{"id":805,"date":"2022-02-03T15:40:00","date_gmt":"2022-02-03T15:40:00","guid":{"rendered":"http:\/\/www.regulacaodociberespaco.com\/?p=805"},"modified":"2022-02-23T11:28:11","modified_gmt":"2022-02-23T11:28:11","slug":"regime-juridico-seguranca-ciberespaco-3","status":"publish","type":"post","link":"https:\/\/regulacaodociberespaco.com\/inicio\/legislacao\/regime-juridico-seguranca-ciberespaco-3\/","title":{"rendered":"Regulamenta o Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o e define as Obriga\u00e7\u00f5es em Mat\u00e9ria de Ciberseguran\u00e7a"},"content":{"rendered":"

 <\/p>\n

\n\n\n\n
\n
[\u00a0N\u00ba de artigos:23\u00a0]<\/b><\/div>\n\n\n\n
\u00a0\u00a0DL n.\u00ba 65\/2021, de 30 de Julho\u00a0 (vers\u00e3o actualizada)<\/p>\n
\u00a0REGULAMENTA O REGIME JUR\u00cdDICO DA SEGURAN\u00c7A DO CIBERESPA\u00c7O<\/div>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n
\n\n\n\n\n\n\n
SUM\u00c1RIO<\/p>\n
Regulamenta o Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o e define as obriga\u00e7\u00f5es em mat\u00e9ria de certifica\u00e7\u00e3o da ciberseguran\u00e7a em execu\u00e7\u00e3o do Regulamento (UE) 2019\/881 do Parlamento Europeu, de 17 de abril de 2019<\/div>\n

__________________________<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n

Decreto-Lei n.\u00ba 65\/2021, de 30 de julho
\nAtrav\u00e9s da Lei n.\u00ba 46\/2018, de 13 de agosto<\/a>, que aprovou o regime jur\u00eddico da seguran\u00e7a do ciberespa\u00e7o, foi transposta para o ordenamento jur\u00eddico nacional a Diretiva (UE) 2016\/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado n\u00edvel comum de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o em toda a Uni\u00e3o.
\nA referida lei remete para legisla\u00e7\u00e3o complementar a defini\u00e7\u00e3o, por um lado, dos requisitos de seguran\u00e7a das redes e sistemas de informa\u00e7\u00e3o e, por outro lado, das regras para a notifica\u00e7\u00e3o de incidentes, que devem ser cumpridos pela Administra\u00e7\u00e3o P\u00fablica, operadores de infraestruturas cr\u00edticas, operadores de servi\u00e7os essenciais e prestadores de servi\u00e7os digitais. O presente decreto-lei procede, assim, \u00e0 regulamenta\u00e7\u00e3o destes aspetos.
\nOs requisitos previstos no presente decreto-lei constituem um m\u00ednimo a assegurar pelas entidades abrangidas pela Lei n.\u00ba 46\/2018, de 13 de agosto, n\u00e3o prejudicando as regras que, em fun\u00e7\u00e3o da natureza das entidades, de aspetos espec\u00edficos da atividade desenvolvida ou do contexto em que esta se desenvolva, possam vir a ser estabelecidas por outras autoridades, nomeadamente pelo Minist\u00e9rio P\u00fablico, pela Autoridade Nacional de Emerg\u00eancia e Prote\u00e7\u00e3o Civil, pelo Conselho Nacional de Planeamento Civil de Emerg\u00eancia, pela Autoridade Nacional de Comunica\u00e7\u00f5es, pela Comiss\u00e3o Nacional de Prote\u00e7\u00e3o de Dados, ou por outras autoridades setoriais.
\nTendo presente que o ciberespa\u00e7o \u00e9 uma realidade din\u00e2mica e fluida, em permanente muta\u00e7\u00e3o, colocando desafios de alcance transnacional e que atravessa v\u00e1rios setores de atividade, o presente decreto-lei reconhece a necessidade de articular as disposi\u00e7\u00f5es legais aqui consagradas com a aplica\u00e7\u00e3o de normativos complementares setoriais. Para este efeito, o Centro Nacional de Ciberseguran\u00e7a, enquanto Autoridade Nacional de Ciberseguran\u00e7a, nos casos em que se considere necess\u00e1rio e em articula\u00e7\u00e3o com as entidades reguladoras e de supervis\u00e3o setoriais, procede a uma avalia\u00e7\u00e3o de equival\u00eancia, conferindo, assim, seguran\u00e7a jur\u00eddica aos requisitos constantes de legisla\u00e7\u00e3o setorial que sejam considerados equivalentes aos consagrados no presente decreto-lei.
\nAdicionalmente \u00e0 regulamenta\u00e7\u00e3o do regime jur\u00eddico aprovado pela Lei n.\u00ba 46\/2018, de 13 de agosto, e considerando a complementaridade que a certifica\u00e7\u00e3o de produtos, servi\u00e7os e processos de tecnologias de informa\u00e7\u00e3o e comunica\u00e7\u00e3o assume para a promo\u00e7\u00e3o de um ciberespa\u00e7o mais seguro, assegura-se a implementa\u00e7\u00e3o, na ordem jur\u00eddica nacional, das obriga\u00e7\u00f5es decorrentes do Regulamento (UE) 2019\/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, permitindo a implementa\u00e7\u00e3o de um quadro nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a pela Autoridade Nacional de Certifica\u00e7\u00e3o da Ciberseguran\u00e7a.
\nO car\u00e1ter transfronteiri\u00e7o da ciberseguran\u00e7a e o esfor\u00e7o de coopera\u00e7\u00e3o internacional que lhe est\u00e1 subjacente permitem a produ\u00e7\u00e3o de conhecimento em permanente atualiza\u00e7\u00e3o e o desenvolvimento cont\u00ednuo de um conjunto de boas pr\u00e1ticas, vertidas para o plano nacional atrav\u00e9s do Quadro Nacional de Refer\u00eancia para a Ciberseguran\u00e7a, com o qual \u00e9 estabelecida uma rela\u00e7\u00e3o para efeitos de an\u00e1lise dos riscos a realizar pelas respetivas entidades abrangidas, sem preju\u00edzo da natureza transversal deste documento enquanto referencial para um fortalecimento da resili\u00eancia de cada organiza\u00e7\u00e3o face \u00e0s amea\u00e7as que afetam o ciberespa\u00e7o.
\nEm alinhamento com o Programa do XXII Governo Constitucional, que reconhece a import\u00e2ncia de promover pol\u00edticas e melhores pr\u00e1ticas de ciberseguran\u00e7a, o decreto-lei que ora se aprova procura dar resposta ao papel cada vez mais determinante que as tecnologias de informa\u00e7\u00e3o assumem na forma como se desenvolve a vida em sociedade, seja na atividade dos agentes econ\u00f3micos e dos servi\u00e7os p\u00fablicos, seja nas pr\u00f3prias rela\u00e7\u00f5es entre as pessoas e entre os cidad\u00e3os e a Administra\u00e7\u00e3o P\u00fablica. O desafio da transi\u00e7\u00e3o digital, de alcance transversal, e a emerg\u00eancia de novas tecnologias disruptivas, como a intelig\u00eancia artificial, a realidade virtual e aumentada e a Internet das coisas, sublinham a necessidade de assegurar um n\u00edvel elevado de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que sustentam o uso destas tecnologias, para que decorra num ambiente de confian\u00e7a e protegido de amea\u00e7as que podem ter efeitos desestabilizadores de consider\u00e1vel alcance na vida em sociedade, especialmente em contextos de crise, que tendem a agravar a explora\u00e7\u00e3o de vulnerabilidades por parte de agentes de amea\u00e7a com motiva\u00e7\u00f5es diversas.
\nForam ouvidas a Entidade Reguladora dos Servi\u00e7os Energ\u00e9ticos, a Autoridade Nacional da Avia\u00e7\u00e3o Civil, a Autoridade da Mobilidade e dos Transportes, o Conselho Nacional de Supervisores Financeiros, a Entidade Reguladora dos Servi\u00e7os de \u00c1guas e Res\u00edduos, a Autoridade Nacional de Comunica\u00e7\u00f5es, a Autoridade Nacional de Emerg\u00eancia e Prote\u00e7\u00e3o Civil, a Comiss\u00e3o Nacional de Prote\u00e7\u00e3o de Dados, os \u00f3rg\u00e3os de governo pr\u00f3prio da Regi\u00e3o Aut\u00f3noma dos A\u00e7ores, a Associa\u00e7\u00e3o Nacional de Munic\u00edpios Portugueses e a Associa\u00e7\u00e3o Nacional de Freguesias.
\nFoi promovida a audi\u00e7\u00e3o da Entidade Reguladora da Sa\u00fade e dos \u00f3rg\u00e3os de governo pr\u00f3prio da Regi\u00e3o Aut\u00f3noma da Madeira.
\nO presente decreto-lei foi submetido a consulta p\u00fablica entre 12 de abril e 5 de maio de 2021.
\nAssim:
\nAo abrigo do disposto no artigo 31.\u00ba da Lei n.\u00ba 46\/2018, de 13 de agosto<\/a>, e nos termos da al\u00ednea c) do n.\u00ba 1 do artigo 198.\u00ba da Constitui\u00e7\u00e3o, o Governo decreta o seguinte:<\/td>\n<\/tr>\n
CAP\u00cdTULO I
\nDisposi\u00e7\u00f5es gerais<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 1.\u00ba
\nObjeto<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – O presente decreto-lei procede \u00e0:
\na) Regulamenta\u00e7\u00e3o da Lei n.\u00ba 46\/2018, de 13 de agosto<\/a>, que estabelece o regime jur\u00eddico da seguran\u00e7a do ciberespa\u00e7o (Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o), transpondo a Diretiva (UE) 2016\/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado n\u00edvel comum de seguran\u00e7a das redes e da informa\u00e7\u00e3o em toda a Uni\u00e3o;
\nb) Execu\u00e7\u00e3o, na ordem jur\u00eddica nacional, das obriga\u00e7\u00f5es decorrentes do Regulamento (UE) 2019\/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, permitindo a implementa\u00e7\u00e3o de um quadro nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a.
\n2 – Para efeitos do disposto na al\u00ednea a) do n\u00famero anterior s\u00e3o estabelecidos:
\na) Os requisitos de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que devem ser cumpridos pela Administra\u00e7\u00e3o P\u00fablica, pelos operadores de infraestruturas cr\u00edticas e pelos operadores de servi\u00e7os essenciais, nos termos dos artigos 12.\u00ba, 14.\u00ba e 16.\u00ba do Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o;
\nb) Os requisitos de notifica\u00e7\u00e3o de incidentes que afetem a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que devem ser cumpridos pela Administra\u00e7\u00e3o P\u00fablica, pelos operadores de infraestruturas cr\u00edticas, pelos operadores de servi\u00e7os essenciais e pelos prestadores de servi\u00e7os digitais, nos termos dos artigos 13.\u00ba, 15.\u00ba, 17.\u00ba e 19.\u00ba do Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o, prevendo as circunst\u00e2ncias, o prazo, o formato e os procedimentos aplic\u00e1veis.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 2.\u00ba
\n\u00c2mbito de aplica\u00e7\u00e3o<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – O presente decreto-lei aplica-se \u00e0s entidades previstas nas al\u00edneas a) a d) do n.\u00ba 1 do artigo 2.\u00ba do Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o, sem preju\u00edzo do disposto nos n\u00fameros seguintes.
\n2 – Os requisitos de seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o constantes do presente decreto-lei n\u00e3o se aplicam \u00e0s empresas e aos prestadores de servi\u00e7os referidos no n.\u00ba 2 do artigo 12.\u00ba do Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o.
\n3 – Os requisitos de notifica\u00e7\u00e3o de incidentes que afetem a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o constantes do presente decreto-lei n\u00e3o se aplicam:
\na) \u00c0s empresas e aos prestadores de servi\u00e7os referidos no n.\u00ba 2 do artigo 13.\u00ba do Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o;
\nb) Aos prestadores de servi\u00e7os digitais que sejam microempresas ou pequenas empresas, tal como definidas pelo Decreto-Lei n.\u00ba 372\/2007, de 6 de novembro, na sua reda\u00e7\u00e3o atual.
\n4 – Para efeito do cumprimento do Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o e do presente decreto-lei, a identifica\u00e7\u00e3o dos operadores de servi\u00e7os essenciais nos termos do n.\u00ba 1 do artigo 29.\u00ba do Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o, bem como a atualiza\u00e7\u00e3o anual prevista no n.\u00ba 2 do mesmo artigo, \u00e9 comunicada pelo Centro Nacional de Ciberseguran\u00e7a (CNCS) aos operadores.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n\n
<\/td>\n<\/tr>\n
CAP\u00cdTULO II
\nDisposi\u00e7\u00f5es comuns<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 3.\u00ba
\nPrinc\u00edpios e regras gerais<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – A ado\u00e7\u00e3o das medidas t\u00e9cnicas e organizativas destinadas ao cumprimento dos requisitos de seguran\u00e7a previstos no Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o e no presente decreto-lei obedece ao princ\u00edpio da adequa\u00e7\u00e3o e da proporcionalidade, devendo ter em considera\u00e7\u00e3o:
\na) As condi\u00e7\u00f5es normais de funcionamento das redes e dos sistemas de informa\u00e7\u00e3o;
\nb) As situa\u00e7\u00f5es extraordin\u00e1rias, designadamente:
\ni) A ocorr\u00eancia de incidentes, nos termos da al\u00ednea c) do artigo 3.\u00ba do Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o;
\nii) A ocorr\u00eancia de acidente grave ou cat\u00e1strofe, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis em mat\u00e9ria de prote\u00e7\u00e3o civil ou a eventual ativa\u00e7\u00e3o de planos de emerg\u00eancia de prote\u00e7\u00e3o civil;
\niii) A declara\u00e7\u00e3o do estado de emerg\u00eancia, de s\u00edtio ou de guerra, nos termos previstos na Constitui\u00e7\u00e3o ou em outras disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis;
\niv) A ativa\u00e7\u00e3o de planos no \u00e2mbito do planeamento civil de emerg\u00eancia no setor da ciberseguran\u00e7a, nos termos do Decreto-Lei n.\u00ba 43\/2020, de 21 de julho;
\nv) A ocorr\u00eancia de grave amea\u00e7a \u00e0 seguran\u00e7a interna, incluindo as situa\u00e7\u00f5es de ataques terroristas, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis em mat\u00e9ria de seguran\u00e7a interna.
\n2 – O cumprimento das obriga\u00e7\u00f5es em mat\u00e9ria de requisitos de seguran\u00e7a e de notifica\u00e7\u00e3o de incidentes previstos no Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o e no presente decreto-lei deve ser efetuado em conformidade com as disposi\u00e7\u00f5es respeitantes \u00e0 seguran\u00e7a de mat\u00e9rias classificadas no \u00e2mbito nacional e no \u00e2mbito das organiza\u00e7\u00f5es internacionais de que Portugal seja parte.
\n3 – O cumprimento dos requisitos de seguran\u00e7a e das obriga\u00e7\u00f5es de notifica\u00e7\u00e3o de incidentes previstos no Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o e no presente decreto-lei n\u00e3o prejudica:
\na) O cumprimento dos requisitos espec\u00edficos de seguran\u00e7a e das obriga\u00e7\u00f5es espec\u00edficas de notifica\u00e7\u00e3o de incidentes nos termos definidos pelas autoridades competentes, nomeadamente pelo Minist\u00e9rio P\u00fablico, pela Autoridade Nacional de Emerg\u00eancia e Prote\u00e7\u00e3o Civil (ANEPC), pela Autoridade Nacional de Comunica\u00e7\u00f5es (ANACOM), pela Comiss\u00e3o Nacional de Prote\u00e7\u00e3o de Dados (CNPD) e por outras autoridades setoriais, nos termos das disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis;
\nb) O cumprimento de legisla\u00e7\u00e3o da Uni\u00e3o Europeia.
\n4 – Aos prestadores de servi\u00e7os digitais aplica-se o disposto no Regulamento de Execu\u00e7\u00e3o (UE) 2018\/151, da Comiss\u00e3o, de 30 de janeiro de 2018, em mat\u00e9ria de requisitos de seguran\u00e7a e de notifica\u00e7\u00e3o de incidentes.
\n5 – As entidades referidas no n.\u00ba 1 do artigo anterior podem estabelecer formas de colabora\u00e7\u00e3o com vista ao cumprimento das obriga\u00e7\u00f5es em mat\u00e9ria de requisitos de seguran\u00e7a e de notifica\u00e7\u00e3o de incidentes previstos no Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o, e no presente decreto-lei, numa l\u00f3gica de partilha de recursos, desde que seja assegurada a efetiva operacionaliza\u00e7\u00e3o das mesmas em cada entidade.
\n6 – O disposto no n\u00famero anterior n\u00e3o prejudica a responsabiliza\u00e7\u00e3o de cada entidade individualmente considerada a que haja lugar pela infra\u00e7\u00e3o a qualquer disposi\u00e7\u00e3o do presente decreto-lei.
\n7 – O CNCS pode, atrav\u00e9s da regulamenta\u00e7\u00e3o complementar prevista no artigo 18.\u00ba, estabelecer condi\u00e7\u00f5es espec\u00edficas para o cumprimento dos requisitos de seguran\u00e7a e de notifica\u00e7\u00e3o de incidentes previstos no presente decreto-lei por parte das entidades da Administra\u00e7\u00e3o P\u00fablica, em termos proporcionais e adequados \u00e0 sua dimens\u00e3o ou complexidade organizacional.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 4.\u00ba
\nPonto de contacto permanente<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – As entidades devem indicar, pelo menos, um ponto de contacto permanente, de modo a assegurar os fluxos de informa\u00e7\u00e3o de n\u00edvel operacional e t\u00e9cnico com o CNCS, nomeadamente:
\na) A articula\u00e7\u00e3o intersetorial, incluindo a efic\u00e1cia da resposta a incidentes de seguran\u00e7a com impacto a n\u00edvel dos setores;
\nb) A obten\u00e7\u00e3o de informa\u00e7\u00e3o operacional e t\u00e9cnica, na sequ\u00eancia de notifica\u00e7\u00e3o de incidentes com impacto relevante ou substancial submetida pela mesma ou outra entidade;
\nc) A obten\u00e7\u00e3o e atualiza\u00e7\u00e3o de informa\u00e7\u00e3o de situa\u00e7\u00e3o integrada no contexto de um incidente com impacto relevante ou substancial;
\nd) A partilha de informa\u00e7\u00e3o quando estejam ativados planos de emerg\u00eancia de prote\u00e7\u00e3o civil diretamente relacionados ou com impacto ao n\u00edvel da seguran\u00e7a do ciberespa\u00e7o, bem como de planos no \u00e2mbito do planeamento civil de emerg\u00eancia do ciberespa\u00e7o ou dos planos de seguran\u00e7a das infraestruturas cr\u00edticas nacionais ou europeias;
\ne) A operacionaliza\u00e7\u00e3o dos procedimentos fixados no \u00e2mbito de um plano de emerg\u00eancia de prote\u00e7\u00e3o civil quando tenham impacto no funcionamento das redes e sistemas de informa\u00e7\u00e3o, ou do planeamento civil de emerg\u00eancia do ciberespa\u00e7o;
\nf) A rece\u00e7\u00e3o das instru\u00e7\u00f5es t\u00e9cnicas emitidas ao abrigo do disposto no n.\u00ba 5 do artigo 7.\u00ba do Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o e no artigo 18.\u00ba;
\ng) A operacionaliza\u00e7\u00e3o dos procedimentos fixados no \u00e2mbito dos planos de seguran\u00e7a previstos no artigo 7.\u00ba
\n2 – As entidades devem assegurar a fun\u00e7\u00e3o de ponto de contacto permanente com uma disponibilidade cont\u00ednua de 24 horas por dia e de sete dias por semana, limitada a per\u00edodos de ativa\u00e7\u00e3o, iniciados e terminados mediante comunica\u00e7\u00e3o do CNCS.
\n3 – As entidades devem indicar ao CNCS, no prazo de 20 dias \u00fateis a contar do in\u00edcio da respetiva atividade, a pessoa ou pessoas respons\u00e1veis por assegurar as fun\u00e7\u00f5es de ponto de contacto permanente, bem como os respetivos meios de contacto principal e alternativos.
\n4 – As entidades que tenham iniciado atividade antes da data de entrada em vigor do presente decreto-lei devem efetuar a comunica\u00e7\u00e3o prevista no n\u00famero anterior no prazo de 20 dias \u00fateis, a contar do prazo previsto no n.\u00ba 2 do artigo 23.\u00ba
\n5 – As entidades devem comunicar imediatamente ao CNCS qualquer altera\u00e7\u00e3o \u00e0 informa\u00e7\u00e3o prevista no n.\u00ba 3.
\n6 – As entidades devem assegurar que o ponto de contacto permanente disp\u00f5e de meios de contacto principais e alternativos para a comunica\u00e7\u00e3o com o CNCS.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 5.\u00ba
\nRespons\u00e1vel de seguran\u00e7a<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – As entidades devem designar um respons\u00e1vel de seguran\u00e7a para a gest\u00e3o do conjunto das medidas adotadas em mat\u00e9ria de requisitos de seguran\u00e7a e de notifica\u00e7\u00e3o de incidentes, nos termos do Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o e do presente decreto-lei.
\n2 – As entidades devem indicar ao CNCS, no prazo de 20 dias \u00fateis a contar do in\u00edcio da respetiva atividade, a pessoa designada para as fun\u00e7\u00f5es de respons\u00e1vel de seguran\u00e7a.
\n3 – As entidades que tenham iniciado atividade antes da data de entrada em vigor do presente decreto-lei devem efetuar a comunica\u00e7\u00e3o prevista no n\u00famero anterior no prazo de 20 dias \u00fateis, a contar do prazo previsto no n.\u00ba 2 do artigo 23.\u00ba
\n4 – As entidades devem comunicar imediatamente ao CNCS a substitui\u00e7\u00e3o do respons\u00e1vel de seguran\u00e7a.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 6.\u00ba
\nInvent\u00e1rio de ativos<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – As entidades devem elaborar e manter atualizado um invent\u00e1rio de todos os ativos essenciais para a presta\u00e7\u00e3o dos respetivos servi\u00e7os, devendo o mesmo ser assinado pelo respons\u00e1vel de seguran\u00e7a.
\n2 – No invent\u00e1rio de ativos deve constar, para cada ativo, a informa\u00e7\u00e3o definida em instru\u00e7\u00f5es t\u00e9cnicas emitidas pelo CNCS.
\n3 – As entidades devem comunicar ao CNCS a lista dos ativos constantes do invent\u00e1rio, com a informa\u00e7\u00e3o que venha a ser determinada nos termos do n\u00famero anterior, com a seguinte periodicidade:
\na) Na sua vers\u00e3o inicial, no prazo de 20 dias \u00fateis a contar da data de in\u00edcio de atividade;
\nb) Numa vers\u00e3o atualizada, anualmente, a ser entregue em conjunto com o relat\u00f3rio anual a que se refere o artigo 8.\u00ba<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 7.\u00ba
\nPlano de seguran\u00e7a<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – As entidades devem elaborar e manter atualizado um plano de seguran\u00e7a, devidamente documentado e assinado pelo respons\u00e1vel de seguran\u00e7a, que contenha:
\na) A pol\u00edtica de seguran\u00e7a, incluindo a descri\u00e7\u00e3o das medidas organizativas e a forma\u00e7\u00e3o de recursos humanos;
\nb) A descri\u00e7\u00e3o de todas as medidas adotadas em mat\u00e9ria de requisitos de seguran\u00e7a e de notifica\u00e7\u00e3o de incidentes;
\nc) A identifica\u00e7\u00e3o do respons\u00e1vel de seguran\u00e7a;
\nd) A identifica\u00e7\u00e3o do ponto de contacto permanente.
\n2 – Para efeitos do cumprimento do disposto no n\u00famero anterior, os operadores de infraestruturas cr\u00edticas podem utilizar o plano previsto no artigo 10.\u00ba do Decreto-Lei n.\u00ba 62\/2011, de 9 de maio, desde que o mesmo inclua medidas relativas \u00e0 seguran\u00e7a das redes e da informa\u00e7\u00e3o.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 8.\u00ba
\nRelat\u00f3rio anual<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – As entidades devem elaborar um relat\u00f3rio anual que, em rela\u00e7\u00e3o ao ano civil a que se reporta, contenha os seguintes elementos:
\na) Descri\u00e7\u00e3o sum\u00e1ria das principais atividades desenvolvidas em mat\u00e9ria de seguran\u00e7a das redes e dos servi\u00e7os de informa\u00e7\u00e3o;
\nb) Estat\u00edstica trimestral de todos os incidentes, com indica\u00e7\u00e3o do n\u00famero e do tipo dos incidentes;
\nc) An\u00e1lise agregada dos incidentes de seguran\u00e7a com impacto relevante ou substancial, com informa\u00e7\u00e3o sobre:
\ni) N\u00famero de utilizadores afetados pela perturba\u00e7\u00e3o do servi\u00e7o;
\nii) Dura\u00e7\u00e3o dos incidentes;
\niii) Distribui\u00e7\u00e3o geogr\u00e1fica, no que se refere \u00e0 zona afetada pelo incidente, incluindo a indica\u00e7\u00e3o de impacto transfronteiri\u00e7o;
\nd) Recomenda\u00e7\u00f5es de atividades, de medidas ou de pr\u00e1ticas que promovam a melhoria da seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o;
\ne) Problemas identificados e medidas implementadas na sequ\u00eancia dos incidentes;
\nf) Qualquer outra informa\u00e7\u00e3o relevante.
\n2 – As entidades devem remeter o relat\u00f3rio anual ao CNCS, devidamente assinado pelo respons\u00e1vel de seguran\u00e7a, nos seguintes termos:
\na) Relativamente ao primeiro relat\u00f3rio anual:
\ni) At\u00e9 ao \u00faltimo dia \u00fatil do m\u00eas de janeiro do ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido in\u00edcio no primeiro semestre;
\nii) At\u00e9 ao \u00faltimo dia \u00fatil do m\u00eas de janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido in\u00edcio no segundo semestre;
\nb) Relativamente aos relat\u00f3rios subsequentes anuais, at\u00e9 ao \u00faltimo dia \u00fatil do m\u00eas de janeiro do ano civil seguinte aos quais os mesmos se reportam.
\n3 – Para efeitos do disposto na subal\u00ednea ii) da al\u00ednea a) do n\u00famero anterior, o relat\u00f3rio anual deve abranger todo o per\u00edodo entre a data de in\u00edcio de atividade e o final do ano civil anterior.
\n4 – Para efeitos do disposto no presente artigo, o CNCS pode definir o formato em que a informa\u00e7\u00e3o deve ser apresentada.
\n5 – As entidades reguladoras e as entidades com poderes de supervis\u00e3o sobre os setores e subsetores identificados no anexo ao Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o, remetem ao CNCS os relat\u00f3rios considerados equivalentes nos termos do artigo 18.\u00ba, quando tal resulte de instru\u00e7\u00e3o complementar emitida pelo CNCS, em articula\u00e7\u00e3o com as entidades reguladoras e de supervis\u00e3o acima referidas.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n\n
<\/td>\n<\/tr>\n
CAP\u00cdTULO III
\nSeguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 9.\u00ba
\nMedidas para cumprimento dos requisitos de seguran\u00e7a<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – As entidades referidas na al\u00ednea a) do n.\u00ba 2 do artigo 1.\u00ba devem cumprir as medidas t\u00e9cnicas e organizativas para gerir os riscos que se colocam \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que utilizam, devendo, para o efeito, realizar uma an\u00e1lise dos riscos de acordo com o disposto no artigo seguinte.
\n2 – As medidas referidas no n\u00famero anterior devem garantir um n\u00edvel de seguran\u00e7a adequado ao risco em causa, tendo em conta os progressos t\u00e9cnicos mais recentes, atrav\u00e9s da utiliza\u00e7\u00e3o de normas e especifica\u00e7\u00f5es t\u00e9cnicas internacionalmente aceites aplic\u00e1veis \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o, sem imposi\u00e7\u00e3o ou discrimina\u00e7\u00e3o em favor da utiliza\u00e7\u00e3o de um determinado tipo de tecnologia.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 10.\u00ba
\nAn\u00e1lise dos riscos e implementa\u00e7\u00e3o dos requisitos de seguran\u00e7a<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – As entidades da Administra\u00e7\u00e3o P\u00fablica e os operadores de infraestruturas cr\u00edticas, bem como os operadores de servi\u00e7os essenciais, devem realizar uma an\u00e1lise dos riscos em rela\u00e7\u00e3o a todos os ativos que garantam a continuidade do funcionamento das redes e dos sistemas de informa\u00e7\u00e3o que utilizam e, no caso dos operadores de servi\u00e7os essenciais, tamb\u00e9m em rela\u00e7\u00e3o aos ativos que garantam a presta\u00e7\u00e3o dos servi\u00e7os essenciais, nos seguintes termos:
\na) An\u00e1lise dos riscos de \u00e2mbito global, com a seguinte periodicidade:
\ni) Pelo menos uma vez por ano;
\nii) Ap\u00f3s a notifica\u00e7\u00e3o, por parte do CNCS, de um risco, de uma amea\u00e7a ou de uma vulnerabilidade emergentes que implique uma elevada probabilidade de ocorr\u00eancia de um incidente com impacto relevante, dentro do prazo fixado pelo CNCS;
\nb) An\u00e1lise dos riscos de \u00e2mbito parcial, com a seguinte periodicidade:
\ni) Durante o planeamento e prepara\u00e7\u00e3o da introdu\u00e7\u00e3o de uma altera\u00e7\u00e3o ao ativo ou ativos, em rela\u00e7\u00e3o ao ativo ou ativos envolvidos;
\nii) Ap\u00f3s a ocorr\u00eancia de um incidente com impacto relevante ou outra situa\u00e7\u00e3o extraordin\u00e1ria, em rela\u00e7\u00e3o aos ativos afetados;
\niii) Ap\u00f3s a notifica\u00e7\u00e3o, por parte do CNCS, de um risco, de uma amea\u00e7a ou de uma vulnerabilidade emergentes que impliquem uma elevada probabilidade de ocorr\u00eancia de um incidente com impacto relevante, dentro do prazo fixado pelo CNCS.
\n2 – As entidades devem documentar a prepara\u00e7\u00e3o, a execu\u00e7\u00e3o e a apresenta\u00e7\u00e3o dos resultados da an\u00e1lise dos riscos.
\n3 – A an\u00e1lise do risco deve abranger para cada ativo:
\na) A identifica\u00e7\u00e3o das amea\u00e7as, internas ou externas, intencionais ou n\u00e3o intencionais, incluindo, nomeadamente:
\ni) Falha de sistema;
\nii) Fen\u00f3meno natural;
\niii) Erro humano;
\niv) Ataque malicioso;
\nv) Falha no fornecimento de bens ou servi\u00e7os por terceiro;
\nb) A caracteriza\u00e7\u00e3o do impacto e da probabilidade da ocorr\u00eancia das amea\u00e7as identificadas na al\u00ednea anterior.
\n4 – A an\u00e1lise dos riscos deve ter em considera\u00e7\u00e3o:
\na) O hist\u00f3rico de situa\u00e7\u00f5es extraordin\u00e1rias ocorridas;
\nb) O hist\u00f3rico de incidentes e, em especial, de incidentes com impacto relevante;
\nc) O n\u00famero de utilizadores afetados pelos incidentes;
\nd) A dura\u00e7\u00e3o dos incidentes;
\ne) A distribui\u00e7\u00e3o geogr\u00e1fica, no que se refere \u00e0 zona afetada pelos incidentes;
\nf) As depend\u00eancias intersetoriais para efeitos da presta\u00e7\u00e3o dos servi\u00e7os, incluindo os constantes do anexo ao Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o e o setor das comunica\u00e7\u00f5es eletr\u00f3nicas.
\n5 – A an\u00e1lise dos riscos deve ainda ter em considera\u00e7\u00e3o a avalia\u00e7\u00e3o integrada dos riscos para a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o a n\u00edvel nacional, europeu e internacional, publicada anualmente ou notificada \u00e0s entidades pelo CNCS.
\n6 – Na sequ\u00eancia de cada an\u00e1lise dos riscos, as entidades devem adotar as medidas t\u00e9cnicas e organizativas adequadas para gerir os riscos que se colocam \u00e0 seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o que utilizam, e que resultem, nomeadamente:
\na) De normativo complementar setorial aprovado pelo CNCS, sem preju\u00edzo da aplica\u00e7\u00e3o de outro normativo nacional e da Uni\u00e3o Europeia em mat\u00e9ria da seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o;
\nb) Do Quadro Nacional de Refer\u00eancia de Ciberseguran\u00e7a, e respetivas disposi\u00e7\u00f5es complementares, elaborado pelo CNCS, na aus\u00eancia ou em complemento do normativo setorial previsto na al\u00ednea anterior.
\n7 – Os riscos para a seguran\u00e7a das redes e dos sistemas de informa\u00e7\u00e3o caracterizados como residuais devem ser tratados pelas entidades nos termos do n\u00famero anterior.
\n8 – As entidades devem rever e, se necess\u00e1rio, atualizar o seu plano de seguran\u00e7a, nos termos previstos no artigo 7.\u00ba, em fun\u00e7\u00e3o da evolu\u00e7\u00e3o do contexto de atua\u00e7\u00e3o e da ocorr\u00eancia de incidentes.
\n9 – As medidas a adotar ao abrigo do disposto no n.\u00ba 6 devem permitir:
\na) A preven\u00e7\u00e3o, a gest\u00e3o e a redu\u00e7\u00e3o dos riscos;
\nb) O refor\u00e7o da robustez e da resili\u00eancia dos ativos, incluindo a respetiva prote\u00e7\u00e3o contra as amea\u00e7as identificadas e a respetiva recupera\u00e7\u00e3o ou redund\u00e2ncia, de forma a assegurar um r\u00e1pido restabelecimento do funcionamento das redes e dos sistemas de informa\u00e7\u00e3o;
\nc) Uma resposta eficaz a incidentes, a amea\u00e7as ou a vulnerabilidades.
\n10 – Para efeitos do disposto no presente artigo, o CNCS pode emitir instru\u00e7\u00f5es t\u00e9cnicas com vista a uma harmoniza\u00e7\u00e3o da matriz de risco a adotar pelas entidades.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n\n
<\/td>\n<\/tr>\n
CAP\u00cdTULO IV
\nNotifica\u00e7\u00f5es de incidentes<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 11.\u00ba
\nObriga\u00e7\u00f5es de notifica\u00e7\u00e3o<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – A Administra\u00e7\u00e3o P\u00fablica, os operadores de infraestruturas cr\u00edticas, os operadores de servi\u00e7os essenciais e os prestadores de servi\u00e7os digitais notificam o CNCS da ocorr\u00eancia de incidentes com impacto relevante ou substancial nos termos, respetivamente, dos artigos 15.\u00ba, 17.\u00ba e 19.\u00ba do Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o.
\n2 – As entidades devem implementar todos os meios e os procedimentos necess\u00e1rios \u00e0 dete\u00e7\u00e3o, \u00e0 avalia\u00e7\u00e3o do impacto e \u00e0 notifica\u00e7\u00e3o de incidentes com impacto relevante ou substancial.
\n3 – A Administra\u00e7\u00e3o P\u00fablica e os operadores de infraestruturas cr\u00edticas, os operadores de servi\u00e7os essenciais e os prestadores de servi\u00e7os digitais devem, perante qualquer incidente detetado ou a estes comunicado pelos seus clientes, utilizadores ou outras entidades, atender aos par\u00e2metros previstos, respetivamente, no n.\u00ba 4 do artigo 15.\u00ba, no n.\u00ba 4 do artigo 17.\u00ba e no n.\u00ba 4 do artigo 19.\u00ba do Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o, bem como aos constantes dos normativos complementares setoriais aplic\u00e1veis, para classificar os incidentes como tendo impacto relevante ou substancial.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 12.\u00ba
\nTipos de notifica\u00e7\u00f5es<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – Por cada incidente que deva ser objeto de notifica\u00e7\u00e3o ao abrigo do disposto no artigo anterior, as entidades devem submeter ao CNCS:
\na) Uma notifica\u00e7\u00e3o inicial, nos termos do artigo seguinte;
\nb) Uma notifica\u00e7\u00e3o de fim de impacto relevante ou substancial, nos termos do artigo 14.\u00ba;
\nc) Uma notifica\u00e7\u00e3o final, nos termos do artigo 15.\u00ba
\n2 – Nos casos em que o incidente seja resolvido de forma imediata, nas primeiras duas horas ap\u00f3s a sua dete\u00e7\u00e3o, as entidades podem enviar diretamente a notifica\u00e7\u00e3o final com todos os campos de informa\u00e7\u00e3o devidamente preenchidos, ficando dispensadas do envio das restantes notifica\u00e7\u00f5es.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 13.\u00ba
\nNotifica\u00e7\u00e3o inicial<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – A notifica\u00e7\u00e3o inicial deve ser enviada logo que a entidade possa concluir que existe ou possa vir a existir impacto relevante ou substancial e at\u00e9 duas horas ap\u00f3s essa verifica\u00e7\u00e3o, devendo a entidade, sem preju\u00edzo do cumprimento deste prazo, dar prioridade \u00e0 mitiga\u00e7\u00e3o e \u00e0 resolu\u00e7\u00e3o do incidente.
\n2 – A notifica\u00e7\u00e3o inicial deve incluir a seguinte informa\u00e7\u00e3o:
\na) Nome, n\u00famero de telefone e endere\u00e7o de correio eletr\u00f3nico de um representante da entidade, quando diferente do ponto de contacto permanente a que se refere o artigo 4.\u00ba, para efeito de um eventual contacto por parte do CNCS;
\nb) Data e hora do in\u00edcio ou, em caso de impossibilidade de o determinar, da dete\u00e7\u00e3o do incidente;
\nc) Breve descri\u00e7\u00e3o do incidente, incluindo a indica\u00e7\u00e3o da categoria da causa raiz e dos efeitos produzidos, de acordo com a taxonomia definida no artigo 16.\u00ba e, sempre que poss\u00edvel, o respetivo detalhe;
\nd) Estimativa poss\u00edvel do impacto, considerando:
\ni) N\u00famero de utilizadores afetados pela perturba\u00e7\u00e3o do servi\u00e7o;
\nii) Dura\u00e7\u00e3o do incidente;
\niii) Distribui\u00e7\u00e3o geogr\u00e1fica, no que se refere \u00e0 zona afetada pelo incidente, incluindo a indica\u00e7\u00e3o de impacto transfronteiri\u00e7o;
\ne) Outra informa\u00e7\u00e3o que a entidade considere relevante.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 14.\u00ba
\nNotifica\u00e7\u00e3o de fim de impacto relevante ou substancial<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – A notifica\u00e7\u00e3o de fim de impacto relevante ou substancial do incidente deve ser submetida ao CNCS logo que poss\u00edvel, dentro do prazo m\u00e1ximo de duas horas ap\u00f3s a perda de impacto relevante ou substancial.
\n2 – A notifica\u00e7\u00e3o de fim de impacto relevante ou substancial deve incluir a seguinte informa\u00e7\u00e3o:
\na) Atualiza\u00e7\u00e3o da informa\u00e7\u00e3o transmitida na notifica\u00e7\u00e3o inicial, caso exista;
\nb) Breve descri\u00e7\u00e3o das medidas adotadas para a resolu\u00e7\u00e3o do incidente;
\nc) Descri\u00e7\u00e3o da situa\u00e7\u00e3o do impacto existente no momento da perda de impacto relevante ou substancial, nomeadamente:
\ni) N\u00famero de utilizadores afetados pela perturba\u00e7\u00e3o do servi\u00e7o;
\nii) Dura\u00e7\u00e3o do incidente;
\niii) Distribui\u00e7\u00e3o geogr\u00e1fica, no que se refere \u00e0 zona afetada pelo incidente, incluindo a indica\u00e7\u00e3o de impacto transfronteiri\u00e7o;
\niv) Tempo estimado para a recupera\u00e7\u00e3o total dos servi\u00e7os.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 15.\u00ba
\nNotifica\u00e7\u00e3o final<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – A notifica\u00e7\u00e3o final deve ser enviada no prazo de 30 dias \u00fateis a contar do momento em que o incidente deixou de se verificar.
\n2 – A notifica\u00e7\u00e3o final deve incluir a seguinte informa\u00e7\u00e3o:
\na) Data e hora em que o incidente assumiu o impacto relevante ou substancial;
\nb) Data e hora em que o incidente perdeu o impacto relevante ou substancial;
\nc) Impacto do incidente, considerando:
\ni) N\u00famero de utilizadores afetados pela perturba\u00e7\u00e3o do servi\u00e7o;
\nii) Dura\u00e7\u00e3o do incidente;
\niii) Distribui\u00e7\u00e3o geogr\u00e1fica, no que se refere \u00e0 zona afetada pelo incidente, incluindo a indica\u00e7\u00e3o de impacto transfronteiri\u00e7o;
\niv) Descri\u00e7\u00e3o do incidente, com indica\u00e7\u00e3o da categoria da causa raiz e dos efeitos produzidos, de acordo com a taxonomia definida no artigo seguinte, e o respetivo detalhe;
\nd) Indica\u00e7\u00e3o das medidas adotadas para mitigar o incidente;
\ne) Descri\u00e7\u00e3o da situa\u00e7\u00e3o residual do impacto existente \u00e0 data da notifica\u00e7\u00e3o final, nomeadamente:
\ni) N\u00famero de utilizadores afetados pela perturba\u00e7\u00e3o do servi\u00e7o;
\nii) Distribui\u00e7\u00e3o geogr\u00e1fica, no que se refere \u00e0 zona afetada pelo incidente, incluindo a indica\u00e7\u00e3o de impacto transfronteiri\u00e7o;
\niii) Tempo estimado para a recupera\u00e7\u00e3o total dos servi\u00e7os ainda afetados;
\nf) Indica\u00e7\u00e3o, sempre que aplic\u00e1vel, da apresenta\u00e7\u00e3o de notifica\u00e7\u00e3o do incidente em causa \u00e0s autoridades competentes, nomeadamente ao Minist\u00e9rio P\u00fablico, \u00e0 ANEPC, \u00e0 ANACOM, \u00e0 CNPD e a outras autoridades setoriais, nos termos previstos nas disposi\u00e7\u00f5es legais e regulamentares aplic\u00e1veis;
\ng) Outra informa\u00e7\u00e3o que a entidade considere relevante.
\n3 – Nos casos em que exista uma situa\u00e7\u00e3o residual do impacto \u00e0 data da notifica\u00e7\u00e3o final, descrita ao abrigo do disposto na al\u00ednea e) do n\u00famero anterior, as entidades devem comunicar ao CNCS, logo que poss\u00edvel, a recupera\u00e7\u00e3o total dessa situa\u00e7\u00e3o residual.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 16.\u00ba
\nTaxonomia de incidentes e de efeitos<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – Para efeitos do disposto nos artigos 13.\u00ba a 15.\u00ba, os incidentes podem ter as seguintes categorias de causas raiz:
\na) Falha de sistema;
\nb) Fen\u00f3meno natural;
\nc) Erro humano;
\nd) Ataque malicioso;
\ne) Falha no fornecimento de bens ou servi\u00e7os por terceiro.
\n2 – Para os efeitos do disposto nos artigos 13.\u00ba a 15.\u00ba, os incidentes podem ter os seguintes efeitos produzidos:
\na) Infe\u00e7\u00e3o por malware;
\nb) Disponibilidade;
\nc) Recolha de informa\u00e7\u00e3o;
\nd) Intrus\u00e3o;
\ne) Tentativa de intrus\u00e3o;
\nf) Seguran\u00e7a da informa\u00e7\u00e3o;
\ng) Fraude;
\nh) Conte\u00fado abusivo;
\ni) Outro.
\n3 – As entidades podem enviar ao CNCS, de forma volunt\u00e1ria, qualquer informa\u00e7\u00e3o adicional relevante que sirva de suporte ao reporte de incidentes e que facilite o respetivo acompanhamento.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 17.\u00ba
\nDisposi\u00e7\u00f5es complementares<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – O CNCS presta \u00e0 entidade notificante as informa\u00e7\u00f5es relevantes relativas ao processamento do incidente notificado, nomeadamente informa\u00e7\u00f5es que possam contribuir para o tratamento eficaz do incidente.
\n2 – As entidades devem dar resposta a qualquer pedido de informa\u00e7\u00e3o adicional por parte do CNCS sobre os incidentes reportados.
\n3 – As entidades podem optar por enviar ao CNCS qualquer campo de informa\u00e7\u00e3o antes do final dos prazos fixados para o efeito, desde que disponham de informa\u00e7\u00e3o fi\u00e1vel para o fazer.
\n4 – Sem preju\u00edzo do disposto no presente cap\u00edtulo, as entidades devem seguir o formato e o procedimento de notifica\u00e7\u00e3o de incidentes definido nos normativos complementares setoriais aplic\u00e1veis.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n\n
<\/td>\n<\/tr>\n
CAP\u00cdTULO V
\nDisposi\u00e7\u00f5es complementares e finais<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 18.\u00ba
\nRegulamenta\u00e7\u00e3o complementar<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – O CNCS pode, no \u00e2mbito das suas compet\u00eancias, emitir instru\u00e7\u00f5es t\u00e9cnicas complementares em mat\u00e9ria de requisitos de seguran\u00e7a e de notifica\u00e7\u00e3o de incidentes, designadamente normativos complementares setoriais.
\n2 – Sempre que um ato jur\u00eddico setorial da Uni\u00e3o Europeia exigir que as entidades abrangidas pelo presente decreto-lei garantam a seguran\u00e7a das respetivas redes e dos respetivos sistemas de informa\u00e7\u00e3o ou a notifica\u00e7\u00e3o de incidentes, s\u00e3o aplic\u00e1veis as disposi\u00e7\u00f5es desse ato jur\u00eddico setorial desde que os seus requisitos tenham pelo menos efeitos equivalentes \u00e0s obriga\u00e7\u00f5es constantes do presente decreto-lei, devendo, sempre que necess\u00e1rio, ser especificada a respetiva implementa\u00e7\u00e3o pelo CNCS em articula\u00e7\u00e3o com as entidades reguladoras e com as entidades com poderes de supervis\u00e3o sobre os setores e subsetores identificados no anexo ao Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o, seguindo-se o seguinte procedimento:
\na) O CNCS, em articula\u00e7\u00e3o com as entidades reguladoras e as entidades com poderes de supervis\u00e3o sobre os setores e subsetores identificados no anexo ao Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o avaliam o grau de equival\u00eancia das regras relativas ao invent\u00e1rio de ativos e ao relat\u00f3rio anual bem como dos requisitos de seguran\u00e7a e notifica\u00e7\u00e3o de incidentes estabelecidos para cada setor;
\nb) Na avalia\u00e7\u00e3o do grau de equival\u00eancia deve ser ponderado em que medida os requisitos setoriais definidos pela lei, pelas disposi\u00e7\u00f5es europeias e pelos normativos setoriais cumprem os requisitos previstos no presente decreto-lei, procurando, sempre que poss\u00edvel, evitar a sobreposi\u00e7\u00e3o de requisitos e reportes;
\nc) O CNCS emite, por instru\u00e7\u00e3o t\u00e9cnica, o resultado da avalia\u00e7\u00e3o do grau de equival\u00eancia prevista no presente decreto-lei.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 19.\u00ba
\nComunica\u00e7\u00f5es<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – As comunica\u00e7\u00f5es entre as entidades e o CNCS, incluindo as notifica\u00e7\u00f5es de incidentes, devem seguir o formato e o procedimento definido em regulamenta\u00e7\u00e3o complementar.
\n2 – Na aus\u00eancia de regulamenta\u00e7\u00e3o complementar, todas as comunica\u00e7\u00f5es dirigidas ao CNCS no \u00e2mbito do presente decreto-lei, bem como o envio de informa\u00e7\u00e3o, devem ser realizadas por meios eletr\u00f3nicos.
\n3 – O CNCS mant\u00e9m e gere a informa\u00e7\u00e3o em mat\u00e9ria de seguran\u00e7a e integridade num sistema de informa\u00e7\u00e3o seguro, em conformidade com as disposi\u00e7\u00f5es respeitantes \u00e0 seguran\u00e7a de mat\u00e9rias classificadas no \u00e2mbito nacional e no \u00e2mbito das organiza\u00e7\u00f5es internacionais de que Portugal \u00e9 parte.
\n4 – O acesso aos sistemas eletr\u00f3nicos e s\u00edtios de Internet para tratamento das notifica\u00e7\u00f5es previstas no presente decreto-lei deve ser efetuado preferencialmente com recurso a sistema de identifica\u00e7\u00e3o eletr\u00f3nico com n\u00edvel de garantia \u00abelevado\u00bb, nos termos definidos pelos artigos 8.\u00ba e 9.\u00ba do Regulamento (UE) n.\u00ba 910\/2014, do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo \u00e0 identifica\u00e7\u00e3o eletr\u00f3nica e aos servi\u00e7os de confian\u00e7a, designadamente atrav\u00e9s do Cart\u00e3o de Cidad\u00e3o e da Chave M\u00f3vel Digital.
\n5 – Nos casos em que a entidade n\u00e3o tenha temporariamente capacidade operacional para assegurar a comunica\u00e7\u00e3o prevista nos n.os 2 e 3, ou nos casos em que o s\u00edtio na Internet do CNCS esteja indispon\u00edvel, em resultado do incidente ou por outro motivo de natureza eminentemente t\u00e9cnica devidamente justificado, a notifica\u00e7\u00e3o pode ser efetuada, a t\u00edtulo excecional, atrav\u00e9s de correio eletr\u00f3nico ou telefonicamente, de acordo com instru\u00e7\u00f5es t\u00e9cnicas a emitir pelo CNCS.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 20.\u00ba
\nAutoridade Nacional de Certifica\u00e7\u00e3o da Ciberseguran\u00e7a<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – O CNCS \u00e9 a Autoridade Nacional de Certifica\u00e7\u00e3o da Ciberseguran\u00e7a (ANCC) designadamente para efeitos do disposto no artigo 58.\u00ba do Regulamento (UE) 2019\/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, gozando para este efeito de independ\u00eancia t\u00e9cnica.
\n2 – A ANCC pode, para al\u00e9m das respetivas atribui\u00e7\u00f5es no \u00e2mbito dos esquemas europeus de certifica\u00e7\u00e3o da ciberseguran\u00e7a, desenvolver e implementar esquemas espec\u00edficos de certifica\u00e7\u00e3o da ciberseguran\u00e7a relativos a produtos, servi\u00e7os e processos de tecnologias de informa\u00e7\u00e3o e comunica\u00e7\u00e3o que n\u00e3o sejam ainda abrangidos por um esquema europeu, sempre que a especificidade do objeto da certifica\u00e7\u00e3o o justifique.
\n3 – A ANCC implementa um quadro nacional de certifica\u00e7\u00e3o da ciberseguran\u00e7a, estabelecendo as disposi\u00e7\u00f5es necess\u00e1rias \u00e0 elabora\u00e7\u00e3o, implementa\u00e7\u00e3o e execu\u00e7\u00e3o dos esquemas de certifica\u00e7\u00e3o previstos no n\u00famero anterior, aos quais s\u00e3o aplic\u00e1veis, com as necess\u00e1rias adapta\u00e7\u00f5es, as disposi\u00e7\u00f5es constantes do t\u00edtulo III do Regulamento (UE) 2019\/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019.
\n4 – Constituem compet\u00eancias da ANCC:
\na) Solicitar aos organismos de avalia\u00e7\u00e3o da conformidade, aos titulares de certificados de ciberseguran\u00e7a e aos emitentes de declara\u00e7\u00f5es de conformidade, as informa\u00e7\u00f5es de que necessite para o exerc\u00edcio das respetivas atribui\u00e7\u00f5es;
\nb) Tomar as medidas adequadas a garantir que os organismos de avalia\u00e7\u00e3o da conformidade, os titulares de certificados nacionais ou europeus de ciberseguran\u00e7a, e os emitentes de declara\u00e7\u00f5es de conformidade cumprem o disposto na lei em mat\u00e9ria de certifica\u00e7\u00e3o da ciberseguran\u00e7a;
\nc) Executar as demais compet\u00eancias estabelecidas para as autoridades de certifica\u00e7\u00e3o da ciberseguran\u00e7a, designadamente as decorrentes do Regulamento (UE) 2019\/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019.
\n5 – A avalia\u00e7\u00e3o dos esquemas de certifica\u00e7\u00e3o espec\u00edficos, designadamente sobre a respetiva adequa\u00e7\u00e3o, \u00e9 efetuada pela ANCC em articula\u00e7\u00e3o com o Instituto Portugu\u00eas de Acredita\u00e7\u00e3o, I. P., enquanto organismo nacional de acredita\u00e7\u00e3o e com o Instituto Portugu\u00eas da Qualidade, I. P., enquanto organismo nacional de normaliza\u00e7\u00e3o e com as demais entidades p\u00fablicas com compet\u00eancias no \u00e2mbito da mat\u00e9ria abrangida pela certifica\u00e7\u00e3o.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 21.\u00ba
\nRegime sancionat\u00f3rio<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – \u00c0s infra\u00e7\u00f5es ao disposto no presente decreto-lei \u00e9 aplic\u00e1vel o regime sancionat\u00f3rio previsto no Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o aprovado pela Lei n.\u00ba 46\/2018, de 13 de agosto.
\n2 – Constitui contraordena\u00e7\u00e3o pun\u00edvel com coima de (euro) 1000,00 a (euro) 3740,98, no caso de pessoa singular, ou de (euro) 5000,00 a (euro) 44 891,81, no caso de pessoa coletiva, a pr\u00e1tica das seguintes infra\u00e7\u00f5es:
\na) A utiliza\u00e7\u00e3o de marca de certifica\u00e7\u00e3o da ciberseguran\u00e7a inv\u00e1lida, caducada ou revogada;
\nb) A utiliza\u00e7\u00e3o de express\u00e3o ou grafismo que expressa ou tacitamente sugira a certifica\u00e7\u00e3o da ciberseguran\u00e7a de produto, servi\u00e7o ou processo que n\u00e3o seja certificado;
\nc) A omiss\u00e3o dolosa de informa\u00e7\u00e3o ou a presta\u00e7\u00e3o de falsa informa\u00e7\u00e3o que seja relevante para o processo de certifica\u00e7\u00e3o da ciberseguran\u00e7a que se encontre em curso, nos termos definidos em cada esquema de certifica\u00e7\u00e3o.
\n3 – Sem preju\u00edzo das compet\u00eancias atribu\u00eddas a outras entidades em raz\u00e3o da mat\u00e9ria, \u00e0s contraordena\u00e7\u00f5es previstas no n\u00famero anterior aplica-se o disposto nos artigos 21.\u00ba e 25.\u00ba a 28.\u00ba do Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 22.\u00ba
\nDisposi\u00e7\u00e3o transit\u00f3ria<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – O primeiro relat\u00f3rio anual a que se refere a al\u00ednea a) do n.\u00ba 2 do artigo 8.\u00ba deve ser entregue at\u00e9 31 de janeiro de 2022, sem preju\u00edzo do disposto na subal\u00ednea ii) da al\u00ednea a) do n.\u00ba 2 do mesmo artigo.
\n2 – A vers\u00e3o inicial do invent\u00e1rio de ativos a que se refere o artigo 6.\u00ba deve ser entregue em conjunto com o relat\u00f3rio anual referido no n\u00famero anterior.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
<\/td>\n<\/tr>\n
\u00a0\u00a0Artigo 23.\u00ba
\nEntrada em vigor e produ\u00e7\u00e3o de efeitos<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n
1 – Sem preju\u00edzo dos n\u00fameros seguintes, o presente decreto-lei entra em vigor no d\u00e9cimo dia seguinte ao da sua publica\u00e7\u00e3o.
\n2 – O disposto nos artigos 4.\u00ba, 5.\u00ba, 7.\u00ba e 11.\u00ba a 17.\u00ba produz efeitos 90 dias ap\u00f3s a entrada em vigor do presente decreto-lei.
\n3 – O disposto nos artigos 9.\u00ba e 10.\u00ba produz efeitos no prazo de um ano ap\u00f3s a entrada em vigor do presente decreto-lei.Visto e aprovado em Conselho de Ministros de 17 de junho de 2021. – Ant\u00f3nio Lu\u00eds Santos da Costa – Pedro Gramaxo de Carvalho Siza Vieira – Augusto Ernesto Santos Silva – Mariana Guimar\u00e3es Vieira da Silva – Jo\u00e3o Rodrigo Reis Carvalho Le\u00e3o – Eduardo Arm\u00e9nio do Nascimento Cabrita – Francisca Eug\u00e9nia da Silva Dias Van Dunem – Alexandra Ludomila Ribeiro Fernandes Leit\u00e3o – Marta Alexandra Fartura Braga Temido de Almeida Sim\u00f5es – Jo\u00e3o Pedro Soeiro de Matos Fernandes – Hugo Santos Mendes – Ricardo da Piedade Abreu Serr\u00e3o Santos.
\nPromulgado em 22 de julho de 2021.
\nPublique-se.
\nO Presidente da Rep\u00fablica, Marcelo Rebelo de Sousa.
\nReferendado em 23 de julho de 2021.
\nO Primeiro-Ministro, Ant\u00f3nio Lu\u00eds Santos da Costa.<\/td>\n<\/tr>\n
<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

  [\u00a0N\u00ba de artigos:23\u00a0] \u00a0\u00a0DL n.\u00ba 65\/2021, de 30 de Julho\u00a0 (vers\u00e3o actualizada) \u00a0REGULAMENTA O REGIME JUR\u00cdDICO DA SEGURAN\u00c7A DO CIBERESPA\u00c7O SUM\u00c1RIO Regulamenta o Regime Jur\u00eddico da Seguran\u00e7a do Ciberespa\u00e7o e define as obriga\u00e7\u00f5es em mat\u00e9ria de certifica\u00e7\u00e3o da ciberseguran\u00e7a em execu\u00e7\u00e3o do Regulamento (UE) 2019\/881 do Parlamento Europeu, de 17 de abril de 2019 […]<\/p>\n","protected":false},"author":1,"featured_media":806,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[6,3],"tags":[15,13,14,16,17],"_links":{"self":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/805"}],"collection":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/comments?post=805"}],"version-history":[{"count":5,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/805\/revisions"}],"predecessor-version":[{"id":822,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/805\/revisions\/822"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media\/806"}],"wp:attachment":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media?parent=805"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/categories?post=805"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/tags?post=805"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}