https:\/\/dre.pt\/web\/guest\/pesquisa\/-\/search\/105738425\/details\/normal?q=%22operadores+de+servi%C3%A7os+essenciais%22<\/a><\/p>\n1 – De entre as altera\u00e7\u00f5es introduzidas em 2009 \u00e0 Diretiva-Quadro (Diretiva 2002\/21\/CE do Parlamento Europeu e do Conselho de 7 de mar\u00e7o de 2002 relativa a um quadro regulamentar comum para as redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas) pela Diretiva 2009\/140\/CE, do Parlamento Europeu e do Conselho, de 25 de novembro de 2009, consta a introdu\u00e7\u00e3o da regulamenta\u00e7\u00e3o da mat\u00e9ria da seguran\u00e7a e integridade das redes e servi\u00e7os, com o aditamento do Cap\u00edtulo III-A.<\/p>\n
2 – Em transposi\u00e7\u00e3o da Diretiva 2009\/140\/CE, a Lei n.\u00ba 51\/2011, de 13 de setembro, veio, por seu turno, alterar a Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas (Lei n.\u00ba 5\/2004, de 10 de fevereiro, na sua reda\u00e7\u00e3o em vigor), introduzindo a regulamenta\u00e7\u00e3o da mat\u00e9ria da seguran\u00e7a e integridade das redes e servi\u00e7os no novo Cap\u00edtulo V do T\u00edtulo III, no qual s\u00e3o cometidas \u00e0 ANACOM, entre outras, as seguintes compet\u00eancias espec\u00edficas:<\/p>\n
a) Aprovar medidas t\u00e9cnicas de execu\u00e7\u00e3o e fixar requisitos adicionais a cumprir pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico em mat\u00e9ria de seguran\u00e7a e integridade, para os efeitos do disposto no artigo 54.\u00ba-A e nos termos previstos no n.\u00ba 1 do artigo 54.\u00ba-C e no artigo 54.\u00ba-D da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
b) Aprovar medidas que definam as circunst\u00e2ncias, o formato e os procedimentos aplic\u00e1veis \u00e0s exig\u00eancias de comunica\u00e7\u00e3o de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade das redes com impacte significativo no funcionamento das redes e servi\u00e7os pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, ao abrigo do disposto no artigo 54.\u00ba-B e no n.\u00ba 2 do artigo 54.\u00ba-C da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
c) Determinar as condi\u00e7\u00f5es em que as empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico devem divulgar ao p\u00fablico as viola\u00e7\u00f5es de seguran\u00e7a ou as perdas de integridade com impacte significativo no funcionamento das redes e servi\u00e7os, ao abrigo do disposto na al\u00ednea b) do artigo 54.\u00ba-E da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
d) Determinar as obriga\u00e7\u00f5es de realiza\u00e7\u00e3o de auditorias \u00e0 seguran\u00e7a das redes e servi\u00e7os e de envio do respetivo relat\u00f3rio pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, bem como os requisitos a que devem obedecer as auditorias e as entidades auditoras, ao abrigo do disposto nos n.os 1 e 2 do artigo 54.\u00ba-F da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas.<\/p>\n
3 – Por decis\u00e3o da ANACOM de 12 de dezembro de 2013, alterada por decis\u00e3o de 8 de janeiro de 2014, a ANACOM concretizou as condi\u00e7\u00f5es aplic\u00e1veis \u00e0s obriga\u00e7\u00f5es de notifica\u00e7\u00e3o e de divulga\u00e7\u00e3o ao p\u00fablico de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com impacte significativo no funcionamento das redes e servi\u00e7os, tendo, a 12 de junho de 2014, entrado em funcionamento um centro de reporte, com funcionamento permanente, para a rece\u00e7\u00e3o das notifica\u00e7\u00f5es.<\/p>\n
4 – Tendo por base a experi\u00eancia adquirida n\u00e3o s\u00f3 atrav\u00e9s da atividade do centro de reporte, mas tamb\u00e9m pela coopera\u00e7\u00e3o nacional e internacional nesta mat\u00e9ria, entende esta Autoridade ser este o momento oportuno para exercer as compet\u00eancias referidas no ponto 2, atrav\u00e9s da aprova\u00e7\u00e3o de um regulamento relativo \u00e0 seguran\u00e7a e integridade das redes e servi\u00e7os.<\/p>\n
5 – No que respeita, em particular, \u00e0s obriga\u00e7\u00f5es de notifica\u00e7\u00e3o e de divulga\u00e7\u00e3o ao p\u00fablico, entende esta Autoridade dever integrar neste regulamento o normativo que reflita as medidas j\u00e1 concretizadas ao abrigo da decis\u00e3o de 12 de dezembro de 2013, cuja execu\u00e7\u00e3o se entende ter vindo a decorrer de uma forma eficaz e consensual, sem preju\u00edzo de algumas adapta\u00e7\u00f5es necess\u00e1rias em face da experi\u00eancia recolhida na atividade do centro de reporte. Por esta via e a bem da transpar\u00eancia e da seguran\u00e7a jur\u00eddica, congrega-se e consolida-se num \u00fanico instrumento, um conjunto devidamente articulado de condi\u00e7\u00f5es aplic\u00e1veis em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os.<\/p>\n
6 – Neste contexto e por decis\u00e3o de 4 de agosto de 2016, a ANACOM aprovou o in\u00edcio do procedimento de elabora\u00e7\u00e3o de um regulamento relativo \u00e0 seguran\u00e7a e integridade das redes e servi\u00e7os, bem como a publicita\u00e7\u00e3o do respetivo an\u00fancio nos termos previstos no n.\u00ba 1 do artigo 98.\u00ba do C\u00f3digo do Procedimento Administrativo.<\/p>\n
Findo o prazo fixado, foram recebidos 18 contributos, os quais foram objeto de an\u00e1lise e pondera\u00e7\u00e3o na elabora\u00e7\u00e3o deste projeto.<\/p>\n
7 – Na regulamenta\u00e7\u00e3o das obriga\u00e7\u00f5es das empresas em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, foram objeto de pondera\u00e7\u00e3o, por um lado, os custos a incorrer pelas empresas no cumprimento das suas obriga\u00e7\u00f5es e, por outro, os benef\u00edcios da\u00ed emergentes, os quais incluem n\u00e3o s\u00f3 a defesa dos interesses dos cidad\u00e3os e, em particular, dos utilizadores das redes e servi\u00e7os, o suporte \u00e0 continuidade da presta\u00e7\u00e3o de servi\u00e7os relevantes \u00e0 sociedade e aos cidad\u00e3os, a garantia do acesso aos servi\u00e7os de emerg\u00eancia e, em geral, a promo\u00e7\u00e3o do desenvolvimento do mercado interno por via da melhoria da fiabilidade das redes e servi\u00e7os, como tamb\u00e9m aqueles resultantes da preven\u00e7\u00e3o de incidentes de seguran\u00e7a e do impedimento ou minimiza\u00e7\u00e3o do respetivo impacte.<\/p>\n
8 – Assim, ao abrigo do disposto na al\u00ednea m) do n.\u00ba 1 do artigo 8.\u00ba, na al\u00ednea a) do n.\u00ba 2 do artigo 9.\u00ba, no artigo 10.\u00ba e na al\u00ednea b) do n.\u00ba 1 do artigo 26.\u00ba dos Estatutos da ANACOM, aprovados pelo Decreto-Lei n.\u00ba 39\/2015, de 16 de mar\u00e7o, e nos termos previstos na al\u00ednea c) do n.\u00ba 1 e na al\u00ednea f) do n.\u00ba 4, ambos do artigo 5.\u00ba, dos artigos 54.\u00ba-A, 54.\u00ba-B, 54.\u00ba-C, 54.\u00ba-D, da al\u00ednea b) do artigo 54.\u00ba-E e dos n.os 1 e 2 do artigo 54.\u00ba-F da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, a ANACOM aprovou, por decis\u00e3o de 29 de dezembro de 2016, o presente projeto de regulamento relativo \u00e0 seguran\u00e7a e integridade das redes e servi\u00e7os, que, nos termos do disposto no artigo 10.\u00ba dos seus Estatutos e dos artigos 98.\u00ba e seguintes do C\u00f3digo do Procedimento Administrativo e para os efeitos previstos no artigo 8.\u00ba e, em especial, no n.\u00ba 4 do artigo 54.\u00ba-C da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, se submete ao devido procedimento de consulta p\u00fablica, a decorrer pelo per\u00edodo de 30 dias \u00fateis, mediante publica\u00e7\u00e3o no s\u00edtio institucional da ANACOM na Internet e na 2.\u00aa s\u00e9rie do Di\u00e1rio da Rep\u00fablica.<\/p>\n
9 – Neste contexto, solicita-se aos interessados que enviem os respetivos contributos, por escrito e em l\u00edngua portuguesa, preferencialmente por correio eletr\u00f3nico para o endere\u00e7o regulamento.seguranca@anacom.pt.<\/p>\n
Encerrada a consulta p\u00fablica, a ANACOM proceder\u00e1 \u00e0 aprecia\u00e7\u00e3o dos contributos apresentados pelos interessados e, com a aprova\u00e7\u00e3o deste regulamento, disponibilizar\u00e1 um relat\u00f3rio contendo refer\u00eancia a todos os contributos recebidos, bem como uma aprecia\u00e7\u00e3o global que reflita o entendimento desta Autoridade sobre os mesmos e os fundamentos das op\u00e7\u00f5es tomadas.<\/p>\n
Projeto de Regulamento relativo \u00e0 seguran\u00e7a e \u00e0 integridade das redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas<\/p>\n
T\u00edtulo I<\/p>\n
Disposi\u00e7\u00f5es gerais<\/p>\n
Artigo 1.\u00ba<\/p>\n
Objeto<\/p>\n
O presente regulamento estabelece:<\/p>\n
a) As medidas t\u00e9cnicas de execu\u00e7\u00e3o e os requisitos adicionais a cumprir pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico em mat\u00e9ria de seguran\u00e7a e integridade, para os efeitos do disposto no artigo 54.\u00ba-A e nos termos previstos no n.\u00ba 1 do artigo 54.\u00ba-C e no artigo 54.\u00ba-D da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no T\u00edtulo II;<\/p>\n
b) As circunst\u00e2ncias, o formato e os procedimentos aplic\u00e1veis \u00e0s exig\u00eancias de comunica\u00e7\u00e3o de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade das redes com impacte significativo no funcionamento das redes e servi\u00e7os pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, ao abrigo do disposto no artigo 54.\u00ba-B e no n.\u00ba 2 do artigo 54.\u00ba-C da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no Cap\u00edtulo I do T\u00edtulo III;<\/p>\n
c) As condi\u00e7\u00f5es em que as empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico devem divulgar ao p\u00fablico as viola\u00e7\u00f5es de seguran\u00e7a ou as perdas de integridade com impacte significativo no funcionamento das redes e servi\u00e7os, ao abrigo do disposto na al\u00ednea b) do artigo 54.\u00ba-E da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no Cap\u00edtulo II do T\u00edtulo III;<\/p>\n
d) As obriga\u00e7\u00f5es de realiza\u00e7\u00e3o de auditorias \u00e0 seguran\u00e7a das redes e servi\u00e7os e de envio do respetivo relat\u00f3rio pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, bem como os requisitos a que devem obedecer as auditorias e as entidades auditoras, ao abrigo do disposto nos n.os 1 e 2<\/p>\n
do artigo 54.\u00ba-F da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no T\u00edtulo IV.<\/p>\n
Artigo 2.\u00ba<\/p>\n
\u00c2mbito<\/p>\n
1 – As empresas devem assegurar que o cumprimento das suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os previstas na lei e no presente regulamento abrange:<\/p>\n
a) As condi\u00e7\u00f5es normais de funcionamento;<\/p>\n
b) As situa\u00e7\u00f5es extraordin\u00e1rias, incluindo, entre outras, as seguintes situa\u00e7\u00f5es:<\/p>\n
i) Viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacte significativo;<\/p>\n
ii) Rutura da rede, emerg\u00eancia ou for\u00e7a maior, nos termos previstos no n.\u00ba 1 do artigo 49.\u00ba da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
iii) Exce\u00e7\u00f5es previstas nas al\u00edneas a), b) e c) do n.\u00ba 3 do artigo 3.\u00ba do Regulamento (UE) n.\u00ba 2015\/2120 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, que estabelece medidas respeitantes ao acesso \u00e0 Internet aberta;<\/p>\n
iv) Acidente grave ou cat\u00e1strofe, bem como as situa\u00e7\u00f5es de alerta, conting\u00eancia e calamidade, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis em mat\u00e9ria de prote\u00e7\u00e3o civil;<\/p>\n
v) Estado de emerg\u00eancia, estado de s\u00edtio ou estado de guerra, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis em mat\u00e9ria de planeamento civil de emerg\u00eancia;<\/p>\n
vi) Ativa\u00e7\u00e3o de plano de emerg\u00eancia de prote\u00e7\u00e3o civil ou de planeamento civil de emerg\u00eancia, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis;<\/p>\n
vii) Grave amea\u00e7a \u00e0 seguran\u00e7a interna, incluindo as situa\u00e7\u00f5es de ataques terroristas ou de acidentes graves ou cat\u00e1strofes, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis em mat\u00e9ria de seguran\u00e7a interna.<\/p>\n
2 – As empresas devem cumprir as suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, previstas na lei e no presente regulamento, de um modo adequado a permitir o cumprimento das suas demais obriga\u00e7\u00f5es no \u00e2mbito da oferta de redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, incluindo:<\/p>\n
a) As obriga\u00e7\u00f5es em mat\u00e9ria de disponibilidade dos servi\u00e7os e de acesso aos servi\u00e7os de emerg\u00eancia, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis;<\/p>\n
b) As obriga\u00e7\u00f5es no \u00e2mbito do planeamento civil de emerg\u00eancia, dos planos de emerg\u00eancia de prote\u00e7\u00e3o civil e da seguran\u00e7a interna, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis;<\/p>\n
c) Quando aplic\u00e1veis, as obriga\u00e7\u00f5es emergentes dos contratos para a presta\u00e7\u00e3o do servi\u00e7o universal.<\/p>\n
3 – As empresas devem assegurar que o cumprimento das suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os previstas na lei e no presente regulamento abrange todos os ativos, de sua propriedade ou gest\u00e3o, incluindo os equipamentos localizados nas instala\u00e7\u00f5es dos clientes, necess\u00e1rios para a utiliza\u00e7\u00e3o das suas redes ou dos seus servi\u00e7os.<\/p>\n
Artigo 3.\u00ba<\/p>\n
Defini\u00e7\u00f5es<\/p>\n
1 – Para os efeitos do disposto no presente regulamento, entende-se por:<\/p>\n
a) \u00abAmea\u00e7a\u00bb, causa potencial de um incidente de seguran\u00e7a;<\/p>\n
b) \u00abAn\u00e1lise dos Riscos\u00bb, o procedimento de an\u00e1lise dos riscos para a seguran\u00e7a e integridade das redes e servi\u00e7os a realizar pelas empresas nos termos previstos no Artigo 9.\u00ba;<\/p>\n
c) \u00abAtivos\u00bb, as infraestruturas, os sistemas de transmiss\u00e3o ou de informa\u00e7\u00e3o, os equipamentos e os demais recursos, f\u00edsicos e l\u00f3gicos, que comp\u00f5em ou suportam uma rede de comunica\u00e7\u00f5es p\u00fablicas e respetivos acessos, incluindo interliga\u00e7\u00f5es, um servi\u00e7o de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edvel ao p\u00fablico ou um servi\u00e7o conexo associado;<\/p>\n
d) \u00abAuditora\u00bb, a entidade auditora respons\u00e1vel pela realiza\u00e7\u00e3o de auditoria \u00e0 seguran\u00e7a das redes e servi\u00e7os ao abrigo do disposto nos n.os 1 e 2 do artigo 54.\u00ba-F da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no Artigo 31.\u00ba;<\/p>\n
e) \u00abAuditoria\u00bb, a auditoria \u00e0 seguran\u00e7a das redes e servi\u00e7os a realizar pelas empresas, ao abrigo do disposto nos n.os 1 e 2 do artigo 54.\u00ba-F da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no T\u00edtulo IV;<\/p>\n
f) \u00abEmpresas\u00bb, as empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, nos termos definidos na Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
g) \u00abIncidente de seguran\u00e7a\u00bb, evento com impacte negativo real no funcionamento ou na seguran\u00e7a ou integridade das redes e servi\u00e7os, incluindo viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacte no funcionamento das redes e servi\u00e7os;<\/p>\n
h) \u00abLei das Comunica\u00e7\u00f5es Eletr\u00f3nicas\u00bb, a Lei n.\u00ba 5\/2004, de 10 de fevereiro, na sua reda\u00e7\u00e3o em vigor;<\/p>\n
i) \u00abRespons\u00e1vel pela Seguran\u00e7a\u00bb, o colaborador da empresa, respons\u00e1vel pela gest\u00e3o da seguran\u00e7a e integridade das redes e servi\u00e7os e pela sua representa\u00e7\u00e3o no exerc\u00edcio das fun\u00e7\u00f5es que lhe s\u00e3o cometidas pelo presente regulamento, nos termos previstos no Artigo 20.\u00ba;<\/p>\n
j) \u00abRisco\u00bb, efeito de evento, ou de sequ\u00eancia de eventos, reais ou potenciais e razoavelmente identific\u00e1veis, que consiste num impacte negativo potencial no funcionamento ou na seguran\u00e7a ou integridade das redes e servi\u00e7os;<\/p>\n
k) \u00abSeguran\u00e7a das redes e servi\u00e7os\u00bb, a capacidade das redes ou dos servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, incluindo os servi\u00e7os conexos associados, para resistir, com um dado n\u00edvel de confian\u00e7a, a qualquer amea\u00e7a ou risco que comprometa a disponibilidade, a autenticidade, a integridade ou a confidencialidade dos dados armazenados, transmitidos ou tratados ou dos servi\u00e7os relacionados oferecidos ou acess\u00edveis atrav\u00e9s dessas redes ou servi\u00e7os;<\/p>\n
l) \u00abViola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacte significativo\u00bb, a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com o impacte previsto nos termos do Artigo 24.\u00ba;<\/p>\n
m) \u00abVulnerabilidade\u00bb, caracter\u00edstica de um ativo ou de uma medida que pode ser explorada por uma ou mais amea\u00e7as.<\/p>\n
2 – Para efeitos do disposto no presente regulamento, todas as refer\u00eancias ao territ\u00f3rio da Regi\u00e3o Aut\u00f3noma da Madeira consideram-se preenchidas quando a \u00e1rea geogr\u00e1fica em causa abranja o territ\u00f3rio das ilhas da Madeira e do Porto Santo.<\/p>\n
Artigo 4.\u00ba<\/p>\n
Coopera\u00e7\u00e3o e partilha de informa\u00e7\u00e3o<\/p>\n
1 – As empresas devem cooperar com a ANACOM no \u00e2mbito da prossecu\u00e7\u00e3o das suas atribui\u00e7\u00f5es e do exerc\u00edcio das suas compet\u00eancias nas mat\u00e9rias de seguran\u00e7a e integridade das redes e servi\u00e7os.<\/p>\n
2 – As empresas devem cooperar entre si no cumprimento das suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, incluindo, em especial, nas seguintes situa\u00e7\u00f5es:<\/p>\n
a) Riscos, amea\u00e7as ou vulnerabilidades, comuns ou de efeito em cascata;<\/p>\n
b) Depend\u00eancia ou interdepend\u00eancia entre as redes ou servi\u00e7os, incluindo, entre outros casos, o acesso e a interliga\u00e7\u00e3o de redes, a co-localiza\u00e7\u00e3o de ativos e a partilha de infraestruturas ou de outros recursos;<\/p>\n
c) Fornecimentos comuns de bens ou servi\u00e7os por terceiros.<\/p>\n
3 – Para efeitos do disposto no n\u00famero anterior, as empresas devem cooperar, consoante adequado, atrav\u00e9s da realiza\u00e7\u00e3o de a\u00e7\u00f5es conjuntas, da celebra\u00e7\u00e3o de acordos de assist\u00eancia m\u00fatua, da troca de pontos de contacto permanentes ou da partilha de informa\u00e7\u00e3o.<\/p>\n
T\u00edtulo II<\/p>\n
Obriga\u00e7\u00f5es das empresas em mat\u00e9ria de seguran\u00e7a e integridade<\/p>\n
Cap\u00edtulo I<\/p>\n
Disposi\u00e7\u00f5es gerais<\/p>\n
Artigo 5.\u00ba<\/p>\n
Obriga\u00e7\u00f5es das empresas<\/p>\n
1 – Ao abrigo do disposto no artigo 54.\u00ba-A da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no presente regulamento:<\/p>\n
a) As empresas devem adotar as medidas t\u00e9cnicas e organizacionais adequadas \u00e0 preven\u00e7\u00e3o, gest\u00e3o e redu\u00e7\u00e3o dos riscos para a seguran\u00e7a das redes e servi\u00e7os visando, em especial, impedir ou minimizar o impacte dos incidentes de seguran\u00e7a nas redes interligadas, a n\u00edvel nacional e internacional, e nos utilizadores;<\/p>\n
b) As empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas devem adotar as medidas adequadas para garantir a integridade das respetivas redes, assegurando a continuidade da presta\u00e7\u00e3o dos servi\u00e7os que nelas se suportam.<\/p>\n
2 – As empresas devem assegurar que os procedimentos e as medidas t\u00e9cnicas e organizacionais adotadas para cumprimento do disposto na lei e no presente regulamento:<\/p>\n
a) S\u00e3o conformes com as decis\u00f5es da Comiss\u00e3o Europeia adotadas ao abrigo do procedimento previsto no artigo 13.\u00ba-A da Diretiva n.\u00ba 2002\/21\/CE, do Parlamento Europeu e do Conselho, de 7 de mar\u00e7o de 2002, relativa a um quadro regulamentar comum para as redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, na sua reda\u00e7\u00e3o em vigor;<\/p>\n
b) S\u00e3o baseadas, na aus\u00eancia das decis\u00f5es previstas na al\u00ednea anterior, nas normas, especifica\u00e7\u00f5es e recomenda\u00e7\u00f5es europeias e internacionais existentes sobre a mat\u00e9ria;<\/p>\n
c) T\u00eam em considera\u00e7\u00e3o os documentos t\u00e9cnicos publicados pela Ag\u00eancia Europeia para a Seguran\u00e7a das Redes e da Informa\u00e7\u00e3o (ENISA) em resultado dos trabalhos desenvolvidos ao n\u00edvel da aplica\u00e7\u00e3o da Diretiva n.\u00ba 2002\/21\/CE do Parlamento Europeu e do Conselho, de 7 de mar\u00e7o de 2002, relativa a um quadro regulamentar comum para as redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, na sua reda\u00e7\u00e3o em vigor.<\/p>\n
3 – Para efeitos do disposto das al\u00edneas b) e c) do n\u00famero anterior, a ANACOM publica, no seu s\u00edtio institucional na Internet:<\/p>\n
a) Uma lista das normas, especifica\u00e7\u00f5es e recomenda\u00e7\u00f5es europeias e internacionais existentes sobre a mat\u00e9ria;<\/p>\n
b) Uma lista dos documentos t\u00e9cnicos publicados pela Ag\u00eancia Europeia para a Seguran\u00e7a das Redes e da Informa\u00e7\u00e3o (ENISA).<\/p>\n
Artigo 6.\u00ba<\/p>\n
Medidas t\u00e9cnicas de execu\u00e7\u00e3o e requisitos adicionais<\/p>\n
1 – Sem preju\u00edzo do disposto no Artigo 5.\u00ba e para efeitos do disposto no n.\u00ba 1 do artigo 54.\u00ba-C e do artigo 54.\u00ba-D da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, as empresas devem adotar as seguintes medidas t\u00e9cnicas de execu\u00e7\u00e3o e requisitos adicionais:<\/p>\n
a) Classificar os ativos e elaborar o Invent\u00e1rio de Ativos, nos termos previstos, respetivamente, nos Artigo 7.\u00ba e Artigo 8.\u00ba;<\/p>\n
b) Assegurar a realiza\u00e7\u00e3o de An\u00e1lises dos Riscos e adotar as medidas t\u00e9cnicas e organizacionais adequadas, nos termos previstos no Artigo 9.\u00ba, as quais incluem, em qualquer caso e pelo menos, as seguintes medidas e requisitos:<\/p>\n
i) Medidas de redund\u00e2ncia, de robustez e de resili\u00eancia, nos termos previstos no Artigo 10.\u00ba;<\/p>\n
ii) Procedimentos de controlo da gest\u00e3o excecional de tr\u00e1fego de acesso \u00e0 Internet, nos termos previstos no Artigo 11.\u00ba;<\/p>\n
iii) Procedimentos de gest\u00e3o de altera\u00e7\u00f5es, nos termos previstos no Artigo 12.\u00ba;<\/p>\n
iv) Um sistema de controlo de acessos, nos termos previstos no Artigo 13.\u00ba;<\/p>\n
v) Um sistema de monitoriza\u00e7\u00e3o e controlo, nos termos previstos no Artigo 14.\u00ba;<\/p>\n
vi) Elabora\u00e7\u00e3o e execu\u00e7\u00e3o de um programa anual de exerc\u00edcios, nos termos previstos no Artigo 15.\u00ba;<\/p>\n
c) Prestar informa\u00e7\u00f5es aos seus clientes, nos termos previstos no Artigo 16.\u00ba;<\/p>\n
d) Elaborar e enviar \u00e0 ANACOM:<\/p>\n
i) Uma Caracteriza\u00e7\u00e3o Geral da Seguran\u00e7a, nos termos previstos no Artigo 17.\u00ba;<\/p>\n
ii) Um Plano de Seguran\u00e7a, nos termos previstos no Artigo 18.\u00ba;<\/p>\n
iii) Um Relat\u00f3rio Anual de Seguran\u00e7a, nos termos previstos no Artigo 19.\u00ba;<\/p>\n
e) Dotar-se da estrutura e dos recursos adequados ao cumprimento das suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, incluindo:<\/p>\n
i) A designa\u00e7\u00e3o de um Respons\u00e1vel pela Seguran\u00e7a, nos termos previstos no Artigo 20.\u00ba;<\/p>\n
ii) A designa\u00e7\u00e3o de um Ponto de Contacto Permanente, nos termos previstos no Artigo 21.\u00ba;<\/p>\n
iii) O acesso a equipa de resposta a incidentes de seguran\u00e7a, nos termos previstos no Artigo 22.\u00ba;<\/p>\n
f) Compilar e atualizar o Dossier de Seguran\u00e7a, nos termos previstos no Artigo 23.\u00ba<\/p>\n
2 – Para efeitos do disposto na al\u00ednea b) do n\u00famero anterior, as medidas a adotar ao abrigo do disposto nos artigos 10.\u00ba a 15.\u00ba devem ser refor\u00e7adas pelas empresas sempre que necess\u00e1rio e na medida adequada em resposta aos resultados das An\u00e1lises de Risco realizadas.<\/p>\n
3 – Para efeitos do disposto na al\u00ednea e) do n.\u00ba 1, as empresas devem estabelecer e manter uma estrutura apropriada de fun\u00e7\u00f5es e responsabilidades de seguran\u00e7a, bem como assegurar que est\u00e3o dotadas da capacidade t\u00e9cnica necess\u00e1ria, nomeadamente ao n\u00edvel dos recursos humanos, dos ativos e dos fornecimentos por terceiros, para garantir o cumprimento das suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, nos termos previstos na lei e no presente regulamento.<\/p>\n
Cap\u00edtulo II<\/p>\n
Medidas t\u00e9cnicas de execu\u00e7\u00e3o e requisitos adicionais<\/p>\n
Artigo 7.\u00ba<\/p>\n
Classifica\u00e7\u00e3o de ativos<\/p>\n
1 – As empresas devem classificar os seus ativos numa classe de A a D, nos termos previstos no presente artigo.<\/p>\n
2 – Um ativo deve ser classificado na classe A se, em resultado de interrup\u00e7\u00e3o ou perturba\u00e7\u00e3o grave do seu funcionamento, o n\u00famero de assinantes ou de acessos afetados possa ser igual ou superior a 500.000 ou a \u00e1rea geogr\u00e1fica afetada possa ser igual ou superior a 3.000 km2 ou abranger a totalidade do territ\u00f3rio da Regi\u00e3o Aut\u00f3noma dos A\u00e7ores ou da Regi\u00e3o Aut\u00f3noma da Madeira.<\/p>\n
3 – Devem ainda ser classificados na classe A os seguintes ativos:<\/p>\n
a) O centro principal de gest\u00e3o e opera\u00e7\u00e3o de uma empresa que, no conjunto das suas ofertas, tenha um n\u00famero total de assinantes ou de acessos igual ou superior a 500.000;<\/p>\n
b) O centro principal de gest\u00e3o e opera\u00e7\u00e3o de uma empresa que inclua, pelo menos, um ativo da classe A;<\/p>\n
c) Os ativos de que dependa a oferta de redes e servi\u00e7os atrav\u00e9s dos quais seja assegurada a continuidade da presta\u00e7\u00e3o dos servi\u00e7os previstos na al\u00ednea f) do n.\u00ba 3 do Artigo 24.\u00ba;<\/p>\n
d) Os ativos que assegurem interliga\u00e7\u00e3o internacional, interliga\u00e7\u00e3o entre as Regi\u00f5es Aut\u00f3nomas ou interliga\u00e7\u00e3o entre o Continente e uma Regi\u00e3o Aut\u00f3noma, incluindo esta\u00e7\u00e3o de cabos submarinos, esta\u00e7\u00e3o de sat\u00e9lites ou sistema terrestre transfronteiri\u00e7o;<\/p>\n
e) Os ativos que assegurem interliga\u00e7\u00e3o entre redes que, no seu conjunto, suportem ofertas dirigidas a um n\u00famero total de assinantes ou de acessos igual ou superior a 500.000.<\/p>\n
4 – Um ativo deve ser classificado na classe B se, em resultado de interrup\u00e7\u00e3o ou perturba\u00e7\u00e3o grave do seu funcionamento, o n\u00famero de assinantes ou de acessos afetados possa ser inferior a 500.000 e igual ou superior a 100.000 ou a \u00e1rea geogr\u00e1fica afetada possa ser inferior a 3.000 km2 e igual ou superior a 2.000 km2 ou abranger a totalidade do territ\u00f3rio de uma ilha da Regi\u00e3o Aut\u00f3noma dos A\u00e7ores ou da Regi\u00e3o Aut\u00f3noma da Madeira, exceto quando, nos termos previstos nos n\u00fameros anteriores, deva ser classificado na classe A.<\/p>\n
5 – Devem ainda ser classificados na classe B os seguintes ativos, quando n\u00e3o devam ser classificados na classe A:<\/p>\n
a) O centro principal de gest\u00e3o e opera\u00e7\u00e3o de empresa que, no conjunto das suas ofertas, tenha um n\u00famero de assinantes ou de acessos inferior a 500.000 e igual ou superior a 100.000;<\/p>\n
b) O centro principal de gest\u00e3o e opera\u00e7\u00e3o que inclua, pelo menos, um ativo classificado na classe B;<\/p>\n
c) Os ativos que assegurem interliga\u00e7\u00e3o inter-ilhas nas Regi\u00f5es Aut\u00f3nomas dos A\u00e7ores ou da Madeira, incluindo esta\u00e7\u00e3o de cabos submarinos e esta\u00e7\u00e3o de sat\u00e9lites;<\/p>\n
d) Os ativos que assegurem interliga\u00e7\u00e3o entre redes que, no seu conjunto, suportem ofertas dirigidas a um n\u00famero total de assinantes ou de acessos inferior a 500.000 e igual ou superior a 100.000.<\/p>\n
6 – Um ativo deve ser classificado na classe C se, em resultado de interrup\u00e7\u00e3o ou perturba\u00e7\u00e3o grave do seu funcionamento, o n\u00famero de assinantes ou de acessos afetados possa ser inferior a 100.000 e igual ou superior a 10.000 ou a \u00e1rea geogr\u00e1fica afetada possa ser inferior a 2.000 km2 e superior ou igual a 1.000 km2, exceto quando, nos termos previstos nos n\u00fameros anteriores, deva ser classificado na classe A ou na classe B.<\/p>\n
7 – Um ativo deve ser classificado na classe D sempre que n\u00e3o deva ser classificado em nenhuma das classes A, B ou C.<\/p>\n
8 – As empresas devem ainda classificar os ativos identificados no \u00e2mbito do planeamento civil de emerg\u00eancia ou de um plano de emerg\u00eancia de prote\u00e7\u00e3o civil que a ANACOM indique atrav\u00e9s de notifica\u00e7\u00e3o \u00e0s mesmas, a qual inclui:<\/p>\n
a) A identifica\u00e7\u00e3o do ativo;<\/p>\n
b) A classe na qual o ativo deve ser classificado.<\/p>\n
Artigo 8.\u00ba<\/p>\n
Invent\u00e1rio de Ativos<\/p>\n
1 – As empresas devem elaborar e manter atualizado um Invent\u00e1rio de Ativos, assinado pelo Respons\u00e1vel pela Seguran\u00e7a, que inclua:<\/p>\n
a) Os ativos classificados nas classes A, B ou C;<\/p>\n
b) Os ativos cr\u00edticos para a continuidade do funcionamento das suas redes ou servi\u00e7os.<\/p>\n
2 – Para cada elemento do Invent\u00e1rio de Ativos deve constar a seguinte informa\u00e7\u00e3o:<\/p>\n
a) Identificador \u00fanico;<\/p>\n
b) Designa\u00e7\u00e3o;<\/p>\n
c) Caracteriza\u00e7\u00e3o em termos de:<\/p>\n
i) Funcionalidades e servi\u00e7os suportados;<\/p>\n
ii) Indica\u00e7\u00e3o da classe na qual foi classificado, ao abrigo do disposto no Artigo 7.\u00ba, e descri\u00e7\u00e3o do impacte potencial de uma interrup\u00e7\u00e3o ou de uma perturba\u00e7\u00e3o grave do seu funcionamento;<\/p>\n
iii) Medidas, controlos e registos de seguran\u00e7a adotados;<\/p>\n
iv) Fornecimentos de terceiros cr\u00edticos para o seu funcionamento, incluindo servi\u00e7os de gest\u00e3o, de opera\u00e7\u00e3o, de seguran\u00e7a e de energia;<\/p>\n
v) Autonomia em caso de falha de fornecimento de energia;<\/p>\n
vi) Localiza\u00e7\u00e3o geogr\u00e1fica e identifica\u00e7\u00e3o das entidades detentoras ou gestoras dos locais;<\/p>\n
vii) No caso de interliga\u00e7\u00e3o, indica\u00e7\u00e3o do tipo (interliga\u00e7\u00e3o internacional, interliga\u00e7\u00e3o entre as Regi\u00f5es Aut\u00f3nomas, interliga\u00e7\u00e3o entre o Continente e as Regi\u00f5es Aut\u00f3nomas ou interliga\u00e7\u00e3o inter-ilhas) e identifica\u00e7\u00e3o das empresas interligadas;<\/p>\n
d) Registo de incidentes de seguran\u00e7a ocorridos;<\/p>\n
e) Registo das altera\u00e7\u00f5es efetuadas, incluindo os resultados dos testes de integra\u00e7\u00e3o e de sistema realizados e os planos de restauro dos ativos, nos termos previstos no Artigo 12.\u00ba;<\/p>\n
f) Refer\u00eancia \u00e0 An\u00e1lise dos Riscos mais recente.<\/p>\n
3 – As empresas devem elaborar o Invent\u00e1rio de Ativos no prazo de 60 dias \u00fateis a contar da data de in\u00edcio de atividade.<\/p>\n
4 – As empresas devem comunicar \u00e0 ANACOM uma s\u00edntese do Invent\u00e1rio de Ativos que contenha uma lista de elementos que inclua a informa\u00e7\u00e3o constante das al\u00edneas a) e b) e das subal\u00edneas ii) e vi) da al\u00ednea c) do n.\u00ba 2:<\/p>\n
a) Na sua vers\u00e3o inicial, no prazo previsto no n\u00famero anterior;<\/p>\n
b) Numa vers\u00e3o atualizada, em conjunto com o Relat\u00f3rio Anual de Seguran\u00e7a.<\/p>\n
Artigo 9.\u00ba<\/p>\n
Gest\u00e3o dos riscos<\/p>\n
1 – As empresas devem realizar uma An\u00e1lise dos Riscos:<\/p>\n
a) De \u00e2mbito global, em rela\u00e7\u00e3o aos ativos classificados ou classific\u00e1veis nas classes A, B ou C ou cr\u00edticos para a continuidade do funcionamento das suas redes ou servi\u00e7os:<\/p>\n
i) Pelo menos, uma vez por ano;<\/p>\n
ii) Ap\u00f3s a notifica\u00e7\u00e3o, por parte da ANACOM, de um risco, de uma amea\u00e7a ou de uma vulnerabilidade emergentes que impliquem uma elevada probabilidade de ocorr\u00eancia de viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacte significativo, dentro do prazo que a ANACOM, caso assim o entenda, fixe para o efeito;<\/p>\n
b) De \u00e2mbito parcial:<\/p>\n
i) Ap\u00f3s cada notifica\u00e7\u00e3o da identifica\u00e7\u00e3o de cliente ao abrigo do disposto no n.\u00ba 6 do Artigo 24.\u00ba, em rela\u00e7\u00e3o aos ativos de que dependa a oferta de redes e servi\u00e7os atrav\u00e9s dos quais seja assegurada a continuidade da presta\u00e7\u00e3o dos respetivos servi\u00e7os relevantes;<\/p>\n
ii) Ap\u00f3s cada notifica\u00e7\u00e3o da identifica\u00e7\u00e3o de ativo ao abrigo do disposto no n.\u00ba 8 do Artigo 7.\u00ba, em rela\u00e7\u00e3o aos mesmos;<\/p>\n
iii) Durante o planeamento e prepara\u00e7\u00e3o da introdu\u00e7\u00e3o de uma altera\u00e7\u00e3o a ativo ou ativos integrados no Invent\u00e1rio de Ativos, em rela\u00e7\u00e3o ao ativo ou ativos envolvidos;<\/p>\n
iv) Ap\u00f3s a ocorr\u00eancia de uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacte significativo ou outra situa\u00e7\u00e3o extraordin\u00e1ria, em rela\u00e7\u00e3o aos ativos afetados integrados no Invent\u00e1rio de Ativos.<\/p>\n
2 – As empresas devem documentar a prepara\u00e7\u00e3o, a execu\u00e7\u00e3o e a apresenta\u00e7\u00e3o dos resultados da An\u00e1lise dos Riscos.<\/p>\n
3 – As empresas devem garantir que a An\u00e1lise dos Riscos abranja, para cada ativo:<\/p>\n
a) A identifica\u00e7\u00e3o das amea\u00e7as, internas ou externas, intencionais ou n\u00e3o intencionais, incluindo:<\/p>\n
i) De acidentes ou desastres naturais;<\/p>\n
ii) De erros humanos;<\/p>\n
iii) De ataques maliciosos;<\/p>\n
iv) De falhas de hardware ou de software;<\/p>\n
v) De falhas no fornecimento de bens ou servi\u00e7os por entidade externa;<\/p>\n
b) A caracteriza\u00e7\u00e3o do impacte e da probabilidade da ocorr\u00eancia das amea\u00e7as identificadas na al\u00ednea anterior.<\/p>\n
4 – A An\u00e1lise dos Riscos deve ter em considera\u00e7\u00e3o:<\/p>\n
a) O hist\u00f3rico de situa\u00e7\u00f5es extraordin\u00e1rias ocorridas;<\/p>\n
b) O hist\u00f3rico de incidentes de seguran\u00e7a e, em especial, de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com impacte significativo;<\/p>\n
c) O n\u00famero de assinantes ou de acessos envolvidos;<\/p>\n
d) A \u00e1rea geogr\u00e1fica envolvida;<\/p>\n
e) A garantia de acesso aos servi\u00e7os de emerg\u00eancia;<\/p>\n
f) O suporte \u00e0 continuidade da presta\u00e7\u00e3o dos servi\u00e7os previstos na al\u00ednea f) do n.\u00ba 3 do Artigo 24.\u00ba<\/p>\n
5 – A An\u00e1lise dos Riscos deve ainda ter em considera\u00e7\u00e3o a avalia\u00e7\u00e3o integrada dos riscos para a seguran\u00e7a e integridade das redes e servi\u00e7os, a n\u00edvel nacional, europeu e internacional, publicada anualmente ou notificada \u00e0s empresas pela ANACOM.<\/p>\n
6 – Na sequ\u00eancia de cada An\u00e1lise dos Riscos, as empresas devem:<\/p>\n
a) Rever a classifica\u00e7\u00e3o dos ativos e, se necess\u00e1rio, proceder \u00e0 sua reclassifica\u00e7\u00e3o e \u00e0 atualiza\u00e7\u00e3o do Invent\u00e1rio de Ativos;<\/p>\n
b) Adotar as medidas t\u00e9cnicas e organizacionais adequadas, incluindo, entre outras, as medidas e os requisitos previstos nos artigos 10.\u00ba a 15.\u00ba;<\/p>\n
c) Rever e, se necess\u00e1rio, atualizar a Caracteriza\u00e7\u00e3o Geral de Seguran\u00e7a, o Plano de Seguran\u00e7a e a demais documenta\u00e7\u00e3o integrada no Dossier de Seguran\u00e7a.<\/p>\n
7 – As medidas a adotar ao abrigo do disposto no n\u00famero anterior devem permitir:<\/p>\n
a) A preven\u00e7\u00e3o, a gest\u00e3o e a redu\u00e7\u00e3o dos riscos;<\/p>\n
b) O refor\u00e7o da robustez e da resili\u00eancia dos ativos, incluindo:<\/p>\n
i) A sua prote\u00e7\u00e3o contra as amea\u00e7as identificadas;<\/p>\n
ii) A sua recupera\u00e7\u00e3o ou redund\u00e2ncia, de forma a um r\u00e1pido restauro do funcionamento das suas redes e servi\u00e7os;<\/p>\n
c) Uma resposta eficaz a incidentes de seguran\u00e7a, a amea\u00e7as ou a vulnerabilidades;<\/p>\n
d) O acesso aos servi\u00e7os de emerg\u00eancia;<\/p>\n
e) O suporte \u00e0 continuidade da presta\u00e7\u00e3o dos servi\u00e7os previstos na al\u00ednea f) do n.\u00ba 3 do Artigo 24.\u00ba<\/p>\n
8 – Para efeitos do disposto no presente artigo, a ANACOM pode, caso assim o entenda necess\u00e1rio, emitir orienta\u00e7\u00f5es com vista a uma harmoniza\u00e7\u00e3o da matriz de risco a adotar pelas empresas.<\/p>\n
Artigo 10.\u00ba<\/p>\n
Medidas de Redund\u00e2ncia, de Robustez e de Resili\u00eancia<\/p>\n
1 – As empresas devem, em rela\u00e7\u00e3o aos ativos classificados na classe A:<\/p>\n
a) Assegurar a sua redund\u00e2ncia mediante o estabelecimento de ativos alternativos em local geogr\u00e1fico distinto;<\/p>\n
b) Identificar o prazo necess\u00e1rio e caracterizar o procedimento para a ativa\u00e7\u00e3o dos ativos alternativos referidos na al\u00ednea anterior.<\/p>\n
2 – Em caso de impossibilidade de redund\u00e2ncia dos ativos classificados na classe A, as empresas devem adotar medidas alternativas e comunicar \u00e0 ANACOM a sua ado\u00e7\u00e3o e o respetivo fundamento, incluindo os resultados dos testes realizados.<\/p>\n
3 – Excetua-se do disposto nos n\u00fameros anteriores os ativos classificados na classe A ao abrigo da al\u00ednea c) do n.\u00ba 3 do Artigo 7.\u00ba, em rela\u00e7\u00e3o aos quais as empresas devem apenas dispor da capacidade de assegurar a redund\u00e2ncia caso a mesma seja solicitada pelo cliente.<\/p>\n
4 – As empresas devem assegurar a redund\u00e2ncia das liga\u00e7\u00f5es entre os ativos classificados nas classes A, B ou C e, no caso das liga\u00e7\u00f5es entre os ativos classificados nas classes A ou B, que tais liga\u00e7\u00f5es sigam percursos geogr\u00e1ficos distintos.<\/p>\n
5 – As empresas devem identificar e caracterizar as medidas de robustez e de resili\u00eancia adotadas para os ativos classificados nas classes A, B ou C em resultado das An\u00e1lises dos Riscos realizadas e tendo em considera\u00e7\u00e3o as amea\u00e7as com maior probabilidade de ocorr\u00eancia ou com maior impacte potencial e, em qualquer caso:<\/p>\n
a) De interrup\u00e7\u00f5es de fornecimento de energia;<\/p>\n
b) De interrup\u00e7\u00f5es de fornecimento de circuito alugado;<\/p>\n
c) De falhas de hardware ou de software;<\/p>\n
d) De ataque malicioso;<\/p>\n
e) De outras amea\u00e7as que a experi\u00eancia e as boas pr\u00e1ticas recolhidas a n\u00edvel nacional e internacional justifique acautelar.<\/p>\n
6 – As empresas devem assegurar que os ativos classificados nas classes A, B ou C est\u00e3o dotados de sistema de alimenta\u00e7\u00e3o de energia de emerg\u00eancia que lhes permita assegurar o seu funcionamento sem perturba\u00e7\u00e3o ou interrup\u00e7\u00e3o em caso de interrup\u00e7\u00e3o de fornecimento de energia com a seguinte dura\u00e7\u00e3o m\u00ednima:<\/p>\n
a) 24 horas para os ativos classificados na classe A;<\/p>\n
b) 12 horas para os ativos classificados na classe B,<\/p>\n
c) Seis horas para os ativos classificados na classe C.<\/p>\n
7 – As empresas devem realizar testes \u00e0s medidas a que se refere o presente artigo, incluindo testes ao funcionamento dos sistemas de alimenta\u00e7\u00e3o de energia de emerg\u00eancia, com uma periodicidade m\u00ednima semestral, elaborando o registo da sua realiza\u00e7\u00e3o e dos resultados obtidos.<\/p>\n
Artigo 11.\u00ba<\/p>\n
Procedimentos de Controlo da Gest\u00e3o Excecional de Tr\u00e1fego no Acesso \u00e0 Internet<\/p>\n
1 – As empresas devem assegurar que a ado\u00e7\u00e3o de medidas de gest\u00e3o de tr\u00e1fego no acesso \u00e0 Internet \u00e9 feita em conformidade com o disposto no Regulamento (UE) n.\u00ba 2015\/2120 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, que estabelece medidas respeitantes ao acesso \u00e0 Internet aberta.<\/p>\n
2 – As empresas devem assegurar o registo da informa\u00e7\u00e3o relevante para o controlo das medidas de gest\u00e3o excecional de tr\u00e1fego no acesso \u00e0 Internet, que, em rela\u00e7\u00e3o a cada medida adotada, inclua, entre outros, os seguintes elementos:<\/p>\n
a) A exce\u00e7\u00e3o que a fundamenta, nos termos previstos nas al\u00edneas a), b) ou c) do n.\u00ba 3 do artigo 3.\u00ba do Regulamento (UE) n.\u00ba 2015\/2120 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, devidamente documentada;<\/p>\n
b) A natureza da medida, nomeadamente de bloqueio, de abrandamento, de altera\u00e7\u00e3o, de restri\u00e7\u00e3o, de degrada\u00e7\u00e3o ou outra;<\/p>\n
c) O objeto da medida, nomeadamente os conte\u00fados, as aplica\u00e7\u00f5es ou os servi\u00e7os e os portos ou endere\u00e7os IP abrangidos;<\/p>\n
d) A dura\u00e7\u00e3o, incluindo as datas e horas de in\u00edcio e de termo da medida.<\/p>\n
3 – As empresas devem adotar, identificar e caracterizar um Sistema para a Monitoriza\u00e7\u00e3o do Tr\u00e1fego no Acesso \u00e0 Internet, de modo cont\u00ednuo, para a dete\u00e7\u00e3o:<\/p>\n
a) De amea\u00e7as ao funcionamento ou \u00e0 seguran\u00e7a e integridade da rede, dos servi\u00e7os prestados atrav\u00e9s dela e dos equipamentos terminais dos utilizadores finais;<\/p>\n
b) De congestionamentos iminentes da rede.<\/p>\n
4 – No respeitante \u00e0 preven\u00e7\u00e3o e atenua\u00e7\u00e3o de situa\u00e7\u00f5es de congestionamento da rede, as empresas devem garantir que as medidas de gest\u00e3o excecional do tr\u00e1fego no acesso \u00e0 Internet adotadas permitam ainda assegurar a ado\u00e7\u00e3o das medidas necess\u00e1rias:<\/p>\n
a) \u00c0 reserva de capacidade para comunica\u00e7\u00f5es de emerg\u00eancia de interesse p\u00fablico;<\/p>\n
b) \u00c0 prioriza\u00e7\u00e3o de tr\u00e1fego nas situa\u00e7\u00f5es extraordin\u00e1rias previstas nas subal\u00edneas iv) a vii) da al\u00ednea b) do n.\u00ba 1 do Artigo 2.\u00ba<\/p>\n
Artigo 12.\u00ba<\/p>\n
Procedimentos de Gest\u00e3o de Altera\u00e7\u00f5es<\/p>\n
1 – As empresas devem estabelecer Procedimentos de Gest\u00e3o de Altera\u00e7\u00f5es a fim de minimizar a probabilidade de ocorr\u00eancia de incidente de seguran\u00e7a que possa resultar dessas altera\u00e7\u00f5es.<\/p>\n
2 – Em especial no caso de altera\u00e7\u00f5es f\u00edsicas ou l\u00f3gicas aos ativos classificados nas classes A ou B, as empresas devem:<\/p>\n
a) Assegurar a realiza\u00e7\u00e3o de testes de integra\u00e7\u00e3o e de sistema antes da introdu\u00e7\u00e3o da altera\u00e7\u00e3o;<\/p>\n
b) Elaborar plano de restauro dos ativos adequado \u00e0 altera\u00e7\u00e3o a introduzir.<\/p>\n
Artigo 13.\u00ba<\/p>\n
Sistemas de Controlo de Acessos<\/p>\n
1 – As empresas devem estabelecer e manter Sistemas de Controlo de Acessos f\u00edsicos e l\u00f3gicos que tenha em especial considera\u00e7\u00e3o os ativos constantes do Invent\u00e1rio de Ativos.<\/p>\n
2 – Os Sistemas de Controlo de Acessos devem:<\/p>\n
a) Ser adequados \u00e0 preven\u00e7\u00e3o, \u00e0 gest\u00e3o e \u00e0 redu\u00e7\u00e3o dos riscos para a seguran\u00e7a e integridade das redes e servi\u00e7os;<\/p>\n
b) Ser revistos com uma periodicidade m\u00ednima anual e sempre que necess\u00e1rio, nomeadamente em resultado das An\u00e1lises dos Riscos realizadas.<\/p>\n
3 – As empresas devem realizar testes aos Sistemas de Controlo de Acessos, com uma periodicidade m\u00ednima semestral, com vista \u00e0 prote\u00e7\u00e3o contra acessos n\u00e3o autorizados.<\/p>\n
4 – As empresas devem assegurar a documenta\u00e7\u00e3o e o registo da opera\u00e7\u00e3o dos Sistemas de Controlo de Acessos, que inclua:<\/p>\n
a) As altera\u00e7\u00f5es introduzidas;<\/p>\n
b) Os incidentes de seguran\u00e7a ocorridos;<\/p>\n
c) Os testes realizados;<\/p>\n
d) Os alarmes gerados.<\/p>\n
Artigo 14.\u00ba<\/p>\n
Sistemas de Monitoriza\u00e7\u00e3o e Controlo<\/p>\n
1 – As empresas devem estabelecer e manter Sistemas de Monitoriza\u00e7\u00e3o e Controlo das condi\u00e7\u00f5es de funcionamento, da seguran\u00e7a e integridade dos ativos constantes do Invent\u00e1rio de Ativos e do tr\u00e1fego, que operem em modo cont\u00ednuo e que permitam:<\/p>\n
a) A dete\u00e7\u00e3o de amea\u00e7as e de incidentes de seguran\u00e7a;<\/p>\n
b) A gera\u00e7\u00e3o dos alarmes adequados no caso da sua ocorr\u00eancia;<\/p>\n
c) A ativa\u00e7\u00e3o de medidas de seguran\u00e7a.<\/p>\n
2 – Os Sistemas de Monitoriza\u00e7\u00e3o e Controlo devem:<\/p>\n
a) Ser adequados \u00e0 preven\u00e7\u00e3o, \u00e0 gest\u00e3o e \u00e0 redu\u00e7\u00e3o dos riscos para o funcionamento e para a seguran\u00e7a e integridade das redes e servi\u00e7os;<\/p>\n
b) Ser revistos com uma periodicidade m\u00ednima anual e sempre que necess\u00e1rio, nomeadamente em resultado das An\u00e1lises dos Riscos realizadas.<\/p>\n
3 – As empresas devem realizar testes aos Sistemas de Monitoriza\u00e7\u00e3o e Controlo, com uma periodicidade m\u00ednima semestral.<\/p>\n
4 – As empresas devem assegurar a documenta\u00e7\u00e3o e o registo da opera\u00e7\u00e3o dos Sistemas de Monitoriza\u00e7\u00e3o e Controlo, que inclua:<\/p>\n
a) As amea\u00e7as detetadas;<\/p>\n
b) Os incidentes de seguran\u00e7a ocorridos;<\/p>\n
c) Os alarmes gerados;<\/p>\n
d) As medidas ativadas;<\/p>\n
e) Os testes realizados;<\/p>\n
f) As altera\u00e7\u00f5es introduzidas.<\/p>\n
Artigo 15.\u00ba<\/p>\n
Exerc\u00edcios<\/p>\n
1 – As empresas devem elaborar um Programa Anual de Exerc\u00edcios de avalia\u00e7\u00e3o da seguran\u00e7a e integridade com vista \u00e0 melhoria das medidas t\u00e9cnicas e organizacionais adotadas, em especial no que respeita, quando aplic\u00e1vel:<\/p>\n
a) Aos ativos constantes do Invent\u00e1rio de Ativos;<\/p>\n
b) Ao acesso aos servi\u00e7os de emerg\u00eancia;<\/p>\n
c) Ao acesso \u00e0s ofertas de redes e servi\u00e7os;<\/p>\n
d) Ao suporte \u00e0 continuidade da presta\u00e7\u00e3o dos servi\u00e7os previstos na al\u00ednea f) do n.\u00ba 3 do Artigo 24.\u00ba<\/p>\n
2 – O Programa Anual de Exerc\u00edcios deve incluir as seguintes fases:<\/p>\n
a) Fase de prepara\u00e7\u00e3o;<\/p>\n
b) Fase de realiza\u00e7\u00e3o;<\/p>\n
c) Fase de avalia\u00e7\u00e3o.<\/p>\n
3 – As empresas devem ainda assegurar que a execu\u00e7\u00e3o do Programa Anual de Exerc\u00edcios permita avaliar e testar o Plano de Seguran\u00e7a e, em especial, os respetivos planos de continuidade ou de restauro, verificando:<\/p>\n
a) A sua efic\u00e1cia na resposta aos riscos, \u00e0s vulnerabilidades ou \u00e0s amea\u00e7as, internas ou externas, intencionais ou n\u00e3o intencionais, com maior probabilidade de ocorr\u00eancia ou com maior impacte potencial;<\/p>\n
b) A conformidade com o disposto nas normas legais e regulamentares aplic\u00e1veis.<\/p>\n
4 – As empresas devem assegurar, na medida do adequado, a participa\u00e7\u00e3o de outras empresas ou de terceiros na execu\u00e7\u00e3o do Programa Anual de Exerc\u00edcios, designadamente mediante a realiza\u00e7\u00e3o de exerc\u00edcios conjuntos.<\/p>\n
5 – As empresas devem elaborar relat\u00f3rios da execu\u00e7\u00e3o do Programa Anual de Exerc\u00edcios, incluindo a descri\u00e7\u00e3o dos resultados obtidos.<\/p>\n
Artigo 16.\u00ba<\/p>\n
Presta\u00e7\u00e3o de informa\u00e7\u00e3o aos clientes<\/p>\n
As empresas devem comunicar aos seus clientes previstos no n.\u00ba 6 do Artigo 24.\u00ba, com conhecimento da ANACOM, as medidas adotadas na sequ\u00eancia de incidentes de seguran\u00e7a ou em rea\u00e7\u00e3o a amea\u00e7as ou a vulnerabilidades.<\/p>\n
Artigo 17.\u00ba<\/p>\n
Caracteriza\u00e7\u00e3o Geral da Seguran\u00e7a<\/p>\n
1 – As empresas devem elaborar e manter atualizada uma Caracteriza\u00e7\u00e3o Geral da Seguran\u00e7a, que contenha os seguintes elementos:<\/p>\n
a) A informa\u00e7\u00e3o sobre a abordagem e a metodologia de seguran\u00e7a e de gest\u00e3o dos riscos adotadas;<\/p>\n
b) A pol\u00edtica de seguran\u00e7a;<\/p>\n
c) A descri\u00e7\u00e3o do sistema de gest\u00e3o de seguran\u00e7a;<\/p>\n
d) A descri\u00e7\u00e3o das medidas de redund\u00e2ncia, de robustez e de resili\u00eancia;<\/p>\n
e) A descri\u00e7\u00e3o do Sistema para a Monitoriza\u00e7\u00e3o do Tr\u00e1fego de Acesso \u00e0 Internet;<\/p>\n
f) A descri\u00e7\u00e3o dos Sistemas de Controlo de Acessos;<\/p>\n
g) A descri\u00e7\u00e3o dos Sistemas de Monitoriza\u00e7\u00e3o e Controlo;<\/p>\n
h) A identifica\u00e7\u00e3o e os contactos do Respons\u00e1vel pela Seguran\u00e7a, incluindo:<\/p>\n
i) O nome;<\/p>\n
ii) Endere\u00e7o de correio eletr\u00f3nico;<\/p>\n
iii) Endere\u00e7o geogr\u00e1fico;<\/p>\n
i) Os contactos do Ponto de Contacto Permanente e, quando aplic\u00e1vel, do Ponto de Contacto Alternativo, incluindo:<\/p>\n
i) A designa\u00e7\u00e3o da fun\u00e7\u00e3o;<\/p>\n
ii) N\u00famero de telefone fixo principal;<\/p>\n
iii) N\u00famero de telefone m\u00f3vel principal;<\/p>\n
iv) Endere\u00e7o de correio eletr\u00f3nico;<\/p>\n
v) Contactos alternativos;<\/p>\n
vi) Endere\u00e7o geogr\u00e1fico do local onde \u00e9 assegurada a fun\u00e7\u00e3o.<\/p>\n
2 – A informa\u00e7\u00e3o prevista na al\u00ednea h) do n\u00famero anterior deve ser instru\u00edda com uma declara\u00e7\u00e3o expressa, assinada por quem vincule a empresa, de que o Respons\u00e1vel pela Seguran\u00e7a se encontra devidamente mandatado, nos termos legalmente previstos, para representar a empresa no exerc\u00edcio das fun\u00e7\u00f5es cometidas pelo presente regulamento.<\/p>\n
3 – As empresas devem enviar \u00e0 ANACOM, no prazo de cinco dias \u00fateis a contar do in\u00edcio da sua atividade, a Caracteriza\u00e7\u00e3o Geral da Seguran\u00e7a, assinada pelo Respons\u00e1vel pela Seguran\u00e7a, bem como comunicar, com a anteced\u00eancia m\u00ednima de 10 dias \u00fateis em rela\u00e7\u00e3o \u00e0 sua ado\u00e7\u00e3o, de qualquer altera\u00e7\u00e3o \u00e0 mesma.<\/p>\n
Artigo 18.\u00ba<\/p>\n
Plano de Seguran\u00e7a<\/p>\n
1 – As empresas devem elaborar um Plano de Seguran\u00e7a que contemple todas as medidas t\u00e9cnicas e organizacionais adotadas.<\/p>\n
2 – O Plano de Seguran\u00e7a deve ter como objetivos gerais:<\/p>\n
a) Proteger a seguran\u00e7a e a integridade, f\u00edsicas e l\u00f3gicas, das redes e servi\u00e7os;<\/p>\n
b) Recuperar rapidamente o funcionamento das redes e servi\u00e7os em caso de ocorr\u00eancia de incidente de seguran\u00e7a;<\/p>\n
c) Melhorar o n\u00edvel de seguran\u00e7a e integridade das redes e servi\u00e7os;<\/p>\n
d) Assegurar a coordena\u00e7\u00e3o das a\u00e7\u00f5es entre a empresa e as demais entidades envolvidas, incluindo a ANACOM, as demais autoridades competentes, as outras empresas e, se aplic\u00e1vel, os clientes previstos no n.\u00ba 6 do Artigo 24.\u00ba<\/p>\n
3 – Em especial, o Plano de Seguran\u00e7a deve tamb\u00e9m incluir:<\/p>\n
a) Planos de continuidade ou de restauro espec\u00edficos para os ativos constantes do Invent\u00e1rio de Ativos;<\/p>\n
b) As medidas necess\u00e1rias para a salvaguarda de reserva de capacidade para comunica\u00e7\u00f5es de emerg\u00eancia de interesse p\u00fablico;<\/p>\n
c) As medidas necess\u00e1rias em mat\u00e9ria de congestionamento de redes em situa\u00e7\u00f5es de emerg\u00eancia, incluindo os procedimentos a cumprir pela empresa.<\/p>\n
4 – As empresas devem manter o Plano de Seguran\u00e7a atualizado e revisto com uma periodicidade m\u00ednima anual e sempre que necess\u00e1rio, em resultado das An\u00e1lises dos Riscos realizadas.<\/p>\n
Artigo 19.\u00ba<\/p>\n
Relat\u00f3rio Anual de Seguran\u00e7a<\/p>\n
1 – As empresas devem elaborar um Relat\u00f3rio Anual de Seguran\u00e7a com especial enfoque nos ativos constantes do Invent\u00e1rio de Ativos, que, de forma completa, mas sucinta, contenha os seguintes elementos:<\/p>\n
a) Descri\u00e7\u00e3o das atividades desenvolvidas em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os e dos resultados atingidos, nomeadamente:<\/p>\n
i) An\u00e1lises dos Riscos;<\/p>\n
ii) Exerc\u00edcios;<\/p>\n
iii) Auditorias;<\/p>\n
b) An\u00e1lise agregada dos incidentes de seguran\u00e7a com maior impacte e de todas as viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com impacte significativo;<\/p>\n
c) S\u00edntese das principais altera\u00e7\u00f5es ao Plano de Seguran\u00e7a e das melhorias introduzidas nas medidas t\u00e9cnicas e organizacionais adotadas;<\/p>\n
d) Recomenda\u00e7\u00f5es de atividades, medidas ou pr\u00e1ticas de coopera\u00e7\u00e3o entre empresas e a ANACOM que promovam a melhoria da seguran\u00e7a e integridade, agregadas, das redes e servi\u00e7os;<\/p>\n
e) Qualquer outra informa\u00e7\u00e3o relevante.<\/p>\n
2 – O Relat\u00f3rio Anual de Seguran\u00e7a deve ainda incluir o Programa Anual de Exerc\u00edcios do ano seguinte ao qual aquele se reporta.<\/p>\n
3 – As empresas devem apresentar o Relat\u00f3rio Anual de Seguran\u00e7a \u00e0 ANACOM, assinado pelo Respons\u00e1vel pela Seguran\u00e7a, at\u00e9 ao \u00faltimo dia \u00fatil do m\u00eas de janeiro do ano seguinte ao qual o mesmo se reporta.<\/p>\n
Artigo 20.\u00ba<\/p>\n
Respons\u00e1vel pela Seguran\u00e7a<\/p>\n
1 – As empresas devem estabelecer uma fun\u00e7\u00e3o de Respons\u00e1vel pela Seguran\u00e7a, o qual, entre os demais deveres previstos no presente regulamento, \u00e9 respons\u00e1vel:<\/p>\n
a) Pela gest\u00e3o da pol\u00edtica de seguran\u00e7a;<\/p>\n
b) Pela gest\u00e3o do sistema de gest\u00e3o de seguran\u00e7a;<\/p>\n
c) Pela promo\u00e7\u00e3o do cumprimento pelas empresas das obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os ao abrigo do disposto na lei e no presente regulamento.<\/p>\n
2 – As empresas que n\u00e3o estejam estabelecidas na Uni\u00e3o Europeia ou no Espa\u00e7o Econ\u00f3mico Europeu e que detenham ativos classificados nas classes A, B ou C devem assegurar que o seu Respons\u00e1vel pela Seguran\u00e7a se encontra a\u00ed domiciliado.<\/p>\n
Artigo 21.\u00ba<\/p>\n
Ponto de Contacto Permanente<\/p>\n
1 – As empresas devem estabelecer uma fun\u00e7\u00e3o de Ponto de Contacto Permanente que assegure, numa disponibilidade cont\u00ednua (24 horas por dia e sete dias por semana), a capacidade de iniciar e de receber um fluxo de informa\u00e7\u00e3o de n\u00edvel operacional e t\u00e9cnico entre a empresa e a ANACOM, nomeadamente para os seguintes efeitos:<\/p>\n
a) Efic\u00e1cia da resposta a incidentes de seguran\u00e7a com impacte a n\u00edvel do setor ou para al\u00e9m deste, incluindo no suporte \u00e0 continuidade da presta\u00e7\u00e3o dos servi\u00e7os previstos na al\u00ednea f) do n.\u00ba 3 do Artigo 24.\u00ba, e que envolva a participa\u00e7\u00e3o de v\u00e1rias empresas;<\/p>\n
b) Articula\u00e7\u00e3o entre a ANACOM e a empresa para a obten\u00e7\u00e3o de informa\u00e7\u00e3o operacional ou t\u00e9cnica, na sequ\u00eancia de notifica\u00e7\u00e3o de viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacte significativo submetida por aquela ou por outra empresa;<\/p>\n
c) Constru\u00e7\u00e3o e atualiza\u00e7\u00e3o de informa\u00e7\u00e3o de situa\u00e7\u00e3o integrada no contexto de uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacte significativo ou da ativa\u00e7\u00e3o do planeamento civil de emerg\u00eancia ou de plano de emerg\u00eancia da prote\u00e7\u00e3o civil;<\/p>\n
d) Operacionaliza\u00e7\u00e3o dos procedimentos fixados no \u00e2mbito do planeamento civil de emerg\u00eancia ou de plano de emerg\u00eancia da prote\u00e7\u00e3o civil.<\/p>\n
2 – As empresas devem assegurar que o Ponto de Contacto Permanente disp\u00f5e de meios de contacto principais e alternativos para a comunica\u00e7\u00e3o com a ANACOM em condi\u00e7\u00f5es normais de funcionamento e nas situa\u00e7\u00f5es extraordin\u00e1rias previstas nos termos do Artigo 2.\u00ba<\/p>\n
3 – As empresas que detenham ativos classificados nas classes A ou B<\/p>\n
devem estabelecer uma fun\u00e7\u00e3o de Ponto de Contacto Alternativo, em local geograficamente distinto do local onde \u00e9 assegurada a fun\u00e7\u00e3o de Ponto de Contacto Permanente, que tenha a capacidade de assegurar as fun\u00e7\u00f5es do Ponto de Contacto Permanente em caso de falha deste ou de impossibilidade de ser contactado.<\/p>\n
Artigo 22.\u00ba<\/p>\n
Equipa de Resposta a Incidentes de Seguran\u00e7a<\/p>\n
As empresas devem assegurar o acesso aos servi\u00e7os de Equipa de Resposta a Incidentes de Seguran\u00e7a, dotada dos recursos e dos conhecimentos necess\u00e1rios a uma eficaz prepara\u00e7\u00e3o contra os riscos, amea\u00e7as e vulnerabilidades e \u00e0 resposta a incidentes de seguran\u00e7a que afetem os ativos classificados nas classes A, B ou C ou os ativos cr\u00edticos para a continuidade do funcionamento das suas redes ou servi\u00e7os.<\/p>\n
Artigo 23.\u00ba<\/p>\n
Dossier de Seguran\u00e7a<\/p>\n
1 – As empresas devem compilar e manter atualizado um Dossier de Seguran\u00e7a, o qual inclui:<\/p>\n
a) O Invent\u00e1rio de Ativos;<\/p>\n
b) A Caracteriza\u00e7\u00e3o Geral de Seguran\u00e7a;<\/p>\n
c) O Plano de Seguran\u00e7a;<\/p>\n
d) O Relat\u00f3rio Anual de Seguran\u00e7a;<\/p>\n
e) O Programa Anual de Exerc\u00edcios e o respetivo relat\u00f3rio de execu\u00e7\u00e3o;<\/p>\n
f) A Proposta de Auditoria e o Relat\u00f3rio de Auditoria, nas vers\u00f5es aceites pela ANACOM, e o Plano de Corre\u00e7\u00e3o de N\u00e3o Conformidades.<\/p>\n
2 – Os documentos previstos no n\u00famero anterior devem integrar o Dossier de Seguran\u00e7a na sua vers\u00e3o atualizada e em todas as suas vers\u00f5es hist\u00f3ricas dos \u00faltimos cinco anos.<\/p>\n
3 – O Dossier de Seguran\u00e7a deve incluir o registo dos incidentes de seguran\u00e7a com maior impacte ocorridos nos \u00faltimos cinco anos, incluindo c\u00f3pias de todas as notifica\u00e7\u00f5es e divulga\u00e7\u00f5es realizadas ao abrigo do disposto no T\u00edtulo III.<\/p>\n
4 – Para al\u00e9m do disposto nos n\u00fameros anteriores, o Dossier de Seguran\u00e7a deve ainda integrar a demais documenta\u00e7\u00e3o relativa \u00e0 seguran\u00e7a e integridade das redes e servi\u00e7os, nomeadamente no que respeita \u00e0 organiza\u00e7\u00e3o, \u00e0s fun\u00e7\u00f5es e responsabilidades, \u00e0 capacidade t\u00e9cnica e a quaisquer sistemas, processos, planos, medidas e registos.<\/p>\n
5 – Toda a documenta\u00e7\u00e3o integrada no Dossier de Seguran\u00e7a deve ser assinada pelo Respons\u00e1vel pela Seguran\u00e7a.<\/p>\n
T\u00edtulo III<\/p>\n
Obriga\u00e7\u00f5es de notifica\u00e7\u00e3o e de informa\u00e7\u00e3o ao p\u00fablico<\/p>\n
Cap\u00edtulo I<\/p>\n
Obriga\u00e7\u00f5es de notifica\u00e7\u00e3o<\/p>\n
Artigo 24.\u00ba<\/p>\n
Circunst\u00e2ncias<\/p>\n
1 – Para efeitos do disposto no artigo 54.\u00ba-B da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, as empresas est\u00e3o obrigadas a notificar a ANACOM das viola\u00e7\u00f5es de seguran\u00e7a ou das perdas de integridade com impacte significativo no funcionamento das redes e servi\u00e7os que oferecem.<\/p>\n
2 – Devem ser objeto de notifica\u00e7\u00e3o todas as viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade que causem uma perturba\u00e7\u00e3o grave no funcionamento das redes e servi\u00e7os, com impacte significativo na continuidade desse funcionamento, de acordo com as circunst\u00e2ncias e as regras previstas nos n\u00fameros seguintes.<\/p>\n
3 – Para efeitos do disposto nos n\u00fameros anteriores, as empresas devem notificar a ANACOM:<\/p>\n
a) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade cujo impacte se inclua num dos seguintes patamares:<\/p>\n
(ver documento original)<\/p>\n
b) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade que afete a entrega aos Postos de Atendimento de Seguran\u00e7a P\u00fablica (Centros de Atendimento do 112), direta ou indiretamente, das chamadas para o n\u00famero \u00fanico de emerg\u00eancia europeu 112, bem como das chamadas para o n\u00famero nacional de emerg\u00eancia 115, por um per\u00edodo igual ou superior a 15 minutos;<\/p>\n
c) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade recorrente, sempre que o impacte acumulado das suas ocorr\u00eancias num per\u00edodo de quatro semanas preencha uma das condi\u00e7\u00f5es previstas nas al\u00edneas anteriores;<\/p>\n
d) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade que se verifique numa data em que seja particularmente relevante o normal e cont\u00ednuo funcionamento das redes e servi\u00e7os, nos termos previstos no n.\u00ba 5 do presente artigo, desde que:<\/p>\n
i) Tenha uma dura\u00e7\u00e3o igual ou superior a uma hora;<\/p>\n
ii) Afete um n\u00famero de assinantes ou de acessos igual ou superior a 1.000 ou, nos termos da al\u00ednea e) do n.\u00ba 4 do presente artigo, uma \u00e1rea geogr\u00e1fica igual ou superior a 100 km2;<\/p>\n
e) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade que impacte no funcionamento de todas as redes e servi\u00e7os oferecidos por uma empresa na totalidade do territ\u00f3rio de uma ilha das Regi\u00f5es Aut\u00f3nomas dos A\u00e7ores ou da Madeira, desde que tenha uma dura\u00e7\u00e3o igual ou superior a 30 minutos, independentemente do n\u00famero de assinantes ou de acessos afetados e da \u00e1rea geogr\u00e1fica afetada;<\/p>\n
f) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, detetada pelas empresas ou a estas comunicada pelos seus clientes, que impacte no funcionamento das redes e servi\u00e7os atrav\u00e9s dos quais sejam prestados servi\u00e7os relevantes \u00e0 sociedade e aos cidad\u00e3os, por parte dos seus clientes, de natureza p\u00fablica ou privada, de \u00e2mbito nacional ou regional, previstas no n.\u00ba 6 do presente artigo, desde que tenha uma dura\u00e7\u00e3o igual ou superior a 30 minutos;<\/p>\n
g) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade cujo impacte acumulado sobre um conjunto de empresas que se encontrem nas condi\u00e7\u00f5es previstas no n.\u00ba 2 do artigo 3.\u00ba da Lei n.\u00ba 19\/2012, de 8 de maio, preencha uma das condi\u00e7\u00f5es previstas na al\u00ednea a) e, na parte que remete para esta al\u00ednea, na al\u00ednea c), ambas do presente n.\u00ba 3.<\/p>\n
4 – Para efeitos do disposto no n\u00famero anterior:<\/p>\n
a) O impacte de uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade deve ser aferido por refer\u00eancia a todas as redes e a todos os servi\u00e7os de uma empresa que sejam afetados pela mesma;<\/p>\n
b) O n\u00famero de assinantes ou de acessos afetados por uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade corresponde \u00e0 soma do n\u00famero de assinantes ou de acessos que s\u00e3o afetados pela mesma nas v\u00e1rias redes e servi\u00e7os;<\/p>\n
c) O n\u00famero de assinantes de um servi\u00e7o que seja suportado noutro servi\u00e7o s\u00f3 \u00e9 contabilizado quando o servi\u00e7o de suporte n\u00e3o seja afetado;<\/p>\n
d) O n\u00famero de assinantes ou de acessos afetados corresponde ao n\u00famero de assinantes ou de acessos que sejam abrangidos pela viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade ou, na impossibilidade da sua determina\u00e7\u00e3o, a uma estimativa baseada nos elementos estat\u00edsticos detidos pela empresa;<\/p>\n
e) O crit\u00e9rio relativo \u00e0 \u00e1rea geogr\u00e1fica afetada s\u00f3 deve ser aplicado caso o crit\u00e9rio relativo ao n\u00famero de assinantes ou de acessos afetados seja inaplic\u00e1vel ou, no caso concreto, fundamentadamente imposs\u00edvel de determinar ou estimar.<\/p>\n
5 – Para os efeitos previstos na al\u00ednea d) do n.\u00ba 3 e sem preju\u00edzo da identifica\u00e7\u00e3o pela ANACOM de outras datas, devidamente notificadas \u00e0s empresas com uma anteced\u00eancia m\u00ednima de cinco dias \u00fateis, considera-se como datas relevantes as seguintes:<\/p>\n
a) Dia de elei\u00e7\u00f5es nacionais (legislativas, presidenciais, europeias ou aut\u00e1rquicas);<\/p>\n
b) Dia de referendos nacionais;<\/p>\n
c) Dia de exerc\u00edcio nacional de redes ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, ao abrigo do disposto na al\u00ednea c) do artigo 54.\u00ba-D da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
d) Dia de elei\u00e7\u00f5es regionais, no que respeita a viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade ocorridas na regi\u00e3o em causa.<\/p>\n
6 – Para os efeitos previstos na al\u00ednea f) do n.\u00ba 3 e sem preju\u00edzo da identifica\u00e7\u00e3o pela ANACOM de outras entidades, devidamente notificadas \u00e0s empresas com uma anteced\u00eancia m\u00ednima de cinco dias \u00fateis, considera-se como clientes relevantes:<\/p>\n
a) O SIRESP – Sistema Integrado de Redes de Emerg\u00eancia e Seguran\u00e7a de Portugal;<\/p>\n
b) A RNSI – Rede Nacional de Seguran\u00e7a Interna;<\/p>\n
c) O SRPCBA – Servi\u00e7o Regional de Prote\u00e7\u00e3o Civil e Bombeiros dos A\u00e7ores;<\/p>\n
d) A partir da data da notifica\u00e7\u00e3o da sua identifica\u00e7\u00e3o, pela ANACOM, \u00e0s empresas:<\/p>\n
i) Os operadores de servi\u00e7os essenciais a identificar no \u00e2mbito da aplica\u00e7\u00e3o do diploma de transposi\u00e7\u00e3o da Diretiva (UE) n.\u00ba 2016\/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado n\u00edvel comum de seguran\u00e7a das redes e da informa\u00e7\u00e3o em toda a Uni\u00e3o;<\/p>\n
ii) Os propriet\u00e1rios ou operadores de infraestruturas cr\u00edticas designadas ao abrigo do disposto no Decreto-Lei n.\u00ba 62\/2011, de 9 de maio, e na demais legisla\u00e7\u00e3o aplic\u00e1vel.<\/p>\n
Artigo 25.\u00ba<\/p>\n
Formato e Procedimentos<\/p>\n
1 – Por cada viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade que deva ser objeto de notifica\u00e7\u00e3o ao abrigo do disposto no Artigo 24.\u00ba, as empresas devem submeter \u00e0 ANACOM:<\/p>\n
a) Uma notifica\u00e7\u00e3o inicial, nos termos dos n.os 4 e 5 do presente artigo;<\/p>\n
b) Uma notifica\u00e7\u00e3o final, nos termos do n.os 8 e 9 do presente artigo;<\/p>\n
c) Sempre que exigida, em conformidade com o disposto no n.\u00ba 6 do presente artigo, uma notifica\u00e7\u00e3o de fim de viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacte significativo, nos termos dos n.os 6 e 7 do presente artigo.<\/p>\n
2 – Na circunst\u00e2ncia prevista na al\u00ednea c) do n.\u00ba 3 do Artigo 24.\u00ba, as empresas apenas devem submeter \u00e0 ANACOM uma notifica\u00e7\u00e3o final nos termos previstos nos n.os 8 e 9 do presente artigo, com as devidas adapta\u00e7\u00f5es.<\/p>\n
3 – Na circunst\u00e2ncia prevista na al\u00ednea g) do n.\u00ba 3 do Artigo 24.\u00ba, pode ser dirigida \u00e0 ANACOM uma \u00fanica s\u00e9rie de notifica\u00e7\u00f5es, nos termos previstos no n.\u00ba 1 do presente artigo, desde que as mesmas:<\/p>\n
a) Abranjam todo o impacte da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade;<\/p>\n
b) Sejam apresentadas em representa\u00e7\u00e3o de todas as empresas.<\/p>\n
4 – A notifica\u00e7\u00e3o inicial deve ser enviada logo que seja poss\u00edvel e desde que a empresa possa concluir que existe ou existir\u00e1 impacte significativo, at\u00e9 uma hora ap\u00f3s a verifica\u00e7\u00e3o da circunst\u00e2ncia prevista no Artigo 24.\u00ba que, no caso concreto, determinou a obriga\u00e7\u00e3o de notifica\u00e7\u00e3o, devendo a empresa, sem preju\u00edzo do cumprimento deste prazo, dar prioridade \u00e0 mitiga\u00e7\u00e3o e \u00e0 resolu\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade.<\/p>\n
5 – A notifica\u00e7\u00e3o prevista no n\u00famero anterior deve incluir a seguinte informa\u00e7\u00e3o:<\/p>\n
a) Nome, n\u00famero de telefone e endere\u00e7o de correio eletr\u00f3nico de um representante da empresa, para efeito de um eventual contacto por parte da ANACOM;<\/p>\n
b) Data e hora do in\u00edcio ou, em caso de impossibilidade de o determinar, da dete\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade;<\/p>\n
c) Data e hora em que a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade assumiu o impacte significativo;<\/p>\n
d) Data e hora em que a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade perdeu o impacte significativo ou, caso o mesmo se mantenha, o prazo estimado para a sua perda;<\/p>\n
e) Breve descri\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, incluindo a indica\u00e7\u00e3o da categoria da causa raiz e, na medida do poss\u00edvel, o seu detalhe;<\/p>\n
f) Estimativa poss\u00edvel do seu impacte, em termos de:<\/p>\n
i) Redes e servi\u00e7os afetados;<\/p>\n
ii) Acesso aos servi\u00e7os de emerg\u00eancia;<\/p>\n
iii) N\u00famero de assinantes ou de acessos afetados;<\/p>\n
iv) \u00c1rea geogr\u00e1fica afetada, em km2;<\/p>\n
g) Observa\u00e7\u00f5es.<\/p>\n
6 – Ap\u00f3s a perda de impacte significativo da viola\u00e7\u00e3o de seguran\u00e7a ou da perda de integridade e sempre que a mesma n\u00e3o tenha j\u00e1 sido comunicada na notifica\u00e7\u00e3o inicial, as empresas devem submeter \u00e0 ANACOM, logo que poss\u00edvel, dentro do prazo m\u00e1ximo de duas horas ap\u00f3s aquela ter ocorrido, uma notifica\u00e7\u00e3o de fim de viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacte significativo.<\/p>\n
7 – A notifica\u00e7\u00e3o referida no n\u00famero anterior deve, na medida do poss\u00edvel, incluir a seguinte informa\u00e7\u00e3o:<\/p>\n
a) Atualiza\u00e7\u00e3o da informa\u00e7\u00e3o transmitida na notifica\u00e7\u00e3o inicial;<\/p>\n
b) Breve descri\u00e7\u00e3o das medidas adotadas para a resolu\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade.<\/p>\n
8 – A notifica\u00e7\u00e3o final deve ser assinada pelo Respons\u00e1vel pela Seguran\u00e7a e enviada no prazo de 20 dias \u00fateis a contar do momento em que a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade deixou de assumir um impacte significativo.<\/p>\n
9 – A notifica\u00e7\u00e3o prevista no n\u00famero anterior deve incluir a seguinte informa\u00e7\u00e3o:<\/p>\n
a) Identificador \u00fanico da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade atribu\u00eddo pela ANACOM aquando da notifica\u00e7\u00e3o inicial;<\/p>\n
b) Data e hora em que a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade assumiu o impacte significativo;<\/p>\n
c) Data e hora em que a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade perdeu o impacte significativo;<\/p>\n
d) Data e hora do in\u00edcio ou, em caso de impossibilidade de o determinar, da dete\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade e data e hora do respetivo fim, caso sejam diferentes das datas e horas transmitidas, respetivamente, ao abrigo das al\u00edneas b) e c);<\/p>\n
e) Impacte da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade em termos de:<\/p>\n
i) Redes (incluindo as interliga\u00e7\u00f5es nacionais e internacionais) e respetivas infraestruturas (incluindo sistemas), com indica\u00e7\u00e3o, onde aplic\u00e1vel, do respetivo identificador \u00fanico no Invent\u00e1rio de Ativos, e servi\u00e7os afetados;<\/p>\n
ii) Acesso aos servi\u00e7os de emerg\u00eancia pelo n\u00famero \u00fanico de emerg\u00eancia europeu 112 (incluindo o acesso pelo n\u00famero nacional de emerg\u00eancia 115);<\/p>\n
iii) N\u00famero de assinantes ou de acessos afetados, por rede ou servi\u00e7o;<\/p>\n
iv) Percentagem do n\u00famero de assinantes ou de acessos afetados em rela\u00e7\u00e3o ao total de assinantes ou de acessos, por rede ou servi\u00e7o;<\/p>\n
v) \u00c1rea geogr\u00e1fica afetada, em km2;<\/p>\n
f) Descri\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, com indica\u00e7\u00e3o da categoria da causa raiz e o respetivo detalhe;<\/p>\n
g) Indica\u00e7\u00e3o das medidas adotadas para mitigar a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade;<\/p>\n
h) Indica\u00e7\u00e3o das medidas adotadas para a resolu\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, incluindo, no caso de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com tempos de restaura\u00e7\u00e3o parciais, a cronologia e o detalhe das etapas de restaura\u00e7\u00e3o;<\/p>\n
i) Indica\u00e7\u00e3o das medidas adotadas e\/ou planeadas para impedir ou minimizar a ocorr\u00eancia de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade similares no futuro (no \u00e2mbito do planeamento e\/ou da explora\u00e7\u00e3o, do plano de conting\u00eancia, dos acordos de interliga\u00e7\u00e3o, dos acordos de n\u00edveis de servi\u00e7os e de outras \u00e1reas pertinentes) e da data em que as mesmas foram ou ser\u00e3o tornadas efetivas;<\/p>\n
j) Quando seja o caso, a informa\u00e7\u00e3o disponibilizada ao p\u00fablico relativamente \u00e0 viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, incluindo eventuais atualiza\u00e7\u00f5es da mesma, bem como a data e a hora dessas comunica\u00e7\u00f5es;<\/p>\n
k) Outra informa\u00e7\u00e3o relevante;<\/p>\n
l) Observa\u00e7\u00f5es.<\/p>\n
10 – Para os efeitos do disposto nos n.os 5, 7 e 9, as viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade podem ter as seguintes categorias de causas raiz:<\/p>\n
a) Acidente ou desastre natural;<\/p>\n
b) Erro humano;<\/p>\n
c) Ataque malicioso;<\/p>\n
d) Falha de hardware ou de software; ou<\/p>\n
e) Falha no fornecimento de bens ou servi\u00e7os por entidade externa.<\/p>\n
11 – A informa\u00e7\u00e3o inclu\u00edda nas notifica\u00e7\u00f5es previstas no presente artigo relativamente ao n\u00famero de assinantes ou de acessos deve, sempre que poss\u00edvel, obedecer \u00e0s defini\u00e7\u00f5es fixadas no \u00e2mbito das obriga\u00e7\u00f5es de entrega de informa\u00e7\u00e3o peri\u00f3dica \u00e0 ANACOM.<\/p>\n
12 – As notifica\u00e7\u00f5es previstas no presente artigo devem ser realizadas atrav\u00e9s dos seguintes meios:<\/p>\n
a) No que respeita \u00e0 notifica\u00e7\u00e3o inicial e \u00e0 notifica\u00e7\u00e3o de fim de viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacte significativo, atrav\u00e9s do endere\u00e7o de correio eletr\u00f3nico e do n\u00famero de telefone publicados no s\u00edtio institucional da ANACOM na Internet;<\/p>\n
b) No que respeita \u00e0 notifica\u00e7\u00e3o final, atrav\u00e9s de entrega em m\u00e3o ou de correio registado.<\/p>\n
13 – As empresas cujas redes ou servi\u00e7os sejam impactados no seu funcionamento pela mesma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, devem cooperar entre si para a correta dete\u00e7\u00e3o e avalia\u00e7\u00e3o de impacte dessa viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade e, no caso previsto na al\u00ednea g) do n.\u00ba 3 do Artigo 24.\u00ba, para a respetiva notifica\u00e7\u00e3o.<\/p>\n
14 – Tendo em vista o cabal cumprimento do disposto no presente Cap\u00edtulo, cabe \u00e0s empresas implementar todos os meios e os procedimentos necess\u00e1rios \u00e0 dete\u00e7\u00e3o, \u00e0 avalia\u00e7\u00e3o do impacte e \u00e0 notifica\u00e7\u00e3o das viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade que preencham as circunst\u00e2ncias previstas no Artigo 24.\u00ba<\/p>\n
Cap\u00edtulo II<\/p>\n
Obriga\u00e7\u00f5es de informa\u00e7\u00e3o ao p\u00fablico<\/p>\n
Artigo 26.\u00ba<\/p>\n
Condi\u00e7\u00f5es<\/p>\n
1 – Para efeitos do disposto na al\u00ednea b) do artigo 54.\u00ba-E da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, as empresas devem informar o p\u00fablico de qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade cujo impacte no funcionamento das suas redes e servi\u00e7os se inclua num dos seguintes patamares:<\/p>\n
(ver documento original)<\/p>\n
2 – Para efeitos do disposto no n\u00famero anterior:<\/p>\n
a) O impacte de uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade deve ser aferido por refer\u00eancia a todas as redes e a todos os servi\u00e7os de uma empresa que sejam afetados pela mesma;<\/p>\n
b) O n\u00famero de assinantes ou de acessos afetados por uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade corresponde \u00e0 soma do n\u00famero de assinantes ou de acessos que s\u00e3o afetados pela mesma nas v\u00e1rias redes e servi\u00e7os;<\/p>\n
c) O n\u00famero de assinantes de um servi\u00e7o que seja suportado noutro servi\u00e7o s\u00f3 \u00e9 contabilizado quando o servi\u00e7o de suporte n\u00e3o seja afetado;<\/p>\n
d) O n\u00famero de assinantes ou de acessos afetados corresponde ao n\u00famero de assinantes ou de acessos que sejam abrangidos pela viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade ou, na impossibilidade da sua determina\u00e7\u00e3o, a uma estimativa baseada nos elementos estat\u00edsticos detidos pela empresa;<\/p>\n
e) O crit\u00e9rio relativo \u00e0 \u00e1rea geogr\u00e1fica afetada s\u00f3 deve ser aplicado caso o crit\u00e9rio relativo ao n\u00famero de assinantes ou de acessos afetados seja inaplic\u00e1vel ou, no caso concreto, fundamentadamente imposs\u00edvel de determinar ou estimar.<\/p>\n
3 – O disposto no presente artigo n\u00e3o prejudica que, em circunst\u00e2ncias n\u00e3o previstas no n.\u00ba 1 – e sempre que o tamb\u00e9m considere de interesse p\u00fablico, a ANACOM possa, ao abrigo do disposto na al\u00ednea b) do artigo 54.\u00ba-E da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, determinar \u00e0s empresas que informem o p\u00fablico de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade ocorridas nas suas redes e servi\u00e7os.<\/p>\n
Artigo 27.\u00ba<\/p>\n
Conte\u00fado, meios e prazos de divulga\u00e7\u00e3o<\/p>\n
1 – Na informa\u00e7\u00e3o ao p\u00fablico das viola\u00e7\u00f5es de seguran\u00e7a ou das perdas de integridade a que se refere o Artigo 26.\u00ba, as empresas devem:<\/p>\n
a) Assegurar que o conte\u00fado da informa\u00e7\u00e3o seja claro, acess\u00edvel e t\u00e3o preciso quanto poss\u00edvel e inclua, entre outros elementos considerados relevantes:<\/p>\n
i) A indica\u00e7\u00e3o das redes e servi\u00e7os afetados;<\/p>\n
ii) O prazo expect\u00e1vel de resolu\u00e7\u00e3o ou, quando for o caso, a data de resolu\u00e7\u00e3o;<\/p>\n
b) Disponibilizar a informa\u00e7\u00e3o, no m\u00ednimo, nos respetivos s\u00edtios na Internet que utilizam no seu relacionamento com os utilizadores, atrav\u00e9s de uma hiperliga\u00e7\u00e3o imediatamente vis\u00edvel e identific\u00e1vel na primeira p\u00e1gina do s\u00edtio sem necessidade do uso da barra elevat\u00f3ria;<\/p>\n
c) Disponibilizar a informa\u00e7\u00e3o logo que poss\u00edvel, no prazo m\u00e1ximo de quatro horas \u00fateis ap\u00f3s o termo do prazo de notifica\u00e7\u00e3o inicial \u00e0 ANACOM, considerando-se como horas \u00fateis, para o efeito, as horas decorridas entre as nove e as dezanove horas de um dia \u00fatil;<\/p>\n
d) Atualizar a informa\u00e7\u00e3o sempre que se verifique alguma altera\u00e7\u00e3o significativa e logo ap\u00f3s o fim da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade;<\/p>\n
e) Manter a informa\u00e7\u00e3o disponibilizada atrav\u00e9s da Internet acess\u00edvel ao p\u00fablico, nas mesmas localiza\u00e7\u00f5es referidas na al\u00ednea b), durante o per\u00edodo de 20 dias \u00fateis a contar da data do fim da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade.<\/p>\n
2 – As empresas devem comunicar \u00e0 ANACOM, logo que iniciem a sua atividade, os endere\u00e7os URL das p\u00e1ginas na Internet nas quais, para efeitos do disposto na al\u00ednea b) do n\u00famero anterior, proceder\u00e3o \u00e0 divulga\u00e7\u00e3o ao p\u00fablico das viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade ocorridas nas suas redes e servi\u00e7os, bem como qualquer altera\u00e7\u00e3o posterior dos mesmos com uma anteced\u00eancia m\u00ednima de cinco dias \u00fateis relativamente \u00e0 sua execu\u00e7\u00e3o.<\/p>\n
3 – Tendo em vista o cabal cumprimento do disposto no presente Cap\u00edtulo II, cabe \u00e0s empresas implementar todos os meios e os procedimentos necess\u00e1rios \u00e0 dete\u00e7\u00e3o, \u00e0 avalia\u00e7\u00e3o do impacte e \u00e0 divulga\u00e7\u00e3o das viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade que preencham as circunst\u00e2ncias previstas no Artigo 26.\u00ba<\/p>\n
T\u00edtulo IV<\/p>\n
Auditorias \u00e0 seguran\u00e7a das redes e servi\u00e7os<\/p>\n
Cap\u00edtulo I<\/p>\n
Disposi\u00e7\u00f5es gerais<\/p>\n
Artigo 28.\u00ba<\/p>\n
Dever de realiza\u00e7\u00e3o de Auditoria<\/p>\n
Para efeitos do disposto nos n.os 1 e 2 do artigo 54.\u00ba-F da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, as empresas que detenham ativos classificados nas classes A, B ou C devem assegurar a realiza\u00e7\u00e3o, por auditoras e a expensas suas, de auditorias \u00e0 seguran\u00e7a das suas redes e servi\u00e7os, nos termos previstos no presente T\u00edtulo IV.<\/p>\n
Artigo 29.\u00ba<\/p>\n
\u00c2mbito<\/p>\n
As empresas devem assegurar que as Auditorias permitem verificar, em rela\u00e7\u00e3o aos ativos das classes A, B e C e aos ativos cr\u00edticos para o funcionamento das suas redes e servi\u00e7os e tendo em considera\u00e7\u00e3o a situa\u00e7\u00e3o existente na empresa, o cumprimento das normas legais e regulamentares aplic\u00e1veis.<\/p>\n
Artigo 30.\u00ba<\/p>\n
Normas de refer\u00eancia<\/p>\n
1 – As empresas devem assegurar que as Auditorias s\u00e3o realizadas em conformidade com as normas, especifica\u00e7\u00f5es ou recomenda\u00e7\u00f5es europeias e internacionais existentes sobre a mat\u00e9ria.<\/p>\n
2 – Para efeitos do disposto no n\u00famero anterior e at\u00e9 ao dia 30 de junho de cada ano, a ANACOM publica, no seu s\u00edtio institucional na Internet, as refer\u00eancias das normas, especifica\u00e7\u00f5es e recomenda\u00e7\u00f5es a que devem conformar-se as Auditorias do ano seguinte.<\/p>\n
Artigo 31.\u00ba<\/p>\n
Auditoras<\/p>\n
1 – As Auditoras e todos os seus colaboradores envolvidos na realiza\u00e7\u00e3o das Auditorias devem cumprir os seguintes requisitos:<\/p>\n
a) Compet\u00eancia t\u00e9cnica, nomeadamente de acordo com as normas, especifica\u00e7\u00f5es e recomenda\u00e7\u00f5es identificadas ao abrigo do disposto no n.\u00ba 2 do artigo anterior;<\/p>\n
b) Experi\u00eancia relevante no setor das comunica\u00e7\u00f5es eletr\u00f3nicas, nomeadamente em mat\u00e9ria de planeamento, de opera\u00e7\u00e3o ou de seguran\u00e7a e integridade das redes e servi\u00e7os;<\/p>\n
c) Credencia\u00e7\u00e3o adequada emitida pelas autoridades competentes para acesso a mat\u00e9ria classificada, sempre que necess\u00e1rio e nos termos legalmente previstos.<\/p>\n
2 – As empresas devem assegurar que as Auditoras n\u00e3o s\u00e3o seus fornecedores para outros servi\u00e7os que n\u00e3o sejam a realiza\u00e7\u00e3o de auditorias externas e independentes e que entregam declara\u00e7\u00f5es de inexist\u00eancia de conflitos de interesses em seu nome e em nome de todos os colaboradores envolvidos.<\/p>\n
Artigo 32.\u00ba<\/p>\n
Dever de colabora\u00e7\u00e3o<\/p>\n
1 – As empresas devem prestar \u00e0s Auditoras toda a colabora\u00e7\u00e3o e assist\u00eancia necess\u00e1rias para a realiza\u00e7\u00e3o das Auditorias nos termos previstos no presente T\u00edtulo IV, nomeadamente:<\/p>\n
a) Colabora\u00e7\u00e3o na prepara\u00e7\u00e3o e na realiza\u00e7\u00e3o das Auditorias;<\/p>\n
b) Colabora\u00e7\u00e3o na elabora\u00e7\u00e3o dos Relat\u00f3rios de Auditoria;<\/p>\n
c) Disponibiliza\u00e7\u00e3o de acesso a todos os meios de prova solicitados;<\/p>\n
d) Disponibiliza\u00e7\u00e3o de acesso aos meios necess\u00e1rios, nomeadamente para a realiza\u00e7\u00e3o de testes;<\/p>\n
e) Disponibiliza\u00e7\u00e3o de acesso aos locais;<\/p>\n
f) Disponibiliza\u00e7\u00e3o de acesso aos fornecedores relevantes ao n\u00edvel da seguran\u00e7a e integridade das redes e servi\u00e7os;<\/p>\n
g) Disponibiliza\u00e7\u00e3o de acesso aos colaboradores com fun\u00e7\u00f5es de administra\u00e7\u00e3o, dire\u00e7\u00e3o ou gest\u00e3o relacionadas com a seguran\u00e7a e integridade das redes e servi\u00e7os.<\/p>\n
2 – As empresas devem assegurar o acesso, por parte da ANACOM, aos seus fornecedores e colaboradores previstos nas al\u00edneas f) e g) do n\u00famero anterior, bem como a sua disponibilidade para a realiza\u00e7\u00e3o de reuni\u00f5es com a ANACOM e para a presta\u00e7\u00e3o dos esclarecimentos que esta Autoridade lhes solicite.<\/p>\n
Cap\u00edtulo II<\/p>\n
Procedimentos de Auditoria<\/p>\n
Artigo 33.\u00ba<\/p>\n
Fases<\/p>\n
As empresas devem assegurar que as Auditorias se realizam de forma faseada e sequenciada, incluindo a Fase de Pr\u00e9-auditoria, a Fase de Auditoria e a Fase de P\u00f3s-auditoria, nos termos previstos no presente Cap\u00edtulo II.<\/p>\n
Artigo 34.\u00ba<\/p>\n
Fase de Pr\u00e9-auditoria<\/p>\n
1 – As empresas devem elaborar, em conjunto com a Auditora, e apresentar \u00e0 ANACOM uma Proposta de Auditoria que contenha os seguintes elementos:<\/p>\n
a) Identifica\u00e7\u00e3o da Auditora e de todos os seus colaboradores envolvidos em cada fase da Auditoria;<\/p>\n
b) Identifica\u00e7\u00e3o dos seus fornecedores relevantes ao n\u00edvel da seguran\u00e7a e integridade das redes e servi\u00e7os;<\/p>\n
c) Identifica\u00e7\u00e3o de todos os seus colaboradores com fun\u00e7\u00f5es de administra\u00e7\u00e3o, dire\u00e7\u00e3o ou gest\u00e3o relacionadas com a seguran\u00e7a e integridade das redes e servi\u00e7os;<\/p>\n
d) Comprovativos ou declara\u00e7\u00f5es que permitam atestar o cumprimento dos requisitos previstos no Artigo 31.\u00ba;<\/p>\n
e) Plano de Corre\u00e7\u00e3o das N\u00e3o Conformidades da \u00faltima Auditoria realizada, quando aplic\u00e1vel;<\/p>\n
f) Programa da Auditoria, devidamente fundamentado, incluindo os seguintes elementos:<\/p>\n
i) Data prevista para o in\u00edcio da Fase de Auditoria;<\/p>\n
ii) Dura\u00e7\u00e3o estimada da Fase de Auditoria;<\/p>\n
iii) Indica\u00e7\u00e3o dos ativos abrangidos pela Auditoria, com refer\u00eancia aos respetivos identificadores \u00fanicos;<\/p>\n
iv) Atividades previstas.<\/p>\n
2 – As empresas devem apresentar \u00e0 ANACOM a Proposta de Auditoria, assinada pelo Respons\u00e1vel pela Seguran\u00e7a:<\/p>\n
a) No caso da primeira Auditoria, no prazo de 20 dias \u00fateis a contar da data a partir da qual a empresa detenha um ativo classificado nas classes A, B ou C;<\/p>\n
b) No caso das Auditorias seguintes, no prazo de dois anos a contar da data de apresenta\u00e7\u00e3o da Proposta de Auditoria em que se baseou a Auditoria anterior ou, se posterior, no prazo de 20 dias \u00fateis a contar da data em que a empresa volte a deter um ativo classificado nas classes A, B ou C.<\/p>\n
3 – Compete \u00e0 ANACOM proceder \u00e0 aceita\u00e7\u00e3o da Proposta de Auditoria, podendo, para o efeito, solicitar \u00e0 empresa a presta\u00e7\u00e3o dos esclarecimentos necess\u00e1rios e o suprimento de defici\u00eancias existentes.<\/p>\n
Artigo 35.\u00ba<\/p>\n
Fase de Auditoria<\/p>\n
1 – As empresas devem iniciar a Fase de Auditoria no prazo m\u00e1ximo de 40 dias \u00fateis a contar da data de aceita\u00e7\u00e3o, pela ANACOM, da Proposta de Auditoria.<\/p>\n
2 – As empresas devem comunicar, com uma anteced\u00eancia m\u00ednima de 20 dias \u00fateis, as datas e locais em que as atividades da Fase de Auditoria se ir\u00e3o realizar, de modo a que a ANACOM possa, caso assim o entenda, assistir \u00e0s mesmas.<\/p>\n
3 – As empresas devem assegurar que a Auditora elabora um Relat\u00f3rio de Auditoria que, em conformidade com a Proposta de Auditoria aceite pela ANACOM, inclua os seguintes elementos:<\/p>\n
a) Lista de n\u00e3o conformidades da situa\u00e7\u00e3o existente na empresa em rela\u00e7\u00e3o \u00e0s normas de refer\u00eancia previstas no Artigo 30.\u00ba;<\/p>\n
b) Descri\u00e7\u00e3o sint\u00e9tica das atividades desenvolvidas, incluindo:<\/p>\n
i) An\u00e1lise de documenta\u00e7\u00e3o;<\/p>\n
ii) Realiza\u00e7\u00e3o de entrevistas;<\/p>\n
iii) Realiza\u00e7\u00e3o de testes;<\/p>\n
iv) Verifica\u00e7\u00e3o de funcionamento de equipamentos e de sistemas;<\/p>\n
v) Simula\u00e7\u00e3o de procedimentos;<\/p>\n
vi) Visitas aos locais;<\/p>\n
c) Descri\u00e7\u00e3o da Fase de Auditoria, tendo em considera\u00e7\u00e3o os resultados das An\u00e1lises do Risco realizadas;<\/p>\n
d) Tempo total utilizado na Fase de Auditoria, discriminando o tempo gasto:<\/p>\n
i) Na avalia\u00e7\u00e3o das An\u00e1lises do Risco;<\/p>\n
ii) Na an\u00e1lise de documenta\u00e7\u00e3o;<\/p>\n
iii) Na realiza\u00e7\u00e3o de entrevistas;<\/p>\n
iv) Na realiza\u00e7\u00e3o de testes;<\/p>\n
v) Na verifica\u00e7\u00e3o de funcionamento de equipamentos e de sistemas;<\/p>\n
vi) Na simula\u00e7\u00e3o de procedimentos;<\/p>\n
vii) Nas visitas aos locais;<\/p>\n
viii) Na elabora\u00e7\u00e3o do Relat\u00f3rio da Auditoria;<\/p>\n
ix) Noutras atividades.<\/p>\n
4 – As empresas devem enviar \u00e0 ANACOM c\u00f3pia do Relat\u00f3rio da Auditoria, assinado em nome da Auditora e, dele tomando conhecimento, pelo Respons\u00e1vel pela Seguran\u00e7a, no prazo de 10 dias \u00fateis a contar da conclus\u00e3o das atividades da Fase de Auditoria.<\/p>\n
5 – Compete \u00e0 ANACOM a aceita\u00e7\u00e3o do Relat\u00f3rio de Auditoria, podendo, para o efeito, solicitar \u00e0 empresa a presta\u00e7\u00e3o dos esclarecimentos necess\u00e1rios e o suprimento de defici\u00eancias existentes.<\/p>\n
Artigo 36.\u00ba<\/p>\n
Fase de P\u00f3s-auditoria<\/p>\n
1 – As empresas devem elaborar e enviar \u00e0 ANACOM um Plano de Corre\u00e7\u00e3o das N\u00e3o Conformidades constantes do Relat\u00f3rio de Auditoria, assinado pelo Respons\u00e1vel pela Seguran\u00e7a, no prazo de 20 dias \u00fateis a contar da data de aceita\u00e7\u00e3o, pela ANACOM, do Relat\u00f3rio de Auditoria.<\/p>\n
2 – O Plano de Corre\u00e7\u00e3o das N\u00e3o Conformidades deve conter:<\/p>\n
a) Identifica\u00e7\u00e3o de todas as N\u00e3o Conformidades e observa\u00e7\u00f5es constantes do Relat\u00f3rio de Auditoria, incluindo eventuais conclus\u00f5es e recomenda\u00e7\u00f5es;<\/p>\n
b) Em rela\u00e7\u00e3o a cada N\u00e3o Conformidade:<\/p>\n
i) Uma an\u00e1lise das suas causas;<\/p>\n
ii) A indica\u00e7\u00e3o das medidas de corre\u00e7\u00e3o e dos respetivos prazos de execu\u00e7\u00e3o.<\/p>\n
3 – As empresas devem assegurar que cada uma das medidas constantes do Plano de Corre\u00e7\u00e3o das N\u00e3o Conformidades, referidas na al\u00ednea b) do n\u00famero anterior, \u00e9 executada logo que poss\u00edvel e que todas s\u00e3o executadas dentro do prazo m\u00e1ximo que a ANACOM, caso assim o entenda, venha a determinar.<\/p>\n
T\u00edtulo V<\/p>\n
Disposi\u00e7\u00f5es finais e transit\u00f3rias<\/p>\n
Artigo 37.\u00ba<\/p>\n
Regime sancionat\u00f3rio<\/p>\n
As infra\u00e7\u00f5es ao disposto no presente regulamento s\u00e3o pun\u00edveis nos termos previstos nas al\u00edneas ee), ff) e gg) do n.\u00ba 2 e nas al\u00edneas u), v), x) e z) do n.\u00ba 3 do artigo 113.\u00ba da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas.<\/p>\n
Artigo 38.\u00ba<\/p>\n
Entrada em vigor e disposi\u00e7\u00f5es transit\u00f3rias<\/p>\n
1 – O presente regulamento entra em vigor no dia seguinte \u00e0 data da respetiva publica\u00e7\u00e3o no Di\u00e1rio da Rep\u00fablica, sem preju\u00edzo do disposto nos n\u00fameros seguintes.<\/p>\n
2 – As empresas em atividade \u00e0 data de entrada em vigor do presente regulamento devem:<\/p>\n
a) No prazo de 40 dias \u00fateis a contar da data de entrada em vigor do presente regulamento, estabelecer a fun\u00e7\u00e3o de Respons\u00e1vel pela Seguran\u00e7a, nos termos previstos no Artigo 20.\u00ba, comunicando \u00e0 ANACOM, dentro do mesmo prazo, os elementos previstos na al\u00ednea h) do n.\u00ba 1 e no n.\u00ba 2 do Artigo 17.\u00ba;<\/p>\n
b) No prazo de 80 dias \u00fateis a contar da data de entrada em vigor do presente regulamento, estabelecer a fun\u00e7\u00e3o de Ponto de Contacto Permanente, nos termos previstos no Artigo 21.\u00ba, comunicando \u00e0 ANACOM, dentro do mesmo prazo, os elementos previstos na al\u00ednea i) do n.\u00ba 1 e no n.\u00ba 2 do Artigo 17.\u00ba;<\/p>\n
c) No prazo de um ano a contar da data de entrada em vigor do presente regulamento:<\/p>\n
i) Classificar os ativos, elaborar o Invent\u00e1rio de Ativos e realizar uma An\u00e1lise dos Riscos de \u00e2mbito global, nos termos previstos, respetivamente, nos Artigo 7.\u00ba, Artigo 8.\u00ba e Artigo 9.\u00ba, cumprindo, a partir de ent\u00e3o, as demais obriga\u00e7\u00f5es a\u00ed previstas;<\/p>\n
ii) Estabelecer, quando aplic\u00e1vel, a fun\u00e7\u00e3o de Ponto de Contacto Alternativo, nos termos previstos no Artigo 21.\u00ba, comunicando \u00e0 ANACOM, dentro do mesmo prazo, os elementos previstos na al\u00ednea i) do n.\u00ba 1 e no n.\u00ba 2 do Artigo 17.\u00ba;<\/p>\n
d) No prazo de 18 meses a contar da data de entrada em vigor do presente regulamento:<\/p>\n
i) Adotar, quando aplic\u00e1vel, os procedimentos de controlo da gest\u00e3o excecional de tr\u00e1fego de acesso \u00e0 Internet, nos termos previstos no Artigo 11.\u00ba;<\/p>\n
ii) Adotar os procedimentos de gest\u00e3o de altera\u00e7\u00f5es, nos termos previstos no Artigo 12.\u00ba;<\/p>\n
iii) Adotar um sistema de controlo de acessos, nos termos previstos no Artigo 13.\u00ba;<\/p>\n
iv) Adotar um sistema de monitoriza\u00e7\u00e3o e controlo, nos termos previstos no Artigo 14.\u00ba;<\/p>\n
v) Elaborar e enviar \u00e0 ANACOM a Caracteriza\u00e7\u00e3o Geral da Seguran\u00e7a, nos termos previstos no Artigo 17.\u00ba;<\/p>\n
vi) Elaborar um Plano de Seguran\u00e7a, nos termos previstos no Artigo 18.\u00ba;<\/p>\n
vii) Assegurar o acesso aos servi\u00e7os de Equipa de Resposta a Incidentes de Seguran\u00e7a, nos termos previstos no Artigo 22.\u00ba;<\/p>\n
viii) Compilar um Dossier de Seguran\u00e7a, nos termos previstos no Artigo 23.\u00ba;<\/p>\n
e) Elaborar um Relat\u00f3rio Anual de Seguran\u00e7a, nos termos previstos no Artigo 19.\u00ba, a reportar ao 1.\u00ba ano civil seguinte ao ano civil da data de entrada em vigor do presente regulamento;<\/p>\n
f) Elaborar e executar um programa anual de exerc\u00edcios, nos termos previstos no Artigo 15.\u00ba, para o 2.\u00ba ano civil seguinte ao ano civil da data de entrada em vigor do presente regulamento;<\/p>\n
g) No prazo de tr\u00eas anos a contar da data de entrada em vigor do presente regulamento, adotar as medidas de redund\u00e2ncia, de robustez e de resili\u00eancia, nos termos previstos no Artigo 10.\u00ba<\/p>\n
3 – As empresas em atividade \u00e0 data de entrada em vigor do presente regulamento que se encontrem abrangidas pelo dever de realiza\u00e7\u00e3o de Auditoria, ao abrigo do disposto no Artigo 28.\u00ba, devem apresentar \u00e0 ANACOM uma Proposta de Auditoria, nos termos previstos no Artigo 34.\u00ba, no prazo de dois anos a contar da referida data de entrada em vigor.<\/p>\n
4 – As empresas que iniciem a sua atividade ap\u00f3s a data de entrada em vigor do presente regulamento devem cumprir o disposto no n.\u00ba 2 e no n.\u00ba 3 nos prazos a\u00ed fixados ou, se posteriores, nos prazos fixados nos correspondentes artigos.<\/p>\n
5 – O disposto no Artigo 16.\u00ba e no T\u00edtulo III entra em vigor no prazo de um ano a contar da data de entrada em vigor do presente regulamento.<\/p>\n
Artigo 39.\u00ba<\/p>\n
Norma revogat\u00f3ria<\/p>\n
A decis\u00e3o da ANACOM de 12 de dezembro de 2013 \u00e9 revogada a partir do termo do prazo de um ano a contar da data de entrada em vigor do presente regulamento.<\/p>\n
29 de dezembro de 2016. – O Vice-presidente do Conselho de Administra\u00e7\u00e3o, Jos\u00e9 Manuel de Almeida Esteves Perdigoto.<\/p>\n
310138392<\/p>\n","protected":false},"excerpt":{"rendered":"
Aviso n.\u00ba 459\/2017, de 10 de janeiro – Projecto de Regulamento da Seguran\u00e7a e Integridade de Redes e Servi\u00e7os de Comunica\u00e7\u00f5es Electr\u00f3nicas. Projeto de regulamento relativo \u00e0 seguran\u00e7a e \u00e0 integridade das redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas. https:\/\/dre.pt\/web\/guest\/pesquisa\/-\/search\/105738425\/details\/normal?q=%22operadores+de+servi%C3%A7os+essenciais%22 1 – De entre as altera\u00e7\u00f5es introduzidas em 2009 \u00e0 Diretiva-Quadro (Diretiva 2002\/21\/CE do Parlamento Europeu […]<\/p>\n","protected":false},"author":1,"featured_media":530,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[7],"tags":[],"_links":{"self":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/528"}],"collection":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/comments?post=528"}],"version-history":[{"count":1,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/528\/revisions"}],"predecessor-version":[{"id":531,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/528\/revisions\/531"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media\/530"}],"wp:attachment":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media?parent=528"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/categories?post=528"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/tags?post=528"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}