https:\/\/dre.pt\/web\/guest\/pesquisa\/-\/search\/116132352\/details\/maximized?q=Ciberseguran%C3%A7a<\/a><\/p>\nProjeto de regulamento relativo \u00e0 seguran\u00e7a e \u00e0 integridade das redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas<\/p>\n
Nota justificativa<\/p>\n
1 – De entre as altera\u00e7\u00f5es introduzidas em 2009 \u00e0 Diretiva-Quadro (Diretiva 2002\/21\/CE do Parlamento Europeu e do Conselho de 7 de mar\u00e7o de 2002 relativa a um quadro regulamentar comum para as redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas) pela Diretiva 2009\/140\/CE, do Parlamento Europeu e do Conselho, de 25 de novembro de 2009, consta a introdu\u00e7\u00e3o da regulamenta\u00e7\u00e3o da mat\u00e9ria da seguran\u00e7a e integridade das redes e servi\u00e7os, com o aditamento do Cap\u00edtulo III-A.<\/p>\n
2 – Em transposi\u00e7\u00e3o da Diretiva 2009\/140\/CE, a Lei n.\u00ba 51\/2011, de 13 de setembro, veio, por seu turno, alterar a Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas (Lei n.\u00ba 5\/2004, de 10 de fevereiro, na sua reda\u00e7\u00e3o em vigor), introduzindo a regulamenta\u00e7\u00e3o da mat\u00e9ria da seguran\u00e7a e integridade das redes e servi\u00e7os no novo Cap\u00edtulo V do T\u00edtulo III, no qual s\u00e3o cometidas \u00e0 ANACOM, entre outras, as seguintes compet\u00eancias espec\u00edficas:<\/p>\n
a) Aprovar medidas t\u00e9cnicas de execu\u00e7\u00e3o e fixar requisitos adicionais a cumprir pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico em mat\u00e9ria de seguran\u00e7a e integridade, para os efeitos do disposto no artigo 54.\u00ba-A e nos termos previstos no n.\u00ba 1 do artigo 54.\u00ba-C e no artigo 54.\u00ba-D da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
b) Aprovar medidas que definam as circunst\u00e2ncias, o formato e os procedimentos aplic\u00e1veis \u00e0s exig\u00eancias de comunica\u00e7\u00e3o de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade das redes com impacto significativo no funcionamento das redes e servi\u00e7os pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, ao abrigo do disposto no artigo 54.\u00ba-B e no n.\u00ba 2 do artigo 54.\u00ba-C da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
c) Determinar as condi\u00e7\u00f5es em que as empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico devem divulgar ao p\u00fablico as viola\u00e7\u00f5es de seguran\u00e7a ou as perdas de integridade com impacto significativo no funcionamento das redes e servi\u00e7os, ao abrigo do disposto na al\u00ednea b) do artigo 54.\u00ba-E da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
d) Determinar as obriga\u00e7\u00f5es de realiza\u00e7\u00e3o de auditorias \u00e0 seguran\u00e7a das redes e servi\u00e7os e de envio do respetivo relat\u00f3rio pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, bem como os requisitos a que devem obedecer as auditorias e os requisitos aplic\u00e1veis \u00e0s entidades auditoras, ao abrigo do disposto nos n.os 1 e 2 do artigo 54.\u00ba-F da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas.<\/p>\n
3 – Por decis\u00e3o da ANACOM de 12 de dezembro de 2013, alterada em 8 de janeiro de 2014, a ANACOM concretizou as condi\u00e7\u00f5es aplic\u00e1veis \u00e0s obriga\u00e7\u00f5es de notifica\u00e7\u00e3o e de divulga\u00e7\u00e3o ao p\u00fablico de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com impacto significativo no funcionamento das redes e servi\u00e7os, tendo, a 12 de junho de 2014, entrado em atividade um centro de reporte, com funcionamento permanente, para a rece\u00e7\u00e3o das notifica\u00e7\u00f5es.<\/p>\n
4 – Tendo por base a experi\u00eancia adquirida n\u00e3o s\u00f3 atrav\u00e9s da atividade do centro de reporte, mas tamb\u00e9m pela coopera\u00e7\u00e3o nacional e internacional nesta mat\u00e9ria, entendeu esta Autoridade dever exercer as compet\u00eancias referidas no ponto 2, atrav\u00e9s da aprova\u00e7\u00e3o de um regulamento relativo \u00e0 seguran\u00e7a e integridade das redes e servi\u00e7os.<\/p>\n
5 – No que respeita, em particular, \u00e0s obriga\u00e7\u00f5es de notifica\u00e7\u00e3o e de divulga\u00e7\u00e3o ao p\u00fablico, entendeu ainda esta Autoridade dever integrar neste regulamento o normativo que reflita as medidas j\u00e1 concretizadas ao abrigo da decis\u00e3o de 12 de dezembro de 2013, cuja execu\u00e7\u00e3o se entende ter vindo a decorrer de uma forma eficaz e consensual, sem preju\u00edzo de algumas adapta\u00e7\u00f5es necess\u00e1rias em face da experi\u00eancia recolhida na atividade do centro de reporte. Por esta via e a bem da transpar\u00eancia e da seguran\u00e7a jur\u00eddica, congregou-se e consolidou-se, num \u00fanico instrumento, um conjunto devidamente articulado de condi\u00e7\u00f5es aplic\u00e1veis em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os.<\/p>\n
6 – Neste contexto e por decis\u00e3o de 4 de agosto de 2016, a ANACOM aprovou o in\u00edcio do procedimento de elabora\u00e7\u00e3o de um regulamento relativo \u00e0 seguran\u00e7a e integridade das redes e servi\u00e7os, bem como a publicita\u00e7\u00e3o do respetivo an\u00fancio nos termos previstos no n.\u00ba 1 do artigo 98.\u00ba do C\u00f3digo do Procedimento Administrativo.<\/p>\n
Findo o prazo fixado, foram recebidos 18 contributos, os quais foram objeto de an\u00e1lise e pondera\u00e7\u00e3o na elabora\u00e7\u00e3o do projeto de regulamento relativo \u00e0 seguran\u00e7a e \u00e0 integridade das redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, o qual, por decis\u00e3o de 29 de dezembro de 2016, foi aprovado e submetido a procedimento regulamentar e procedimento geral de consulta, nos termos previstos no artigo 10.\u00ba dos Estatutos da ANACOM, aprovados pelo Decreto-Lei n.\u00ba 39\/2015, de 16 de mar\u00e7o, e nos artigos 98.\u00ba e seguintes do C\u00f3digo do Procedimento Administrativo e para os efeitos previstos no artigo 8.\u00ba e, em especial, no n.\u00ba 4 do artigo 54.\u00ba-C da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas.<\/p>\n
Ap\u00f3s publica\u00e7\u00e3o deste projeto na 2.\u00aa s\u00e9rie do Di\u00e1rio da Rep\u00fablica, a 10 de janeiro de 2017, e ap\u00f3s prorroga\u00e7\u00e3o do prazo em 15 dias \u00fateis, a consulta p\u00fablica decorreu at\u00e9 ao dia 14 de mar\u00e7o de 2017, tendo sido oportunamente recebidas 17 pron\u00fancias.<\/p>\n
7 – Atentos os contributos recebidos e ponderada a natureza significativa das altera\u00e7\u00f5es introduzidas, nos termos que se fundamenta no relat\u00f3rio da consulta p\u00fablica, publicado no s\u00edtio institucional da ANACOM na Internet, entendeu esta Autoridade dever proceder \u00e0 elabora\u00e7\u00e3o de um segundo projeto de regulamento relativo \u00e0 seguran\u00e7a e integridade das redes e servi\u00e7os e \u00e0 sua submiss\u00e3o a novo procedimento regulamentar e procedimento geral de consulta, em cumprimento do disposto no artigo 10.\u00ba dos Estatutos da ANACOM e nos artigos 98.\u00ba e seguintes do C\u00f3digo do Procedimento Administrativo e para os efeitos previstos no artigo 8.\u00ba e, em especial, no n.\u00ba 4 do artigo 54.\u00ba-C da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas.<\/p>\n
Entre as altera\u00e7\u00f5es significativas introduzidas, releva, em particular e para al\u00e9m da revis\u00e3o dos outros t\u00edtulos, a altera\u00e7\u00e3o \u00e0 abordagem na imposi\u00e7\u00e3o das medidas t\u00e9cnicas de execu\u00e7\u00e3o e de requisitos adicionais, nos termos agora previstos no T\u00edtulo II e no novo Anexo, baseada, essencialmente, no documento da ENISA \u00abTechnical Guideline on Security Measures (Technical guidance on the security measures in Article 13a) – Version 2.0, October 2014\u00bb, dispon\u00edvel em www.enisa.europa.eu.<\/p>\n
8 – Na regulamenta\u00e7\u00e3o das obriga\u00e7\u00f5es das empresas em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, foram objeto de pondera\u00e7\u00e3o, por um lado, os custos a incorrer pelas empresas no cumprimento das suas obriga\u00e7\u00f5es e, por outro, os benef\u00edcios da\u00ed emergentes, os quais incluem n\u00e3o s\u00f3 a defesa dos interesses dos cidad\u00e3os e, em particular, dos utilizadores das redes e servi\u00e7os, o suporte \u00e0 continuidade da presta\u00e7\u00e3o de servi\u00e7os relevantes \u00e0 sociedade e aos cidad\u00e3os, a garantia do acesso aos servi\u00e7os de emerg\u00eancia e, em geral, a promo\u00e7\u00e3o do desenvolvimento do mercado interno por via da melhoria da fiabilidade das redes e servi\u00e7os, como tamb\u00e9m aqueles resultantes da preven\u00e7\u00e3o de incidentes de seguran\u00e7a e do impedimento ou minimiza\u00e7\u00e3o do respetivo impacto.<\/p>\n
Para essa pondera\u00e7\u00e3o, contribu\u00edram, em especial, as conclus\u00f5es do estudo de avalia\u00e7\u00e3o e caracteriza\u00e7\u00e3o da seguran\u00e7a em redes de comunica\u00e7\u00f5es p\u00fablicas, de 2010, e da avalia\u00e7\u00e3o da seguran\u00e7a e integridade das redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas a n\u00edvel nacional, de 2012, bem como a informa\u00e7\u00e3o e a experi\u00eancia recolhida pela ANACOM desde 2014, atrav\u00e9s do respetivo centro de reporte, no tratamento das notifica\u00e7\u00f5es recebidas, no acompanhamento das viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade em causa e no \u00e2mbito da sua an\u00e1lise agregada.<\/p>\n
9 – Na sequ\u00eancia dos inc\u00eandios florestais ocorridos durante o ano de 2017, a ANACOM publicou um relat\u00f3rio de um grupo de trabalho que coordenou e que foi constitu\u00eddo por entidades p\u00fablicas e privadas, designadamente a Associa\u00e7\u00e3o Empresarial de Comunica\u00e7\u00f5es de Portugal (ACIST), a Autoridade Nacional de Prote\u00e7\u00e3o Civil (ANPC), a Associa\u00e7\u00e3o dos Operadores de Comunica\u00e7\u00f5es eletr\u00f3nicas (APRITEL), a Dire\u00e7\u00e3o-Geral de Energia e Geologia (DGEG), a Entidade Reguladora dos Servi\u00e7os Energ\u00e9ticos (ERSE), o Instituto de Telecomunica\u00e7\u00f5es e empresas dos setores das comunica\u00e7\u00f5es eletr\u00f3nicas, dos transportes e da energia.<\/p>\n
Deste relat\u00f3rio, apresentado publicamente em sess\u00e3o promovida pela ANACOM a 29.05.2018, designado \u00abRelat\u00f3rio do Grupo de Trabalho dos Inc\u00eandios Florestais – Medidas de Prote\u00e7\u00e3o e Resili\u00eancia de Infraestruturas de Comunica\u00e7\u00f5es Eletr\u00f3nicas\u00bb e dispon\u00edvel no s\u00edtio institucional da ANACOM na Internet, constam 27 medidas que permitir\u00e3o reduzir significativamente o impacto dos inc\u00eandios florestais nas redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas e, consequentemente, nos seus utilizadores e cuja implementa\u00e7\u00e3o \u00e9, onde aplic\u00e1vel, devidamente articulada com o disposto neste projeto de regulamento.<\/p>\n
10 – Assim, no exerc\u00edcio das atribui\u00e7\u00f5es e poderes conferidos \u00e0 ANACOM na al\u00ednea m) do n.\u00ba 1 e na al\u00ednea e) do n.\u00ba 2, ambos do artigo 8.\u00ba, na al\u00ednea a) do n.\u00ba 2 do artigo 9.\u00ba, no artigo 10.\u00ba, todos dos Estatutos da ANACOM, bem como pelos artigos 2.\u00ba-A, 54.\u00ba-A, 54.\u00ba-B, 54.\u00ba-C, 54.\u00ba-D, da al\u00ednea b) do artigo 54.\u00ba-E, dos n.os 1 e 2 do artigo 54.\u00ba-F e do artigo 54.\u00ba-G da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, e na prossecu\u00e7\u00e3o e observ\u00e2ncia dos objetivos e princ\u00edpios estabelecidos na al\u00ednea c) do n.\u00ba 1 e na al\u00ednea f) do n.\u00ba 4, ambos do artigo 5.\u00ba da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, o Conselho de Administra\u00e7\u00e3o da ANACOM, no exerc\u00edcio das compet\u00eancias que lhe s\u00e3o conferidas pela al\u00ednea b) do n.\u00ba 1 do artigo 26.\u00ba dos Estatutos, aprovou, por decis\u00e3o de 6 de julho de 2018, o presente projeto de regulamento relativo \u00e0 seguran\u00e7a e integridade das redes e servi\u00e7os, que, nos termos do disposto no artigo 10.\u00ba dos seus Estatutos e nos artigos 98.\u00ba e seguintes do C\u00f3digo do Procedimento Administrativo e para os efeitos previstos no artigo 8.\u00ba e, em especial, no n.\u00ba 4 do artigo 54.\u00ba-C da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, se submete ao devido procedimento regulamentar e procedimento geral de consulta, a decorrer pelo per\u00edodo de 30 dias \u00fateis, mediante publica\u00e7\u00e3o no s\u00edtio institucional da ANACOM na Internet, em conjunto com o relat\u00f3rio da consulta p\u00fablica e com a vers\u00e3o n\u00e3o confidencial das pron\u00fancias recebidas, e na 2.\u00aa s\u00e9rie do Di\u00e1rio da Rep\u00fablica.<\/p>\n
11 – Neste contexto, solicita-se aos interessados que enviem os respetivos contributos, por escrito e em l\u00edngua portuguesa, preferencialmente por correio eletr\u00f3nico para o endere\u00e7o regulamento.seguranca@anacom.pt.<\/p>\n
Encerrada a presente consulta p\u00fablica, a ANACOM proceder\u00e1 \u00e0 aprecia\u00e7\u00e3o dos contributos apresentados pelos interessados e, com a aprova\u00e7\u00e3o deste regulamento, disponibilizar\u00e1 um novo relat\u00f3rio, contendo refer\u00eancia a todos os contributos recebidos, bem como uma aprecia\u00e7\u00e3o global que reflita o entendimento desta Autoridade sobre os mesmos e os fundamentos das op\u00e7\u00f5es tomadas.<\/p>\n
Projeto de regulamento relativo \u00e0 seguran\u00e7a e \u00e0 integridade das redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas<\/p>\n
T\u00edtulo I<\/p>\n
Disposi\u00e7\u00f5es gerais<\/p>\n
Artigo 1.\u00ba<\/p>\n
Objeto<\/p>\n
O presente regulamento estabelece:<\/p>\n
a) As medidas t\u00e9cnicas de execu\u00e7\u00e3o e os requisitos adicionais a cumprir pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico em mat\u00e9ria de seguran\u00e7a e integridade, para os efeitos do disposto no artigo 54.\u00ba-A e nos termos previstos no n.\u00ba 1 do artigo 54.\u00ba-C e no artigo 54.\u00ba-D da Lei n.\u00ba 5\/2004, de 10 de fevereiro, republicada pela Lei n.\u00ba 51\/2011, de 13 de setembro, e alterada pela Lei n.\u00ba 10\/2013, de 28 de janeiro, pela Lei n.\u00ba 42\/2013, de 3 de julho, pelo Decreto-Lei n.\u00ba 35\/2014, de 7 de mar\u00e7o, pela Lei n.\u00ba 82-B\/2014, de 31 de dezembro, pela Lei n.\u00ba 127\/2015, de 3 de setembro, pela Lei n.\u00ba 15\/2016, de 17 de junho, e pelo Decreto-Lei n.\u00ba 92\/2017, de 31 de julho (Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas) e nos termos previstos no T\u00edtulo II;<\/p>\n
b) As circunst\u00e2ncias, o formato e os procedimentos aplic\u00e1veis \u00e0s exig\u00eancias de comunica\u00e7\u00e3o de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade das redes com impacto significativo no funcionamento das redes e servi\u00e7os pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, ao abrigo do disposto no artigo 54.\u00ba-B e no n.\u00ba 2 do artigo 54.\u00ba-C da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no Cap\u00edtulo I do T\u00edtulo III;<\/p>\n
c) As condi\u00e7\u00f5es em que as empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico devem divulgar ao p\u00fablico as viola\u00e7\u00f5es de seguran\u00e7a ou as perdas de integridade com impacto significativo no funcionamento das redes e servi\u00e7os, ao abrigo do disposto na al\u00ednea b) do artigo 54.\u00ba-E da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no Cap\u00edtulo II do T\u00edtulo III;<\/p>\n
d) As obriga\u00e7\u00f5es de realiza\u00e7\u00e3o de auditorias \u00e0 seguran\u00e7a das redes e servi\u00e7os e de envio do respetivo relat\u00f3rio pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, bem como os requisitos a que devem obedecer as auditorias e os requisitos aplic\u00e1veis \u00e0s entidades auditoras, ao abrigo do disposto nos n.os 1 e 2 do artigo 54.\u00ba-F da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no T\u00edtulo IV.<\/p>\n
Artigo 2.\u00ba<\/p>\n
\u00c2mbito<\/p>\n
1 – As empresas devem assegurar que o cumprimento das suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, previstas na lei e no presente regulamento, abrange:<\/p>\n
a) As condi\u00e7\u00f5es normais de funcionamento, incluindo viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade sem impacto significativo;<\/p>\n
b) As situa\u00e7\u00f5es extraordin\u00e1rias, incluindo, entre outras, as seguintes situa\u00e7\u00f5es:<\/p>\n
i) Viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacto significativo;<\/p>\n
ii) Rutura da rede, emerg\u00eancia ou for\u00e7a maior, nos termos previstos no n.\u00ba 1 do artigo 49.\u00ba da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
iii) Exce\u00e7\u00f5es previstas nas al\u00edneas a), b) e c) do n.\u00ba 3 do artigo 3.\u00ba do Regulamento (UE) n.\u00ba 2015\/2120 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, que estabelece medidas respeitantes ao acesso \u00e0 Internet aberta;<\/p>\n
iv) Acidente grave ou cat\u00e1strofe, bem como as situa\u00e7\u00f5es de alerta, conting\u00eancia e calamidade, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis em mat\u00e9ria de prote\u00e7\u00e3o civil;<\/p>\n
v) Estado de emerg\u00eancia, estado de s\u00edtio ou estado de guerra, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis em mat\u00e9ria de planeamento civil de emerg\u00eancia;<\/p>\n
vi) Ativa\u00e7\u00e3o de plano de emerg\u00eancia de prote\u00e7\u00e3o civil ou de planeamento civil de emerg\u00eancia, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis;<\/p>\n
vii) Grave amea\u00e7a \u00e0 seguran\u00e7a interna, incluindo as situa\u00e7\u00f5es de ataques terroristas ou de acidentes graves ou cat\u00e1strofes, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis em mat\u00e9ria de seguran\u00e7a interna.<\/p>\n
2 – As empresas devem cumprir as suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, previstas na lei e no presente regulamento, de um modo adequado \u00e0 evolu\u00e7\u00e3o das condi\u00e7\u00f5es clim\u00e1ticas da regi\u00e3o e dos riscos de desastre natural ou de outros fen\u00f3menos extremos, incluindo tempestades, deslizamentos de terras, inunda\u00e7\u00f5es, tornados, inc\u00eandios florestais, sismos ou maremotos, nomeadamente, entre outros aspetos, no que respeita \u00e0 escolha dos locais, dos equipamentos, dos materiais e das infraestruturas de alojamento e aos procedimentos de prote\u00e7\u00e3o e de preserva\u00e7\u00e3o.<\/p>\n
3 – Para efeitos do disposto no n\u00famero anterior, as empresas devem ter em considera\u00e7\u00e3o:<\/p>\n
a) A informa\u00e7\u00e3o emitida pelas entidades competentes nacionais, europeias ou internacionais;<\/p>\n
b) A Estrat\u00e9gia Nacional de Adapta\u00e7\u00e3o \u00e0s Altera\u00e7\u00f5es Clim\u00e1ticas 2020, aprovada pela Resolu\u00e7\u00e3o do Conselho de Ministros n.\u00ba 56\/2015, de 30 de julho.<\/p>\n
4 – As empresas devem cumprir as suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, previstas na lei e no presente regulamento, de um modo adequado a permitir o cumprimento das suas demais obriga\u00e7\u00f5es no \u00e2mbito da oferta de redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, incluindo nomeadamente:<\/p>\n
a) As obriga\u00e7\u00f5es em mat\u00e9ria de disponibilidade dos servi\u00e7os e de acesso aos servi\u00e7os de emerg\u00eancia, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis;<\/p>\n
b) As obriga\u00e7\u00f5es no \u00e2mbito do planeamento civil de emerg\u00eancia, dos planos de emerg\u00eancia de prote\u00e7\u00e3o civil e da seguran\u00e7a interna, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis;<\/p>\n
c) Quando aplic\u00e1veis, as obriga\u00e7\u00f5es emergentes dos contratos para a presta\u00e7\u00e3o do servi\u00e7o universal.<\/p>\n
5 – As empresas devem cumprir as suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, previstas na lei e no presente regulamento, em conformidade com as disposi\u00e7\u00f5es respeitantes \u00e0 seguran\u00e7a de mat\u00e9rias classificadas no \u00e2mbito nacional e no \u00e2mbito das organiza\u00e7\u00f5es internacionais de que Portugal \u00e9 parte.<\/p>\n
6 – As empresas devem assegurar que o cumprimento das suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, previstas na lei e no presente regulamento, abrange todos os ativos, de sua propriedade ou gest\u00e3o, incluindo os equipamentos localizados nas instala\u00e7\u00f5es dos clientes, necess\u00e1rios para a utiliza\u00e7\u00e3o das suas redes ou dos seus servi\u00e7os.<\/p>\n
Artigo 3.\u00ba<\/p>\n
Defini\u00e7\u00f5es<\/p>\n
1 – Para os efeitos do disposto no presente regulamento, entende-se por:<\/p>\n
a) \u00abAtivos\u00bb, as infraestruturas, os sistemas de transmiss\u00e3o ou de informa\u00e7\u00e3o, os equipamentos e os demais recursos, f\u00edsicos e l\u00f3gicos, que comp\u00f5em ou suportam uma rede de comunica\u00e7\u00f5es p\u00fablicas e respetivos acessos, incluindo interliga\u00e7\u00f5es, um servi\u00e7o de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edvel ao p\u00fablico ou um servi\u00e7o conexo associado;<\/p>\n
b) \u00abAuditora\u00bb, a entidade respons\u00e1vel pela realiza\u00e7\u00e3o de auditoria \u00e0 seguran\u00e7a das redes e servi\u00e7os ao abrigo do disposto nos n.os 1 e 2 do artigo 54.\u00ba-F da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no artigo 28.\u00ba;<\/p>\n
c) \u00abAuditoria\u00bb, a auditoria \u00e0 seguran\u00e7a das redes e servi\u00e7os a realizar pelas empresas, ao abrigo do disposto nos n.os 1 e 2 do artigo 54.\u00ba-F da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no T\u00edtulo IV;<\/p>\n
d) \u00abClientes relevantes\u00bb, as entidades identificadas e a identificar nos termos previstos no n.\u00ba 5 do artigo 21.\u00ba;<\/p>\n
e) \u00abColaboradores\u00bb, os trabalhadores ou os agentes das empresas;<\/p>\n
f) \u00abColaboradores-chave\u00bb, os colaboradores que desempenhem fun\u00e7\u00f5es no dom\u00ednio da gest\u00e3o e da opera\u00e7\u00e3o da seguran\u00e7a e integridade das redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, incluindo, pelo menos:<\/p>\n
i) O respons\u00e1vel da seguran\u00e7a, nos termos previstos no artigo 14.\u00ba;<\/p>\n
ii) O adjunto do respons\u00e1vel da seguran\u00e7a, quando exista, nos termos previstos no artigo 14.\u00ba;<\/p>\n
iii) Os colaboradores que assegurem a fun\u00e7\u00e3o de ponto de contacto permanente, nos termos previstos no artigo 15.\u00ba; e<\/p>\n
iv) Os colaboradores que integrem a equipa de resposta a incidentes de seguran\u00e7a, nos termos previstos no artigo 16.\u00ba;<\/p>\n
g) \u00abEmpresas\u00bb, as empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, nos termos definidos na Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
h) \u00abIncidente de seguran\u00e7a\u00bb, viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, intencional ou n\u00e3o, que causa ou que pode vir a causar um impacto na seguran\u00e7a das redes e servi\u00e7os ou na sua continuidade;<\/p>\n
i) \u00abN\u00edvel de sofistica\u00e7\u00e3o 1\u00bb, n\u00edvel b\u00e1sico, que inclui as medidas de seguran\u00e7a de base, nos termos previstos no artigo 7.\u00ba e no Anexo;<\/p>\n
j) \u00abN\u00edvel de sofistica\u00e7\u00e3o 2\u00bb, n\u00edvel de norma de ind\u00fastria, que inclui as medidas de seguran\u00e7a baseadas nas normas, especifica\u00e7\u00f5es e recomenda\u00e7\u00f5es nacionais, europeias e internacionais adequadas, incluindo a revis\u00e3o da sua implementa\u00e7\u00e3o tendo em considera\u00e7\u00e3o altera\u00e7\u00f5es t\u00e9cnicas ou organizacionais nas empresas ou incidentes de seguran\u00e7a, nos termos previstos no artigo 7.\u00ba e no Anexo;<\/p>\n
k) \u00abN\u00edvel de sofistica\u00e7\u00e3o 3\u00bb, n\u00edvel de estado da t\u00e9cnica, que inclui as medidas de seguran\u00e7a avan\u00e7adas, a monitoriza\u00e7\u00e3o cont\u00ednua e a revis\u00e3o estrutural da sua implementa\u00e7\u00e3o tendo em considera\u00e7\u00e3o altera\u00e7\u00f5es t\u00e9cnicas ou organizacionais nas empresas, incidentes de seguran\u00e7a, testes ou exerc\u00edcios, com vista a uma melhoria proativa da implementa\u00e7\u00e3o das medidas de seguran\u00e7a, nos termos previstos no artigo 7.\u00ba e no Anexo;<\/p>\n
l) \u00abRespons\u00e1vel da seguran\u00e7a\u00bb, o colaborador da empresa respons\u00e1vel pela gest\u00e3o da seguran\u00e7a das redes e servi\u00e7os e pela sua representa\u00e7\u00e3o no exerc\u00edcio das fun\u00e7\u00f5es que lhe s\u00e3o cometidas pelo presente regulamento, nos termos previstos no artigo 14.\u00ba;<\/p>\n
m) \u00abSeguran\u00e7a das redes e servi\u00e7os\u00bb, a capacidade das redes ou dos servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas para resistir, com um dado n\u00edvel de confian\u00e7a, a qualquer a\u00e7\u00e3o que comprometa a disponibilidade, a autenticidade, a integridade ou a confidencialidade dessas redes e servi\u00e7os, dos dados armazenados, transmitidos ou tratados ou dos servi\u00e7os associados oferecidos ou acess\u00edveis atrav\u00e9s dessas redes ou servi\u00e7os;<\/p>\n
n) \u00abViola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacto significativo\u00bb, a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com o impacto previsto nos termos do artigo 21.\u00ba;<\/p>\n
o) \u00abViola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade sem impacto significativo\u00bb, a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade sem o impacto previsto nos termos do artigo 21.\u00ba<\/p>\n
2 – Para os efeitos do disposto no presente regulamento, s\u00e3o aplic\u00e1veis as seguintes siglas e acr\u00f3nimos:<\/p>\n
a) \u00abANACOM\u00bb, a Autoridade Nacional de Comunica\u00e7\u00f5es (ANACOM);<\/p>\n
b) \u00abANPC\u00bb, a Autoridade Nacional de Prote\u00e7\u00e3o Civil;<\/p>\n
c) \u00abCNPD\u00bb, a Comiss\u00e3o Nacional de Prote\u00e7\u00e3o de Dados;<\/p>\n
d) \u00abENISA\u00bb, a Ag\u00eancia Europeia para a Seguran\u00e7a das Redes e da Informa\u00e7\u00e3o;<\/p>\n
e) \u00abGNS\/CNCS\u00bb, o Gabinete Nacional de Seguran\u00e7a\/Centro Nacional de Ciberseguran\u00e7a;<\/p>\n
f) \u00abICNF\u00bb, o Instituto da Conserva\u00e7\u00e3o da Natureza e das Florestas, I. P.;<\/p>\n
g) \u00abIPMA\u00bb, o Instituto Portugu\u00eas do Mar e da Atmosfera, I. P.;<\/p>\n
h) \u00abPASP\u00bb, os Postos de Atendimento de Seguran\u00e7a P\u00fablica (Centros de Atendimento do 112);<\/p>\n
i) \u00abRNSI\u00bb, a Rede Nacional de Seguran\u00e7a Interna;<\/p>\n
j) \u00abSIRESP\u00bb, o Sistema Integrado de Redes de Emerg\u00eancia e Seguran\u00e7a de Portugal;<\/p>\n
k) \u00abSRPCBA\u00bb, o Servi\u00e7o Regional de Prote\u00e7\u00e3o Civil e Bombeiros dos A\u00e7ores.<\/p>\n
Artigo 4.\u00ba<\/p>\n
Coopera\u00e7\u00e3o e partilha de informa\u00e7\u00e3o<\/p>\n
1 – As empresas devem cooperar com a ANACOM no \u00e2mbito da prossecu\u00e7\u00e3o das suas atribui\u00e7\u00f5es e do exerc\u00edcio das suas compet\u00eancias nas mat\u00e9rias de seguran\u00e7a das redes e servi\u00e7os.<\/p>\n
2 – As empresas devem cooperar entre si no cumprimento das suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a das redes e servi\u00e7os, incluindo, em especial, nas seguintes situa\u00e7\u00f5es:<\/p>\n
a) Ocorr\u00eancia de um ou mais incidentes de seguran\u00e7a, em especial nos casos de causa raiz comum;<\/p>\n
b) Riscos, amea\u00e7as ou vulnerabilidades comuns ou que potenciam um efeito em cascata;<\/p>\n
c) Depend\u00eancia ou interdepend\u00eancia entre as redes ou servi\u00e7os, incluindo, entre outros casos, o acesso e a interliga\u00e7\u00e3o de redes, a co-localiza\u00e7\u00e3o de ativos e a partilha de infraestruturas ou de outros recursos;<\/p>\n
d) Fornecimentos comuns de bens ou servi\u00e7os por terceiros.<\/p>\n
3 – Para efeitos do disposto no n\u00famero anterior, a ANACOM partilha com as empresas a lista dos respetivos pontos de contacto permanente, mantida ao abrigo do disposto no artigo 15.\u00ba<\/p>\n
4 – Para efeitos do disposto no presente artigo, as empresas devem ainda cooperar, consoante adequado, atrav\u00e9s da realiza\u00e7\u00e3o de a\u00e7\u00f5es conjuntas, da celebra\u00e7\u00e3o de acordos de assist\u00eancia m\u00fatua ou da partilha de informa\u00e7\u00e3o.<\/p>\n
Artigo 5.\u00ba<\/p>\n
Meios eletr\u00f3nicos<\/p>\n
1 – Todas as comunica\u00e7\u00f5es dirigidas \u00e0 ANACOM no \u00e2mbito do presente regulamento, bem como o envio de documentos, devem ser realizadas por meios eletr\u00f3nicos, nos termos a determinar pela ANACOM, em conformidade com o disposto na lei e sem preju\u00edzo do acesso aos seus servi\u00e7os.<\/p>\n
2 – A ANACOM mant\u00e9m um sistema de informa\u00e7\u00e3o para o cumprimento das obriga\u00e7\u00f5es impostas \u00e0s empresas nos termos previstos no presente regulamento, nomeadamente de notifica\u00e7\u00e3o, de comunica\u00e7\u00e3o, de acesso e de coopera\u00e7\u00e3o e partilha de informa\u00e7\u00e3o, bem como para a gest\u00e3o da informa\u00e7\u00e3o por parte da ANACOM em mat\u00e9ria de seguran\u00e7a e integridade.<\/p>\n
T\u00edtulo II<\/p>\n
Obriga\u00e7\u00f5es das empresas em mat\u00e9ria de seguran\u00e7a e integridade<\/p>\n
Cap\u00edtulo I<\/p>\n
Disposi\u00e7\u00f5es gerais<\/p>\n
Artigo 6.\u00ba<\/p>\n
Obriga\u00e7\u00f5es das empresas<\/p>\n
1 – Ao abrigo do disposto no artigo 54.\u00ba-A da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no presente regulamento:<\/p>\n
a) As empresas devem adotar as medidas t\u00e9cnicas e organizacionais adequadas \u00e0 preven\u00e7\u00e3o, gest\u00e3o e redu\u00e7\u00e3o dos riscos para a seguran\u00e7a das redes e servi\u00e7os visando, em especial, impedir ou minimizar o impacto dos incidentes de seguran\u00e7a nas redes interligadas, a n\u00edvel nacional e internacional, e nos utilizadores, devendo as mesmas ser adequadas aos riscos existentes tendo em conta o estado da t\u00e9cnica;<\/p>\n
b) As empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas devem adotar as medidas adequadas para garantir a integridade das respetivas redes, assegurando a continuidade da presta\u00e7\u00e3o dos servi\u00e7os que nelas se suportam.<\/p>\n
2 – As medidas t\u00e9cnicas e organizacionais e os requisitos adicionais adotados pelas empresas para cumprimento do disposto na lei e no presente regulamento devem:<\/p>\n
a) Ser conformes com as decis\u00f5es da Comiss\u00e3o Europeia adotadas ao abrigo do procedimento previsto no artigo 13.\u00ba-A da Diretiva n.\u00ba 2002\/21\/CE, do Parlamento Europeu e do Conselho, de 7 de mar\u00e7o de 2002, relativa a um quadro regulamentar comum para as redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, na sua reda\u00e7\u00e3o em vigor;<\/p>\n
b) Ser baseadas, na aus\u00eancia das decis\u00f5es previstas na al\u00ednea anterior, nas normas, especifica\u00e7\u00f5es e recomenda\u00e7\u00f5es nacionais, europeias e internacionais existentes sobre a mat\u00e9ria, nomeadamente:<\/p>\n
i) NP ISO\/IEC 27001:2013 (Tecnologia de Informa\u00e7\u00e3o – T\u00e9cnicas de seguran\u00e7a – Sistemas de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o – Requisitos);<\/p>\n
ii) ISO\/IEC 27001:2013 (Information technology – Security techniques – Information security management systems – Requirements);<\/p>\n
iii) ISO\/IEC 27002:2013 (Information technology – Security techniques – Code of practice for information security controls);<\/p>\n
iv) ISO\/IEC 27011:2016 ou Recomenda\u00e7\u00e3o ITU-T X.1051 (04\/2016) (Information technology – Security techniques – Code of practice for Information security controls based on ISO\/IEC 27002 for telecommunications organizations);<\/p>\n
v) Recomenda\u00e7\u00e3o ITU-T X.1053 (11\/2017) (Code of practice for information security controls based on ITU-T X.1051 for small and medium-sized telecommunication organizations);<\/p>\n
vi) ISO\/IEC 27005:2011 (Information technology – Security techniques – Information security risk management);<\/p>\n
vii) Recomenda\u00e7\u00e3o ITU-T X.1055 (11\/2008) (Risk management and risk profile guidelines for telecommunication organizations);<\/p>\n
viii) Recomenda\u00e7\u00e3o ITU-T X.1056 (01\/2009) (Security incident management guidelines for telecommunications organizations);<\/p>\n
ix) Recomenda\u00e7\u00e3o ITU-T X.1057 (05\/2011) (Asset management guidelines in telecommunication organizations);<\/p>\n
x) ISO 22301:2012 (Societal security – Business continuity management systems – Requirements);<\/p>\n
xi) Outra norma, especifica\u00e7\u00e3o ou recomenda\u00e7\u00e3o nacional, europeia ou internacional adequada;<\/p>\n
c) Ter em considera\u00e7\u00e3o os documentos t\u00e9cnicos publicados pela ENISA em resultado dos trabalhos desenvolvidos ao n\u00edvel da aplica\u00e7\u00e3o da Diretiva n.\u00ba 2002\/21\/CE do Parlamento Europeu e do Conselho, de 7 de mar\u00e7o de 2002, relativa a um quadro regulamentar comum para as redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, na sua reda\u00e7\u00e3o em vigor.<\/p>\n
3 – As medidas t\u00e9cnicas e organizacionais e os requisitos adicionais adotados pelas empresas para cumprimento do disposto na lei e no presente regulamento devem ainda ter em considera\u00e7\u00e3o:<\/p>\n
a) As recomenda\u00e7\u00f5es formuladas pela ANACOM, nomeadamente quanto \u00e0 concretiza\u00e7\u00e3o das medidas de seguran\u00e7a previstas no presente regulamento;<\/p>\n
b) As instru\u00e7\u00f5es t\u00e9cnicas aplic\u00e1veis \u00e0 constru\u00e7\u00e3o ou amplia\u00e7\u00e3o de infraestruturas aptas, \u00e0 utiliza\u00e7\u00e3o de infraestruturas aptas e \u00e0 instala\u00e7\u00e3o de equipamentos e sistemas de redes de comunica\u00e7\u00f5es eletr\u00f3nicas em infraestruturas aptas, fixadas ao abrigo do disposto no Decreto-Lei n.\u00ba 123\/2009, de 21 de maio, alterado pelo Decreto-Lei n.\u00ba 258\/2009, de 25 de setembro, pela Lei n.\u00ba 47\/2013, de 10 de julho, pela Lei n.\u00ba 82-B\/2014, de 31 de dezembro, e pelo Decreto-Lei n.\u00ba 92\/2017, de 31 de julho.<\/p>\n
4 – As empresas devem assegurar que as medidas t\u00e9cnicas e organizacionais e os requisitos adicionais adotados para cumprimento do disposto na lei e no presente regulamento s\u00e3o mantidos atualizados.<\/p>\n
Artigo 7.\u00ba<\/p>\n
Medidas t\u00e9cnicas de execu\u00e7\u00e3o e requisitos adicionais<\/p>\n
1 – Para efeitos do disposto no artigo anterior e nos termos previstos no n.\u00ba 1 do artigo 54.\u00ba-C e no artigo 54.\u00ba-D da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, as empresas devem, nomeadamente, adotar todas as medidas de seguran\u00e7a inclu\u00eddas nos n\u00edveis de sofistica\u00e7\u00e3o 1 e 2 para a prossecu\u00e7\u00e3o de cada um dos 25 objetivos de seguran\u00e7a constantes do Anexo, com exce\u00e7\u00e3o dos casos em que, tendo por fundamento os resultados de uma an\u00e1lise dos riscos para a seguran\u00e7a das redes e servi\u00e7os:<\/p>\n
a) Uma adequada prossecu\u00e7\u00e3o de um objetivo de seguran\u00e7a n\u00e3o exija, a t\u00edtulo excecional e mediante autoriza\u00e7\u00e3o pr\u00e9via da ANACOM na sequ\u00eancia de um pedido fundamentado apresentado para o efeito, o cumprimento de uma ou de v\u00e1rias medidas de seguran\u00e7a previstas no n\u00edvel de sofistica\u00e7\u00e3o 2;<\/p>\n
b) Uma adequada prossecu\u00e7\u00e3o de um objetivo de seguran\u00e7a exija o cumprimento de uma ou de v\u00e1rias medidas de seguran\u00e7a previstas no n\u00edvel de sofistica\u00e7\u00e3o 3.<\/p>\n
2 – Para efeitos do disposto na al\u00ednea a) do n\u00famero anterior, os pedidos devem ser instru\u00eddos com os seguintes elementos:<\/p>\n
a) Indica\u00e7\u00e3o do objetivo de seguran\u00e7a;<\/p>\n
b) Indica\u00e7\u00e3o da medida de seguran\u00e7a;<\/p>\n
c) A an\u00e1lise de riscos que fundamenta o pedido e que garante, mediante apenas o cumprimento das restantes medidas, uma adequada prossecu\u00e7\u00e3o do objetivo de seguran\u00e7a em causa.<\/p>\n
3 – Para efeitos do disposto no artigo anterior, as medidas de seguran\u00e7a a adotar pelas empresas devem incluir, em qualquer caso, as seguintes medidas espec\u00edficas:<\/p>\n
a) Classifica\u00e7\u00e3o de ativos e elabora\u00e7\u00e3o do invent\u00e1rio de ativos, nos termos previstos, respetivamente, nos artigos 8.\u00ba e 9.\u00ba;<\/p>\n
b) Requisitos da gest\u00e3o dos riscos, nos termos previstos no artigo 10.\u00ba;<\/p>\n
c) Procedimentos de controlo da gest\u00e3o excecional de tr\u00e1fego de acesso \u00e0 Internet, nos termos previstos no artigo 11.\u00ba;<\/p>\n
d) Exerc\u00edcios, nos termos previstos no artigo 12.\u00ba;<\/p>\n
e) Informa\u00e7\u00e3o aos clientes, nos termos previstos no artigo 13.\u00ba;<\/p>\n
f) Respons\u00e1vel da seguran\u00e7a, nos termos previstos no artigo 14.\u00ba;<\/p>\n
g) Ponto de contacto permanente, nos termos previstos no artigo 15.\u00ba;<\/p>\n
h) Equipa de resposta a incidentes de seguran\u00e7a, nos termos previstos no artigo 16.\u00ba;<\/p>\n
i) Plano de seguran\u00e7a, nos termos previstos no artigo 17.\u00ba;<\/p>\n
j) Deveres de comunica\u00e7\u00e3o \u00e0 ANACOM, nos termos previstos no artigo 18.\u00ba;<\/p>\n
k) Relat\u00f3rio anual de seguran\u00e7a, nos termos previstos no artigo 19.\u00ba<\/p>\n
Cap\u00edtulo II<\/p>\n
Medidas espec\u00edficas<\/p>\n
Artigo 8.\u00ba<\/p>\n
Classifica\u00e7\u00e3o de ativos<\/p>\n
1 – As empresas devem classificar os seus ativos numa classe de A a C, nos termos previstos no presente artigo.<\/p>\n
2 – Um ativo deve ser classificado na classe A se, em resultado de perturba\u00e7\u00e3o do seu funcionamento, o n\u00famero de assinantes ou de acessos afetados possa ser igual ou superior a 100.000 ou a \u00e1rea geogr\u00e1fica afetada possa ser igual ou superior a 2.000 km2 ou abranger a totalidade do territ\u00f3rio de uma ilha da Regi\u00e3o Aut\u00f3noma dos A\u00e7ores ou da Regi\u00e3o Aut\u00f3noma da Madeira.<\/p>\n
3 – Devem ainda ser classificados na classe A os seguintes ativos:<\/p>\n
a) O centro principal de gest\u00e3o e opera\u00e7\u00e3o de uma empresa que, no conjunto das suas ofertas, tenha um n\u00famero total de assinantes ou de acessos igual ou superior a 100.000;<\/p>\n
b) O centro principal de gest\u00e3o e opera\u00e7\u00e3o de uma empresa que inclua, pelo menos, um ativo da classe A;<\/p>\n
c) Os ativos de que dependa a oferta de redes e servi\u00e7os atrav\u00e9s dos quais seja assegurada a continuidade da presta\u00e7\u00e3o dos servi\u00e7os previstos na al\u00ednea f) do n.\u00ba 2 do artigo 21.\u00ba;<\/p>\n
d) Os ativos que assegurem interliga\u00e7\u00e3o internacional, interliga\u00e7\u00e3o entre as Regi\u00f5es Aut\u00f3nomas, interliga\u00e7\u00e3o entre o Continente e uma Regi\u00e3o Aut\u00f3noma ou interliga\u00e7\u00e3o entre ilhas na Regi\u00e3o Aut\u00f3noma dos A\u00e7ores ou na Regi\u00e3o Aut\u00f3noma da Madeira, incluindo esta\u00e7\u00e3o de cabos submarinos, esta\u00e7\u00e3o de sat\u00e9lites ou sistema terrestre transfronteiri\u00e7o;<\/p>\n
e) Os ativos que tenham sido identificados no \u00e2mbito do planeamento civil de emerg\u00eancia ou de um plano de emerg\u00eancia de prote\u00e7\u00e3o civil e que a ANACOM indique atrav\u00e9s de comunica\u00e7\u00e3o com a identifica\u00e7\u00e3o do ativo.<\/p>\n
4 – Um ativo deve ser classificado na classe B se, em resultado de perturba\u00e7\u00e3o do seu funcionamento, cause ou possa vir a causar um impacto negativo grave na seguran\u00e7a das redes e servi\u00e7os ou na sua continuidade, exceto quando, nos termos previstos nos n\u00fameros anteriores, deva ser classificado na classe A.<\/p>\n
5 – Um ativo deve ser classificado na classe C sempre que n\u00e3o deva ser classificado em nenhuma das classes A ou B.<\/p>\n
Artigo 9.\u00ba<\/p>\n
Invent\u00e1rio de ativos<\/p>\n
1 – As empresas devem elaborar e manter atualizado um invent\u00e1rio de todos os ativos, assinado pelo respons\u00e1vel da seguran\u00e7a, que inclua a respetiva classifica\u00e7\u00e3o nos termos previstos no artigo anterior.<\/p>\n
2 – Para cada ativo classificado nas classes A, B ou C deve constar do invent\u00e1rio de ativos a seguinte informa\u00e7\u00e3o:<\/p>\n
a) Identificador \u00fanico;<\/p>\n
b) Designa\u00e7\u00e3o;<\/p>\n
c) Classifica\u00e7\u00e3o, ao abrigo do disposto no artigo 8.\u00ba;<\/p>\n
d) As coordenadas geogr\u00e1ficas da sua localiza\u00e7\u00e3o e a identifica\u00e7\u00e3o das entidades detentoras ou gestoras dos locais.<\/p>\n
3 – Para cada ativo classificado nas classes A ou B, deve ainda constar do invent\u00e1rio de ativos a seguinte informa\u00e7\u00e3o:<\/p>\n
a) Caracteriza\u00e7\u00e3o, incluindo:<\/p>\n
i) Funcionalidades e servi\u00e7os suportados;<\/p>\n
ii) Fundamenta\u00e7\u00e3o da classifica\u00e7\u00e3o, ao abrigo do disposto no artigo 8.\u00ba, incluindo uma descri\u00e7\u00e3o do impacto potencial de uma perturba\u00e7\u00e3o do seu funcionamento, incluindo em termos de redund\u00e2ncia, robustez e resili\u00eancia;<\/p>\n
iii) Identifica\u00e7\u00e3o como ponto de falha \u00fanica;<\/p>\n
iv) Fornecimentos de terceiros cr\u00edticos para o seu funcionamento, incluindo servi\u00e7os de gest\u00e3o, de opera\u00e7\u00e3o, de seguran\u00e7a e de energia;<\/p>\n
v) Autonomia em caso de falha de fornecimento de energia;<\/p>\n
vi) No caso de interliga\u00e7\u00e3o, indica\u00e7\u00e3o do tipo (interliga\u00e7\u00e3o internacional, interliga\u00e7\u00e3o entre as Regi\u00f5es Aut\u00f3nomas, interliga\u00e7\u00e3o entre o Continente e uma Regi\u00e3o Aut\u00f3noma ou interliga\u00e7\u00e3o entre ilhas na Regi\u00e3o Aut\u00f3noma dos A\u00e7ores ou na Regi\u00e3o Aut\u00f3noma da Madeira) e identifica\u00e7\u00e3o das empresas interligadas;<\/p>\n
b) Medidas, controlos e registos de seguran\u00e7a adotados, incluindo as medidas de redund\u00e2ncia, robustez e resili\u00eancia no caso de ativo identificado como ponto de falha \u00fanica ao abrigo do disposto na subal\u00ednea iii) da al\u00ednea anterior;<\/p>\n
c) Registo das viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com impacto significativo ocorridas;<\/p>\n
d) Registo das altera\u00e7\u00f5es efetuadas, incluindo os resultados dos testes de integra\u00e7\u00e3o e de sistema realizados e os planos de restauro dos ativos.<\/p>\n
4 – As empresas devem concluir o invent\u00e1rio de ativos no prazo de 60 dias \u00fateis a contar da data de in\u00edcio de atividade.<\/p>\n
5 – As empresas que detenham ativos classificados na classe A devem comunicar \u00e0 ANACOM uma lista dos ativos classificados nas classes A e B, que, em rela\u00e7\u00e3o a cada ativo, contenha a informa\u00e7\u00e3o constante do n.\u00ba 2 e da subal\u00ednea ii) da al\u00ednea a) do n.\u00ba 3:<\/p>\n
a) Na sua vers\u00e3o inicial, no prazo de 60 dias \u00fateis a contar da data de in\u00edcio de atividade ou, se posterior, da data a partir da qual as empresas detenham um ativo classificado na classe A;<\/p>\n
b) Numa vers\u00e3o atualizada, em conjunto com o relat\u00f3rio anual de seguran\u00e7a.<\/p>\n
Artigo 10.\u00ba<\/p>\n
Requisitos da gest\u00e3o dos riscos<\/p>\n
As empresas devem rever a metodologia de gest\u00e3o dos riscos e as ferramentas adotadas, pelo menos uma vez em cada dois anos, tendo em considera\u00e7\u00e3o, nomeadamente:<\/p>\n
a) As viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com impacto significativo ou quaisquer outras situa\u00e7\u00f5es extraordin\u00e1rias referidas na al\u00ednea b) do n.\u00ba 1 do artigo 2.\u00ba ocorridas nos dois anos anteriores;<\/p>\n
b) A informa\u00e7\u00e3o sobre amea\u00e7as, vulnerabilidades e riscos, incluindo os riscos resultantes da evolu\u00e7\u00e3o das condi\u00e7\u00f5es clim\u00e1ticas da regi\u00e3o e os riscos de desastre natural ou de outros fen\u00f3menos extremos, emitida pelas entidades competentes nacionais, europeias ou internacionais, incluindo a ANPC, o IPMA, o ICNF e a ENISA, bem como a informa\u00e7\u00e3o publicada anualmente ou comunicada \u00e0s empresas pela ANACOM.<\/p>\n
Artigo 11.\u00ba<\/p>\n
Procedimentos de Controlo da Gest\u00e3o Excecional de Tr\u00e1fego de Acesso \u00e0 Internet<\/p>\n
1 – A ado\u00e7\u00e3o de medidas de gest\u00e3o de tr\u00e1fego de acesso \u00e0 Internet pelas empresas deve respeitar o disposto no Regulamento (UE) n.\u00ba 2015\/2120 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, que estabelece medidas respeitantes ao acesso \u00e0 Internet aberta.<\/p>\n
2 – As empresas devem registar a informa\u00e7\u00e3o relevante para o controlo das medidas de gest\u00e3o excecional de tr\u00e1fego de acesso \u00e0 Internet, que, em rela\u00e7\u00e3o a cada medida adotada, inclui, entre outros, os seguintes elementos:<\/p>\n
a) A exce\u00e7\u00e3o que a fundamenta, nos termos previstos nas al\u00edneas a), b) ou c) do n.\u00ba 3 do artigo 3.\u00ba do Regulamento (UE) n.\u00ba 2015\/2120 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, devidamente documentada;<\/p>\n
b) A natureza da medida, nomeadamente de bloqueio, de abrandamento, de altera\u00e7\u00e3o, de restri\u00e7\u00e3o, de degrada\u00e7\u00e3o ou outra;<\/p>\n
c) O objeto da medida, nomeadamente os conte\u00fados, as aplica\u00e7\u00f5es ou os servi\u00e7os e os portos ou endere\u00e7os IP abrangidos;<\/p>\n
d) A dura\u00e7\u00e3o, incluindo as datas e horas de in\u00edcio e de termo da medida.<\/p>\n
3 – As empresas devem adotar e manter atualizado um sistema para a monitoriza\u00e7\u00e3o do tr\u00e1fego de acesso \u00e0 Internet, de modo cont\u00ednuo, para a dete\u00e7\u00e3o:<\/p>\n
a) De riscos \u00e0 seguran\u00e7a e integridade da rede, dos servi\u00e7os prestados atrav\u00e9s dela e dos equipamentos terminais dos utilizadores finais;<\/p>\n
b) De congestionamentos iminentes da rede.<\/p>\n
Artigo 12.\u00ba<\/p>\n
Exerc\u00edcios<\/p>\n
1 – As empresas devem elaborar e implementar um programa de exerc\u00edcios, de periodicidade m\u00e1xima bianual, para avalia\u00e7\u00e3o da seguran\u00e7a das redes e servi\u00e7os e da adequa\u00e7\u00e3o do plano de seguran\u00e7a, com vista \u00e0 melhoria das medidas t\u00e9cnicas e organizacionais adotadas, em especial no que respeita, quando aplic\u00e1vel:<\/p>\n
a) Aos ativos classificados nas classes A ou B;<\/p>\n
b) Ao acesso aos servi\u00e7os de emerg\u00eancia;<\/p>\n
c) Ao acesso \u00e0s ofertas de redes e servi\u00e7os;<\/p>\n
d) Ao suporte \u00e0 continuidade da presta\u00e7\u00e3o dos servi\u00e7os previstos na al\u00ednea f) do n.\u00ba 2 do artigo 21.\u00ba<\/p>\n
2 – As empresas devem promover, na medida do adequado, a participa\u00e7\u00e3o de outras empresas ou de terceiros na execu\u00e7\u00e3o do programa de exerc\u00edcios.<\/p>\n
3 – As empresas devem participar nos exerc\u00edcios conjuntos que a ANACOM, nos termos a determinar, considere necess\u00e1rios.<\/p>\n
Artigo 13.\u00ba<\/p>\n
Informa\u00e7\u00e3o aos clientes<\/p>\n
As empresas devem comunicar aos seus clientes relevantes, nos termos previstos no n.\u00ba 5 do artigo 21.\u00ba, com conhecimento da ANACOM, as medidas adotadas na sequ\u00eancia de incidentes de seguran\u00e7a que tenham um impacto negativo na oferta de redes e servi\u00e7os atrav\u00e9s dos quais estes prestam os seus servi\u00e7os relevantes \u00e0 sociedade e aos cidad\u00e3os.<\/p>\n
Artigo 14.\u00ba<\/p>\n
Respons\u00e1vel da seguran\u00e7a<\/p>\n
1 – As empresas devem designar um respons\u00e1vel da seguran\u00e7a, ao qual, entre os demais deveres previstos no presente regulamento, cabe:<\/p>\n
a) A gest\u00e3o da pol\u00edtica de seguran\u00e7a;<\/p>\n
b) A gest\u00e3o do conjunto das medidas adotadas em mat\u00e9ria de seguran\u00e7a das redes e servi\u00e7os ao abrigo do disposto na lei e no presente regulamento.<\/p>\n
2 – As empresas podem designar um adjunto do respons\u00e1vel da seguran\u00e7a, a quem cabe exercer as fun\u00e7\u00f5es do respons\u00e1vel da seguran\u00e7a em caso de aus\u00eancia ou impedimento deste.<\/p>\n
3 – As empresas que n\u00e3o estejam estabelecidas na Uni\u00e3o Europeia ou no Espa\u00e7o Econ\u00f3mico Europeu e que detenham ativos classificados na classe A devem assegurar que os colaboradores designados para as fun\u00e7\u00f5es previstas no presente artigo se encontram domiciliados num Estado-Membro da Uni\u00e3o Europeia ou do Espa\u00e7o Econ\u00f3mico Europeu.<\/p>\n
Artigo 15.\u00ba<\/p>\n
Ponto de contacto permanente<\/p>\n
1 – As empresas devem estabelecer uma fun\u00e7\u00e3o de ponto de contacto permanente, que deve assegurar a capacidade de iniciar e de receber um fluxo de informa\u00e7\u00e3o de n\u00edvel operacional e t\u00e9cnico entre a empresa e a ANACOM, garantindo, nomeadamente:<\/p>\n
a) A efic\u00e1cia da resposta a incidentes de seguran\u00e7a com impacto a n\u00edvel do setor ou para al\u00e9m deste, incluindo no suporte \u00e0 continuidade da presta\u00e7\u00e3o dos servi\u00e7os previstos na al\u00ednea f) do n.\u00ba 2 do artigo 21.\u00ba, e que envolva a participa\u00e7\u00e3o de v\u00e1rias empresas;<\/p>\n
b) A articula\u00e7\u00e3o entre a ANACOM e a empresa para a obten\u00e7\u00e3o de informa\u00e7\u00e3o operacional ou t\u00e9cnica, na sequ\u00eancia de notifica\u00e7\u00e3o de viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacto significativo submetida por aquela ou por outra empresa;<\/p>\n
c) A constru\u00e7\u00e3o e atualiza\u00e7\u00e3o de informa\u00e7\u00e3o de situa\u00e7\u00e3o integrada no contexto de uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacto significativo ou da ativa\u00e7\u00e3o do planeamento civil de emerg\u00eancia ou de plano de emerg\u00eancia da prote\u00e7\u00e3o civil;<\/p>\n
d) A operacionaliza\u00e7\u00e3o dos procedimentos fixados no \u00e2mbito do planeamento civil de emerg\u00eancia ou de plano de emerg\u00eancia da prote\u00e7\u00e3o civil;<\/p>\n
e) O tratamento das determina\u00e7\u00f5es da ANACOM no sentido da informa\u00e7\u00e3o ao p\u00fablico de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade ocorridas nas suas redes e servi\u00e7os, ao abrigo do disposto no n.\u00ba 3 do artigo 23.\u00ba;<\/p>\n
f) A rece\u00e7\u00e3o das instru\u00e7\u00f5es vinculativas emitidas ao abrigo do disposto no n.\u00ba 1 do artigo 54.\u00ba-G da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
g) A articula\u00e7\u00e3o entre a ANACOM e a equipa de resposta a incidentes de seguran\u00e7a.<\/p>\n
2 – As empresas devem ainda assegurar que a fun\u00e7\u00e3o de ponto de contacto permanente se encontra dotada dos meios necess\u00e1rios ao desenvolvimento das a\u00e7\u00f5es de coopera\u00e7\u00e3o e partilha de informa\u00e7\u00e3o entre empresas, nos termos do disposto no artigo 4.\u00ba<\/p>\n
3 – As empresas devem assegurar a fun\u00e7\u00e3o de ponto de contacto permanente:<\/p>\n
a) Numa disponibilidade cont\u00ednua (24 horas por dia e sete dias por semana), quando detenham ativos classificados na classe A;<\/p>\n
b) Numa disponibilidade cont\u00ednua (24 horas por dia e sete dias por semana) limitada a per\u00edodos de ativa\u00e7\u00e3o, iniciados e terminados mediante comunica\u00e7\u00e3o da ANACOM, nos restantes casos.<\/p>\n
4 – As empresas devem assegurar que o ponto de contacto permanente disp\u00f5e de meios de contacto principais e alternativos para a comunica\u00e7\u00e3o com a ANACOM em condi\u00e7\u00f5es normais de funcionamento, nas situa\u00e7\u00f5es extraordin\u00e1rias referidas nas subal\u00edneas i), ii) e iii) da al\u00ednea b) do n.\u00ba 1 do artigo 2.\u00ba e, conforme adequado e nos termos das disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis, nas situa\u00e7\u00f5es referidas nas restantes subal\u00edneas.<\/p>\n
Artigo 16.\u00ba<\/p>\n
Equipa de resposta a incidentes de seguran\u00e7a<\/p>\n
1 – As empresas que detenham ativos classificados na classe A devem dispor de uma equipa de resposta a incidentes de seguran\u00e7a, dotada dos recursos e dos conhecimentos necess\u00e1rios a uma eficaz prepara\u00e7\u00e3o contra os riscos, amea\u00e7as e vulnerabilidades e \u00e0 resposta a incidentes de seguran\u00e7a que afetem os ativos classificados nas classes A ou B.<\/p>\n
2 – As empresas devem concluir a constitui\u00e7\u00e3o da equipa prevista no n\u00famero anterior no prazo de seis meses a contar da data a partir da qual detenham um ativo classificado na classe A.<\/p>\n
3 – A equipa a que se refere o presente artigo deve integrar o sistema de resposta a incidentes de seguran\u00e7a da informa\u00e7\u00e3o, nos termos a determinar ao abrigo do disposto na al\u00ednea d) do n.\u00ba 2 do artigo 2.\u00ba-A da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas.<\/p>\n
Artigo 17.\u00ba<\/p>\n
Plano de seguran\u00e7a<\/p>\n
1 – As empresas devem elaborar e manter atualizado um plano de seguran\u00e7a, assinado pelo respons\u00e1vel da seguran\u00e7a, que contenha:<\/p>\n
a) A pol\u00edtica de seguran\u00e7a;<\/p>\n
b) A descri\u00e7\u00e3o de todas as medidas adotadas em mat\u00e9ria de seguran\u00e7a das redes e servi\u00e7os ao abrigo do disposto na lei e no presente regulamento, incluindo, quando aplic\u00e1vel e caso a caso, as refer\u00eancias \u00e0s medidas e aos n\u00edveis de sofistica\u00e7\u00e3o em que as mesmas se enquadram, nos termos previstos no Anexo;<\/p>\n
c) O registo e an\u00e1lise dos incidentes de seguran\u00e7a com maior impacto ocorridos nos \u00faltimos cinco anos, incluindo todas as viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com impacto significativo;<\/p>\n
d) A lista dos colaboradores-chave, incluindo a indica\u00e7\u00e3o da respetiva fun\u00e7\u00e3o.<\/p>\n
2 – As empresas devem concluir a elabora\u00e7\u00e3o do plano de seguran\u00e7a no prazo de 6 meses a contar da data de in\u00edcio da sua atividade.<\/p>\n
3 – As empresas devem ainda instruir o plano de seguran\u00e7a com os comprovativos de que cada colaborador chave se encontra devidamente mandatado, nos termos legalmente previstos, para representar a empresa no exerc\u00edcio da fun\u00e7\u00e3o que lhe foi cometida, nos termos previstos na lei e no presente regulamento.<\/p>\n
Artigo 18.\u00ba<\/p>\n
Deveres espec\u00edficos de comunica\u00e7\u00e3o \u00e0 ANACOM<\/p>\n
1 – As empresas devem comunicar \u00e0 ANACOM, no prazo de 20 dias \u00fateis a contar do in\u00edcio da sua atividade:<\/p>\n
a) A pol\u00edtica de seguran\u00e7a, nos termos previstos no artigo anterior;<\/p>\n
b) A informa\u00e7\u00e3o relativa aos colaboradores designados para as fun\u00e7\u00f5es de respons\u00e1vel da seguran\u00e7a e, sendo o caso, de adjunto do respons\u00e1vel da seguran\u00e7a, nos termos previstos no artigo 14.\u00ba;<\/p>\n
c) A informa\u00e7\u00e3o relativa ao ponto de contacto permanente, nos termos previstos no artigo 15.\u00ba<\/p>\n
2 – Para efeitos do disposto na al\u00ednea b) do n\u00famero anterior, as empresas devem comunicar \u00e0 ANACOM, em rela\u00e7\u00e3o a cada colaborador, os seguintes elementos:<\/p>\n
a) Nome;<\/p>\n
b) N\u00famero(s) de telefone;<\/p>\n
c) Endere\u00e7o de correio eletr\u00f3nico.<\/p>\n
3 – Para efeitos do disposto na al\u00ednea c) do n.\u00ba 1, as empresas devem comunicar \u00e0 ANACOM os seguintes elementos:<\/p>\n
a) N\u00famero de telefone fixo;<\/p>\n
b) N\u00famero de telefone m\u00f3vel;<\/p>\n
c) Endere\u00e7o de correio eletr\u00f3nico;<\/p>\n
d) Contactos alternativos;<\/p>\n
e) Endere\u00e7o geogr\u00e1fico do local onde \u00e9 assegurada a fun\u00e7\u00e3o;<\/p>\n
f) Quando aplic\u00e1vel, elementos de contacto para ativa\u00e7\u00e3o da fun\u00e7\u00e3o de ponto de contacto permanente, nos termos previstos na al\u00ednea b) do n.\u00ba 3 do artigo 15.\u00ba, incluindo n\u00famero de telefone fixo, n\u00famero de telefone m\u00f3vel e endere\u00e7o de correio eletr\u00f3nico.<\/p>\n
4 – Antes do termo do prazo previsto no n.\u00ba 1 do presente artigo e em caso de necessidade, as empresas devem assegurar que os contactos fornecidos no \u00e2mbito da comunica\u00e7\u00e3o pr\u00e9via de in\u00edcio de atividade, ao abrigo do disposto no artigo 22.\u00ba da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, asseguram, a t\u00edtulo provis\u00f3rio, a fun\u00e7\u00e3o prevista no artigo 15.\u00ba do presente regulamento.<\/p>\n
5 – As empresas devem comunicar \u00e0 ANACOM, previamente \u00e0 sua implementa\u00e7\u00e3o, qualquer altera\u00e7\u00e3o da informa\u00e7\u00e3o fornecida ao abrigo do disposto no presente artigo.<\/p>\n
Artigo 19.\u00ba<\/p>\n
Relat\u00f3rio anual de seguran\u00e7a<\/p>\n
1 – As empresas devem elaborar um relat\u00f3rio anual de seguran\u00e7a, que, de forma completa, mas sucinta, contenha os seguintes elementos:<\/p>\n
a) Descri\u00e7\u00e3o das atividades desenvolvidas em mat\u00e9ria de seguran\u00e7a das redes e servi\u00e7os;<\/p>\n
b) Estat\u00edstica trimestral de todos os incidentes de seguran\u00e7a, com ou sem impacto significativo, com indica\u00e7\u00e3o do n\u00famero e do tipo dos incidentes;<\/p>\n
c) An\u00e1lise agregada dos incidentes de seguran\u00e7a com maior impacto, incluindo todas as viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com impacto significativo, e respetivo tempo m\u00e9dio de recupera\u00e7\u00e3o;<\/p>\n
d) Descri\u00e7\u00e3o do programa de exerc\u00edcios que abranja o ano civil seguinte ao qual o relat\u00f3rio anual de seguran\u00e7a se reporta;<\/p>\n
e) Recomenda\u00e7\u00f5es de atividades, incluindo exerc\u00edcios conjuntos, de medidas ou de pr\u00e1ticas de coopera\u00e7\u00e3o que promovam a melhoria da seguran\u00e7a das redes e servi\u00e7os;<\/p>\n
f) Quest\u00f5es identificadas e li\u00e7\u00f5es aprendidas na sequ\u00eancia dos incidentes de seguran\u00e7a ocorridos durante o ano civil a que o relat\u00f3rio anual de seguran\u00e7a se reporta;<\/p>\n
g) Qualquer outra informa\u00e7\u00e3o relevante.<\/p>\n
2 – As empresas devem apresentar o relat\u00f3rio anual de seguran\u00e7a \u00e0 ANACOM, assinado pelo respons\u00e1vel da seguran\u00e7a:<\/p>\n
a) Quanto ao primeiro relat\u00f3rio anual de seguran\u00e7a:<\/p>\n
i) At\u00e9 ao \u00faltimo dia \u00fatil do m\u00eas de janeiro do ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha in\u00edcio no primeiro semestre;<\/p>\n
ii) At\u00e9 ao \u00faltimo dia \u00fatil do m\u00eas de janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha in\u00edcio no segundo semestre;<\/p>\n
b) Quanto aos demais relat\u00f3rios anuais de seguran\u00e7a, at\u00e9 ao \u00faltimo dia \u00fatil do m\u00eas de janeiro do ano civil seguinte aos quais os mesmos se reportam.<\/p>\n
3 – Para efeitos do disposto na subal\u00ednea ii) da al\u00ednea a) do n\u00famero anterior, o relat\u00f3rio anual de seguran\u00e7a deve abranger todo o per\u00edodo entre a data de in\u00edcio de atividade e o final do ano civil anterior.<\/p>\n
4 – Para efeitos do disposto na al\u00ednea b) do n.\u00ba 1, a ANACOM pode definir uma taxonomia comum de tipos de incidentes de seguran\u00e7a a ser utilizada pelas empresas, bem como o formato em que a informa\u00e7\u00e3o deve ser apresentada.<\/p>\n
T\u00edtulo III<\/p>\n
Obriga\u00e7\u00f5es de notifica\u00e7\u00e3o e de informa\u00e7\u00e3o ao p\u00fablico<\/p>\n
Cap\u00edtulo I<\/p>\n
Obriga\u00e7\u00f5es de notifica\u00e7\u00e3o<\/p>\n
Artigo 20.\u00ba<\/p>\n
\u00c2mbito das obriga\u00e7\u00f5es de notifica\u00e7\u00e3o<\/p>\n
1 – Para efeitos do disposto no artigo 54.\u00ba-B da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, as empresas est\u00e3o obrigadas a notificar a ANACOM das viola\u00e7\u00f5es de seguran\u00e7a ou das perdas de integridade com impacto significativo no funcionamento das redes e servi\u00e7os que oferecem, nos termos previstos no presente Cap\u00edtulo I.<\/p>\n
2 – O cumprimento das obriga\u00e7\u00f5es de notifica\u00e7\u00e3o previstas no presente Cap\u00edtulo I n\u00e3o prejudica, nem substitui, nomeadamente:<\/p>\n
a) O cumprimento, por parte das empresas, das suas obriga\u00e7\u00f5es de notifica\u00e7\u00e3o dos incidentes de seguran\u00e7a em causa \u00e0s autoridades competentes, nomeadamente a ANPC, o Minist\u00e9rio P\u00fablico, o GNS\/CNCS, a CNPD e as autoridades regionais, locais e sectoriais, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis, nomeadamente no \u00e2mbito do planeamento civil de emerg\u00eancia, da prote\u00e7\u00e3o civil e da seguran\u00e7a interna;<\/p>\n
b) As comunica\u00e7\u00f5es, por parte das empresas, \u00e0s demais empresas envolvidas nos incidentes de seguran\u00e7a em causa, na medida necess\u00e1ria ao cumprimento do disposto no artigo 4.\u00ba e no n.\u00ba 15 do artigo 22.\u00ba<\/p>\n
3 – Para efeitos do disposto na al\u00ednea a) do n\u00famero anterior, no \u00e2mbito das suas atribui\u00e7\u00f5es e compet\u00eancias, nomeadamente em mat\u00e9ria de planeamento civil de emerg\u00eancia e de prote\u00e7\u00e3o civil, a ANACOM pode, em colabora\u00e7\u00e3o com as autoridades competentes, formular recomenda\u00e7\u00f5es \u00e0s empresas quanto \u00e0 articula\u00e7\u00e3o entre os procedimentos de notifica\u00e7\u00e3o em causa.<\/p>\n
Artigo 21.\u00ba<\/p>\n
Circunst\u00e2ncias<\/p>\n
1 – Para efeitos do disposto no artigo anterior, devem ser objeto de notifica\u00e7\u00e3o todas as viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade que causem uma perturba\u00e7\u00e3o grave no funcionamento das redes e servi\u00e7os, com impacto significativo na continuidade desse funcionamento, de acordo com as circunst\u00e2ncias e as regras previstas nos n\u00fameros seguintes.<\/p>\n
2 – Para efeitos do disposto nos n\u00fameros anteriores, as empresas devem notificar a ANACOM:<\/p>\n
a) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade cujo impacto se inclua num dos seguintes patamares:<\/p>\n
(ver documento original)<\/p>\n
b) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade que afete a entrega aos PASP, direta ou indiretamente, das chamadas para o n\u00famero \u00fanico de emerg\u00eancia europeu 112, bem como das chamadas para o n\u00famero nacional de emerg\u00eancia 115, por um per\u00edodo igual ou superior a 15 minutos;<\/p>\n
c) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade recorrente, sempre que o impacto acumulado das suas ocorr\u00eancias num per\u00edodo de quatro semanas preencha uma das condi\u00e7\u00f5es previstas nas al\u00edneas anteriores;<\/p>\n
d) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade que se verifique numa data em que seja particularmente relevante o normal e cont\u00ednuo funcionamento das redes e servi\u00e7os, nos termos previstos no n.\u00ba 4 do presente artigo, desde que:<\/p>\n
i) Tenha uma dura\u00e7\u00e3o igual ou superior a uma hora;<\/p>\n
ii) Afete um n\u00famero de assinantes ou de acessos igual ou superior a 1.000 ou, nos termos da al\u00ednea e) do n.\u00ba 3 do presente artigo, uma \u00e1rea geogr\u00e1fica igual ou superior a 100 km2;<\/p>\n
e) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade que impacte no funcionamento de todas as redes e servi\u00e7os oferecidos por uma empresa na totalidade do territ\u00f3rio de uma ilha das Regi\u00f5es Aut\u00f3nomas dos A\u00e7ores ou da Madeira, desde que tenha uma dura\u00e7\u00e3o igual ou superior a 30 minutos, independentemente do n\u00famero de assinantes ou de acessos afetados e da \u00e1rea geogr\u00e1fica afetada;<\/p>\n
f) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, detetada pelas empresas ou a estas comunicada pelos seus clientes, que impacte no funcionamento das redes e servi\u00e7os atrav\u00e9s dos quais sejam prestados servi\u00e7os relevantes \u00e0 sociedade e aos cidad\u00e3os, por parte dos seus clientes, de natureza p\u00fablica ou privada, de \u00e2mbito nacional ou regional, previstos no n.\u00ba 5 do presente artigo, desde que tenha uma dura\u00e7\u00e3o igual ou superior a 30 minutos;<\/p>\n
g) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade cujo impacto acumulado sobre um conjunto de empresas que se encontrem nas condi\u00e7\u00f5es previstas no n.\u00ba 2 do artigo 3.\u00ba da Lei n.\u00ba 19\/2012, de 8 de maio, alterada pela Lei n.\u00ba 23\/2018, de 5 de junho, preencha uma das condi\u00e7\u00f5es previstas na al\u00ednea a) e, na parte que remete para esta al\u00ednea, na al\u00ednea c), ambas do presente n.\u00ba 2.<\/p>\n
3 – Para efeitos do disposto no n\u00famero anterior:<\/p>\n
a) O impacto de uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade deve ser aferido por refer\u00eancia a todas as redes e a todos os servi\u00e7os de uma empresa que sejam afetados pela mesma;<\/p>\n
b) O n\u00famero de assinantes ou de acessos afetados por uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade corresponde \u00e0 soma do n\u00famero de assinantes ou de acessos que s\u00e3o afetados pela mesma nas v\u00e1rias redes e servi\u00e7os;<\/p>\n
c) O n\u00famero de assinantes de um servi\u00e7o que seja suportado noutro servi\u00e7o s\u00f3 \u00e9 contabilizado quando o servi\u00e7o de suporte n\u00e3o seja afetado;<\/p>\n
d) O n\u00famero de assinantes ou de acessos afetados corresponde ao n\u00famero de assinantes ou de acessos que sejam abrangidos pela viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade ou, na impossibilidade da sua determina\u00e7\u00e3o, a uma estimativa baseada nos elementos estat\u00edsticos detidos pela empresa;<\/p>\n
e) O crit\u00e9rio relativo \u00e0 \u00e1rea geogr\u00e1fica afetada s\u00f3 deve ser aplicado caso o crit\u00e9rio relativo ao n\u00famero de assinantes ou de acessos afetados seja inaplic\u00e1vel ou, no caso concreto, fundamentadamente imposs\u00edvel de determinar ou estimar.<\/p>\n
4 – Para os efeitos previstos na al\u00ednea d) do n.\u00ba 2 e sem preju\u00edzo da identifica\u00e7\u00e3o pela ANACOM de outras datas, devidamente notificadas \u00e0s empresas com uma anteced\u00eancia m\u00ednima de cinco dias \u00fateis, considera-se como datas relevantes as seguintes:<\/p>\n
a) Dia de elei\u00e7\u00f5es nacionais (legislativas, presidenciais, europeias ou aut\u00e1rquicas);<\/p>\n
b) Dia de referendos nacionais;<\/p>\n
c) Dia de exerc\u00edcio nacional de redes ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, ao abrigo do disposto na al\u00ednea c) do artigo 54.\u00ba-D da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e do n.\u00ba 3 do artigo 12.\u00ba do presente regulamento;<\/p>\n
d) Dia de elei\u00e7\u00f5es regionais, no que respeita a viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade ocorridas na regi\u00e3o em causa.<\/p>\n
5 – Para os efeitos previstos na al\u00ednea f) do n.\u00ba 2, considera-se como clientes relevantes:<\/p>\n
a) O SIRESP;<\/p>\n
b) A RNSI;<\/p>\n
c) O SRPCBA;<\/p>\n
d) A partir da data da notifica\u00e7\u00e3o da sua identifica\u00e7\u00e3o, pela ANACOM, \u00e0s empresas:<\/p>\n
i) Os operadores de servi\u00e7os essenciais a identificar no \u00e2mbito da aplica\u00e7\u00e3o do diploma de transposi\u00e7\u00e3o da Diretiva (UE) n.\u00ba 2016\/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado n\u00edvel comum de seguran\u00e7a das redes e da informa\u00e7\u00e3o em toda a Uni\u00e3o;<\/p>\n
ii) Os propriet\u00e1rios ou operadores de infraestruturas cr\u00edticas designadas ao abrigo do disposto no Decreto-Lei n.\u00ba 62\/2011, de 9 de maio, e na demais legisla\u00e7\u00e3o aplic\u00e1vel;<\/p>\n
e) Outras entidades a identificar pela ANACOM, devidamente notificadas \u00e0s empresas com uma anteced\u00eancia m\u00ednima de cinco dias \u00fateis.<\/p>\n
Artigo 22.\u00ba<\/p>\n
Formato e Procedimentos<\/p>\n
1 – Por cada viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade que deva ser objeto de notifica\u00e7\u00e3o ao abrigo do disposto no artigo anterior, as empresas devem submeter \u00e0 ANACOM:<\/p>\n
a) Uma notifica\u00e7\u00e3o inicial, nos termos dos n.os 4 e 5 do presente artigo;<\/p>\n
b) Uma notifica\u00e7\u00e3o final, nos termos do n.os 8 e 9 do presente artigo;<\/p>\n
c) Sempre que exigida, em conformidade com o disposto no n.\u00ba 6 do presente artigo, uma notifica\u00e7\u00e3o de fim de viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacto significativo, nos termos dos n.os 6 e 7 do presente artigo.<\/p>\n
2 – Na circunst\u00e2ncia prevista na al\u00ednea c) do n.\u00ba 2 do artigo anterior, as empresas apenas devem submeter \u00e0 ANACOM uma notifica\u00e7\u00e3o final nos termos previstos nos n.os 8 e 9 do presente artigo, com as devidas adapta\u00e7\u00f5es.<\/p>\n
3 – Na circunst\u00e2ncia prevista na al\u00ednea g) do n.\u00ba 2 do artigo anterior, pode ser dirigida \u00e0 ANACOM uma \u00fanica s\u00e9rie de notifica\u00e7\u00f5es, nos termos previstos no n.\u00ba 1 do presente artigo, desde que as mesmas:<\/p>\n
a) Abranjam todo o impacto da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade;<\/p>\n
b) Sejam apresentadas em representa\u00e7\u00e3o de todas as empresas.<\/p>\n
4 – A notifica\u00e7\u00e3o inicial deve ser enviada logo que seja poss\u00edvel e desde que a empresa possa concluir que existe ou existir\u00e1 impacto significativo, at\u00e9 uma hora ap\u00f3s a verifica\u00e7\u00e3o da circunst\u00e2ncia prevista no artigo anterior que, no caso concreto, determinou a obriga\u00e7\u00e3o de notifica\u00e7\u00e3o, devendo a empresa, sem preju\u00edzo do cumprimento deste prazo, dar prioridade \u00e0 mitiga\u00e7\u00e3o e \u00e0 resolu\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, come\u00e7ando pelo restabelecimento da oferta de redes e servi\u00e7os atrav\u00e9s dos quais os clientes relevantes, nos termos previstos no n.\u00ba 5 do artigo anterior, prestam os seus servi\u00e7os relevantes \u00e0 sociedade e aos cidad\u00e3os.<\/p>\n
5 – A notifica\u00e7\u00e3o prevista no n\u00famero anterior deve incluir a seguinte informa\u00e7\u00e3o:<\/p>\n
a) Nome, n\u00famero de telefone e endere\u00e7o de correio eletr\u00f3nico de um representante da empresa, para efeito de um eventual contacto por parte da ANACOM;<\/p>\n
b) Data e hora do in\u00edcio ou, em caso de impossibilidade de o determinar, da dete\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade;<\/p>\n
c) Data e hora em que a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade assumiu o impacto significativo;<\/p>\n
d) Data e hora em que a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade perdeu o impacto significativo ou, caso o mesmo se mantenha, o prazo estimado para a sua perda;<\/p>\n
e) Breve descri\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, incluindo a indica\u00e7\u00e3o da categoria da causa raiz e, na medida do poss\u00edvel, o seu detalhe;<\/p>\n
f) Estimativa poss\u00edvel do seu impacto, em termos de:<\/p>\n
i) Redes e servi\u00e7os afetados;<\/p>\n
ii) Acesso aos servi\u00e7os de emerg\u00eancia;<\/p>\n
iii) N\u00famero de assinantes ou de acessos afetados;<\/p>\n
iv) Clientes relevantes afetados, nos termos previstos no n.\u00ba 5 do artigo anterior, quando aplic\u00e1vel;<\/p>\n
v) \u00c1rea geogr\u00e1fica afetada, em km2;<\/p>\n
g) Observa\u00e7\u00f5es.<\/p>\n
6 – Ap\u00f3s a perda de impacto significativo da viola\u00e7\u00e3o de seguran\u00e7a ou da perda de integridade e sempre que a mesma n\u00e3o tenha j\u00e1 sido comunicada na notifica\u00e7\u00e3o inicial, as empresas devem submeter \u00e0 ANACOM, logo que poss\u00edvel, dentro do prazo m\u00e1ximo de duas horas ap\u00f3s aquela ter ocorrido, uma notifica\u00e7\u00e3o de fim de viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacto significativo.<\/p>\n
7 – A notifica\u00e7\u00e3o referida no n\u00famero anterior deve incluir a seguinte informa\u00e7\u00e3o:<\/p>\n
a) Atualiza\u00e7\u00e3o da informa\u00e7\u00e3o transmitida na notifica\u00e7\u00e3o inicial;<\/p>\n
b) Breve descri\u00e7\u00e3o das medidas adotadas para a resolu\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade;<\/p>\n
c) Indica\u00e7\u00e3o das freguesias e respetivos concelhos onde houve assinantes, acessos ou \u00e1rea geogr\u00e1fica afetados;<\/p>\n
d) Descri\u00e7\u00e3o da situa\u00e7\u00e3o do impacto existente no momento do fim de impacto significativo, nomeadamente:<\/p>\n
i) Redes e servi\u00e7os ainda afetados;<\/p>\n
ii) N\u00famero de assinantes ou de acessos ainda afetados;<\/p>\n
iii) Clientes relevantes ainda afetados, nos termos previstos no n.\u00ba 5 do artigo anterior, quando aplic\u00e1vel;<\/p>\n
iv) \u00c1rea geogr\u00e1fica ainda afetada, em km2;<\/p>\n
v) Freguesias e respetivos concelhos onde ainda existam assinantes, acessos ou \u00e1rea geogr\u00e1fica afetados;<\/p>\n
vi) Tempos estimados para a recupera\u00e7\u00e3o total dos assinantes, acessos, clientes relevantes ou \u00e1rea geogr\u00e1fica ainda afetados.<\/p>\n
8 – A notifica\u00e7\u00e3o final deve ser assinada pelo respons\u00e1vel da seguran\u00e7a e enviada no prazo de 20 dias \u00fateis a contar do momento em que a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade deixou de assumir um impacto significativo.<\/p>\n
9 – A notifica\u00e7\u00e3o prevista no n\u00famero anterior deve incluir a seguinte informa\u00e7\u00e3o:<\/p>\n
a) Identificador \u00fanico da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade atribu\u00eddo pela ANACOM aquando da notifica\u00e7\u00e3o inicial;<\/p>\n
b) Data e hora em que a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade assumiu o impacto significativo;<\/p>\n
c) Data e hora em que a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade perdeu o impacto significativo;<\/p>\n
d) Data e hora do in\u00edcio ou, em caso de impossibilidade de o determinar, da dete\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade e data e hora do respetivo fim, caso sejam diferentes das datas e horas transmitidas, respetivamente, ao abrigo das al\u00edneas b) e c);<\/p>\n
e) Impacto da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade em termos de:<\/p>\n
i) Redes (incluindo as interliga\u00e7\u00f5es nacionais e internacionais) e respetivas infraestruturas (incluindo sistemas), com indica\u00e7\u00e3o, no caso de ativos classificados nas classes A e B, do respetivo identificador \u00fanico, e servi\u00e7os afetados;<\/p>\n
ii) Acesso aos servi\u00e7os de emerg\u00eancia pelo n\u00famero \u00fanico de emerg\u00eancia europeu 112 (incluindo o acesso pelo n\u00famero nacional de emerg\u00eancia 115);<\/p>\n
iii) N\u00famero de assinantes ou de acessos afetados, por rede e servi\u00e7o;<\/p>\n
iv) Clientes relevantes afetados, nos termos previstos no n.\u00ba 5 do artigo anterior, quando aplic\u00e1vel;<\/p>\n
v) Percentagem do n\u00famero de assinantes ou de acessos afetados em rela\u00e7\u00e3o ao total de assinantes ou de acessos, por rede e servi\u00e7o;<\/p>\n
vi) \u00c1rea geogr\u00e1fica afetada, em km2;<\/p>\n
vii) Freguesias e respetivos concelhos onde houve assinantes, acessos ou \u00e1rea geogr\u00e1fica afetados;<\/p>\n
f) Descri\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, com indica\u00e7\u00e3o da categoria da causa raiz e o respetivo detalhe;<\/p>\n
g) Indica\u00e7\u00e3o das medidas adotadas para mitigar a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade;<\/p>\n
h) Indica\u00e7\u00e3o das medidas adotadas para a resolu\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, incluindo, no caso de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com tempos de restaura\u00e7\u00e3o parciais, a cronologia e o detalhe das etapas de restaura\u00e7\u00e3o;<\/p>\n
i) Indica\u00e7\u00e3o das medidas adotadas e\/ou planeadas para impedir ou minimizar a ocorr\u00eancia de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade similares no futuro (no \u00e2mbito do planeamento e\/ou da explora\u00e7\u00e3o, do plano de conting\u00eancia, dos acordos de interliga\u00e7\u00e3o, dos acordos de n\u00edveis de servi\u00e7os e de outras \u00e1reas pertinentes) e da data em que as mesmas foram ou ser\u00e3o tornadas efetivas;<\/p>\n
j) Quando seja o caso, a informa\u00e7\u00e3o disponibilizada ao p\u00fablico relativamente \u00e0 viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, incluindo eventuais atualiza\u00e7\u00f5es da mesma, bem como a data e a hora dessas comunica\u00e7\u00f5es;<\/p>\n
k) Descri\u00e7\u00e3o da situa\u00e7\u00e3o residual do impacto existente \u00e0 data da notifica\u00e7\u00e3o final, nomeadamente:<\/p>\n
i) Redes e servi\u00e7os ainda afetados;<\/p>\n
ii) N\u00famero de assinantes ou de acessos ainda afetados;<\/p>\n
iii) Clientes relevantes ainda afetados, nos termos previstos no n.\u00ba 5 do artigo anterior, quando aplic\u00e1vel;<\/p>\n
iv) \u00c1rea geogr\u00e1fica ainda afetada, em km2;<\/p>\n
v) Freguesias e respetivos concelhos onde ainda existam assinantes, acessos ou \u00e1rea geogr\u00e1fica afetados;<\/p>\n
vi) Tempos estimados para a recupera\u00e7\u00e3o total dos assinantes, acessos, clientes relevantes ou \u00e1rea geogr\u00e1fica ainda afetados.<\/p>\n
l) Quando seja o caso, indica\u00e7\u00e3o da apresenta\u00e7\u00e3o de den\u00fancia ao Minist\u00e9rio P\u00fablico;<\/p>\n
m) Outra informa\u00e7\u00e3o relevante;<\/p>\n
n) Observa\u00e7\u00f5es.<\/p>\n
10 – Nos casos em que exista uma situa\u00e7\u00e3o residual do impacto existente \u00e0 data da notifica\u00e7\u00e3o final, descrita ao abrigo do disposto na al\u00ednea k) do n\u00famero anterior, as empresas devem comunicar \u00e0 ANACOM, logo que poss\u00edvel, a recupera\u00e7\u00e3o total dessa situa\u00e7\u00e3o residual.<\/p>\n
11 – Para os efeitos do disposto nos n.os 5, 7 e 9, as viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade podem ter as seguintes categorias de causas raiz:<\/p>\n
a) Acidente ou desastre natural;<\/p>\n
b) Erro humano;<\/p>\n
c) Ataque malicioso;<\/p>\n
d) Falha de hardware ou de software; ou<\/p>\n
e) Falha no fornecimento de bens ou servi\u00e7os por terceiro.<\/p>\n
12 – A informa\u00e7\u00e3o inclu\u00edda nas notifica\u00e7\u00f5es previstas no presente artigo relativamente ao n\u00famero de assinantes ou de acessos deve, sempre que poss\u00edvel, obedecer \u00e0s defini\u00e7\u00f5es fixadas no \u00e2mbito das obriga\u00e7\u00f5es de entrega de informa\u00e7\u00e3o peri\u00f3dica \u00e0 ANACOM.<\/p>\n
13 – As notifica\u00e7\u00f5es previstas no presente artigo devem ser realizadas atrav\u00e9s dos seguintes meios:<\/p>\n
a) No que respeita \u00e0 notifica\u00e7\u00e3o inicial e \u00e0 notifica\u00e7\u00e3o de fim de viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacto significativo, atrav\u00e9s do endere\u00e7o de correio eletr\u00f3nico e do n\u00famero de telefone publicados especificamente para o efeito no s\u00edtio institucional da ANACOM na Internet;<\/p>\n
b) No que respeita \u00e0 notifica\u00e7\u00e3o final, atrav\u00e9s de meio eletr\u00f3nico espec\u00edfico a determinar pela ANACOM ou, at\u00e9 \u00e0 sua determina\u00e7\u00e3o, de entrega em m\u00e3o ou de correio registado.<\/p>\n
14 – Qualquer altera\u00e7\u00e3o aos contactos previstos no n\u00famero anterior deve ser comunicada \u00e0s empresas e publicada no s\u00edtio institucional da ANACOM na Internet, com uma anteced\u00eancia m\u00ednima de 20 dias \u00fateis.<\/p>\n
15 – As empresas cujas redes ou servi\u00e7os sejam impactados no seu funcionamento pela mesma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, devem cooperar entre si para a correta dete\u00e7\u00e3o e avalia\u00e7\u00e3o de impacto dessa viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade e, no caso previsto na al\u00ednea g) do n.\u00ba 2 do artigo anterior, para a respetiva notifica\u00e7\u00e3o.<\/p>\n
16 – Tendo em vista o cabal cumprimento do disposto no presente Cap\u00edtulo, as empresas devem implementar todos os meios e os procedimentos necess\u00e1rios \u00e0 dete\u00e7\u00e3o, \u00e0 avalia\u00e7\u00e3o do impacto e \u00e0 notifica\u00e7\u00e3o das viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade que preencham as circunst\u00e2ncias previstas no artigo anterior.<\/p>\n
Cap\u00edtulo II<\/p>\n
Obriga\u00e7\u00f5es de informa\u00e7\u00e3o ao p\u00fablico<\/p>\n
Artigo 23.\u00ba<\/p>\n
Condi\u00e7\u00f5es<\/p>\n
1 – Para efeitos do disposto na al\u00ednea b) do artigo 54.\u00ba-E da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, as empresas devem informar o p\u00fablico de qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade cujo impacto no funcionamento das suas redes e servi\u00e7os se inclua num dos seguintes patamares:<\/p>\n
(ver documento original)<\/p>\n
2 – Para efeitos do disposto no n\u00famero anterior:<\/p>\n
a) O impacto de uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade deve ser aferido por refer\u00eancia a todas as redes e a todos os servi\u00e7os de uma empresa que sejam afetados pela mesma;<\/p>\n
b) O n\u00famero de assinantes ou de acessos afetados por uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade corresponde \u00e0 soma do n\u00famero de assinantes ou de acessos que s\u00e3o afetados pela mesma nas v\u00e1rias redes e servi\u00e7os;<\/p>\n
c) O n\u00famero de assinantes de um servi\u00e7o que seja suportado noutro servi\u00e7o s\u00f3 \u00e9 contabilizado quando o servi\u00e7o de suporte n\u00e3o seja afetado;<\/p>\n
d) O n\u00famero de assinantes ou de acessos afetados corresponde ao n\u00famero de assinantes ou de acessos que sejam abrangidos pela viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade ou, na impossibilidade da sua determina\u00e7\u00e3o, a uma estimativa baseada nos elementos estat\u00edsticos detidos pela empresa;<\/p>\n
e) O crit\u00e9rio relativo \u00e0 \u00e1rea geogr\u00e1fica afetada s\u00f3 deve ser aplicado caso o crit\u00e9rio relativo ao n\u00famero de assinantes ou de acessos afetados seja inaplic\u00e1vel ou, no caso concreto, fundamentadamente imposs\u00edvel de determinar ou estimar.<\/p>\n
3 – O disposto no presente artigo n\u00e3o prejudica que, em circunst\u00e2ncias n\u00e3o previstas no n.\u00ba 1 e sempre que a ANACOM tamb\u00e9m o considere de interesse p\u00fablico e assim o determine, ao abrigo do disposto na al\u00ednea b) do artigo 54.\u00ba-E da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, as empresas devam informar o p\u00fablico de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade ocorridas nas suas redes e servi\u00e7os.<\/p>\n
Artigo 24.\u00ba<\/p>\n
Conte\u00fado, meios e prazos de divulga\u00e7\u00e3o<\/p>\n
1 – Na informa\u00e7\u00e3o ao p\u00fablico das viola\u00e7\u00f5es de seguran\u00e7a ou das perdas de integridade a que se refere o artigo anterior, as empresas devem:<\/p>\n
a) Assegurar que o conte\u00fado da informa\u00e7\u00e3o seja claro, acess\u00edvel e t\u00e3o preciso quanto poss\u00edvel e que inclua, entre outros elementos considerados relevantes:<\/p>\n
i) A indica\u00e7\u00e3o das redes e servi\u00e7os afetados;<\/p>\n
ii) A indica\u00e7\u00e3o da zona ou das zonas que, em resultado das viola\u00e7\u00f5es de seguran\u00e7a ou das perdas de integridade ocorridas, se encontram afetadas, desagregada ao n\u00edvel da freguesia, se poss\u00edvel de modo gr\u00e1fico sobre um mapa de Portugal;<\/p>\n
iii) O prazo expect\u00e1vel de resolu\u00e7\u00e3o ou, quando for o caso, a data de resolu\u00e7\u00e3o;<\/p>\n
b) Disponibilizar a informa\u00e7\u00e3o, no m\u00ednimo, nos respetivos s\u00edtios na Internet que utilizam no seu relacionamento com os utilizadores, atrav\u00e9s de uma hiperliga\u00e7\u00e3o imediatamente vis\u00edvel e identific\u00e1vel na primeira p\u00e1gina do s\u00edtio, sem necessidade do uso da barra elevat\u00f3ria;<\/p>\n
c) Disponibilizar a informa\u00e7\u00e3o logo que poss\u00edvel, no prazo m\u00e1ximo de uma hora ap\u00f3s a notifica\u00e7\u00e3o inicial \u00e0 ANACOM;<\/p>\n
d) Assegurar que a informa\u00e7\u00e3o disponibilizada se mant\u00e9m permanentemente atualizada, nomeadamente sempre que se verifique alguma altera\u00e7\u00e3o significativa e logo ap\u00f3s o fim da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade;<\/p>\n
e) Manter a informa\u00e7\u00e3o disponibilizada atrav\u00e9s da Internet acess\u00edvel ao p\u00fablico, nas mesmas localiza\u00e7\u00f5es referidas na al\u00ednea b), durante o per\u00edodo de 20 dias \u00fateis a contar da data do fim da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade.<\/p>\n
2 – As empresas devem comunicar \u00e0 ANACOM, logo que iniciem a sua atividade, os endere\u00e7os URL das p\u00e1ginas na Internet nas quais, para efeitos do disposto na al\u00ednea b) do n\u00famero anterior, proceder\u00e3o \u00e0 divulga\u00e7\u00e3o ao p\u00fablico das viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade ocorridas nas suas redes e servi\u00e7os, bem como qualquer altera\u00e7\u00e3o posterior dos mesmos com uma anteced\u00eancia m\u00ednima de cinco dias \u00fateis relativamente \u00e0 sua execu\u00e7\u00e3o.<\/p>\n
3 – A ANACOM, caso considere adequado e com vista a facilitar o acesso, por parte do p\u00fablico, \u00e0 informa\u00e7\u00e3o relativa a viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade, pode divulgar, nomeadamente no seu s\u00edtio institucional na Internet, uma lista dos endere\u00e7os URL previstos no n\u00famero anterior.<\/p>\n
4 – Tendo em vista o cabal cumprimento do disposto no presente Cap\u00edtulo II, as empresas devem implementar todos os meios e os procedimentos necess\u00e1rios \u00e0 dete\u00e7\u00e3o, \u00e0 avalia\u00e7\u00e3o do impacto e \u00e0 divulga\u00e7\u00e3o das viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade que preencham as circunst\u00e2ncias previstas no artigo anterior.<\/p>\n
T\u00edtulo IV<\/p>\n
Auditorias \u00e0 seguran\u00e7a das redes e servi\u00e7os<\/p>\n
Cap\u00edtulo I<\/p>\n
Disposi\u00e7\u00f5es gerais<\/p>\n
Artigo 25.\u00ba<\/p>\n
Dever de realiza\u00e7\u00e3o de auditoria<\/p>\n
Para efeitos do disposto nos n.os 1 e 2 do artigo 54.\u00ba-F da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, as empresas que detenham ativos classificados na classe A devem assegurar a realiza\u00e7\u00e3o, atrav\u00e9s de auditoras independentes e a expensas suas, de auditorias \u00e0 seguran\u00e7a das suas redes e servi\u00e7os, nos termos previstos no presente T\u00edtulo IV.<\/p>\n
Artigo 26.\u00ba<\/p>\n
\u00c2mbito<\/p>\n
As empresas devem assegurar que as auditorias se enquadram num ciclo de melhoria cont\u00ednua e permitem verificar, em rela\u00e7\u00e3o a uma amostra adequada dos ativos classificados nas classes A e B e tendo em considera\u00e7\u00e3o a situa\u00e7\u00e3o existente na empresa, o cumprimento das normas legais e regulamentares aplic\u00e1veis.<\/p>\n
Artigo 27.\u00ba<\/p>\n
Documentos e normas de refer\u00eancia<\/p>\n
As empresas devem assegurar que as auditorias s\u00e3o realizadas em conformidade com as normas, especifica\u00e7\u00f5es ou recomenda\u00e7\u00f5es nacionais, europeias e internacionais existentes sobre a mat\u00e9ria, nomeadamente:<\/p>\n
a) ISO\/IEC 17021-1:2015 (Conformity assessment – Requirements for bodies providing audit and certification of management systems – Part 1: Requirements);<\/p>\n
b) ISO\/IEC TS 17021-5:2014 (Conformity assessment – Requirements for bodies providing audit and certification of management systems – Part 5: Competence requirements for auditing and certification of asset management systems);<\/p>\n
c) ISO\/IEC TS 17021-6:2014 (Conformity assessment – Requirements for bodies providing audit and certification of management systems – Part 6: Competence requirements for auditing and certification of business continuity management systems);<\/p>\n
d) ISO\/IEC 27006:2015 (Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems);<\/p>\n
e) ISO\/IEC 27007:2017 (Information technology – Security techniques – Guidelines for information security management systems auditing);<\/p>\n
f) ISO 19011:2011 (Guidelines for auditing management systems);<\/p>\n
g) Outra norma, especifica\u00e7\u00e3o ou recomenda\u00e7\u00e3o nacional, europeia ou internacional adequada.<\/p>\n
Artigo 28.\u00ba<\/p>\n
Auditoras<\/p>\n
1 – As empresas devem assegurar que as auditoras e todos os colaboradores destas envolvidos na realiza\u00e7\u00e3o das auditorias cumprem os seguintes requisitos:<\/p>\n
a) Compet\u00eancia t\u00e9cnica, nomeadamente de acordo com as normas, especifica\u00e7\u00f5es e recomenda\u00e7\u00f5es aplic\u00e1veis ao abrigo do disposto no artigo anterior;<\/p>\n
b) Experi\u00eancia relevante no setor das comunica\u00e7\u00f5es eletr\u00f3nicas, nomeadamente em mat\u00e9ria de planeamento, de opera\u00e7\u00e3o ou de seguran\u00e7a das redes e servi\u00e7os;<\/p>\n
c) Credencia\u00e7\u00e3o adequada emitida pelas autoridades competentes para acesso a mat\u00e9ria classificada, sempre que necess\u00e1rio e nos termos legalmente previstos.<\/p>\n
2 – As empresas devem assegurar que as auditoras n\u00e3o sejam seus fornecedores para outros servi\u00e7os, com exce\u00e7\u00e3o da realiza\u00e7\u00e3o de auditorias externas e independentes, e que entregam declara\u00e7\u00f5es de inexist\u00eancia de conflitos de interesses em seu nome e em nome de todos os colaboradores envolvidos, em conformidade com a legisla\u00e7\u00e3o aplic\u00e1vel.<\/p>\n
3 – As empresas devem assegurar a rotatividade na escolha das auditoras, de modo a que a mesma auditora n\u00e3o realize mais do que duas auditorias consecutivas.<\/p>\n
Artigo 29.\u00ba<\/p>\n
Dever de colabora\u00e7\u00e3o<\/p>\n
1 – As empresas devem prestar \u00e0s auditoras toda a colabora\u00e7\u00e3o e assist\u00eancia necess\u00e1rias para a realiza\u00e7\u00e3o das auditorias nos termos previstos no presente T\u00edtulo IV, nomeadamente:<\/p>\n
a) Colabora\u00e7\u00e3o na prepara\u00e7\u00e3o e na realiza\u00e7\u00e3o das auditorias;<\/p>\n
b) Colabora\u00e7\u00e3o na elabora\u00e7\u00e3o dos relat\u00f3rios de auditoria;<\/p>\n
c) Disponibiliza\u00e7\u00e3o de acesso a todos os meios de prova solicitados;<\/p>\n
d) Disponibiliza\u00e7\u00e3o de acesso aos meios necess\u00e1rios, nomeadamente para realiza\u00e7\u00e3o de testes;<\/p>\n
e) Disponibiliza\u00e7\u00e3o de acesso aos locais;<\/p>\n
f) Disponibiliza\u00e7\u00e3o de acesso aos fornecedores relevantes ao n\u00edvel da seguran\u00e7a das redes e servi\u00e7os;<\/p>\n
g) Disponibiliza\u00e7\u00e3o de acesso aos colaboradores-chave.<\/p>\n
2 – As empresas devem assegurar o acesso, por parte da ANACOM, \u00e0s auditoras e aos fornecedores e colaboradores previstos, respetivamente, nas al\u00edneas f) e g) do n\u00famero anterior, bem como a sua disponibilidade para a realiza\u00e7\u00e3o de reuni\u00f5es com a ANACOM e para a presta\u00e7\u00e3o dos esclarecimentos que esta Autoridade lhes solicite.<\/p>\n
3 – As empresas devem salvaguardar o acesso \u00e0s auditoras e aos fornecedores previstos na al\u00ednea f) do n.\u00ba 1, por parte da ANACOM, nos contratos celebrados com os mesmos.<\/p>\n
Cap\u00edtulo II<\/p>\n
Procedimentos de auditoria<\/p>\n
Artigo 30.\u00ba<\/p>\n
Fases<\/p>\n
As empresas devem assegurar que as auditorias se realizam de forma faseada e sequenciada, incluindo a fase de pr\u00e9-auditoria, a fase de auditoria e a fase de p\u00f3s-auditoria, nos termos previstos no presente Cap\u00edtulo II.<\/p>\n
Artigo 31.\u00ba<\/p>\n
Fase de pr\u00e9-auditoria<\/p>\n
1 – As empresas devem elaborar, em conjunto com a auditora, e apresentar \u00e0 ANACOM uma proposta de auditoria que contenha os seguintes elementos:<\/p>\n
a) Identifica\u00e7\u00e3o da auditora e de todos os seus colaboradores envolvidos em cada fase da auditoria;<\/p>\n
b) Identifica\u00e7\u00e3o dos seus fornecedores relevantes ao n\u00edvel da seguran\u00e7a das redes e servi\u00e7os;<\/p>\n
c) Identifica\u00e7\u00e3o de todos os seus colaboradores-chave;<\/p>\n
d) Comprovativos ou declara\u00e7\u00f5es que permitam atestar o cumprimento dos requisitos previstos no artigo 28.\u00ba;<\/p>\n
e) Plano de corre\u00e7\u00e3o das n\u00e3o conformidades da \u00faltima auditoria realizada, quando aplic\u00e1vel;<\/p>\n
f) Programa da auditoria, devidamente fundamentado, incluindo os seguintes elementos:<\/p>\n
i) Data prevista para o in\u00edcio da fase de auditoria;<\/p>\n
ii) Dura\u00e7\u00e3o estimada da fase de auditoria;<\/p>\n
iii) Indica\u00e7\u00e3o dos ativos abrangidos pela amostra, com refer\u00eancia aos respetivos identificadores \u00fanicos;<\/p>\n
iv) Atividades previstas.<\/p>\n
2 – As empresas devem apresentar \u00e0 ANACOM a proposta de auditoria, assinada pelo respons\u00e1vel da seguran\u00e7a:<\/p>\n
a) No caso da primeira auditoria, no prazo de seis meses a contar da data a partir da qual a empresa detenha um ativo classificado na classe A;<\/p>\n
b) No caso das auditorias seguintes, no prazo de dois anos a contar da data de apresenta\u00e7\u00e3o da proposta de auditoria em que se baseou a auditoria anterior ou, se posterior, no prazo de seis meses a contar da data em que a empresa volte a deter um ativo classificado na classe A.<\/p>\n
3 – Compete \u00e0 ANACOM proceder \u00e0 aceita\u00e7\u00e3o da proposta de auditoria, podendo, para o efeito, solicitar \u00e0 empresa a presta\u00e7\u00e3o dos esclarecimentos necess\u00e1rios e o suprimento de defici\u00eancias existentes.<\/p>\n
Artigo 32.\u00ba<\/p>\n
Fase de auditoria<\/p>\n
1 – As empresas devem iniciar a fase de auditoria no prazo m\u00e1ximo de 60 dias \u00fateis a contar da data de aceita\u00e7\u00e3o, pela ANACOM, da proposta de auditoria.<\/p>\n
2 – As empresas devem comunicar, com uma anteced\u00eancia m\u00ednima de 20 dias \u00fateis, as datas e locais em que as atividades da fase de auditoria se ir\u00e3o realizar, de modo a que a ANACOM possa, caso queira, designar um seu colaborador, devidamente credenciado nos termos previstos na al\u00ednea c) do n.\u00ba 1 do artigo 28.\u00ba, para assistir \u00e0s mesmas.<\/p>\n
3 – As empresas devem assegurar que a auditora elabora um relat\u00f3rio de auditoria que, em conformidade com a proposta de auditoria aceite pela ANACOM, inclua os seguintes elementos:<\/p>\n
a) Lista de n\u00e3o conformidades da situa\u00e7\u00e3o existente na empresa;<\/p>\n
b) Descri\u00e7\u00e3o e dura\u00e7\u00e3o das atividades desenvolvidas.<\/p>\n
4 – As empresas devem enviar \u00e0 ANACOM c\u00f3pia do relat\u00f3rio da auditoria, assinado em nome da auditora e, dele tomando conhecimento, pelo respons\u00e1vel da seguran\u00e7a, no prazo de 20 dias \u00fateis a contar da conclus\u00e3o das atividades da fase de auditoria.<\/p>\n
5 – Compete \u00e0 ANACOM a aceita\u00e7\u00e3o do relat\u00f3rio de auditoria, podendo, para o efeito, solicitar \u00e0 empresa a presta\u00e7\u00e3o dos esclarecimentos necess\u00e1rios e o suprimento de defici\u00eancias existentes.<\/p>\n
Artigo 33.\u00ba<\/p>\n
Fase de p\u00f3s-auditoria<\/p>\n
1 – As empresas devem elaborar e enviar \u00e0 ANACOM um plano de corre\u00e7\u00e3o das n\u00e3o conformidades constantes do relat\u00f3rio de auditoria, assinado pelo respons\u00e1vel da seguran\u00e7a, no prazo de 40 dias \u00fateis a contar da data de aceita\u00e7\u00e3o, pela ANACOM, do relat\u00f3rio de auditoria.<\/p>\n
2 – O plano de corre\u00e7\u00e3o das n\u00e3o conformidades deve conter:<\/p>\n
a) Identifica\u00e7\u00e3o de todas as n\u00e3o conformidades e observa\u00e7\u00f5es constantes do relat\u00f3rio de auditoria, incluindo eventuais conclus\u00f5es e recomenda\u00e7\u00f5es;<\/p>\n
b) Em rela\u00e7\u00e3o a cada n\u00e3o conformidade:<\/p>\n
i) Uma an\u00e1lise das suas causas;<\/p>\n
ii) A indica\u00e7\u00e3o das medidas de corre\u00e7\u00e3o e dos respetivos prazos de execu\u00e7\u00e3o.<\/p>\n
3 – As empresas devem assegurar que cada uma das medidas constantes do plano de corre\u00e7\u00e3o das n\u00e3o conformidades, referidas na subal\u00ednea ii) da al\u00ednea b) do n\u00famero anterior, \u00e9 executada logo que poss\u00edvel ou dentro do prazo m\u00e1ximo que a ANACOM, caso assim o entenda, venha a determinar.<\/p>\n
T\u00edtulo V<\/p>\n
Disposi\u00e7\u00f5es finais e transit\u00f3rias<\/p>\n
Artigo 34.\u00ba<\/p>\n
Regime sancionat\u00f3rio<\/p>\n
As infra\u00e7\u00f5es ao disposto no presente regulamento s\u00e3o pun\u00edveis nos termos previstos nas al\u00edneas ee), ff) ou gg) do n.\u00ba 2 ou nas al\u00edneas u), v), x) ou z) do n.\u00ba 3 do artigo 113.\u00ba da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas.<\/p>\n
Artigo 35.\u00ba<\/p>\n
Entrada em vigor e disposi\u00e7\u00f5es transit\u00f3rias<\/p>\n
1 – O presente regulamento entra em vigor no dia seguinte \u00e0 data da respetiva publica\u00e7\u00e3o no Di\u00e1rio da Rep\u00fablica, sem preju\u00edzo do disposto nos n\u00fameros seguintes.<\/p>\n
2 – Sem preju\u00edzo do cumprimento do disposto nos artigos 54.\u00ba-A a 54.\u00ba-G da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, as empresas em atividade \u00e0 data de entrada em vigor do presente regulamento devem:<\/p>\n
a) No prazo de 40 dias \u00fateis a contar da data de entrada em vigor do presente regulamento, aprovar a pol\u00edtica de seguran\u00e7a e estabelecer a fun\u00e7\u00e3o de respons\u00e1vel da seguran\u00e7a, nos termos previstos no artigo 14.\u00ba, comunicando \u00e0 ANACOM, dentro do mesmo prazo, os elementos previstos nas al\u00edneas a) e b) do n.\u00ba 1 e no n.\u00ba 2 do artigo 18.\u00ba;<\/p>\n
b) No prazo de 60 dias \u00fateis a contar da data de entrada em vigor do presente regulamento, classificar os ativos previstos nas al\u00edneas a), c) e d) do n.\u00ba 3 do artigo 8.\u00ba;<\/p>\n
c) No prazo de 80 dias \u00fateis a contar da data de entrada em vigor do presente regulamento:<\/p>\n
i) Estabelecer a fun\u00e7\u00e3o de ponto de contacto permanente, nos termos previstos no artigo 15.\u00ba, comunicando \u00e0 ANACOM, dentro do mesmo prazo, os elementos previstos na al\u00ednea c) do n.\u00ba 1 e no n.\u00ba 3 do artigo 18.\u00ba;<\/p>\n
ii) Caso aplic\u00e1vel, adotar os procedimentos de controlo da gest\u00e3o excecional de tr\u00e1fego de acesso \u00e0 Internet, nos termos previstos no artigo 11.\u00ba;<\/p>\n
d) No prazo de 18 meses a contar da data de entrada em vigor do presente regulamento:<\/p>\n
i) Concluir a classifica\u00e7\u00e3o dos ativos e o invent\u00e1rio de ativos, nos termos previstos, respetivamente, nos artigos 8.\u00ba e 9.\u00ba, e enviar a vers\u00e3o inicial da lista prevista na al\u00ednea a) do n.\u00ba 5 do artigo 9.\u00ba;<\/p>\n
ii) Adotar todas as restantes medidas de seguran\u00e7a aplic\u00e1veis nos termos previstos no T\u00edtulo II e no Anexo ao presente regulamento, sem preju\u00edzo do disposto nos n.os 3 e 5 do presente artigo;<\/p>\n
iii) Concluir a elabora\u00e7\u00e3o do plano de seguran\u00e7a, nos termos previstos no artigo 17.\u00ba<\/p>\n
3 – Sem preju\u00edzo do cumprimento do disposto nos artigos 54.\u00ba-A a 54.\u00ba-G da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, as empresas em atividade \u00e0 data de entrada em vigor do presente regulamento devem ainda:<\/p>\n
a) Elaborar o primeiro relat\u00f3rio anual de seguran\u00e7a, nos termos previstos no artigo 19.\u00ba, a reportar ao 1.\u00ba ano civil seguinte ao ano civil da data de entrada em vigor do presente regulamento;<\/p>\n
b) Elaborar e executar o primeiro programa de exerc\u00edcios, nos termos previstos no artigo 12.\u00ba, no 2.\u00ba ano civil seguinte ao ano civil da data de entrada em vigor do presente regulamento;<\/p>\n
c) Caso se encontrem abrangidas pelo dever de realiza\u00e7\u00e3o de auditoria, ao abrigo do disposto no artigo 25.\u00ba, apresentar \u00e0 ANACOM a primeira proposta de auditoria, nos termos previstos no artigo 31.\u00ba, no prazo de dois anos a contar da data de entrada em vigor do presente regulamento.<\/p>\n
4 – Sem preju\u00edzo do cumprimento do disposto nos artigos 54.\u00ba-A a 54.\u00ba-G da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, as empresas que iniciem a sua atividade ap\u00f3s a data de entrada em vigor do presente regulamento devem cumprir o disposto nos n.os 2 e 3, nos prazos a\u00ed fixados, ou, se posteriores, nos prazos fixados nos correspondentes artigos.<\/p>\n
5 – O disposto no artigo 13.\u00ba e no T\u00edtulo III entra em vigor no prazo de um ano a contar da data de entrada em vigor do presente regulamento.<\/p>\n
6 – Sem preju\u00edzo do cumprimento do disposto nos artigos 54.\u00ba-A a 54.\u00ba-G da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e no presente regulamento, o disposto no n.\u00ba 2 do artigo 5.\u00ba apenas entra em vigor na data da respetiva entrada em produ\u00e7\u00e3o.<\/p>\n
7 – No caso dos prestadores de servi\u00e7os energ\u00e9ticos e tendo em considera\u00e7\u00e3o a interdepend\u00eancia setorial, a entrada em vigor das disposi\u00e7\u00f5es relativas ao restabelecimento priorit\u00e1rio da oferta de redes e servi\u00e7os, nos termos previstos no n.\u00ba 4 do artigo 22.\u00ba e na al\u00ednea b) do objetivo n.\u00ba 19 do Anexo, depende da entrada em vigor de condi\u00e7\u00f5es de coopera\u00e7\u00e3o e de tratamento priorit\u00e1rio \u00e0s empresas, no \u00e2mbito das disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis no setor energ\u00e9tico.<\/p>\n
Artigo 36.\u00ba<\/p>\n
Norma revogat\u00f3ria<\/p>\n
A decis\u00e3o da ANACOM de 12 de dezembro de 2013 \u00e9 revogada a partir do termo do prazo de um ano a contar da data de entrada em vigor do presente regulamento.<\/p>\n
ANEXO<\/p>\n
Objetivos e medidas de seguran\u00e7a<\/p>\n
[a que se refere a al\u00ednea a) do artigo 7.\u00ba]<\/p>\n
1 – Pol\u00edtica de seguran\u00e7a<\/p>\n
Estabelecer e manter uma pol\u00edtica de seguran\u00e7a das redes e servi\u00e7os adequada.<\/p>\n
(ver documento original)<\/p>\n
2 – Governa\u00e7\u00e3o e gest\u00e3o dos riscos<\/p>\n
Estabelecer e manter um quadro adequado de governa\u00e7\u00e3o e gest\u00e3o dos riscos com vista a identificar, prevenir, gerir e reduzir os riscos para a seguran\u00e7a das redes e servi\u00e7os.<\/p>\n
(ver documento original)<\/p>\n
3 – Fun\u00e7\u00f5es e responsabilidades no dom\u00ednio da seguran\u00e7a<\/p>\n
Estabelecer e manter uma estrutura adequada de fun\u00e7\u00f5es e responsabilidades no dom\u00ednio da seguran\u00e7a das redes e servi\u00e7os.<\/p>\n
(ver documento original)<\/p>\n
4 – Seguran\u00e7a nos contratos com terceiros<\/p>\n
Estabelecer e manter uma pol\u00edtica de seguran\u00e7a para os contratos com terceiros, com vista a garantir que as depend\u00eancias de terceiros n\u00e3o afetem negativamente a seguran\u00e7a das redes e servi\u00e7os.<\/p>\n
(ver documento original)<\/p>\n
5 – Verifica\u00e7\u00e3o de credenciais e de refer\u00eancias<\/p>\n
Assegurar uma adequada verifica\u00e7\u00e3o de credenciais e de refer\u00eancias dos colaboradores envolvidos, na medida necess\u00e1ria para as suas fun\u00e7\u00f5es e responsabilidades.<\/p>\n
(ver documento original)<\/p>\n
6 – Conhecimento, forma\u00e7\u00e3o e treino em mat\u00e9ria de seguran\u00e7a<\/p>\n
Assegurar que os colaboradores disp\u00f5em de conhecimentos suficientes e recebem forma\u00e7\u00e3o e treino regulares em mat\u00e9ria de seguran\u00e7a das redes e servi\u00e7os.<\/p>\n
(ver documento original)<\/p>\n
7 – Mudan\u00e7a de colaboradores<\/p>\n
Estabelecer e manter um procedimento adequado de gest\u00e3o das mudan\u00e7as de colaboradores ou das mudan\u00e7as de fun\u00e7\u00f5es e responsabilidades.<\/p>\n
(ver documento original)<\/p>\n
8 – Tratamento de viola\u00e7\u00f5es<\/p>\n
Estabelecer e manter um procedimento disciplinar para os colaboradores em caso de viola\u00e7\u00e3o de pol\u00edticas de seguran\u00e7a das redes e servi\u00e7os ou estabelecer um procedimento mais abrangente que inclua incidentes de seguran\u00e7a causados por viola\u00e7\u00f5es de pol\u00edticas de seguran\u00e7a das redes e servi\u00e7os por parte dos colaboradores.<\/p>\n
(ver documento original)<\/p>\n
9 – Seguran\u00e7a f\u00edsica e ambiental<\/p>\n
Estabelecer e manter a seguran\u00e7a f\u00edsica e ambiental adequada dos ativos.<\/p>\n
(ver documento original)<\/p>\n
10 – Seguran\u00e7a dos fornecimentos<\/p>\n
Estabelecer e manter uma seguran\u00e7a adequada dos fornecimentos (incluindo, entre outros, infraestruturas de alojamento, circuitos alugados, energia el\u00e9trica e combust\u00edvel).<\/p>\n
(ver documento original)<\/p>\n
11 – Controlo de acesso aos ativos<\/p>\n
Estabelecer e manter controlos de acesso f\u00edsico e l\u00f3gico adequados aos ativos.<\/p>\n
(ver documento original)<\/p>\n
12 – Integridade dos ativos<\/p>\n
Estabelecer e manter a integridade dos ativos e proteg\u00ea-los contra v\u00edrus, c\u00f3digos maliciosos e outro software malicioso que alterem ou possam alterar a sua seguran\u00e7a e funcionalidade.<\/p>\n
(ver documento original)<\/p>\n
13 – Procedimentos operacionais<\/p>\n
Estabelecer e manter procedimentos para a opera\u00e7\u00e3o dos ativos classificados nas classes A ou B pelos colaboradores.<\/p>\n
(ver documento original)<\/p>\n
14 – Gest\u00e3o de altera\u00e7\u00f5es<\/p>\n
Estabelecer procedimentos de gest\u00e3o de altera\u00e7\u00f5es aos ativos classificados nas classes A ou B com vista a minimizar a probabilidade de incidentes de seguran\u00e7a.<\/p>\n
(ver documento original)<\/p>\n
15 – Gest\u00e3o dos ativos<\/p>\n
Estabelecer e manter procedimentos de gest\u00e3o dos ativos e de controlo de configura\u00e7\u00f5es de modo a gerir a disponibilidade e a configura\u00e7\u00e3o dos ativos classificados nas classes A ou B.<\/p>\n
(ver documento original)<\/p>\n
16 – Procedimentos de gest\u00e3o de incidentes de seguran\u00e7a<\/p>\n
Estabelecer e manter procedimentos de gest\u00e3o de incidentes de seguran\u00e7a e de reencaminhamento para os colaboradores adequados.<\/p>\n
(ver documento original)<\/p>\n
17 – Capacidade de dete\u00e7\u00e3o de incidentes de seguran\u00e7a<\/p>\n
Estabelecer e manter uma capacidade de dete\u00e7\u00e3o de incidentes de seguran\u00e7a, com vista a assegurar uma resposta c\u00e9lere, eficaz e ordenada aos incidentes de seguran\u00e7a.<\/p>\n
(ver documento original)<\/p>\n
18 – Notifica\u00e7\u00e3o e comunica\u00e7\u00e3o de incidentes de seguran\u00e7a<\/p>\n
Estabelecer e manter procedimentos adequados de notifica\u00e7\u00e3o e comunica\u00e7\u00e3o de incidentes de seguran\u00e7a, tendo em considera\u00e7\u00e3o o disposto na lei.<\/p>\n
(ver documento original)<\/p>\n
19 – Estrat\u00e9gia de continuidade e planos de conting\u00eancia<\/p>\n
Estabelecer e manter planos de conting\u00eancia e uma estrat\u00e9gia de continuidade do funcionamento das redes e servi\u00e7os.<\/p>\n
(ver documento original)<\/p>\n
20 – Capacidades de recupera\u00e7\u00e3o de desastres<\/p>\n
Estabelecer e manter capacidades adequadas de recupera\u00e7\u00e3o de desastres para o restauro das redes e servi\u00e7os no caso de desastres naturais ou de grandes propor\u00e7\u00f5es e outros fen\u00f3menos extremos, tendo em considera\u00e7\u00e3o, nomeadamente, a evolu\u00e7\u00e3o das condi\u00e7\u00f5es clim\u00e1ticas da regi\u00e3o e as situa\u00e7\u00f5es extraordin\u00e1rias.<\/p>\n
(ver documento original)<\/p>\n
21 – Pol\u00edticas de monitoriza\u00e7\u00e3o e registo de eventos<\/p>\n
Estabelecer e manter sistemas e fun\u00e7\u00f5es de monitoriza\u00e7\u00e3o e de registo de eventos relativos aos ativos classificados nas classes A ou B.<\/p>\n
(ver documento original)<\/p>\n
22 – Exerc\u00edcios de planos de conting\u00eancia<\/p>\n
Estabelecer e manter pol\u00edticas de teste e de exerc\u00edcio de planos de conting\u00eancia e de redund\u00e2ncia, sempre que necess\u00e1rio em colabora\u00e7\u00e3o com terceiros.<\/p>\n
(ver documento original)<\/p>\n
23 – Teste dos ativos<\/p>\n
Estabelecer e manter pol\u00edticas para testar os ativos, nomeadamente em caso de liga\u00e7\u00e3o a novos ativos.<\/p>\n
(ver documento original)<\/p>\n
24 – Avalia\u00e7\u00f5es de seguran\u00e7a<\/p>\n
Estabelecer e manter uma pol\u00edtica adequada para a realiza\u00e7\u00e3o de avalia\u00e7\u00f5es de seguran\u00e7a das redes servi\u00e7os.<\/p>\n
(ver documento original)<\/p>\n
25 – Monitoriza\u00e7\u00e3o da conformidade<\/p>\n
Estabelecer e manter uma pol\u00edtica relativa \u00e0 monitoriza\u00e7\u00e3o da conformidade com os requisitos legais e regulamentares.<\/p>\n
(ver documento original)<\/p>\n
6 de julho de 2018. – O Presidente do Conselho de Administra\u00e7\u00e3o, Jo\u00e3o Ant\u00f3nio Cadete de Matos.<\/p>\n
311572254<\/p>\n","protected":false},"excerpt":{"rendered":"
Aviso n.\u00ba 11948\/2018, de 22 de agosto – Projeto de regulamento relativo \u00e0 seguran\u00e7a e \u00e0 integridade das redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas. Projeto de regulamento relativo \u00e0 seguran\u00e7a e \u00e0 integridade das redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas. https:\/\/dre.pt\/web\/guest\/pesquisa\/-\/search\/116132352\/details\/maximized?q=Ciberseguran%C3%A7a Projeto de regulamento relativo \u00e0 seguran\u00e7a e \u00e0 integridade das redes e servi\u00e7os de […]<\/p>\n","protected":false},"author":1,"featured_media":472,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[6,3],"tags":[],"_links":{"self":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/471"}],"collection":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/comments?post=471"}],"version-history":[{"count":1,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/471\/revisions"}],"predecessor-version":[{"id":473,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/471\/revisions\/473"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media\/472"}],"wp:attachment":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media?parent=471"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/categories?post=471"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/tags?post=471"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}