https:\/\/dre.pt\/web\/guest\/pesquisa\/-\/search\/121784730\/details\/normal?q=%22operadores+de+servi%C3%A7os+essenciais%22<\/a><\/p>\nA mat\u00e9ria da seguran\u00e7a e integridade das redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas foi introduzida na Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas (Lei n.\u00ba 5\/2004, de 10 de fevereiro, na sua atual reda\u00e7\u00e3o) atrav\u00e9s da Lei n.\u00ba 51\/2011, de 13 de setembro, em transposi\u00e7\u00e3o da Diretiva 2002\/21\/CE do Parlamento Europeu e do Conselho de 7 de mar\u00e7o de 2002 relativa a um quadro regulamentar comum para as redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, alterada pela Diretiva 2009\/140\/CE, do Parlamento Europeu e do Conselho, de 25 de novembro de 2009, tendo ent\u00e3o sido cometidas \u00e0 Autoridade Nacional das Comunica\u00e7\u00f5es (ANACOM), entre outras, as seguintes compet\u00eancias espec\u00edficas:<\/p>\n
a) Aprovar medidas t\u00e9cnicas de execu\u00e7\u00e3o e fixar requisitos adicionais a cumprir pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico em mat\u00e9ria de seguran\u00e7a e integridade, para os efeitos do disposto no artigo 54.\u00ba-A e nos termos previstos no n.\u00ba 1 do artigo 54.\u00ba-C e no artigo 54.\u00ba-D da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
b) Aprovar medidas que definam as circunst\u00e2ncias, o formato e os procedimentos aplic\u00e1veis \u00e0s exig\u00eancias de comunica\u00e7\u00e3o de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade das redes com impacto significativo no funcionamento das redes e servi\u00e7os pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, ao abrigo do disposto no artigo 54.\u00ba-B e no n.\u00ba 2 do artigo 54.\u00ba-C da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
c) Determinar as condi\u00e7\u00f5es em que as empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico devem divulgar ao p\u00fablico as viola\u00e7\u00f5es de seguran\u00e7a ou as perdas de integridade com impacto significativo no funcionamento das redes e servi\u00e7os, ao abrigo do disposto na al\u00ednea b) do artigo 54.\u00ba-E da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
d) Determinar as obriga\u00e7\u00f5es de realiza\u00e7\u00e3o de auditorias \u00e0 seguran\u00e7a das redes e servi\u00e7os e de envio do respetivo relat\u00f3rio pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, bem como os requisitos a que devem obedecer as auditorias e os requisitos aplic\u00e1veis \u00e0s entidades auditoras, ao abrigo do disposto nos n.os 1 e 2 do artigo 54.\u00ba-F da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas.<\/p>\n
Por decis\u00e3o da ANACOM de 12 de dezembro de 2013, alterada em 8 de janeiro de 2014, a ANACOM concretizou as condi\u00e7\u00f5es aplic\u00e1veis \u00e0s obriga\u00e7\u00f5es de notifica\u00e7\u00e3o e de divulga\u00e7\u00e3o ao p\u00fablico de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com impacto significativo no funcionamento das redes e servi\u00e7os, tendo, a 12 de junho de 2014, entrado em atividade um centro de reporte, com funcionamento permanente, para a rece\u00e7\u00e3o das notifica\u00e7\u00f5es.<\/p>\n
Tendo por base a experi\u00eancia adquirida n\u00e3o s\u00f3 atrav\u00e9s da atividade do centro de reporte, mas tamb\u00e9m pela coopera\u00e7\u00e3o nacional e internacional nesta mat\u00e9ria, entendeu esta Autoridade dever exercer as compet\u00eancias acima referidas, atrav\u00e9s da aprova\u00e7\u00e3o de um regulamento relativo \u00e0 seguran\u00e7a e integridade das redes e servi\u00e7os.<\/p>\n
No que respeita, em particular, \u00e0s obriga\u00e7\u00f5es de notifica\u00e7\u00e3o e de divulga\u00e7\u00e3o ao p\u00fablico, entendeu ainda esta Autoridade dever integrar neste regulamento o normativo correspondente as medidas j\u00e1 concretizadas ao abrigo da decis\u00e3o de 12 de dezembro de 2013, cuja execu\u00e7\u00e3o se entende ter vindo a decorrer de uma forma eficaz e consensual, sem preju\u00edzo de algumas adapta\u00e7\u00f5es necess\u00e1rias em face da experi\u00eancia recolhida na atividade do centro de reporte. Por esta via e a bem da transpar\u00eancia e da seguran\u00e7a jur\u00eddica, congregou-se e consolidou-se, num \u00fanico instrumento, um conjunto devidamente articulado de condi\u00e7\u00f5es aplic\u00e1veis em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os.<\/p>\n
Neste contexto e por decis\u00e3o de 4 de agosto de 2016, a ANACOM aprovou o in\u00edcio do procedimento de elabora\u00e7\u00e3o de um regulamento relativo \u00e0 seguran\u00e7a e integridade das redes e servi\u00e7os, bem como a publicita\u00e7\u00e3o do respetivo an\u00fancio nos termos previstos no n.\u00ba 1 do artigo 98.\u00ba do C\u00f3digo do Procedimento Administrativo.<\/p>\n
Findo o prazo fixado, foram recebidos 18 contributos, os quais foram objeto de an\u00e1lise e pondera\u00e7\u00e3o na elabora\u00e7\u00e3o de um primeiro projeto de regulamento relativo \u00e0 seguran\u00e7a e \u00e0 integridade das redes e servi\u00e7os, o qual, por decis\u00e3o de 29 de dezembro de 2016, foi aprovado e submetido a procedimento regulamentar e procedimento geral de consulta, nos termos previstos no artigo 10.\u00ba dos Estatutos da ANACOM, aprovados pelo Decreto-Lei n.\u00ba 39\/2015, de 16 de mar\u00e7o, e nos artigos 98.\u00ba e seguintes do C\u00f3digo do Procedimento Administrativo e para os efeitos previstos no artigo 8.\u00ba e, em especial, no n.\u00ba 4 do artigo 54.\u00ba-C da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas.<\/p>\n
Ap\u00f3s publica\u00e7\u00e3o deste primeiro projeto na 2.\u00aa s\u00e9rie do Di\u00e1rio da Rep\u00fablica, a 10 de janeiro de 2017, e ap\u00f3s prorroga\u00e7\u00e3o do prazo em 15 dias \u00fateis, a consulta p\u00fablica decorreu at\u00e9 ao dia 14 de mar\u00e7o de 2017, tendo sido oportunamente recebidas 17 pron\u00fancias.<\/p>\n
Atentos os contributos recebidos e ponderada a natureza significativa das altera\u00e7\u00f5es introduzidas, nos termos fundamentados no relat\u00f3rio da consulta p\u00fablica, entendeu a ANACOM dever proceder \u00e0 elabora\u00e7\u00e3o de um segundo projeto de regulamento relativo \u00e0 seguran\u00e7a e integridade das redes e servi\u00e7os, o qual, por decis\u00e3o de 6 de julho de 2018, foi aprovado e submetido a novo procedimento regulamentar e procedimento geral de consulta.<\/p>\n
Ap\u00f3s publica\u00e7\u00e3o deste segundo projeto na 2.\u00aa s\u00e9rie do Di\u00e1rio da Rep\u00fablica, a 22 de agosto de 2018, a consulta p\u00fablica decorreu at\u00e9 ao dia 3 de outubro de 2018, tendo sido oportunamente recebidas 14 pron\u00fancias, as quais foram devidamente consideradas na aprova\u00e7\u00e3o deste regulamento, constando a respetiva aprecia\u00e7\u00e3o do relat\u00f3rio que fundamenta as op\u00e7\u00f5es da ANACOM e que se encontra publicado no s\u00edtio desta Autoridade, em conjunto com as pron\u00fancias integrais recebidas.<\/p>\n
Na regulamenta\u00e7\u00e3o das obriga\u00e7\u00f5es das empresas em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, foram objeto de pondera\u00e7\u00e3o, por um lado, os custos a incorrer pelas empresas no cumprimento das suas obriga\u00e7\u00f5es e, por outro, os benef\u00edcios da\u00ed emergentes, os quais incluem n\u00e3o s\u00f3 a defesa dos interesses dos cidad\u00e3os e, em particular, dos utilizadores das redes e servi\u00e7os, o suporte \u00e0 continuidade da presta\u00e7\u00e3o de servi\u00e7os relevantes \u00e0 sociedade e aos cidad\u00e3os, a garantia do acesso aos servi\u00e7os de emerg\u00eancia e, em geral, a promo\u00e7\u00e3o do desenvolvimento do mercado interno por via da melhoria da fiabilidade das redes e servi\u00e7os, como tamb\u00e9m aqueles resultantes da preven\u00e7\u00e3o de incidentes de seguran\u00e7a e do impedimento ou minimiza\u00e7\u00e3o do respetivo impacto.<\/p>\n
Para essa pondera\u00e7\u00e3o, contribu\u00edram, em especial, as conclus\u00f5es do estudo de avalia\u00e7\u00e3o e caracteriza\u00e7\u00e3o da seguran\u00e7a em redes de comunica\u00e7\u00f5es p\u00fablicas, de 2010, e da avalia\u00e7\u00e3o da seguran\u00e7a e integridade das redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas a n\u00edvel nacional, de 2012, ambos desenvolvidos pela ANACOM, bem como a informa\u00e7\u00e3o e a experi\u00eancia recolhida por esta Autoridade desde 2014, atrav\u00e9s do respetivo centro de reporte, no tratamento das notifica\u00e7\u00f5es recebidas, no acompanhamento das viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade em causa e no \u00e2mbito da sua an\u00e1lise agregada, e da participa\u00e7\u00e3o no Grupo de Peritos do artigo 13.\u00ba-A, coordenado pela ENISA (Ag\u00eancia Europeia para a Seguran\u00e7a das Redes e da Informa\u00e7\u00e3o).<\/p>\n
Na sequ\u00eancia dos inc\u00eandios florestais ocorridos durante o ano de 2017, a ANACOM publicou um relat\u00f3rio de um grupo de trabalho que coordenou e que foi constitu\u00eddo por entidades p\u00fablicas e privadas, designadamente a Associa\u00e7\u00e3o Empresarial de Comunica\u00e7\u00f5es de Portugal (ACIST), a Autoridade Nacional de Prote\u00e7\u00e3o Civil (ANPC), a Associa\u00e7\u00e3o dos Operadores de Comunica\u00e7\u00f5es Eletr\u00f3nicas (APRITEL), a Dire\u00e7\u00e3o-Geral de Energia e Geologia (DGEG), a Entidade Reguladora dos Servi\u00e7os Energ\u00e9ticos (ERSE), o Instituto de Telecomunica\u00e7\u00f5es (IT) e empresas dos sectores das comunica\u00e7\u00f5es eletr\u00f3nicas, dos transportes e da energia.<\/p>\n
Deste relat\u00f3rio, apresentado publicamente em sess\u00e3o promovida pela ANACOM a 29 de maio de 2018, designado \u00abRelat\u00f3rio do Grupo de Trabalho dos Inc\u00eandios Florestais – Medidas de Prote\u00e7\u00e3o e Resili\u00eancia de Infraestruturas de Comunica\u00e7\u00f5es Eletr\u00f3nicas\u00bb e dispon\u00edvel no s\u00edtio institucional da ANACOM na Internet, constam 27 medidas que permitir\u00e3o reduzir significativamente o impacto dos inc\u00eandios florestais nas redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas e, consequentemente, nos seus utilizadores e cuja implementa\u00e7\u00e3o \u00e9, onde aplic\u00e1vel, devidamente articulada com o disposto neste regulamento.<\/p>\n
Assim, no exerc\u00edcio das atribui\u00e7\u00f5es e poderes conferidos \u00e0 ANACOM na al\u00ednea m) do n.\u00ba 1 e na al\u00ednea e) do n.\u00ba 2, ambos do artigo 8.\u00ba, na al\u00ednea a) do n.\u00ba 2 do artigo 9.\u00ba e no artigo 10.\u00ba, todos dos Estatutos da ANACOM, bem como nos artigos 2.\u00ba-A e 54.\u00ba-A a 54.\u00ba-D, na al\u00ednea b) do artigo 54.\u00ba-E, nos n.os 1 e 2 do artigo 54.\u00ba-F e no artigo 54.\u00ba-G da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas, e na prossecu\u00e7\u00e3o e observ\u00e2ncia dos objetivos estabelecidos na al\u00ednea c) do n.\u00ba 1 e na al\u00ednea f) do n.\u00ba 4, ambos do artigo 5.\u00ba da mesma lei, o Conselho de Administra\u00e7\u00e3o da ANACOM, no exerc\u00edcio das compet\u00eancias que lhe s\u00e3o conferidas pela al\u00ednea b) do n.\u00ba 1 do artigo 26.\u00ba dos Estatutos, aprovou, por decis\u00e3o de 14 de mar\u00e7o de 2019, o seguinte regulamento:<\/p>\n
Regulamento relativo \u00e0 seguran\u00e7a e \u00e0 integridade das redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas<\/p>\n
T\u00cdTULO I<\/p>\n
Disposi\u00e7\u00f5es gerais<\/p>\n
Artigo 1.\u00ba<\/p>\n
Objeto<\/p>\n
O presente regulamento estabelece:<\/p>\n
a) As medidas t\u00e9cnicas de execu\u00e7\u00e3o e os requisitos adicionais a cumprir pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico em mat\u00e9ria de seguran\u00e7a e integridade, para os efeitos do disposto no artigo 54.\u00ba-A e nos termos previstos no n.\u00ba 1 do artigo 54.\u00ba-C e no artigo 54.\u00ba-D da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas (Lei n.\u00ba 5\/2004, de 10 de fevereiro, na sua atual reda\u00e7\u00e3o) e nos termos previstos no T\u00edtulo II do presente regulamento;<\/p>\n
b) As circunst\u00e2ncias, o formato e os procedimentos aplic\u00e1veis \u00e0s exig\u00eancias de comunica\u00e7\u00e3o de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade das redes com impacto significativo no funcionamento das redes e servi\u00e7os pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, ao abrigo do disposto no artigo 54.\u00ba-B e no n.\u00ba 2 do artigo 54.\u00ba-C da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no Cap\u00edtulo I do T\u00edtulo III do presente regulamento;<\/p>\n
c) As condi\u00e7\u00f5es em que as empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico devem divulgar ao p\u00fablico as viola\u00e7\u00f5es de seguran\u00e7a ou as perdas de integridade com impacto significativo no funcionamento das redes e servi\u00e7os, ao abrigo do disposto na al\u00ednea b) do artigo 54.\u00ba-E da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no Cap\u00edtulo II do T\u00edtulo III do presente regulamento;<\/p>\n
d) As obriga\u00e7\u00f5es de realiza\u00e7\u00e3o de auditorias \u00e0 seguran\u00e7a das redes e servi\u00e7os e de envio do respetivo relat\u00f3rio pelas empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, bem como os requisitos a que devem obedecer as auditorias e os requisitos aplic\u00e1veis \u00e0s entidades auditoras, ao abrigo do disposto nos n.os 1 e 2 do artigo 54.\u00ba-F da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no T\u00edtulo IV do presente regulamento.<\/p>\n
Artigo 2.\u00ba<\/p>\n
Defini\u00e7\u00f5es<\/p>\n
1 – Para os efeitos do disposto no presente regulamento, entende-se por:<\/p>\n
a) \u00abAtivos\u00bb, os sistemas de transmiss\u00e3o ou de informa\u00e7\u00e3o, os equipamentos e os demais recursos, f\u00edsicos e l\u00f3gicos, que comp\u00f5em ou suportam uma rede de comunica\u00e7\u00f5es p\u00fablicas e respetivos acessos, incluindo interliga\u00e7\u00f5es, um servi\u00e7o de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edvel ao p\u00fablico ou um servi\u00e7o conexo associado e os recursos conexos;<\/p>\n
b) \u00abAuditora\u00bb, a entidade respons\u00e1vel pela realiza\u00e7\u00e3o de auditoria \u00e0 seguran\u00e7a das redes e servi\u00e7os ao abrigo do disposto nos n.os 1 e 2 do artigo 54.\u00ba-F da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no artigo 28.\u00ba do presente regulamento;<\/p>\n
c) \u00abAuditoria\u00bb, a auditoria \u00e0 seguran\u00e7a das redes e servi\u00e7os a realizar pelas empresas, ao abrigo do disposto nos n.os 1 e 2 do artigo 54.\u00ba-F da Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas e nos termos previstos no T\u00edtulo IV;<\/p>\n
d) \u00abCentro principal de gest\u00e3o e opera\u00e7\u00e3o\u00bb, o centro que, por defeito ou em modo alternativo, tem por fun\u00e7\u00e3o assegurar a gest\u00e3o e a opera\u00e7\u00e3o do funcionamento das redes e servi\u00e7os e dos ativos, incluindo a identifica\u00e7\u00e3o e resolu\u00e7\u00e3o dos incidentes de seguran\u00e7a;<\/p>\n
e) \u00abClientes relevantes\u00bb, as entidades identificadas nos termos previstos no n.\u00ba 3 do presente artigo;<\/p>\n
f) \u00abColaboradores\u00bb, os trabalhadores ou os agentes das empresas;<\/p>\n
g) \u00abColaboradores-chave\u00bb, os colaboradores que desempenhem fun\u00e7\u00f5es no dom\u00ednio da gest\u00e3o e da opera\u00e7\u00e3o da seguran\u00e7a e integridade das redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, incluindo, pelo menos:<\/p>\n
i) O respons\u00e1vel da seguran\u00e7a, nos termos previstos no artigo 14.\u00ba;<\/p>\n
ii) O adjunto do respons\u00e1vel da seguran\u00e7a, quando exista, nos termos previstos no artigo 14.\u00ba;<\/p>\n
iii) Os colaboradores que assegurem a fun\u00e7\u00e3o de ponto de contacto permanente, nos termos previstos no artigo 15.\u00ba;<\/p>\n
iv) Os colaboradores que integrem a equipa de resposta a incidentes de seguran\u00e7a, nos termos previstos no artigo 16.\u00ba;<\/p>\n
h) \u00abEmpresas\u00bb, as empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas acess\u00edveis ao p\u00fablico, nos termos definidos na Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
i) \u00abIncidente de seguran\u00e7a\u00bb, o evento com um efeito adverso real na seguran\u00e7a das redes e servi\u00e7os, incluindo uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade;<\/p>\n
j) \u00abN\u00edvel de sofistica\u00e7\u00e3o 1\u00bb, o n\u00edvel b\u00e1sico, que inclui as medidas de seguran\u00e7a de base, nos termos previstos no artigo 7.\u00ba e no Anexo;<\/p>\n
k) \u00abN\u00edvel de sofistica\u00e7\u00e3o 2\u00bb, o n\u00edvel de norma de ind\u00fastria, que inclui as medidas de seguran\u00e7a baseadas nas normas, especifica\u00e7\u00f5es e recomenda\u00e7\u00f5es nacionais, europeias e internacionais adequadas, incluindo a revis\u00e3o da sua implementa\u00e7\u00e3o, tendo em considera\u00e7\u00e3o altera\u00e7\u00f5es t\u00e9cnicas ou organizacionais nas empresas ou incidentes de seguran\u00e7a, nos termos previstos no artigo 7.\u00ba e no Anexo;<\/p>\n
l) \u00abN\u00edvel de sofistica\u00e7\u00e3o 3\u00bb, o n\u00edvel de estado da t\u00e9cnica, que inclui as medidas de seguran\u00e7a avan\u00e7adas, a monitoriza\u00e7\u00e3o cont\u00ednua e a revis\u00e3o estrutural da sua implementa\u00e7\u00e3o tendo em considera\u00e7\u00e3o altera\u00e7\u00f5es t\u00e9cnicas ou organizacionais nas empresas, incidentes de seguran\u00e7a, testes ou exerc\u00edcios, com vista a uma melhoria proativa da implementa\u00e7\u00e3o das medidas de seguran\u00e7a, nos termos previstos no artigo 7.\u00ba e no Anexo;<\/p>\n
m) \u00abRespons\u00e1vel da seguran\u00e7a\u00bb, o colaborador da empresa respons\u00e1vel pela gest\u00e3o da seguran\u00e7a das redes e servi\u00e7os e pela sua representa\u00e7\u00e3o no exerc\u00edcio das fun\u00e7\u00f5es que lhe s\u00e3o cometidas pelo presente regulamento, nomeadamente nos termos previstos no artigo 14.\u00ba;<\/p>\n
n) \u00abSeguran\u00e7a das redes e servi\u00e7os\u00bb, a capacidade das redes ou dos servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas para resistir, com um dado n\u00edvel de confian\u00e7a, a qualquer a\u00e7\u00e3o que comprometa a disponibilidade, a autenticidade, a integridade ou a confidencialidade dessas redes e servi\u00e7os, dos dados armazenados, transmitidos ou tratados ou dos servi\u00e7os associados oferecidos ou acess\u00edveis atrav\u00e9s dessas redes ou servi\u00e7os;<\/p>\n
o) \u00abServi\u00e7os relevantes\u00bb, os servi\u00e7os relevantes \u00e0 sociedade e aos cidad\u00e3os, prestados pelos clientes relevantes, nos termos previstos no n.\u00ba 4 do presente artigo;<\/p>\n
p) \u00abViola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacto significativo\u00bb, a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com o impacto previsto nos termos do artigo 21.\u00ba<\/p>\n
2 – Para os efeitos do disposto no presente regulamento, s\u00e3o aplic\u00e1veis as seguintes siglas e acr\u00f3nimos:<\/p>\n
a) \u00abANACOM\u00bb, a Autoridade Nacional de Comunica\u00e7\u00f5es (ANACOM);<\/p>\n
b) \u00abANPC\u00bb, a Autoridade Nacional de Prote\u00e7\u00e3o Civil;<\/p>\n
c) \u00abCNCS\u00bb, o Centro Nacional de Ciberseguran\u00e7a;<\/p>\n
d) \u00abCNPD\u00bb, a Comiss\u00e3o Nacional de Prote\u00e7\u00e3o de Dados;<\/p>\n
e) \u00abEMGFA\u00bb, o Estado-Maior-General das For\u00e7as Armadas;<\/p>\n
f) \u00abENISA\u00bb, a Ag\u00eancia Europeia para a Seguran\u00e7a das Redes e da Informa\u00e7\u00e3o;<\/p>\n
g) \u00abGNS\u00bb, o Gabinete Nacional de Seguran\u00e7a;<\/p>\n
h) \u00abICNF\u00bb, o Instituto da Conserva\u00e7\u00e3o da Natureza e das Florestas, I. P.;<\/p>\n
i) \u00abIPMA\u00bb, o Instituto Portugu\u00eas do Mar e da Atmosfera, I. P.;<\/p>\n
j) \u00abLCE\u00bb, a Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas;<\/p>\n
k) \u00abPASP\u00bb, os Postos de Atendimento de Seguran\u00e7a P\u00fablica (Centros de Atendimento do 112);<\/p>\n
l) \u00abRNSI\u00bb, a Rede Nacional de Seguran\u00e7a Interna;<\/p>\n
m) \u00abSIRESP\u00bb, o Sistema Integrado de Redes de Emerg\u00eancia e Seguran\u00e7a de Portugal;<\/p>\n
n) \u00abSRPCBA\u00bb, o Servi\u00e7o Regional de Prote\u00e7\u00e3o Civil e Bombeiros dos A\u00e7ores.<\/p>\n
3 – Para os efeitos previstos na al\u00ednea e) do n.\u00ba 1, considera-se como clientes relevantes:<\/p>\n
a) As entidades respons\u00e1veis pela gest\u00e3o, explora\u00e7\u00e3o e manuten\u00e7\u00e3o do SIRESP, quanto ao funcionamento deste sistema;<\/p>\n
b) O Minist\u00e9rio da Administra\u00e7\u00e3o Interna, quanto ao funcionamento da RNSI;<\/p>\n
c) O SRPCBA, quanto ao funcionamento da rede integrada de telecomunica\u00e7\u00f5es de emerg\u00eancia da Regi\u00e3o Aut\u00f3noma dos A\u00e7ores;<\/p>\n
d) O EMGFA, quanto ao funcionamento dos sistemas de informa\u00e7\u00e3o e tecnologias de informa\u00e7\u00e3o e comunica\u00e7\u00e3o necess\u00e1rios ao exerc\u00edcio do comando e controlo nas For\u00e7as Armadas;<\/p>\n
e) O GNS, quanto ao funcionamento do CNCS;<\/p>\n
f) Os operadores de servi\u00e7os essenciais identificados nos termos previstos na Lei n.\u00ba 46\/2018, de 13 de agosto, que estabelece o regime jur\u00eddico da seguran\u00e7a do ciberespa\u00e7o, quanto \u00e0 presta\u00e7\u00e3o de servi\u00e7os essenciais;<\/p>\n
g) Os propriet\u00e1rios ou operadores de infraestruturas cr\u00edticas designadas ao abrigo do disposto no Decreto-Lei n.\u00ba 62\/2011, de 9 de maio, e na demais legisla\u00e7\u00e3o aplic\u00e1vel, quanto \u00e0 opera\u00e7\u00e3o das infraestruturas cr\u00edticas.<\/p>\n
4 – Para os efeitos previstos na al\u00ednea o) do n.\u00ba 1, considera-se como servi\u00e7os relevantes, os servi\u00e7os que nos termos dos pedidos dos clientes relevantes sejam identificados nos contratos celebrados com as empresas, relativamente a ofertas de redes e servi\u00e7os que sejam essenciais para assegurar a continuidade da presta\u00e7\u00e3o daqueles servi\u00e7os relevantes.<\/p>\n
Artigo 3.\u00ba<\/p>\n
\u00c2mbito<\/p>\n
1 – No cumprimento das suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, previstas na lei e no presente regulamento, as empresas devem adotar as medidas de um modo adequado:<\/p>\n
a) \u00c0s condi\u00e7\u00f5es normais de funcionamento;<\/p>\n
b) \u00c0s situa\u00e7\u00f5es extraordin\u00e1rias, incluindo, entre outras, as seguintes situa\u00e7\u00f5es:<\/p>\n
i) Incidente de seguran\u00e7a;<\/p>\n
ii) Rutura da rede, emerg\u00eancia ou for\u00e7a maior, nos termos previstos no n.\u00ba 1 do artigo 49.\u00ba da LCE;<\/p>\n
iii) Exce\u00e7\u00f5es previstas nas al\u00edneas a), b) e c) do n.\u00ba 3 do artigo 3.\u00ba do Regulamento (UE) 2015\/2120 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, que estabelece medidas respeitantes ao acesso \u00e0 Internet aberta e que altera a Diretiva 2002\/22\/CE relativa ao servi\u00e7o universal e aos direitos dos utilizadores em mat\u00e9ria de redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas e o Regulamento (UE) 531\/2012 relativo \u00e0 itiner\u00e2ncia nas redes de comunica\u00e7\u00f5es m\u00f3veis p\u00fablicas da Uni\u00e3o;<\/p>\n
iv) Acidente grave ou cat\u00e1strofe, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis em mat\u00e9ria de prote\u00e7\u00e3o civil;<\/p>\n
v) Estado de emerg\u00eancia, estado de s\u00edtio ou estado de guerra, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis;<\/p>\n
vi) Ativa\u00e7\u00e3o de plano de emerg\u00eancia de prote\u00e7\u00e3o civil ou de plano no \u00e2mbito do planeamento civil de emerg\u00eancia do sector das comunica\u00e7\u00f5es, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis;<\/p>\n
vii) Grave amea\u00e7a \u00e0 seguran\u00e7a interna, incluindo as situa\u00e7\u00f5es de ataques terroristas, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis em mat\u00e9ria de seguran\u00e7a interna.<\/p>\n
2 – As empresas devem cumprir as suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, previstas na lei e no presente regulamento, de um modo adequado \u00e0 evolu\u00e7\u00e3o das condi\u00e7\u00f5es clim\u00e1ticas e dos riscos de desastre natural ou de outros fen\u00f3menos extremos, incluindo tempestades, deslizamentos de terras, inunda\u00e7\u00f5es, ventos fortes, inc\u00eandios florestais, sismos e maremotos, nomeadamente, entre outros aspetos, no que respeita \u00e0 escolha dos locais, dos equipamentos, dos materiais e das infraestruturas de alojamento e aos procedimentos de prote\u00e7\u00e3o e de preserva\u00e7\u00e3o.<\/p>\n
3 – Para efeitos do disposto no n\u00famero anterior, as empresas devem ter em considera\u00e7\u00e3o:<\/p>\n
a) A informa\u00e7\u00e3o emitida pelas entidades competentes nacionais, europeias ou internacionais;<\/p>\n
b) A Estrat\u00e9gia Nacional de Adapta\u00e7\u00e3o \u00e0s Altera\u00e7\u00f5es Clim\u00e1ticas 2020, aprovada pela Resolu\u00e7\u00e3o do Conselho de Ministros n.\u00ba 56\/2015, de 30 de julho.<\/p>\n
4 – As empresas devem cumprir as suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, previstas na lei e no presente regulamento, em conformidade com as disposi\u00e7\u00f5es respeitantes \u00e0 seguran\u00e7a de mat\u00e9rias classificadas no \u00e2mbito nacional e no \u00e2mbito das organiza\u00e7\u00f5es internacionais de que Portugal \u00e9 parte.<\/p>\n
5 – As empresas devem assegurar que todos os ativos que, independentemente da sua propriedade, suportem o funcionamento das suas redes ou dos seus servi\u00e7os, incluindo os equipamentos terminais na medida em que se encontrem sob sua gest\u00e3o, s\u00e3o abrangidos no cumprimento das suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a e integridade das redes e servi\u00e7os, previstas na lei e no presente regulamento.<\/p>\n
6 – Ao abrigo do princ\u00edpio da boa administra\u00e7\u00e3o, a ANACOM utiliza a informa\u00e7\u00e3o transmitida pelas empresas no \u00e2mbito do presente regulamento para a prossecu\u00e7\u00e3o das suas atribui\u00e7\u00f5es nas mat\u00e9rias do planeamento de emerg\u00eancia da prote\u00e7\u00e3o civil e do planeamento civil de emerg\u00eancia no setor das comunica\u00e7\u00f5es.<\/p>\n
Artigo 4.\u00ba<\/p>\n
Coopera\u00e7\u00e3o e partilha de informa\u00e7\u00e3o<\/p>\n
1 – As empresas devem cooperar com a ANACOM no \u00e2mbito da prossecu\u00e7\u00e3o das suas atribui\u00e7\u00f5es e do exerc\u00edcio das suas compet\u00eancias nas mat\u00e9rias de seguran\u00e7a das redes e servi\u00e7os.<\/p>\n
2 – As empresas devem cooperar entre si no cumprimento das suas obriga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a das redes e servi\u00e7os, incluindo, em especial, nas seguintes situa\u00e7\u00f5es:<\/p>\n
a) Ocorr\u00eancia de um ou mais incidentes de seguran\u00e7a, em especial nos casos de causa raiz comum;<\/p>\n
b) Riscos, amea\u00e7as ou vulnerabilidades comuns ou que potenciam um efeito em cascata;<\/p>\n
c) Depend\u00eancia ou interdepend\u00eancia entre as redes ou servi\u00e7os, incluindo, entre outros casos, o acesso e a interliga\u00e7\u00e3o de redes, a colocaliza\u00e7\u00e3o de ativos e a partilha de infraestruturas ou de outros recursos;<\/p>\n
d) Fornecimentos comuns de bens ou servi\u00e7os por terceiros.<\/p>\n
3 – Para efeitos do disposto no n\u00famero anterior, a ANACOM partilha com as empresas a lista dos respetivos pontos de contacto permanente, mantida ao abrigo do disposto no artigo 15.\u00ba<\/p>\n
4 – Para efeitos do disposto no presente artigo, as empresas devem ainda cooperar, consoante adequado, atrav\u00e9s da realiza\u00e7\u00e3o de a\u00e7\u00f5es conjuntas, da celebra\u00e7\u00e3o de acordos de assist\u00eancia m\u00fatua ou da partilha de informa\u00e7\u00e3o ou de conhecimento.<\/p>\n
Artigo 5.\u00ba<\/p>\n
Meios eletr\u00f3nicos<\/p>\n
1 – Todas as comunica\u00e7\u00f5es dirigidas \u00e0 ANACOM no \u00e2mbito do presente regulamento, bem como o envio de informa\u00e7\u00e3o, devem ser realizadas por meios eletr\u00f3nicos, nos termos a determinar pela ANACOM, em conformidade com o disposto na lei e sem preju\u00edzo do acesso aos seus servi\u00e7os.<\/p>\n
2 – A ANACOM mant\u00e9m e gere a informa\u00e7\u00e3o em mat\u00e9ria de seguran\u00e7a e integridade num sistema de informa\u00e7\u00e3o seguro, em conformidade com as disposi\u00e7\u00f5es respeitantes \u00e0 seguran\u00e7a de mat\u00e9rias classificadas no \u00e2mbito nacional e no \u00e2mbito das organiza\u00e7\u00f5es internacionais de que Portugal \u00e9 parte.<\/p>\n
T\u00cdTULO II<\/p>\n
Obriga\u00e7\u00f5es das empresas em mat\u00e9ria de seguran\u00e7a e integridade<\/p>\n
CAP\u00cdTULO I<\/p>\n
Disposi\u00e7\u00f5es gerais<\/p>\n
Artigo 6.\u00ba<\/p>\n
Obriga\u00e7\u00f5es das empresas<\/p>\n
1 – Ao abrigo do disposto no artigo 54.\u00ba-A da LCE e nos termos previstos no presente regulamento:<\/p>\n
a) As empresas devem adotar as medidas t\u00e9cnicas e organizacionais adequadas \u00e0 preven\u00e7\u00e3o, gest\u00e3o e redu\u00e7\u00e3o dos riscos para a seguran\u00e7a das redes e servi\u00e7os visando, em especial, impedir ou minimizar o impacto dos incidentes de seguran\u00e7a nas redes interligadas, a n\u00edvel nacional e internacional, e nos utilizadores, devendo as mesmas ser adequadas aos riscos existentes tendo em conta o estado da t\u00e9cnica;<\/p>\n
b) As empresas que oferecem redes de comunica\u00e7\u00f5es p\u00fablicas devem adotar as medidas adequadas para garantir a integridade das respetivas redes, assegurando a continuidade da presta\u00e7\u00e3o dos servi\u00e7os que nelas se suportam.<\/p>\n
2 – As medidas t\u00e9cnicas e organizacionais e os requisitos adicionais adotados pelas empresas para cumprimento do disposto na lei e no presente regulamento devem:<\/p>\n
a) Ser conformes com as decis\u00f5es da Comiss\u00e3o Europeia adotadas ao abrigo do procedimento previsto no artigo 13.\u00ba-A da Diretiva n.\u00ba 2002\/21\/CE, do Parlamento Europeu e do Conselho, de 7 de mar\u00e7o de 2002, relativa a um quadro regulamentar comum para as redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, na sua atual reda\u00e7\u00e3o;<\/p>\n
b) Ser baseadas, na aus\u00eancia das decis\u00f5es previstas na al\u00ednea anterior, nas normas, especifica\u00e7\u00f5es e recomenda\u00e7\u00f5es nacionais, europeias e internacionais existentes sobre a mat\u00e9ria, nomeadamente:<\/p>\n
i) NP ISO\/IEC 27001:2013 (Tecnologia de Informa\u00e7\u00e3o – T\u00e9cnicas de seguran\u00e7a – Sistemas de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o – Requisitos) e suas revis\u00f5es;<\/p>\n
ii) ISO\/IEC 27001:2013 (Information technology – Security techniques – Information security management systems – Requirements) e suas revis\u00f5es;<\/p>\n
iii) ISO\/IEC 27002:2013 (Information technology – Security techniques – Code of practice for information security controls) e suas revis\u00f5es;<\/p>\n
iv) ISO\/IEC 27011:2016 ou Recomenda\u00e7\u00e3o ITU-T X.1051 (04\/2016) (Information technology – Security techniques – Code of practice for Information security controls based on ISO\/IEC 27002 for telecommunications organizations) e suas revis\u00f5es;<\/p>\n
v) Recomenda\u00e7\u00e3o ITU-T X.1053 (11\/2017) (Code of practice for information security controls based on ITU-T X.1051 for small and medium-sized telecommunication organizations) e suas revis\u00f5es;<\/p>\n
vi) ISO\/IEC 27005:2018 (Information technology – Security techniques – Information security risk management) e suas revis\u00f5es;<\/p>\n
vii) Recomenda\u00e7\u00e3o ITU-T X.1055 (11\/2008) (Risk management and risk profile guidelines for telecommunication organizations) e suas revis\u00f5es;<\/p>\n
viii) Recomenda\u00e7\u00e3o ITU-T X.1056 (01\/2009) (Security incident management guidelines for telecommunications organizations) e suas revis\u00f5es;<\/p>\n
ix) Recomenda\u00e7\u00e3o ITU-T X.1057 (05\/2011) (Asset management guidelines in telecommunication organizations) e suas revis\u00f5es;<\/p>\n
x) ISO 22301:2012 (Societal security – Business continuity management systems – Requirements) e suas revis\u00f5es;<\/p>\n
xi) Outra norma, especifica\u00e7\u00e3o ou recomenda\u00e7\u00e3o nacional, europeia ou internacional adequada;<\/p>\n
c) Ter em considera\u00e7\u00e3o os documentos t\u00e9cnicos publicados pela ENISA em resultado dos trabalhos desenvolvidos ao n\u00edvel da aplica\u00e7\u00e3o da Diretiva n.\u00ba 2002\/21\/CE do Parlamento Europeu e do Conselho, de 7 de mar\u00e7o de 2002, relativa a um quadro regulamentar comum para as redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, na sua atual reda\u00e7\u00e3o.<\/p>\n
3 – As medidas t\u00e9cnicas e organizacionais e os requisitos adicionais adotados pelas empresas para cumprimento do disposto na lei e no presente regulamento devem ainda ter em considera\u00e7\u00e3o:<\/p>\n
a) As recomenda\u00e7\u00f5es formuladas pela ANACOM, nomeadamente quanto \u00e0 concretiza\u00e7\u00e3o das medidas de seguran\u00e7a previstas no presente regulamento;<\/p>\n
b) As instru\u00e7\u00f5es t\u00e9cnicas aplic\u00e1veis \u00e0 constru\u00e7\u00e3o ou amplia\u00e7\u00e3o de infraestruturas aptas, \u00e0 utiliza\u00e7\u00e3o de infraestruturas aptas e \u00e0 instala\u00e7\u00e3o de equipamentos e sistemas de redes de comunica\u00e7\u00f5es eletr\u00f3nicas em infraestruturas aptas, fixadas ao abrigo do disposto no Decreto-Lei n.\u00ba 123\/2009, de 21 de maio, na sua atual reda\u00e7\u00e3o.<\/p>\n
4 – As empresas devem assegurar que as medidas t\u00e9cnicas e organizacionais e os requisitos adicionais adotados para cumprimento do disposto na lei e no presente regulamento s\u00e3o mantidos atualizados.<\/p>\n
Artigo 7.\u00ba<\/p>\n
Medidas t\u00e9cnicas de execu\u00e7\u00e3o e requisitos adicionais<\/p>\n
1 – Para efeitos do disposto no artigo anterior e nos termos previstos no n.\u00ba 1 do artigo 54.\u00ba-C e no artigo 54.\u00ba-D da LCE, as empresas devem, nomeadamente, adotar todas as medidas de seguran\u00e7a inclu\u00eddas nos n\u00edveis de sofistica\u00e7\u00e3o 1 e 2 para a prossecu\u00e7\u00e3o de cada um dos 25 objetivos de seguran\u00e7a constantes do Anexo.<\/p>\n
2 – Excetua-se do disposto no n\u00famero anterior os casos em que, tendo por fundamento os resultados de uma avalia\u00e7\u00e3o dos riscos para a seguran\u00e7a das redes e servi\u00e7os, realizada pelas empresas:<\/p>\n
a) Uma adequada prossecu\u00e7\u00e3o de um objetivo de seguran\u00e7a n\u00e3o exija, a t\u00edtulo excecional e mediante autoriza\u00e7\u00e3o pr\u00e9via da ANACOM na sequ\u00eancia de um pedido fundamentado apresentado para o efeito, o cumprimento de uma ou de v\u00e1rias medidas de seguran\u00e7a previstas no n\u00edvel de sofistica\u00e7\u00e3o 2;<\/p>\n
b) Uma adequada prossecu\u00e7\u00e3o de um objetivo de seguran\u00e7a exija o cumprimento de uma ou de v\u00e1rias medidas de seguran\u00e7a previstas no n\u00edvel de sofistica\u00e7\u00e3o 3.<\/p>\n
3 – Para efeitos do disposto na al\u00ednea a) do n\u00famero anterior, os pedidos devem ser instru\u00eddos com os seguintes elementos:<\/p>\n
a) Indica\u00e7\u00e3o do objetivo de seguran\u00e7a;<\/p>\n
b) Indica\u00e7\u00e3o da medida de seguran\u00e7a;<\/p>\n
c) A avalia\u00e7\u00e3o dos riscos que fundamenta o pedido e que garante, mediante o cumprimento de outras medidas, uma adequada prossecu\u00e7\u00e3o do objetivo de seguran\u00e7a em causa.<\/p>\n
4 – Ficam dispensadas da autoriza\u00e7\u00e3o pr\u00e9via prevista na al\u00ednea a) do n.\u00ba 2 as empresas que, no conjunto das suas ofertas, tenham um n\u00famero de assinantes ou de acessos inferior a 1.000 e cujas ofertas n\u00e3o sejam essenciais para assegurar a continuidade da presta\u00e7\u00e3o de um servi\u00e7o relevante, sem preju\u00edzo da necess\u00e1ria avalia\u00e7\u00e3o dos riscos para a seguran\u00e7a das redes e servi\u00e7os nos termos previstos no mesmo n.\u00ba 2.<\/p>\n
5 – Para efeitos do disposto no artigo anterior, as medidas de seguran\u00e7a a adotar pelas empresas devem incluir, no m\u00ednimo, as seguintes medidas espec\u00edficas, nos termos previstos no Cap\u00edtulo II do presente T\u00edtulo:<\/p>\n
a) Classifica\u00e7\u00e3o de ativos e invent\u00e1rio de ativos, nos termos previstos, respetivamente, nos artigos 8.\u00ba e 9.\u00ba;<\/p>\n
b) Revis\u00e3o das avalia\u00e7\u00f5es dos riscos, nos termos previstos no artigo 10.\u00ba;<\/p>\n
c) Procedimentos de controlo da gest\u00e3o excecional de tr\u00e1fego de acesso \u00e0 Internet, nos termos previstos no artigo 11.\u00ba;<\/p>\n
d) Exerc\u00edcios, nos termos previstos no artigo 12.\u00ba;<\/p>\n
e) Informa\u00e7\u00e3o aos clientes relevantes, nos termos previstos no artigo 13.\u00ba;<\/p>\n
f) Respons\u00e1vel da seguran\u00e7a, nos termos previstos no artigo 14.\u00ba;<\/p>\n
g) Ponto de contacto permanente, nos termos previstos no artigo 15.\u00ba;<\/p>\n
h) Equipa de resposta a incidentes de seguran\u00e7a, nos termos previstos no artigo 16.\u00ba;<\/p>\n
i) Plano de seguran\u00e7a, nos termos previstos no artigo 17.\u00ba;<\/p>\n
j) Deveres espec\u00edficos de comunica\u00e7\u00e3o \u00e0 ANACOM, nos termos previstos no artigo 18.\u00ba;<\/p>\n
k) Relat\u00f3rio anual de seguran\u00e7a, nos termos previstos no artigo 19.\u00ba<\/p>\n
CAP\u00cdTULO II<\/p>\n
Medidas espec\u00edficas<\/p>\n
Artigo 8.\u00ba<\/p>\n
Classifica\u00e7\u00e3o de ativos<\/p>\n
1 – As empresas devem classificar os ativos numa classe de A a C, nos termos previstos no presente artigo.<\/p>\n
2 – Um ativo deve ser classificado na classe A se, em resultado de perturba\u00e7\u00e3o do seu funcionamento, o n\u00famero de assinantes ou de acessos afetados possa ser igual ou superior a 100.000 ou a \u00e1rea geogr\u00e1fica afetada possa, nos termos do n.\u00ba 3 do presente artigo, ser igual ou superior a 2.000 km2 ou, quando aplic\u00e1vel, abranger a totalidade do territ\u00f3rio de uma ilha da Regi\u00e3o Aut\u00f3noma dos A\u00e7ores ou da Regi\u00e3o Aut\u00f3noma da Madeira.<\/p>\n
3 – Para efeitos do disposto no n\u00famero anterior, o crit\u00e9rio relativo \u00e0 \u00e1rea geogr\u00e1fica afetada s\u00f3 deve ser aplicado caso o crit\u00e9rio relativo ao n\u00famero de assinantes ou de acessos afetados seja inaplic\u00e1vel ou, no caso concreto, fundamentadamente imposs\u00edvel de determinar ou estimar.<\/p>\n
4 – Devem ainda ser classificados na classe A os seguintes ativos:<\/p>\n
a) O centro principal de gest\u00e3o e opera\u00e7\u00e3o de uma empresa que, no conjunto das suas ofertas, tenha um n\u00famero total de assinantes ou de acessos igual ou superior a 100.000;<\/p>\n
b) O centro principal de gest\u00e3o e opera\u00e7\u00e3o de uma empresa que inclua, pelo menos, um ativo da classe A;<\/p>\n
c) Os ativos de que dependa a oferta de redes e servi\u00e7os que seja essencial para assegurar a continuidade da presta\u00e7\u00e3o de servi\u00e7os relevantes e que como tal seja identificada no \u00e2mbito do contrato celebrado com o cliente relevante em causa;<\/p>\n
d) Os ativos que assegurem interliga\u00e7\u00e3o internacional, interliga\u00e7\u00e3o entre as Regi\u00f5es Aut\u00f3nomas, interliga\u00e7\u00e3o entre o Continente e uma Regi\u00e3o Aut\u00f3noma ou interliga\u00e7\u00e3o entre ilhas na Regi\u00e3o Aut\u00f3noma dos A\u00e7ores ou na Regi\u00e3o Aut\u00f3noma da Madeira, incluindo esta\u00e7\u00e3o de cabos submarinos, esta\u00e7\u00e3o de sat\u00e9lites ou sistema terrestre transfronteiri\u00e7o;<\/p>\n
e) Os ativos que tenham sido identificados no \u00e2mbito do planeamento civil de emerg\u00eancia do sector das comunica\u00e7\u00f5es ou de um plano de emerg\u00eancia de prote\u00e7\u00e3o civil, nos termos previstos, respetivamente, no Decreto-Lei n.\u00ba 73\/2012, de 26 de mar\u00e7o e na al\u00ednea e) do n.\u00ba 2 do artigo 2.\u00ba-A da LCE.<\/p>\n
5 – Um ativo deve ser classificado na classe B se, em resultado de perturba\u00e7\u00e3o do seu funcionamento, cause ou possa vir a causar um impacto negativo grave na seguran\u00e7a das redes e servi\u00e7os, exceto quando, nos termos previstos nos n\u00fameros anteriores, deva ser classificado na classe A.<\/p>\n
6 – Um ativo deve ser classificado na classe C sempre que n\u00e3o deva ser classificado em nenhuma das classes A ou B.<\/p>\n
Artigo 9.\u00ba<\/p>\n
Invent\u00e1rio de ativos<\/p>\n
1 – As empresas devem elaborar e manter atualizado um invent\u00e1rio de todos os ativos classificados nas classes A ou B, assinado pelo respons\u00e1vel da seguran\u00e7a.<\/p>\n
2 – Para cada ativo, deve constar do invent\u00e1rio de ativos a seguinte informa\u00e7\u00e3o:<\/p>\n
a) Identificador \u00fanico;<\/p>\n
b) Designa\u00e7\u00e3o;<\/p>\n
c) Classifica\u00e7\u00e3o, ao abrigo do disposto no artigo 8.\u00ba;<\/p>\n
d) As coordenadas geogr\u00e1ficas da sua localiza\u00e7\u00e3o;<\/p>\n
e) A identifica\u00e7\u00e3o das entidades detentoras ou gestoras dos locais;<\/p>\n
f) Caracteriza\u00e7\u00e3o, incluindo:<\/p>\n
i) Funcionalidades e servi\u00e7os suportados;<\/p>\n
ii) Fundamenta\u00e7\u00e3o da classifica\u00e7\u00e3o, ao abrigo do disposto no artigo 8.\u00ba, incluindo uma descri\u00e7\u00e3o do impacto potencial de uma perturba\u00e7\u00e3o do seu funcionamento;<\/p>\n
iii) Identifica\u00e7\u00e3o como ponto de falha \u00fanica;<\/p>\n
iv) Fornecimentos de terceiros cr\u00edticos para o seu funcionamento, incluindo servi\u00e7os de gest\u00e3o, de opera\u00e7\u00e3o, de seguran\u00e7a e de energia;<\/p>\n
v) Autonomia em caso de falha de fornecimento de energia;<\/p>\n
vi) No caso de interliga\u00e7\u00e3o, indica\u00e7\u00e3o do tipo (interliga\u00e7\u00e3o internacional, interliga\u00e7\u00e3o entre as Regi\u00f5es Aut\u00f3nomas, interliga\u00e7\u00e3o entre o Continente e uma Regi\u00e3o Aut\u00f3noma ou interliga\u00e7\u00e3o entre ilhas na Regi\u00e3o Aut\u00f3noma dos A\u00e7ores ou na Regi\u00e3o Aut\u00f3noma da Madeira) e identifica\u00e7\u00e3o das empresas interligadas;<\/p>\n
g) Medidas, controlos e registos de seguran\u00e7a adotados, incluindo as medidas de redund\u00e2ncia, robustez e resili\u00eancia no caso de ativo identificado como ponto de falha \u00fanica ao abrigo do disposto na subal\u00ednea iii) da al\u00ednea anterior;<\/p>\n
h) Registo das viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com impacto significativo ocorridas;<\/p>\n
i) Registo das altera\u00e7\u00f5es efetuadas, incluindo os resultados dos testes de integra\u00e7\u00e3o e de sistema realizados e os planos de restauro dos ativos.<\/p>\n
3 – As empresas devem concluir o invent\u00e1rio de ativos no prazo de 60 dias \u00fateis a contar da data de in\u00edcio de atividade.<\/p>\n
4 – As empresas cujas ofertas se suportem em, pelo menos, um ativo classific\u00e1vel na classe A devem comunicar \u00e0 ANACOM a lista dos ativos constantes do invent\u00e1rio, que, em rela\u00e7\u00e3o a cada ativo, contenha a informa\u00e7\u00e3o constante das al\u00edneas a) a d) e da subal\u00ednea ii) da al\u00ednea f), todas do n.\u00ba 2 do presente artigo:<\/p>\n
a) Na sua vers\u00e3o inicial, no prazo de 60 dias \u00fateis a contar da data de in\u00edcio de atividade ou, se posterior, da data a partir da qual as empresas suportem as suas ofertas num ativo classific\u00e1vel na classe A;<\/p>\n
b) Numa vers\u00e3o atualizada, em conjunto com o relat\u00f3rio anual de seguran\u00e7a.<\/p>\n
Artigo 10.\u00ba<\/p>\n
Revis\u00e3o das avalia\u00e7\u00f5es dos riscos<\/p>\n
As empresas devem rever as avalia\u00e7\u00f5es dos riscos tendo em considera\u00e7\u00e3o, nomeadamente:<\/p>\n
a) As viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com impacto significativo ou quaisquer outras situa\u00e7\u00f5es extraordin\u00e1rias referidas na al\u00ednea b) do n.\u00ba 1 do artigo 3.\u00ba ocorridas nos dois anos anteriores;<\/p>\n
b) A informa\u00e7\u00e3o sobre amea\u00e7as, vulnerabilidades e riscos, incluindo os riscos resultantes da evolu\u00e7\u00e3o das condi\u00e7\u00f5es clim\u00e1ticas e os riscos de desastre natural ou de outros fen\u00f3menos extremos, emitida pelas entidades competentes nacionais, europeias ou internacionais, incluindo a ANPC, o IPMA, o ICNF e a ENISA, bem como a informa\u00e7\u00e3o publicada anualmente ou comunicada \u00e0s empresas pela ANACOM.<\/p>\n
Artigo 11.\u00ba<\/p>\n
Procedimentos de Controlo da Gest\u00e3o Excecional de Tr\u00e1fego de Acesso \u00e0 Internet<\/p>\n
1 – A ado\u00e7\u00e3o de medidas de gest\u00e3o de tr\u00e1fego de acesso \u00e0 Internet pelas empresas deve respeitar o disposto no Regulamento (UE) 2015\/2120 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015.<\/p>\n
2 – As empresas devem registar a informa\u00e7\u00e3o relevante para o controlo das medidas de gest\u00e3o excecional de tr\u00e1fego de acesso \u00e0 Internet, que, em rela\u00e7\u00e3o a cada medida adotada, inclui, entre outros, os seguintes elementos:<\/p>\n
a) A exce\u00e7\u00e3o que a fundamenta, nos termos previstos nas al\u00edneas a), b) ou c) do n.\u00ba 3 do artigo 3.\u00ba do Regulamento (UE) 2015\/2120 do Parlamento Europeu e do Conselho, de 25 de novembro de 2015, devidamente documentada;<\/p>\n
b) A natureza da medida, nomeadamente de bloqueio, de abrandamento, de altera\u00e7\u00e3o, de restri\u00e7\u00e3o, de degrada\u00e7\u00e3o ou outra;<\/p>\n
c) O objeto da medida, nomeadamente os conte\u00fados, as aplica\u00e7\u00f5es ou os servi\u00e7os e os portos ou endere\u00e7os IP abrangidos;<\/p>\n
d) A dura\u00e7\u00e3o, incluindo as datas e horas de in\u00edcio e de termo da medida.<\/p>\n
3 – As empresas devem adotar e manter atualizado um sistema para a monitoriza\u00e7\u00e3o do tr\u00e1fego de acesso \u00e0 Internet, de modo cont\u00ednuo, para a dete\u00e7\u00e3o:<\/p>\n
a) De riscos \u00e0 seguran\u00e7a e integridade da rede, dos servi\u00e7os prestados atrav\u00e9s dela e dos equipamentos terminais dos utilizadores finais;<\/p>\n
b) De congestionamentos iminentes da rede.<\/p>\n
Artigo 12.\u00ba<\/p>\n
Exerc\u00edcios<\/p>\n
1 – As empresas devem elaborar e implementar um programa de exerc\u00edcios, para um per\u00edodo m\u00e1ximo de dois anos, para avalia\u00e7\u00e3o da seguran\u00e7a das redes e servi\u00e7os e da adequa\u00e7\u00e3o do plano de seguran\u00e7a, com vista \u00e0 melhoria das medidas t\u00e9cnicas e organizacionais adotadas, tendo em considera\u00e7\u00e3o, quando aplic\u00e1vel:<\/p>\n
a) Os ativos classificados nas classes A ou B;<\/p>\n
b) O acesso aos servi\u00e7os de emerg\u00eancia;<\/p>\n
c) O suporte \u00e0 continuidade da presta\u00e7\u00e3o dos servi\u00e7os relevantes.<\/p>\n
2 – As empresas devem promover, na medida do adequado, a participa\u00e7\u00e3o de outras empresas ou de terceiros na execu\u00e7\u00e3o do programa de exerc\u00edcios.<\/p>\n
3 – As empresas devem participar nos exerc\u00edcios conjuntos que a ANACOM, nos termos a determinar, considere necess\u00e1rios.<\/p>\n
Artigo 13.\u00ba<\/p>\n
Informa\u00e7\u00e3o aos clientes relevantes<\/p>\n
Na sequ\u00eancia de incidentes de seguran\u00e7a com impacto na oferta de redes e servi\u00e7os que seja essencial para assegurar a continuidade da presta\u00e7\u00e3o de servi\u00e7os relevantes e que como tal seja identificada no \u00e2mbito do contrato celebrado com o cliente relevante em causa, as empresas devem comunicar-lhes as medidas adotadas ou a adotar com impacto para a presta\u00e7\u00e3o dos servi\u00e7os relevantes em causa.<\/p>\n
Artigo 14.\u00ba<\/p>\n
Respons\u00e1vel da seguran\u00e7a<\/p>\n
1 – As empresas devem designar um respons\u00e1vel da seguran\u00e7a, ao qual, entre os demais deveres previstos no presente regulamento, cabe:<\/p>\n
a) A gest\u00e3o da pol\u00edtica de seguran\u00e7a;<\/p>\n
b) A gest\u00e3o do conjunto das medidas adotadas em mat\u00e9ria de seguran\u00e7a das redes e servi\u00e7os ao abrigo do disposto na lei e no presente regulamento.<\/p>\n
2 – As empresas podem designar um adjunto do respons\u00e1vel da seguran\u00e7a, a quem cabe exercer as fun\u00e7\u00f5es do respons\u00e1vel da seguran\u00e7a em caso de aus\u00eancia ou impedimento deste.<\/p>\n
3 – As empresas que n\u00e3o estejam estabelecidas na Uni\u00e3o Europeia ou no Espa\u00e7o Econ\u00f3mico Europeu e cujas ofertas se suportem em, pelo menos, um ativo classific\u00e1vel na classe A devem assegurar que os colaboradores designados para as fun\u00e7\u00f5es previstas no presente artigo se encontram domiciliados num Estado-Membro da Uni\u00e3o Europeia ou do Espa\u00e7o Econ\u00f3mico Europeu.<\/p>\n
Artigo 15.\u00ba<\/p>\n
Ponto de contacto permanente<\/p>\n
1 – As empresas devem estabelecer uma fun\u00e7\u00e3o de ponto de contacto permanente, que deve assegurar a capacidade de iniciar e de receber um fluxo de informa\u00e7\u00e3o de n\u00edvel operacional e t\u00e9cnico entre a empresa e a ANACOM, garantindo, nomeadamente:<\/p>\n
a) A efic\u00e1cia da resposta a incidentes de seguran\u00e7a com impacto a n\u00edvel do sector ou para al\u00e9m deste, incluindo no suporte \u00e0 continuidade da presta\u00e7\u00e3o dos servi\u00e7os relevantes, e que envolva a participa\u00e7\u00e3o de v\u00e1rias empresas;<\/p>\n
b) A articula\u00e7\u00e3o entre a ANACOM e a empresa para a obten\u00e7\u00e3o de informa\u00e7\u00e3o operacional ou t\u00e9cnica, na sequ\u00eancia de notifica\u00e7\u00e3o de viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacto significativo submetida por aquela ou por outra empresa;<\/p>\n
c) A constru\u00e7\u00e3o e atualiza\u00e7\u00e3o de informa\u00e7\u00e3o de situa\u00e7\u00e3o integrada no contexto de uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacto significativo ou da ativa\u00e7\u00e3o de plano de emerg\u00eancia da prote\u00e7\u00e3o civil ou de plano no \u00e2mbito do planeamento civil de emerg\u00eancia do sector das comunica\u00e7\u00f5es;<\/p>\n
d) A operacionaliza\u00e7\u00e3o dos procedimentos fixados no \u00e2mbito de um plano de emerg\u00eancia da prote\u00e7\u00e3o civil ou do planeamento civil de emerg\u00eancia do sector das comunica\u00e7\u00f5es;<\/p>\n
e) O tratamento das determina\u00e7\u00f5es da ANACOM no sentido da informa\u00e7\u00e3o ao p\u00fablico de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade ocorridas nas suas redes e servi\u00e7os, ao abrigo do disposto no n.\u00ba 3 do artigo 23.\u00ba;<\/p>\n
f) A rece\u00e7\u00e3o das instru\u00e7\u00f5es vinculativas emitidas ao abrigo do disposto no n.\u00ba 1 do artigo 54.\u00ba-G da LCE;<\/p>\n
g) A articula\u00e7\u00e3o entre a ANACOM e a equipa de resposta a incidentes de seguran\u00e7a.<\/p>\n
2 – As empresas devem ainda assegurar que a fun\u00e7\u00e3o de ponto de contacto permanente se encontra dotada dos meios necess\u00e1rios ao desenvolvimento das a\u00e7\u00f5es de coopera\u00e7\u00e3o e partilha de informa\u00e7\u00e3o entre empresas, nos termos do disposto no artigo 4.\u00ba<\/p>\n
3 – As empresas devem assegurar a fun\u00e7\u00e3o de ponto de contacto permanente:<\/p>\n
a) Numa disponibilidade cont\u00ednua (24 horas por dia e sete dias por semana), quando as suas ofertas se suportem em, pelo menos, um ativo classific\u00e1vel na classe A;<\/p>\n
b) Numa disponibilidade cont\u00ednua (24 horas por dia e sete dias por semana) limitada a per\u00edodos de ativa\u00e7\u00e3o, iniciados e terminados mediante comunica\u00e7\u00e3o da ANACOM, nos restantes casos.<\/p>\n
4 – As empresas devem assegurar que o ponto de contacto permanente disp\u00f5e de meios de contacto principais e alternativos para a comunica\u00e7\u00e3o com a ANACOM em condi\u00e7\u00f5es normais de funcionamento, nas situa\u00e7\u00f5es extraordin\u00e1rias referidas nas subal\u00edneas i), ii) e iii) da al\u00ednea b) do n.\u00ba 1 do artigo 3.\u00ba e, conforme adequado e nos termos das disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis, nas situa\u00e7\u00f5es referidas nas restantes subal\u00edneas.<\/p>\n
Artigo 16.\u00ba<\/p>\n
Equipa de resposta a incidentes de seguran\u00e7a<\/p>\n
1 – As empresas cujas ofertas se suportem em, pelo menos, um ativo classific\u00e1vel na classe A devem dispor de uma equipa de resposta a incidentes de seguran\u00e7a, dotada dos recursos e dos conhecimentos necess\u00e1rios a uma eficaz prepara\u00e7\u00e3o contra os riscos, amea\u00e7as e vulnerabilidades e \u00e0 resposta a incidentes de seguran\u00e7a que afetem os ativos classificados nas classes A ou B.<\/p>\n
2 – As empresas devem concluir a constitui\u00e7\u00e3o da equipa prevista no n\u00famero anterior no prazo de seis meses a contar da data a partir da qual suportem as suas ofertas num ativo classific\u00e1vel na classe A.<\/p>\n
3 – A equipa a que se refere o presente artigo deve integrar o sistema de resposta a incidentes de seguran\u00e7a da informa\u00e7\u00e3o, nos termos a determinar ao abrigo do disposto na al\u00ednea d) do n.\u00ba 2 do artigo 2.\u00ba-A da LCE.<\/p>\n
Artigo 17.\u00ba<\/p>\n
Plano de seguran\u00e7a<\/p>\n
1 – As empresas devem elaborar e manter atualizado um plano de seguran\u00e7a, devidamente documentado e assinado pelo respons\u00e1vel da seguran\u00e7a, que contenha:<\/p>\n
a) A pol\u00edtica de seguran\u00e7a;<\/p>\n
b) A descri\u00e7\u00e3o de todas as medidas adotadas em mat\u00e9ria de seguran\u00e7a das redes e servi\u00e7os ao abrigo do disposto na lei e no presente regulamento, incluindo, quando aplic\u00e1vel e caso a caso, as refer\u00eancias \u00e0s medidas e aos n\u00edveis de sofistica\u00e7\u00e3o em que as mesmas se enquadram, nos termos previstos no Anexo;<\/p>\n
c) O registo e an\u00e1lise dos incidentes de seguran\u00e7a com maior impacto ocorridos nos \u00faltimos cinco anos, incluindo todas as viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com impacto significativo;<\/p>\n
d) A lista dos colaboradores-chave, incluindo a indica\u00e7\u00e3o da respetiva fun\u00e7\u00e3o.<\/p>\n
2 – As empresas devem concluir a elabora\u00e7\u00e3o do plano de seguran\u00e7a no prazo de seis meses a contar da data de in\u00edcio da sua atividade.<\/p>\n
3 – As empresas devem ainda instruir o plano de seguran\u00e7a com os comprovativos de que o respons\u00e1vel da seguran\u00e7a, o adjunto do respons\u00e1vel da seguran\u00e7a, quando exista, e os colaboradores que asseguram a fun\u00e7\u00e3o de ponto de contacto permanente se encontram devidamente mandatados, nos termos legalmente previstos, para representar a empresa no exerc\u00edcio das fun\u00e7\u00f5es que lhe foram cometidas, nos termos previstos na lei e no presente regulamento.<\/p>\n
Artigo 18.\u00ba<\/p>\n
Deveres espec\u00edficos de comunica\u00e7\u00e3o \u00e0 ANACOM<\/p>\n
1 – As empresas devem comunicar \u00e0 ANACOM, no prazo de 20 dias \u00fateis a contar do in\u00edcio da sua atividade:<\/p>\n
a) A pol\u00edtica de seguran\u00e7a, nos termos previstos no artigo anterior;<\/p>\n
b) A informa\u00e7\u00e3o relativa aos colaboradores designados para as fun\u00e7\u00f5es de respons\u00e1vel da seguran\u00e7a e, sendo o caso, de adjunto do respons\u00e1vel da seguran\u00e7a, nos termos previstos no artigo 14.\u00ba;<\/p>\n
c) A informa\u00e7\u00e3o relativa ao ponto de contacto permanente, nos termos previstos no artigo 15.\u00ba<\/p>\n
2 – Para efeitos do disposto na al\u00ednea b) do n\u00famero anterior, as empresas devem comunicar \u00e0 ANACOM, em rela\u00e7\u00e3o a cada colaborador, os seguintes elementos:<\/p>\n
a) Nome;<\/p>\n
b) N\u00famero(s) de telefone;<\/p>\n
c) Endere\u00e7o de correio eletr\u00f3nico.<\/p>\n
3 – Para efeitos do disposto na al\u00ednea c) do n.\u00ba 1, as empresas devem comunicar \u00e0 ANACOM os seguintes elementos:<\/p>\n
a) N\u00famero de telefone fixo;<\/p>\n
b) N\u00famero de telefone m\u00f3vel;<\/p>\n
c) Endere\u00e7o de correio eletr\u00f3nico;<\/p>\n
d) Contactos alternativos;<\/p>\n
e) Endere\u00e7o geogr\u00e1fico do local onde \u00e9 assegurada a fun\u00e7\u00e3o;<\/p>\n
f) Quando aplic\u00e1vel, elementos de contacto para ativa\u00e7\u00e3o da fun\u00e7\u00e3o de ponto de contacto permanente, nos termos previstos na al\u00ednea b) do n.\u00ba 3 do artigo 15.\u00ba, incluindo n\u00famero de telefone fixo, n\u00famero de telefone m\u00f3vel e endere\u00e7o de correio eletr\u00f3nico.<\/p>\n
4 – Antes do termo do prazo previsto no n.\u00ba 1 do presente artigo e em caso de necessidade, as empresas devem assegurar que os contactos fornecidos no \u00e2mbito da comunica\u00e7\u00e3o pr\u00e9via de in\u00edcio de atividade, ao abrigo do disposto no artigo 21.\u00ba da LCE, asseguram, a t\u00edtulo provis\u00f3rio, a fun\u00e7\u00e3o prevista no artigo 15.\u00ba do presente regulamento.<\/p>\n
5 – As empresas devem comunicar \u00e0 ANACOM, previamente \u00e0 sua implementa\u00e7\u00e3o, qualquer altera\u00e7\u00e3o da informa\u00e7\u00e3o fornecida ao abrigo do disposto no presente artigo.<\/p>\n
Artigo 19.\u00ba<\/p>\n
Relat\u00f3rio anual de seguran\u00e7a<\/p>\n
1 – As empresas devem elaborar um relat\u00f3rio anual de seguran\u00e7a, que, de forma completa, mas sucinta e em rela\u00e7\u00e3o ao ano civil a que se reporta, contenha os seguintes elementos:<\/p>\n
a) Descri\u00e7\u00e3o sum\u00e1ria das principais atividades desenvolvidas em mat\u00e9ria de seguran\u00e7a das redes e servi\u00e7os, com especial enfoque nos ativos classificados nas classes A ou B e na implementa\u00e7\u00e3o do programa de exerc\u00edcios;<\/p>\n
b) Estat\u00edstica trimestral de todos os incidentes de seguran\u00e7a n\u00e3o notificados, com indica\u00e7\u00e3o do n\u00famero e do tipo dos incidentes;<\/p>\n
c) An\u00e1lise agregada dos incidentes de seguran\u00e7a com maior impacto, incluindo todas as viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com impacto significativo, e respetivo tempo m\u00e9dio de recupera\u00e7\u00e3o;<\/p>\n
d) Recomenda\u00e7\u00f5es de atividades, incluindo exerc\u00edcios conjuntos, de medidas ou de pr\u00e1ticas de coopera\u00e7\u00e3o que promovam a melhoria da seguran\u00e7a das redes e servi\u00e7os;<\/p>\n
e) Quest\u00f5es identificadas e li\u00e7\u00f5es aprendidas na sequ\u00eancia dos incidentes de seguran\u00e7a;<\/p>\n
f) Qualquer outra informa\u00e7\u00e3o relevante.<\/p>\n
2 – As empresas devem apresentar o relat\u00f3rio anual de seguran\u00e7a \u00e0 ANACOM, assinado pelo respons\u00e1vel da seguran\u00e7a:<\/p>\n
a) Quanto ao primeiro relat\u00f3rio anual de seguran\u00e7a:<\/p>\n
i) At\u00e9 ao \u00faltimo dia \u00fatil do m\u00eas de janeiro do ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha in\u00edcio no primeiro semestre;<\/p>\n
ii) At\u00e9 ao \u00faltimo dia \u00fatil do m\u00eas de janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha in\u00edcio no segundo semestre;<\/p>\n
b) Quanto aos demais relat\u00f3rios anuais de seguran\u00e7a, at\u00e9 ao \u00faltimo dia \u00fatil do m\u00eas de janeiro do ano civil seguinte aos quais os mesmos se reportam.<\/p>\n
3 – Para efeitos do disposto na subal\u00ednea ii) da al\u00ednea a) do n\u00famero anterior, o relat\u00f3rio anual de seguran\u00e7a deve abranger todo o per\u00edodo entre a data de in\u00edcio de atividade e o final do ano civil anterior.<\/p>\n
4 – Para efeitos do disposto na al\u00ednea b) do n.\u00ba 1, a ANACOM pode definir uma taxonomia comum de tipos de incidentes de seguran\u00e7a a ser utilizada pelas empresas, bem como o formato em que a informa\u00e7\u00e3o deve ser apresentada.<\/p>\n
T\u00cdTULO III<\/p>\n
Obriga\u00e7\u00f5es de notifica\u00e7\u00e3o e de informa\u00e7\u00e3o ao p\u00fablico<\/p>\n
CAP\u00cdTULO I<\/p>\n
Obriga\u00e7\u00f5es de notifica\u00e7\u00e3o<\/p>\n
Artigo 20.\u00ba<\/p>\n
\u00c2mbito das obriga\u00e7\u00f5es de notifica\u00e7\u00e3o<\/p>\n
1 – Para efeitos do disposto no artigo 54.\u00ba-B da LCE, as empresas est\u00e3o obrigadas a notificar a ANACOM das viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com impacto significativo no funcionamento das redes e servi\u00e7os que oferecem, nos termos previstos no presente Cap\u00edtulo I.<\/p>\n
2 – O cumprimento das obriga\u00e7\u00f5es de notifica\u00e7\u00e3o previstas no presente Cap\u00edtulo I n\u00e3o prejudica, nem substitui, nomeadamente:<\/p>\n
a) O cumprimento, por parte das empresas, das suas obriga\u00e7\u00f5es de notifica\u00e7\u00e3o dos incidentes de seguran\u00e7a em causa \u00e0s autoridades competentes, nomeadamente a ANPC, o Minist\u00e9rio P\u00fablico, o CNCS, a CNPD e as autoridades regionais, locais e sectoriais, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis, nomeadamente no \u00e2mbito do planeamento civil de emerg\u00eancia do sector das comunica\u00e7\u00f5es, da prote\u00e7\u00e3o civil e da seguran\u00e7a interna;<\/p>\n
b) As comunica\u00e7\u00f5es, por parte das empresas, \u00e0s demais empresas envolvidas nos incidentes de seguran\u00e7a em causa, na medida necess\u00e1ria ao cumprimento do disposto no artigo 4.\u00ba e no n.\u00ba 15 do artigo 22.\u00ba<\/p>\n
3 – Para efeitos do disposto na al\u00ednea a) do n\u00famero anterior, no \u00e2mbito das suas atribui\u00e7\u00f5es e compet\u00eancias, nomeadamente em mat\u00e9ria de planeamento civil de emerg\u00eancia do sector das comunica\u00e7\u00f5es e de prote\u00e7\u00e3o civil, a ANACOM pode, em colabora\u00e7\u00e3o com as autoridades competentes, formular recomenda\u00e7\u00f5es \u00e0s empresas quanto \u00e0 articula\u00e7\u00e3o entre os procedimentos de notifica\u00e7\u00e3o em causa.<\/p>\n
Artigo 21.\u00ba<\/p>\n
Circunst\u00e2ncias<\/p>\n
1 – Para efeitos do disposto no artigo anterior, devem ser objeto de notifica\u00e7\u00e3o todas as viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade que causem uma perturba\u00e7\u00e3o grave no funcionamento das redes e servi\u00e7os, com impacto significativo na continuidade desse funcionamento, de acordo com as circunst\u00e2ncias e as regras previstas nos n\u00fameros seguintes.<\/p>\n
2 – Para efeitos do disposto nos n\u00fameros anteriores, as empresas devem notificar a ANACOM:<\/p>\n
a) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade cujo impacto se inclua num dos seguintes patamares:<\/p>\n
(ver documento original)<\/p>\n
b) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade que afete a entrega aos PASP, direta ou indiretamente, das chamadas para o n\u00famero \u00fanico de emerg\u00eancia europeu 112, bem como das chamadas para o n\u00famero nacional de emerg\u00eancia 115, por um per\u00edodo igual ou superior a 15 minutos;<\/p>\n
c) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade recorrente, sempre que o impacto acumulado das suas ocorr\u00eancias num per\u00edodo de quatro semanas preencha uma das condi\u00e7\u00f5es previstas nas al\u00edneas anteriores;<\/p>\n
d) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade que se verifique numa data em que seja particularmente relevante o normal e cont\u00ednuo funcionamento das redes e servi\u00e7os, nos termos previstos no n.\u00ba 4 do presente artigo, desde que:<\/p>\n
i) Tenha uma dura\u00e7\u00e3o igual ou superior a uma hora;<\/p>\n
ii) Afete um n\u00famero de assinantes ou de acessos igual ou superior a 1.000 ou, nos termos da al\u00ednea e) do n.\u00ba 3 do presente artigo, uma \u00e1rea geogr\u00e1fica igual ou superior a 100 km2;<\/p>\n
e) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade que impacte no funcionamento de todas as redes e servi\u00e7os oferecidos por uma empresa na totalidade do territ\u00f3rio de uma ilha das Regi\u00f5es Aut\u00f3nomas dos A\u00e7ores ou da Madeira, desde que tenha uma dura\u00e7\u00e3o igual ou superior a 30 minutos, independentemente do n\u00famero de assinantes ou de acessos afetados e da \u00e1rea geogr\u00e1fica afetada;<\/p>\n
f) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, detetada pelas empresas ou a estas comunicada pelos seus clientes, que impacte no funcionamento das redes e servi\u00e7os que sejam essenciais para assegurar a continuidade da presta\u00e7\u00e3o dos servi\u00e7os relevantes e que como tal sejam identificados no \u00e2mbito do contrato celebrado com os seus clientes relevantes, desde que tenha uma dura\u00e7\u00e3o igual ou superior a 30 minutos;<\/p>\n
g) De qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade cujo impacto acumulado sobre um conjunto de empresas que se encontrem nas condi\u00e7\u00f5es previstas no n.\u00ba 2 do artigo 3.\u00ba da Lei n.\u00ba 19\/2012, de 8 de maio, na sua atual reda\u00e7\u00e3o, preencha uma das condi\u00e7\u00f5es previstas na al\u00ednea a) e, na parte que remete para esta al\u00ednea, na al\u00ednea c), ambas do presente n.\u00ba 2.<\/p>\n
3 – Para efeitos do disposto no n\u00famero anterior:<\/p>\n
a) O impacto de uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade deve ser aferido por refer\u00eancia a todas as redes e a todos os servi\u00e7os de uma empresa que sejam afetados pela mesma;<\/p>\n
b) O n\u00famero de assinantes ou de acessos afetados por uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade corresponde \u00e0 soma do n\u00famero de assinantes ou de acessos que s\u00e3o afetados pela mesma nas v\u00e1rias redes e servi\u00e7os;<\/p>\n
c) O n\u00famero de assinantes de um servi\u00e7o que seja suportado noutro servi\u00e7o s\u00f3 \u00e9 contabilizado quando o servi\u00e7o de suporte n\u00e3o seja afetado;<\/p>\n
d) O n\u00famero de assinantes ou de acessos afetados corresponde ao n\u00famero de assinantes ou de acessos que sejam abrangidos pela viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade ou, na impossibilidade da sua determina\u00e7\u00e3o, a uma estimativa baseada nos elementos estat\u00edsticos detidos pela empresa;<\/p>\n
e) O crit\u00e9rio relativo \u00e0 \u00e1rea geogr\u00e1fica afetada s\u00f3 deve ser aplicado caso o crit\u00e9rio relativo ao n\u00famero de assinantes ou de acessos afetados seja inaplic\u00e1vel ou, no caso concreto, fundamentadamente imposs\u00edvel de determinar ou estimar.<\/p>\n
4 – Para os efeitos previstos na al\u00ednea d) do n.\u00ba 2 e sem preju\u00edzo da identifica\u00e7\u00e3o pela ANACOM de outras datas, devidamente notificadas \u00e0s empresas com uma anteced\u00eancia m\u00ednima de cinco dias \u00fateis, considera-se como datas relevantes as seguintes:<\/p>\n
a) Dia de elei\u00e7\u00f5es nacionais (legislativas, presidenciais, europeias ou aut\u00e1rquicas);<\/p>\n
b) Dia de referendos nacionais;<\/p>\n
c) Dia de exerc\u00edcio nacional de redes ou servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas, ao abrigo do disposto na al\u00ednea c) do artigo 54.\u00ba-D da LCE e do n.\u00ba 3 do artigo 12.\u00ba do presente regulamento;<\/p>\n
d) Dia de elei\u00e7\u00f5es regionais, no que respeita a viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade ocorridas na regi\u00e3o em causa.<\/p>\n
Artigo 22.\u00ba<\/p>\n
Formato e Procedimentos<\/p>\n
1 – Por cada viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade que deva ser objeto de notifica\u00e7\u00e3o ao abrigo do disposto no artigo anterior, as empresas devem submeter \u00e0 ANACOM:<\/p>\n
a) Uma notifica\u00e7\u00e3o inicial, nos termos dos n.os 4 e 5 do presente artigo;<\/p>\n
b) Uma notifica\u00e7\u00e3o final, nos termos dos n.os 8 e 9 do presente artigo;<\/p>\n
c) Sempre que exigida, em conformidade com o disposto no n.\u00ba 6 do presente artigo, uma notifica\u00e7\u00e3o de fim de viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacto significativo, nos termos dos n.os 6 e 7 do presente artigo.<\/p>\n
2 – Na circunst\u00e2ncia prevista na al\u00ednea c) do n.\u00ba 2 do artigo anterior, as empresas apenas devem submeter \u00e0 ANACOM uma notifica\u00e7\u00e3o final nos termos previstos nos n.os 8 e 9 do presente artigo, com as devidas adapta\u00e7\u00f5es.<\/p>\n
3 – Na circunst\u00e2ncia prevista na al\u00ednea g) do n.\u00ba 2 do artigo anterior, pode ser dirigida \u00e0 ANACOM uma \u00fanica s\u00e9rie de notifica\u00e7\u00f5es, nos termos previstos no n.\u00ba 1 do presente artigo, desde que as mesmas:<\/p>\n
a) Abranjam todo o impacto da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade;<\/p>\n
b) Sejam apresentadas em representa\u00e7\u00e3o de todas as empresas.<\/p>\n
4 – A notifica\u00e7\u00e3o inicial deve ser enviada logo que seja poss\u00edvel e desde que a empresa possa concluir que existe ou existir\u00e1 impacto significativo, at\u00e9 uma hora ap\u00f3s a verifica\u00e7\u00e3o da circunst\u00e2ncia prevista no artigo anterior que, no caso concreto, determinou a obriga\u00e7\u00e3o de notifica\u00e7\u00e3o, devendo a empresa, sem preju\u00edzo do cumprimento deste prazo, dar prioridade \u00e0 mitiga\u00e7\u00e3o e \u00e0 resolu\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, come\u00e7ando, quando aplic\u00e1vel, pelo restabelecimento da oferta de redes e servi\u00e7os essenciais para assegurar a continuidade da presta\u00e7\u00e3o dos servi\u00e7os relevantes.<\/p>\n
5 – A notifica\u00e7\u00e3o prevista no n\u00famero anterior deve incluir a seguinte informa\u00e7\u00e3o:<\/p>\n
a) Nome, n\u00famero de telefone e endere\u00e7o de correio eletr\u00f3nico de um representante da empresa, para efeito de um eventual contacto por parte da ANACOM;<\/p>\n
b) Data e hora do in\u00edcio ou, em caso de impossibilidade de o determinar, da dete\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade;<\/p>\n
c) Data e hora em que a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade assumiu o impacto significativo;<\/p>\n
d) Data e hora em que a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade perdeu o impacto significativo ou, caso o mesmo se mantenha, o prazo estimado para a sua perda;<\/p>\n
e) Breve descri\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, incluindo a indica\u00e7\u00e3o da categoria da causa raiz e, na medida do poss\u00edvel, o seu detalhe;<\/p>\n
f) Estimativa poss\u00edvel do seu impacto, em termos de:<\/p>\n
i) Redes e servi\u00e7os afetados;<\/p>\n
ii) Acesso aos servi\u00e7os de emerg\u00eancia;<\/p>\n
iii) N\u00famero de assinantes ou de acessos afetados;<\/p>\n
iv) Clientes relevantes afetados, quando aplic\u00e1vel;<\/p>\n
v) \u00c1rea geogr\u00e1fica afetada, em km2;<\/p>\n
g) Observa\u00e7\u00f5es.<\/p>\n
6 – Ap\u00f3s a perda de impacto significativo da viola\u00e7\u00e3o de seguran\u00e7a ou da perda de integridade e sempre que a mesma n\u00e3o tenha j\u00e1 sido comunicada na notifica\u00e7\u00e3o inicial, as empresas devem submeter \u00e0 ANACOM, logo que poss\u00edvel, dentro do prazo m\u00e1ximo de duas horas ap\u00f3s aquela ter ocorrido, uma notifica\u00e7\u00e3o de fim de viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacto significativo.<\/p>\n
7 – A notifica\u00e7\u00e3o referida no n\u00famero anterior deve incluir a seguinte informa\u00e7\u00e3o:<\/p>\n
a) Atualiza\u00e7\u00e3o da informa\u00e7\u00e3o transmitida na notifica\u00e7\u00e3o inicial;<\/p>\n
b) Breve descri\u00e7\u00e3o das medidas adotadas para a resolu\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade;<\/p>\n
c) Indica\u00e7\u00e3o dos concelhos onde houve assinantes, acessos ou \u00e1rea geogr\u00e1fica afetados;<\/p>\n
d) Descri\u00e7\u00e3o da situa\u00e7\u00e3o do impacto existente no momento do fim de impacto significativo, nomeadamente:<\/p>\n
i) Redes e servi\u00e7os ainda afetados;<\/p>\n
ii) N\u00famero de assinantes ou de acessos ainda afetados;<\/p>\n
iii) Clientes relevantes ainda afetados, quando aplic\u00e1vel;<\/p>\n
iv) \u00c1rea geogr\u00e1fica ainda afetada, em km2;<\/p>\n
v) Concelhos onde ainda existam assinantes, acessos ou \u00e1rea geogr\u00e1fica afetados;<\/p>\n
vi) Tempos estimados para a recupera\u00e7\u00e3o total dos assinantes, acessos, clientes relevantes ou \u00e1rea geogr\u00e1fica ainda afetados.<\/p>\n
8 – A notifica\u00e7\u00e3o final deve ser assinada pelo respons\u00e1vel da seguran\u00e7a e enviada no prazo de 20 dias \u00fateis a contar do momento em que a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade deixou de assumir um impacto significativo.<\/p>\n
9 – A notifica\u00e7\u00e3o prevista no n\u00famero anterior deve incluir a seguinte informa\u00e7\u00e3o:<\/p>\n
a) Identificador \u00fanico da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade atribu\u00eddo pela ANACOM aquando da notifica\u00e7\u00e3o inicial;<\/p>\n
b) Data e hora em que a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade assumiu o impacto significativo;<\/p>\n
c) Data e hora em que a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade perdeu o impacto significativo;<\/p>\n
d) Data e hora do in\u00edcio ou, em caso de impossibilidade de o determinar, da dete\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade e data e hora do respetivo fim, caso sejam diferentes das datas e horas transmitidas, respetivamente, ao abrigo das al\u00edneas b) e c);<\/p>\n
e) Impacto da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade em termos de:<\/p>\n
i) Redes (incluindo as interliga\u00e7\u00f5es nacionais e internacionais) e respetivas infraestruturas (incluindo sistemas), com indica\u00e7\u00e3o, no caso de ativos classificados nas classes A ou B, do respetivo identificador \u00fanico, e servi\u00e7os afetados;<\/p>\n
ii) Acesso aos servi\u00e7os de emerg\u00eancia pelo n\u00famero \u00fanico de emerg\u00eancia europeu 112 (incluindo o acesso pelo n\u00famero nacional de emerg\u00eancia 115);<\/p>\n
iii) N\u00famero de assinantes ou de acessos afetados, por rede e servi\u00e7o;<\/p>\n
iv) Clientes relevantes afetados, quando aplic\u00e1vel;<\/p>\n
v) Percentagem do n\u00famero de assinantes ou de acessos afetados em rela\u00e7\u00e3o ao total de assinantes ou de acessos, por rede e servi\u00e7o;<\/p>\n
vi) \u00c1rea geogr\u00e1fica afetada, em km2;<\/p>\n
vii) Freguesias e respetivos concelhos onde houve assinantes, acessos ou \u00e1rea geogr\u00e1fica afetados;<\/p>\n
f) Descri\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, com indica\u00e7\u00e3o da categoria da causa raiz e o respetivo detalhe;<\/p>\n
g) Indica\u00e7\u00e3o das medidas adotadas para mitigar a viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade;<\/p>\n
h) Indica\u00e7\u00e3o das medidas adotadas para a resolu\u00e7\u00e3o da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, incluindo, no caso de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade com tempos de restaura\u00e7\u00e3o parciais, a cronologia e o detalhe das etapas de restaura\u00e7\u00e3o;<\/p>\n
i) Indica\u00e7\u00e3o das medidas adotadas e\/ou planeadas para impedir ou minimizar a ocorr\u00eancia de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade similares no futuro (no \u00e2mbito do planeamento e\/ou da explora\u00e7\u00e3o, do plano de conting\u00eancia, dos acordos de interliga\u00e7\u00e3o, dos acordos de n\u00edveis de servi\u00e7os e de outras \u00e1reas pertinentes) e da data em que as mesmas foram ou ser\u00e3o tornadas efetivas;<\/p>\n
j) Quando seja o caso, a informa\u00e7\u00e3o disponibilizada ao p\u00fablico relativamente \u00e0 viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, incluindo eventuais atualiza\u00e7\u00f5es da mesma, bem como a data e a hora dessas comunica\u00e7\u00f5es;<\/p>\n
k) Descri\u00e7\u00e3o da situa\u00e7\u00e3o residual do impacto existente \u00e0 data da notifica\u00e7\u00e3o final, nomeadamente:<\/p>\n
i) Redes e servi\u00e7os ainda afetados;<\/p>\n
ii) N\u00famero de assinantes ou de acessos ainda afetados;<\/p>\n
iii) Clientes relevantes ainda afetados, quando aplic\u00e1vel;<\/p>\n
iv) \u00c1rea geogr\u00e1fica ainda afetada, em km2;<\/p>\n
v) Freguesias e respetivos concelhos onde ainda existam assinantes, acessos ou \u00e1rea geogr\u00e1fica afetados;<\/p>\n
vi) Tempos estimados para a recupera\u00e7\u00e3o total dos assinantes, acessos, clientes relevantes ou \u00e1rea geogr\u00e1fica ainda afetados;<\/p>\n
l) Quando seja o caso, indica\u00e7\u00e3o da apresenta\u00e7\u00e3o de den\u00fancia ao Minist\u00e9rio P\u00fablico;<\/p>\n
m) Outra informa\u00e7\u00e3o relevante;<\/p>\n
n) Observa\u00e7\u00f5es.<\/p>\n
10 – Nos casos em que exista uma situa\u00e7\u00e3o residual do impacto existente \u00e0 data da notifica\u00e7\u00e3o final, descrita ao abrigo do disposto na al\u00ednea k) do n\u00famero anterior, as empresas devem comunicar \u00e0 ANACOM, logo que poss\u00edvel, a recupera\u00e7\u00e3o total dessa situa\u00e7\u00e3o residual.<\/p>\n
11 – Para os efeitos do disposto nos n.os 5, 7 e 9, as viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade podem ter as seguintes categorias de causas raiz:<\/p>\n
a) Acidente ou fen\u00f3meno natural;<\/p>\n
b) Erro humano;<\/p>\n
c) Ataque malicioso;<\/p>\n
d) Manuten\u00e7\u00e3o ou falha de hardware ou de software;<\/p>\n
e) Falha no fornecimento de bens ou servi\u00e7os por terceiro.<\/p>\n
12 – A informa\u00e7\u00e3o inclu\u00edda nas notifica\u00e7\u00f5es previstas no presente artigo relativamente ao n\u00famero de assinantes ou de acessos deve, sempre que poss\u00edvel, obedecer \u00e0s defini\u00e7\u00f5es fixadas no \u00e2mbito das obriga\u00e7\u00f5es de entrega de informa\u00e7\u00e3o peri\u00f3dica \u00e0 ANACOM.<\/p>\n
13 – As notifica\u00e7\u00f5es previstas no presente artigo devem ser realizadas atrav\u00e9s dos seguintes meios:<\/p>\n
a) Por meios eletr\u00f3nicos, nos termos a determinar pela ANACOM ao abrigo do disposto no n.\u00ba 1 do artigo 5.\u00ba;<\/p>\n
b) Adicionalmente e no que respeita \u00e0 notifica\u00e7\u00e3o inicial e \u00e0 notifica\u00e7\u00e3o de fim de viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade com impacto significativo, por telefone atrav\u00e9s do n\u00famero a indicar pela ANACOM.<\/p>\n
14 – Qualquer altera\u00e7\u00e3o aos contactos previstos no n\u00famero anterior deve ser comunicada \u00e0s empresas e publicada no s\u00edtio institucional da ANACOM na Internet, com uma anteced\u00eancia m\u00ednima de 20 dias \u00fateis.<\/p>\n
15 – As empresas cujas redes ou servi\u00e7os sejam afetados no seu funcionamento pela mesma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade, devem cooperar entre si para a correta dete\u00e7\u00e3o e avalia\u00e7\u00e3o de impacto dessa viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade e, no caso previsto na al\u00ednea g) do n.\u00ba 2 do artigo anterior, para a respetiva notifica\u00e7\u00e3o.<\/p>\n
16 – Tendo em vista o cabal cumprimento do disposto no presente Cap\u00edtulo, as empresas devem implementar todos os meios e os procedimentos necess\u00e1rios \u00e0 dete\u00e7\u00e3o, \u00e0 avalia\u00e7\u00e3o do impacto e \u00e0 notifica\u00e7\u00e3o das viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade que preencham as circunst\u00e2ncias previstas no artigo anterior.<\/p>\n
CAP\u00cdTULO II<\/p>\n
Obriga\u00e7\u00f5es de informa\u00e7\u00e3o ao p\u00fablico<\/p>\n
Artigo 23.\u00ba<\/p>\n
Condi\u00e7\u00f5es<\/p>\n
1 – Para efeitos do disposto na al\u00ednea b) do artigo 54.\u00ba-E da LCE, as empresas devem informar o p\u00fablico de qualquer viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade cujo impacto no funcionamento das suas redes e servi\u00e7os se inclua num dos seguintes patamares:<\/p>\n
(ver documento original)<\/p>\n
2 – Para efeitos do disposto no n\u00famero anterior:<\/p>\n
a) O impacto de uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade deve ser aferido por refer\u00eancia a todas as redes e a todos os servi\u00e7os de uma empresa que sejam afetados pela mesma;<\/p>\n
b) O n\u00famero de assinantes ou de acessos afetados por uma viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade corresponde \u00e0 soma do n\u00famero de assinantes ou de acessos que s\u00e3o afetados pela mesma nas v\u00e1rias redes e servi\u00e7os;<\/p>\n
c) O n\u00famero de assinantes de um servi\u00e7o que seja suportado noutro servi\u00e7o s\u00f3 \u00e9 contabilizado quando o servi\u00e7o de suporte n\u00e3o seja afetado;<\/p>\n
d) O n\u00famero de assinantes ou de acessos afetados corresponde ao n\u00famero de assinantes ou de acessos que sejam abrangidos pela viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade ou, na impossibilidade da sua determina\u00e7\u00e3o, a uma estimativa baseada nos elementos estat\u00edsticos detidos pela empresa;<\/p>\n
e) O crit\u00e9rio relativo \u00e0 \u00e1rea geogr\u00e1fica afetada s\u00f3 deve ser aplicado caso o crit\u00e9rio relativo ao n\u00famero de assinantes ou de acessos afetados seja inaplic\u00e1vel ou, no caso concreto, fundamentadamente imposs\u00edvel de determinar ou estimar.<\/p>\n
3 – O disposto no presente artigo n\u00e3o prejudica que, em circunst\u00e2ncias n\u00e3o previstas no n.\u00ba 1 e sempre que a ANACOM tamb\u00e9m o considere de interesse p\u00fablico e assim o determine, ao abrigo do disposto na al\u00ednea b) do artigo 54.\u00ba-E da LCE, as empresas devam informar o p\u00fablico de viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade ocorridas nas suas redes e servi\u00e7os.<\/p>\n
Artigo 24.\u00ba<\/p>\n
Conte\u00fado, meios e prazos de divulga\u00e7\u00e3o<\/p>\n
1 – Na informa\u00e7\u00e3o ao p\u00fablico das viola\u00e7\u00f5es de seguran\u00e7a ou das perdas de integridade a que se refere o artigo anterior, as empresas devem:<\/p>\n
a) Assegurar que o conte\u00fado da informa\u00e7\u00e3o seja claro, acess\u00edvel e t\u00e3o preciso quanto poss\u00edvel e que inclua, entre outros elementos considerados relevantes:<\/p>\n
i) A indica\u00e7\u00e3o das redes e servi\u00e7os afetados;<\/p>\n
ii) A indica\u00e7\u00e3o da zona ou das zonas que, em resultado das viola\u00e7\u00f5es de seguran\u00e7a ou das perdas de integridade ocorridas, se encontram afetadas, desagregada ao n\u00edvel do concelho, se poss\u00edvel de modo gr\u00e1fico sobre um mapa de Portugal;<\/p>\n
iii) O prazo expect\u00e1vel de resolu\u00e7\u00e3o ou, quando for o caso, a data de resolu\u00e7\u00e3o;<\/p>\n
b) Disponibilizar a informa\u00e7\u00e3o, no m\u00ednimo, nos respetivos s\u00edtios na Internet que utilizam no seu relacionamento com os utilizadores, atrav\u00e9s de uma hiperliga\u00e7\u00e3o imediatamente vis\u00edvel e identific\u00e1vel na primeira p\u00e1gina do s\u00edtio, sem necessidade do uso da barra elevat\u00f3ria;<\/p>\n
c) Disponibilizar a informa\u00e7\u00e3o logo que poss\u00edvel, no prazo m\u00e1ximo de quatro horas seguidas ap\u00f3s a notifica\u00e7\u00e3o inicial \u00e0 ANACOM;<\/p>\n
d) Assegurar que a informa\u00e7\u00e3o disponibilizada se mant\u00e9m permanentemente atualizada, nomeadamente sempre que se verifique alguma altera\u00e7\u00e3o significativa e logo ap\u00f3s o fim da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade;<\/p>\n
e) Manter a informa\u00e7\u00e3o disponibilizada atrav\u00e9s da Internet acess\u00edvel ao p\u00fablico, nas mesmas localiza\u00e7\u00f5es referidas na al\u00ednea b), durante o per\u00edodo de 20 dias \u00fateis a contar da data do fim da viola\u00e7\u00e3o de seguran\u00e7a ou perda de integridade.<\/p>\n
2 – As empresas devem comunicar \u00e0 ANACOM, logo que iniciem a sua atividade, os endere\u00e7os URL das p\u00e1ginas na Internet nas quais, para efeitos do disposto na al\u00ednea b) do n\u00famero anterior, proceder\u00e3o \u00e0 divulga\u00e7\u00e3o ao p\u00fablico das viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade ocorridas nas suas redes e servi\u00e7os, bem como qualquer altera\u00e7\u00e3o posterior dos mesmos com uma anteced\u00eancia m\u00ednima de cinco dias \u00fateis relativamente \u00e0 sua execu\u00e7\u00e3o.<\/p>\n
3 – A ANACOM, caso considere adequado e com vista a facilitar o acesso, por parte do p\u00fablico, \u00e0 informa\u00e7\u00e3o relativa a viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade, pode divulgar, nomeadamente no seu s\u00edtio institucional na Internet, uma lista dos endere\u00e7os URL previstos no n\u00famero anterior.<\/p>\n
4 – Tendo em vista o cabal cumprimento do disposto no presente Cap\u00edtulo II, as empresas devem implementar todos os meios e os procedimentos necess\u00e1rios \u00e0 dete\u00e7\u00e3o, \u00e0 avalia\u00e7\u00e3o do impacto e \u00e0 divulga\u00e7\u00e3o das viola\u00e7\u00f5es de seguran\u00e7a ou perdas de integridade que preencham as circunst\u00e2ncias previstas no artigo anterior.<\/p>\n
T\u00cdTULO IV<\/p>\n
Auditorias \u00e0 seguran\u00e7a das redes e servi\u00e7os<\/p>\n
CAP\u00cdTULO I<\/p>\n
Disposi\u00e7\u00f5es gerais<\/p>\n
Artigo 25.\u00ba<\/p>\n
Dever de realiza\u00e7\u00e3o de auditoria<\/p>\n
Para efeitos do disposto nos n.os 1 e 2 do artigo 54.\u00ba-F da LCE, as empresas cujas ofertas se suportem em, pelo menos, um ativo classific\u00e1vel na classe A devem assegurar a realiza\u00e7\u00e3o, atrav\u00e9s de auditoras independentes e a expensas suas, de auditorias \u00e0 seguran\u00e7a das suas redes e servi\u00e7os, nos termos previstos no presente T\u00edtulo IV.<\/p>\n
Artigo 26.\u00ba<\/p>\n
\u00c2mbito<\/p>\n
As empresas devem assegurar que as auditorias se enquadram num ciclo de melhoria cont\u00ednua e permitem verificar, em rela\u00e7\u00e3o a uma amostra adequada dos ativos classificados nas classes A ou B e tendo em considera\u00e7\u00e3o a situa\u00e7\u00e3o existente na empresa, o cumprimento das normas legais e regulamentares aplic\u00e1veis.<\/p>\n
Artigo 27.\u00ba<\/p>\n
Documentos e normas de refer\u00eancia<\/p>\n
As empresas devem assegurar que as auditorias s\u00e3o baseadas nas normas, especifica\u00e7\u00f5es ou recomenda\u00e7\u00f5es nacionais, europeias e internacionais existentes sobre a mat\u00e9ria, nomeadamente:<\/p>\n
a) ISO\/IEC 17021-1:2015 (Conformity assessment – Requirements for bodies providing audit and certification of management systems – Part 1: Requirements) e suas revis\u00f5es;<\/p>\n
b) ISO\/IEC TS 17021-5:2014 (Conformity assessment – Requirements for bodies providing audit and certification of management systems – Part 5: Competence requirements for auditing and certification of asset management systems) e suas revis\u00f5es;<\/p>\n
c) ISO\/IEC TS 17021-6:2014 (Conformity assessment – Requirements for bodies providing audit and certification of management systems – Part 6: Competence requirements for auditing and certification of business continuity management systems) e suas revis\u00f5es;<\/p>\n
d) ISO\/IEC 27006:2015 (Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems) e suas revis\u00f5es;<\/p>\n
e) ISO\/IEC 27007:2017 (Information technology – Security techniques – Guidelines for information security management systems auditing) e suas revis\u00f5es;<\/p>\n
f) ISO 19011:2018 (Guidelines for auditing management systems) e suas revis\u00f5es;<\/p>\n
g) Outra norma, especifica\u00e7\u00e3o ou recomenda\u00e7\u00e3o nacional, europeia ou internacional adequada.<\/p>\n
Artigo 28.\u00ba<\/p>\n
Auditoras<\/p>\n
1 – As empresas devem assegurar que as auditoras e todos os colaboradores destas envolvidos na realiza\u00e7\u00e3o das auditorias cumprem os seguintes requisitos:<\/p>\n
a) Compet\u00eancia t\u00e9cnica, nomeadamente de acordo com as normas, especifica\u00e7\u00f5es e recomenda\u00e7\u00f5es aplic\u00e1veis ao abrigo do disposto no artigo anterior;<\/p>\n
b) Experi\u00eancia relevante no sector das comunica\u00e7\u00f5es eletr\u00f3nicas, nomeadamente em mat\u00e9ria de planeamento, de opera\u00e7\u00e3o ou de seguran\u00e7a das redes e servi\u00e7os;<\/p>\n
c) Credencia\u00e7\u00e3o adequada emitida pelas autoridades competentes para acesso a mat\u00e9ria classificada, sempre que necess\u00e1rio e nos termos legalmente previstos.<\/p>\n
2 – As empresas devem assegurar que as auditoras n\u00e3o sejam seus fornecedores para outros servi\u00e7os, com exce\u00e7\u00e3o da realiza\u00e7\u00e3o de auditorias externas e independentes, e que entregam declara\u00e7\u00f5es de inexist\u00eancia de conflitos de interesses em seu nome e em nome de todos os colaboradores envolvidos, em conformidade com a legisla\u00e7\u00e3o aplic\u00e1vel.<\/p>\n
3 – As empresas devem, salvo exce\u00e7\u00f5es devidamente fundamentadas, assegurar a rotatividade na escolha das auditoras, de modo a que a mesma auditora n\u00e3o realize mais do que duas auditorias consecutivas.<\/p>\n
Artigo 29.\u00ba<\/p>\n
Dever de colabora\u00e7\u00e3o<\/p>\n
1 – As empresas devem prestar \u00e0s auditoras toda a colabora\u00e7\u00e3o e assist\u00eancia necess\u00e1rias para a realiza\u00e7\u00e3o das auditorias nos termos previstos no presente T\u00edtulo IV, nomeadamente:<\/p>\n
a) Colabora\u00e7\u00e3o na prepara\u00e7\u00e3o e na realiza\u00e7\u00e3o das auditorias;<\/p>\n
b) Colabora\u00e7\u00e3o na elabora\u00e7\u00e3o dos relat\u00f3rios de auditoria;<\/p>\n
c) Disponibiliza\u00e7\u00e3o de acesso a todos os meios de prova solicitados, incluindo o plano de seguran\u00e7a, os relat\u00f3rios anuais de seguran\u00e7a e, quando aplic\u00e1vel, o relat\u00f3rio de auditoria e o plano de corre\u00e7\u00e3o das n\u00e3o conformidades da \u00faltima auditoria realizada;<\/p>\n
d) Disponibiliza\u00e7\u00e3o de acesso aos meios necess\u00e1rios, nomeadamente para realiza\u00e7\u00e3o de testes;<\/p>\n
e) Disponibiliza\u00e7\u00e3o de acesso aos locais;<\/p>\n
f) Disponibiliza\u00e7\u00e3o de acesso aos fornecedores relevantes ao n\u00edvel da seguran\u00e7a das redes e servi\u00e7os;<\/p>\n
g) Disponibiliza\u00e7\u00e3o de acesso aos colaboradores-chave.<\/p>\n
2 – As empresas devem assegurar o acesso direto, por parte da ANACOM, \u00e0s auditoras e aos fornecedores e colaboradores previstos, respetivamente, nas al\u00edneas f) e g) do n\u00famero anterior, bem como a sua disponibilidade para a realiza\u00e7\u00e3o de reuni\u00f5es com a ANACOM e para a presta\u00e7\u00e3o dos esclarecimentos que esta Autoridade lhes solicite.<\/p>\n
3 – As empresas devem salvaguardar o acesso direto \u00e0s auditoras e aos fornecedores previstos na al\u00ednea f) do n.\u00ba 1, por parte da ANACOM, nos contratos celebrados com os mesmos.<\/p>\n
CAP\u00cdTULO II<\/p>\n
Procedimentos de auditoria<\/p>\n
Artigo 30.\u00ba<\/p>\n
Fases<\/p>\n
As empresas devem assegurar que as auditorias se realizam de forma faseada e sequenciada, incluindo a fase de pr\u00e9-auditoria, a fase de auditoria e a fase de p\u00f3s-auditoria, nos termos previstos no presente Cap\u00edtulo II.<\/p>\n
Artigo 31.\u00ba<\/p>\n
Fase de pr\u00e9-auditoria<\/p>\n
1 – As empresas devem elaborar, em conjunto com a auditora, e apresentar \u00e0 ANACOM uma proposta de auditoria que contenha os seguintes elementos:<\/p>\n
a) Identifica\u00e7\u00e3o da auditora e de todos os seus colaboradores envolvidos em cada fase da auditoria;<\/p>\n
b) Comprovativos ou declara\u00e7\u00f5es que permitam atestar o cumprimento dos requisitos previstos no artigo 28.\u00ba;<\/p>\n
c) Programa da auditoria, devidamente fundamentado, incluindo os seguintes elementos:<\/p>\n
i) Data prevista para o in\u00edcio da fase de auditoria;<\/p>\n
ii) Dura\u00e7\u00e3o estimada da fase de auditoria;<\/p>\n
iii) Indica\u00e7\u00e3o dos ativos abrangidos pela amostra, com refer\u00eancia aos respetivos identificadores \u00fanicos;<\/p>\n
iv) Atividades previstas.<\/p>\n
2 – As empresas devem apresentar \u00e0 ANACOM a proposta de auditoria, assinada pelo respons\u00e1vel da seguran\u00e7a:<\/p>\n
a) No caso da primeira auditoria, no prazo de seis meses a contar da data a partir da qual a empresa suporte as suas ofertas num ativo classific\u00e1vel na classe A;<\/p>\n
b) No caso das auditorias seguintes, no prazo de dois anos a contar da data de apresenta\u00e7\u00e3o da proposta de auditoria em que se baseou a auditoria anterior ou, se posterior, no prazo de seis meses a contar da data em que a empresa volte a suportar as suas ofertas num ativo classific\u00e1vel na classe A.<\/p>\n
3 – Compete \u00e0 ANACOM proceder \u00e0 aceita\u00e7\u00e3o da proposta de auditoria, podendo, para o efeito, solicitar \u00e0 empresa e \u00e0 auditora a presta\u00e7\u00e3o dos esclarecimentos necess\u00e1rios e determinar \u00e0 empresa o suprimento de defici\u00eancias existentes.<\/p>\n
Artigo 32.\u00ba<\/p>\n
Fase de auditoria<\/p>\n
1 – As empresas devem iniciar a fase de auditoria no prazo m\u00e1ximo de 60 dias \u00fateis a contar da data de aceita\u00e7\u00e3o, pela ANACOM, da proposta de auditoria.<\/p>\n
2 – As empresas devem comunicar, com uma anteced\u00eancia m\u00ednima de 20 dias \u00fateis, as datas e locais em que as atividades da fase de auditoria se ir\u00e3o realizar, de modo a que a ANACOM possa, caso queira e com uma anteced\u00eancia m\u00ednima de cinco dias \u00fateis em rela\u00e7\u00e3o \u00e0 data de in\u00edcio das atividades, designar um seu colaborador, devidamente credenciado nos termos previstos na al\u00ednea c) do n.\u00ba 1 do artigo 28.\u00ba, para assistir \u00e0s mesmas.<\/p>\n
3 – As empresas devem assegurar que a auditora elabora um relat\u00f3rio de auditoria que, em conformidade com a proposta de auditoria aceite pela ANACOM, inclua os seguintes elementos:<\/p>\n
a) Lista de n\u00e3o conformidades da situa\u00e7\u00e3o existente na empresa;<\/p>\n
b) Descri\u00e7\u00e3o e dura\u00e7\u00e3o das atividades desenvolvidas.<\/p>\n
4 – As empresas devem:<\/p>\n
a) Assegurar, nos contratos celebrados com as auditoras, que o relat\u00f3rio da auditoria \u00e9 enviado pela auditora, em simult\u00e2neo, \u00e0 empresa e \u00e0 ANACOM, no prazo de 20 dias \u00fateis a contar da conclus\u00e3o das atividades da fase de auditoria;<\/p>\n
b) Enviar \u00e0 ANACOM c\u00f3pia do relat\u00f3rio da auditoria, assinado, dele tomando conhecimento, pelo respons\u00e1vel da seguran\u00e7a, no prazo de 5 dias \u00fateis a contar da sua rece\u00e7\u00e3o.<\/p>\n
5 – Compete \u00e0 ANACOM a aceita\u00e7\u00e3o do relat\u00f3rio de auditoria, podendo, para o efeito, solicitar \u00e0 empresa e \u00e0 auditora a presta\u00e7\u00e3o dos esclarecimentos necess\u00e1rios e determinar \u00e0 empresa o suprimento de defici\u00eancias existentes.<\/p>\n
Artigo 33.\u00ba<\/p>\n
Fase de p\u00f3s-auditoria<\/p>\n
1 – As empresas devem elaborar e enviar \u00e0 ANACOM um plano de corre\u00e7\u00e3o das n\u00e3o conformidades constantes do relat\u00f3rio de auditoria, assinado pelo respons\u00e1vel da seguran\u00e7a, no prazo de 40 dias \u00fateis a contar da data de aceita\u00e7\u00e3o, pela ANACOM, do relat\u00f3rio de auditoria.<\/p>\n
2 – O plano de corre\u00e7\u00e3o das n\u00e3o conformidades deve conter:<\/p>\n
a) Identifica\u00e7\u00e3o de todas as n\u00e3o conformidades e observa\u00e7\u00f5es constantes do relat\u00f3rio de auditoria, incluindo eventuais conclus\u00f5es e recomenda\u00e7\u00f5es;<\/p>\n
b) Em rela\u00e7\u00e3o a cada n\u00e3o conformidade:<\/p>\n
i) Uma an\u00e1lise das suas causas;<\/p>\n
ii) A indica\u00e7\u00e3o das medidas de corre\u00e7\u00e3o e dos respetivos prazos de execu\u00e7\u00e3o.<\/p>\n
3 – As empresas devem assegurar que cada uma das medidas constantes do plano de corre\u00e7\u00e3o das n\u00e3o conformidades, referidas na subal\u00ednea ii) da al\u00ednea b) do n\u00famero anterior, \u00e9 executada logo que poss\u00edvel ou dentro do prazo m\u00e1ximo que a ANACOM, caso assim o entenda, venha a determinar.<\/p>\n
T\u00cdTULO V<\/p>\n
Disposi\u00e7\u00f5es finais e transit\u00f3rias<\/p>\n
Artigo 34.\u00ba<\/p>\n
Regime sancionat\u00f3rio<\/p>\n
As infra\u00e7\u00f5es ao disposto no presente regulamento s\u00e3o pun\u00edveis nos termos previstos nas al\u00edneas ee), ff) ou gg) do n.\u00ba 2 ou nas al\u00edneas u), v), x) ou z) do n.\u00ba 3 do artigo 113.\u00ba da LCE.<\/p>\n
Artigo 35.\u00ba<\/p>\n
Entrada em vigor e disposi\u00e7\u00f5es transit\u00f3rias<\/p>\n
1 – O presente regulamento entra em vigor no dia seguinte \u00e0 data da respetiva publica\u00e7\u00e3o no Di\u00e1rio da Rep\u00fablica, sem preju\u00edzo do disposto nos n\u00fameros seguintes.<\/p>\n
2 – Sem preju\u00edzo do cumprimento do disposto nos artigos 54.\u00ba-A a 54.\u00ba-G da LCE, as empresas em atividade \u00e0 data de entrada em vigor do presente regulamento devem:<\/p>\n
a) No prazo de 40 dias \u00fateis a contar da data de entrada em vigor do presente regulamento:<\/p>\n
i) Aprovar a pol\u00edtica de seguran\u00e7a, comunicando-a \u00e0 ANACOM, dentro do mesmo prazo, nos termos previstos na al\u00ednea a) do n.\u00ba 1 do artigo 18.\u00ba, e dar in\u00edcio \u00e0 elabora\u00e7\u00e3o do plano de seguran\u00e7a, nos termos previstos no artigo 17.\u00ba;<\/p>\n
ii) Estabelecer a fun\u00e7\u00e3o de respons\u00e1vel da seguran\u00e7a, nos termos previstos no artigo 14.\u00ba, comunicando \u00e0 ANACOM, dentro do mesmo prazo, os elementos previstos na al\u00ednea b) do n.\u00ba 1 e no n.\u00ba 2 do artigo 18.\u00ba;<\/p>\n
b) No prazo de 60 dias \u00fateis a contar da data de entrada em vigor do presente regulamento, classificar os ativos previstos nas al\u00edneas a), b) e d) do n.\u00ba 4 do artigo 8.\u00ba;<\/p>\n
c) No prazo de 80 dias \u00fateis a contar da data de entrada em vigor do presente regulamento, estabelecer a fun\u00e7\u00e3o de ponto de contacto permanente, nos termos previstos no artigo 15.\u00ba, comunicando \u00e0 ANACOM, dentro do mesmo prazo, os elementos previstos na al\u00ednea c) do n.\u00ba 1 e no n.\u00ba 3 do artigo 18.\u00ba;<\/p>\n
d) No prazo de um ano a contar da data de entrada em vigor do presente regulamento:<\/p>\n
i) Caso aplic\u00e1vel, adotar os procedimentos de controlo da gest\u00e3o excecional de tr\u00e1fego de acesso \u00e0 Internet, nos termos previstos no artigo 11.\u00ba;<\/p>\n
ii) Concluir a classifica\u00e7\u00e3o dos ativos e o invent\u00e1rio de ativos, nos termos previstos, respetivamente, nos artigos 8.\u00ba e 9.\u00ba, e enviar a vers\u00e3o inicial da lista prevista no n.\u00ba 4 do artigo 9.\u00ba;<\/p>\n
iii) Adotar todas as medidas de seguran\u00e7a inclu\u00eddas no n\u00edvel de sofistica\u00e7\u00e3o 1 e aplic\u00e1veis nos termos previstos no T\u00edtulo II e no Anexo ao presente regulamento, sem preju\u00edzo do disposto nos n.os 3 e 5 do presente artigo;<\/p>\n
e) No prazo de dezoito meses a contar da data de entrada em vigor do presente regulamento e caso aplic\u00e1vel, concluir a constitui\u00e7\u00e3o da equipa de resposta a incidentes de seguran\u00e7a, nos termos previstos no artigo 16.\u00ba;<\/p>\n
f) No prazo de dois anos a contar da data de entrada em vigor do presente regulamento:<\/p>\n
i) Adotar todas as restantes medidas de seguran\u00e7a aplic\u00e1veis nos termos previstos no T\u00edtulo II e no Anexo ao presente regulamento, sem preju\u00edzo do disposto nos n.os 3 e 5 do presente artigo;<\/p>\n
ii) Concluir a elabora\u00e7\u00e3o do plano de seguran\u00e7a, nos termos previstos no artigo 17.\u00ba<\/p>\n
3 – Sem preju\u00edzo do cumprimento do disposto nos artigos 54.\u00ba-A a 54.\u00ba-G da LCE, as empresas em atividade \u00e0 data de entrada em vigor do presente regulamento devem ainda:<\/p>\n
a) Elaborar o primeiro relat\u00f3rio anual de seguran\u00e7a, nos termos previstos no artigo 19.\u00ba, a reportar ao 1.\u00ba ano civil seguinte ao ano civil da data de entrada em vigor do presente regulamento;<\/p>\n
b) Elaborar e executar o primeiro programa de exerc\u00edcios, nos termos previstos no artigo 12.\u00ba, no 2.\u00ba ano civil seguinte ao ano civil da data de entrada em vigor do presente regulamento;<\/p>\n
c) Caso se encontrem abrangidas pelo dever de realiza\u00e7\u00e3o de auditoria, ao abrigo do disposto no artigo 25.\u00ba, apresentar \u00e0 ANACOM a primeira proposta de auditoria, nos termos previstos no artigo 31.\u00ba, no prazo de dois anos a contar da data de entrada em vigor do presente regulamento.<\/p>\n
4 – Sem preju\u00edzo do cumprimento do disposto nos artigos 54.\u00ba-A a 54.\u00ba-G da LCE, as empresas que iniciem a sua atividade ap\u00f3s a data de entrada em vigor do presente regulamento devem cumprir o disposto nos n.os 2 e 3 do presente artigo, nos prazos a\u00ed fixados, ou, se posteriores, nos prazos fixados nos correspondentes artigos.<\/p>\n
5 – O disposto no artigo 13.\u00ba e no T\u00edtulo III entra em vigor no prazo de um ano a contar da data de entrada em vigor do presente regulamento.<\/p>\n
6 – At\u00e9 \u00e0 determina\u00e7\u00e3o pela ANACOM do meio eletr\u00f3nico espec\u00edfico para cada comunica\u00e7\u00e3o e para cada envio de informa\u00e7\u00e3o, para efeitos do disposto no n.\u00ba 1 do artigo 5.\u00ba, os mesmos s\u00e3o realizados atrav\u00e9s de entrega nos servi\u00e7os ou de remessa pelo correio.<\/p>\n
7 – No caso dos prestadores de servi\u00e7os energ\u00e9ticos e tendo em considera\u00e7\u00e3o a interdepend\u00eancia sectorial, a entrada em vigor das disposi\u00e7\u00f5es relativas ao restabelecimento priorit\u00e1rio da oferta de redes e servi\u00e7os, nos termos previstos no n.\u00ba 4 do artigo 22.\u00ba e na al\u00ednea b) do Objetivo de Seguran\u00e7a n.\u00ba 19 do Anexo, depende da entrada em vigor de condi\u00e7\u00f5es de coopera\u00e7\u00e3o e de tratamento priorit\u00e1rio \u00e0s empresas, no \u00e2mbito das disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis no sector energ\u00e9tico.<\/p>\n
Artigo 36.\u00ba<\/p>\n
Comiss\u00e3o de acompanhamento<\/p>\n
1 – Para acompanhamento da aplica\u00e7\u00e3o do presente regulamento, \u00e9 criada uma comiss\u00e3o com a seguinte miss\u00e3o:<\/p>\n
a) Promo\u00e7\u00e3o da harmoniza\u00e7\u00e3o de medidas;<\/p>\n
b) Promo\u00e7\u00e3o da coopera\u00e7\u00e3o;<\/p>\n
c) Avalia\u00e7\u00e3o de riscos emergentes;<\/p>\n
d) Partilha de informa\u00e7\u00e3o e de conhecimento;<\/p>\n
e) An\u00e1lise de desafios para a seguran\u00e7a das redes e servi\u00e7os.<\/p>\n
2 – A comiss\u00e3o de acompanhamento \u00e9 composta por:<\/p>\n
a) Um representante da ANACOM;<\/p>\n
b) Os respons\u00e1veis da seguran\u00e7a das empresas cujas ofertas se suportem em, pelo menos, um ativo classificado na classe A ou um seu representante;<\/p>\n
c) Quando designados, dois representantes das empresas que n\u00e3o suportem as suas ofertas em ativos classificados na classe A.<\/p>\n
3 – A designa\u00e7\u00e3o dos representantes previstos na al\u00ednea c) do n\u00famero anterior \u00e9 feita em reuni\u00e3o dos interessados convocada pela ANACOM, para um mandato renov\u00e1vel de tr\u00eas anos.<\/p>\n
4 – A comiss\u00e3o de acompanhamento \u00e9 coordenada pelo representante da ANACOM e re\u00fane, ordinariamente, pelo menos duas vezes por ano e, extraordinariamente, por iniciativa da ANACOM.<\/p>\n
5 – Podem assistir \u00e0s reuni\u00f5es da comiss\u00e3o de acompanhamento outras entidades convidadas pela ANACOM quando a discuss\u00e3o e a an\u00e1lise de mat\u00e9rias espec\u00edficas assim o justifique.<\/p>\n
6 – O apoio t\u00e9cnico e log\u00edstico ao funcionamento da comiss\u00e3o de acompanhamento ser\u00e1 prestado pela ANACOM.<\/p>\n
Artigo 37.\u00ba<\/p>\n
Norma revogat\u00f3ria<\/p>\n
A decis\u00e3o da ANACOM de 12 de dezembro de 2013 \u00e9 revogada a partir do termo do prazo de um ano a contar da data de entrada em vigor do presente regulamento.<\/p>\n
ANEXO<\/p>\n
Objetivos e medidas de seguran\u00e7a<\/p>\n
(a que se refere o n.\u00ba 1 do artigo 7.\u00ba)<\/p>\n
1 – Pol\u00edtica de seguran\u00e7a<\/p>\n
Estabelecer e manter uma pol\u00edtica de seguran\u00e7a das redes e servi\u00e7os adequada.<\/p>\n
(ver documento original)<\/p>\n
2 – Governa\u00e7\u00e3o e gest\u00e3o dos riscos<\/p>\n
Estabelecer e manter um quadro adequado de governa\u00e7\u00e3o e gest\u00e3o dos riscos com vista a identificar, prevenir, gerir e reduzir os riscos para a seguran\u00e7a das redes e servi\u00e7os.<\/p>\n
(ver documento original)<\/p>\n
3 – Fun\u00e7\u00f5es e responsabilidades no dom\u00ednio da seguran\u00e7a<\/p>\n
Estabelecer e manter uma estrutura adequada de fun\u00e7\u00f5es e responsabilidades no dom\u00ednio da seguran\u00e7a das redes e servi\u00e7os.<\/p>\n
(ver documento original)<\/p>\n
4 – Seguran\u00e7a nos contratos com terceiros<\/p>\n
Estabelecer e manter uma pol\u00edtica de seguran\u00e7a para os contratos com terceiros, com vista a garantir que as depend\u00eancias de terceiros n\u00e3o afetem negativamente a seguran\u00e7a das redes e servi\u00e7os.<\/p>\n
(ver documento original)<\/p>\n
5 – Verifica\u00e7\u00e3o de credenciais e de refer\u00eancias<\/p>\n
Assegurar uma adequada verifica\u00e7\u00e3o de credenciais e de refer\u00eancias dos colaboradores envolvidos, na medida necess\u00e1ria para as suas fun\u00e7\u00f5es e responsabilidades.<\/p>\n
(ver documento original)<\/p>\n
6 – Conhecimento, forma\u00e7\u00e3o e treino em mat\u00e9ria de seguran\u00e7a<\/p>\n
Assegurar que os colaboradores disp\u00f5em de conhecimentos suficientes e recebem forma\u00e7\u00e3o e treino regulares em mat\u00e9ria de seguran\u00e7a das redes e servi\u00e7os.<\/p>\n
(ver documento original)<\/p>\n
7 – Mudan\u00e7a de colaboradores<\/p>\n
Estabelecer e manter um procedimento adequado de gest\u00e3o das mudan\u00e7as de colaboradores ou das mudan\u00e7as de fun\u00e7\u00f5es e responsabilidades.<\/p>\n
(ver documento original)<\/p>\n
8 – Tratamento de viola\u00e7\u00f5es<\/p>\n
Estabelecer e manter um procedimento disciplinar para os colaboradores em caso de viola\u00e7\u00e3o de pol\u00edticas de seguran\u00e7a das redes e servi\u00e7os ou estabelecer um procedimento mais abrangente que inclua incidentes de seguran\u00e7a causados por viola\u00e7\u00f5es de pol\u00edticas de seguran\u00e7a das redes e servi\u00e7os por parte dos colaboradores.<\/p>\n
(ver documento original)<\/p>\n
9 – Seguran\u00e7a f\u00edsica e ambiental<\/p>\n
Estabelecer e manter a seguran\u00e7a f\u00edsica e ambiental adequada dos ativos.<\/p>\n
(ver documento original)<\/p>\n
10 – Seguran\u00e7a dos fornecimentos<\/p>\n
Estabelecer e manter uma seguran\u00e7a adequada dos fornecimentos (incluindo, entre outros, infraestruturas de alojamento, circuitos alugados, energia el\u00e9trica e combust\u00edvel).<\/p>\n
(ver documento original)<\/p>\n
11 – Controlo de acesso aos ativos<\/p>\n
Estabelecer e manter controlos de acesso f\u00edsico e l\u00f3gico adequados aos ativos.<\/p>\n
(ver documento original)<\/p>\n
12 – Integridade dos ativos<\/p>\n
Estabelecer e manter a integridade dos ativos e proteg\u00ea-los contra v\u00edrus, c\u00f3digos maliciosos e outro software malicioso que alterem ou possam alterar a sua seguran\u00e7a e funcionalidade.<\/p>\n
(ver documento original)<\/p>\n
13 – Procedimentos operacionais<\/p>\n
Estabelecer e manter procedimentos para a opera\u00e7\u00e3o dos ativos classificados nas classes A ou B pelos colaboradores.<\/p>\n
(ver documento original)<\/p>\n
14 – Gest\u00e3o de altera\u00e7\u00f5es<\/p>\n
Estabelecer procedimentos de gest\u00e3o de altera\u00e7\u00f5es aos ativos classificados nas classes A ou B com vista a minimizar a probabilidade de incidentes de seguran\u00e7a.<\/p>\n
(ver documento original)<\/p>\n
15 – Gest\u00e3o dos ativos<\/p>\n
Estabelecer e manter procedimentos de gest\u00e3o dos ativos e de controlo de configura\u00e7\u00f5es de modo a gerir a disponibilidade e a configura\u00e7\u00e3o dos ativos classificados nas classes A ou B.<\/p>\n
(ver documento original)<\/p>\n
16 – Procedimentos de gest\u00e3o de incidentes de seguran\u00e7a<\/p>\n
Estabelecer e manter procedimentos de gest\u00e3o de incidentes de seguran\u00e7a e de reencaminhamento para os colaboradores adequados.<\/p>\n
(ver documento original)<\/p>\n
17 – Capacidade de dete\u00e7\u00e3o de incidentes de seguran\u00e7a<\/p>\n
Estabelecer e manter uma capacidade de dete\u00e7\u00e3o de incidentes de seguran\u00e7a, com vista a assegurar uma resposta c\u00e9lere, eficaz e ordenada aos incidentes de seguran\u00e7a.<\/p>\n
(ver documento original)<\/p>\n
18 – Notifica\u00e7\u00e3o e comunica\u00e7\u00e3o de incidentes de seguran\u00e7a<\/p>\n
Estabelecer e manter procedimentos adequados de notifica\u00e7\u00e3o e comunica\u00e7\u00e3o de incidentes de seguran\u00e7a, tendo em considera\u00e7\u00e3o o disposto na lei.<\/p>\n
(ver documento original)<\/p>\n
19 – Estrat\u00e9gia de continuidade e planos de conting\u00eancia<\/p>\n
Estabelecer e manter planos de conting\u00eancia e uma estrat\u00e9gia de continuidade do funcionamento das redes e servi\u00e7os.<\/p>\n
(ver documento original)<\/p>\n
20 – Capacidades de recupera\u00e7\u00e3o de desastres<\/p>\n
Estabelecer e manter capacidades adequadas de recupera\u00e7\u00e3o de desastres para o restauro das redes e servi\u00e7os no caso de desastres naturais ou de grandes propor\u00e7\u00f5es e outros fen\u00f3menos extremos, tendo em considera\u00e7\u00e3o, nomeadamente, a evolu\u00e7\u00e3o das condi\u00e7\u00f5es clim\u00e1ticas e as situa\u00e7\u00f5es extraordin\u00e1rias previstas na al\u00ednea b) do n.\u00ba 1 do artigo 3.\u00ba<\/p>\n
(ver documento original)<\/p>\n
21 – Pol\u00edticas de monitoriza\u00e7\u00e3o e registo de eventos<\/p>\n
Estabelecer e manter sistemas e fun\u00e7\u00f5es de monitoriza\u00e7\u00e3o e de registo de eventos relativos aos ativos classificados nas classes A ou B.<\/p>\n
(ver documento original)<\/p>\n
22 – Exerc\u00edcios de planos de conting\u00eancia<\/p>\n
Estabelecer e manter pol\u00edticas de teste e de exerc\u00edcio de planos de conting\u00eancia e de redund\u00e2ncia, sempre que necess\u00e1rio em colabora\u00e7\u00e3o com terceiros.<\/p>\n
(ver documento original)<\/p>\n
23 – Teste dos ativos<\/p>\n
Estabelecer e manter pol\u00edticas para testar os ativos, nomeadamente em caso de liga\u00e7\u00e3o a novos ativos.<\/p>\n
(ver documento original)<\/p>\n
24 – Avalia\u00e7\u00f5es de seguran\u00e7a<\/p>\n
Estabelecer e manter uma pol\u00edtica adequada para a realiza\u00e7\u00e3o de avalia\u00e7\u00f5es de seguran\u00e7a das redes servi\u00e7os.<\/p>\n
(ver documento original)<\/p>\n
25 – Monitoriza\u00e7\u00e3o da conformidade<\/p>\n
Estabelecer e manter uma pol\u00edtica relativa \u00e0 monitoriza\u00e7\u00e3o da conformidade com os requisitos legais e regulamentares.<\/p>\n
(ver documento original)<\/p>\n
14 de mar\u00e7o de 2019. – O Presidente do Conselho de Administra\u00e7\u00e3o, Jo\u00e3o Ant\u00f3nio Cadete de Matos.<\/p>\n
312145734<\/p>\n","protected":false},"excerpt":{"rendered":"
Regulamento n.\u00ba 303\/2019, de 01 de abril – Regulamento da Seguran\u00e7a e Integridade das Redes e Servi\u00e7os de Comunica\u00e7\u00f5es Electr\u00f3nicas. Regulamento relativo \u00e0 seguran\u00e7a e \u00e0 integridade das redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas. https:\/\/dre.pt\/web\/guest\/pesquisa\/-\/search\/121784730\/details\/normal?q=%22operadores+de+servi%C3%A7os+essenciais%22 A mat\u00e9ria da seguran\u00e7a e integridade das redes e servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas foi introduzida na Lei das Comunica\u00e7\u00f5es Eletr\u00f3nicas […]<\/p>\n","protected":false},"author":1,"featured_media":554,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[7],"tags":[],"_links":{"self":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/553"}],"collection":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/comments?post=553"}],"version-history":[{"count":1,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/553\/revisions"}],"predecessor-version":[{"id":555,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/553\/revisions\/555"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media\/554"}],"wp:attachment":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media?parent=553"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/categories?post=553"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/tags?post=553"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}