\u00e7\u00e3o atual.<\/p>\n
Artigo 31.\u00ba<\/p>\n
Legisla\u00e7\u00e3o complementar<\/p>\n
1 – Os requisitos de seguran\u00e7a previstos no n.\u00ba 1 do artigo 14.\u00ba e no n.\u00ba 1 do artigo 16.\u00ba s\u00e3o definidos em legisla\u00e7\u00e3o pr\u00f3pria no prazo de 150 dias ap\u00f3s a entrada em vigor da presente lei.<\/p>\n
2 – Os requisitos de notifica\u00e7\u00e3o de incidentes previstos no n.\u00ba 1 do artigo 15.\u00ba, no n.\u00ba 1 do artigo 17.\u00ba e no n.\u00ba 1 do artigo 19.\u00ba s\u00e3o definidos em legisla\u00e7\u00e3o pr\u00f3pria no prazo de 150 dias ap\u00f3s a entrada em vigor da presente lei.<\/p>\n
Artigo 32.\u00ba<\/p>\n
Norma revogat\u00f3ria<\/p>\n
\u00c9 revogada a Resolu\u00e7\u00e3o do Conselho de Ministros n.\u00ba 115\/2017, de 24 de agosto.<\/p>\n
Artigo 33.\u00ba<\/p>\n
Entrada em vigor e produ\u00e7\u00e3o de efeitos<\/p>\n
1 – A presente lei entra em vigor no dia seguinte ao da sua publica\u00e7\u00e3o.<\/p>\n
2 – Sem preju\u00edzo do disposto no n\u00famero anterior, os regimes decorrentes dos artigos 14.\u00ba a 27.\u00ba produzem efeitos seis meses ap\u00f3s a entrada em vigor da presente lei.<\/p>\n
Aprovada em 18 de julho de 2018.<\/p>\n
O Presidente da Assembleia da Rep\u00fablica, Eduardo Ferro Rodrigues.<\/p>\n
Promulgada em 1 de agosto de 2018.<\/p>\n
Publique-se.<\/p>\n
O Presidente da Rep\u00fablica, Marcelo Rebelo de Sousa.<\/p>\n
Referendada em 6 de agosto de 2018.<\/p>\n
O Primeiro-Ministro, Ant\u00f3nio Lu\u00eds Santos da Costa.<\/p>\n
ANEXO<\/p>\n
(a que se refere o artigo 10.\u00ba)<\/p>\n
Setores, subsetores e tipos de entidades dos operadores de servi\u00e7os essenciais<\/p>\n
(ver documento original)<\/p>\n
111575121<\/p>\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Lei n.\u00ba 46\/2018, de 13 de Agosto – Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o. Estabelece o regime jur\u00eddico da seguran\u00e7a do ciberespa\u00e7o, transpondo a Diretiva (UE) 2016\/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado n\u00edvel comum de seguran\u00e7a das redes e da […]<\/p>\n","protected":false},"author":1,"featured_media":121,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[6,3],"tags":[],"_links":{"self":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/120"}],"collection":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/comments?post=120"}],"version-history":[{"count":1,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/120\/revisions"}],"predecessor-version":[{"id":122,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/120\/revisions\/122"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media\/121"}],"wp:attachment":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media?parent=120"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/categories?post=120"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/tags?post=120"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}