Autoriza o Governo a transpor a Diretiva (UE) 2022/2555, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União

Proposta de Lei n.º 7/XVII Exposição de motivos A presente proposta de lei visa autorizar o Governo a aprovar o regime jurídico da cibersegurança, transpondo a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, destinada a garantir um elevado nível comum de cibersegurança em toda a União. A preservação da cibersegurança desempenha um papel crucial em matéria de segurança nacional e internacional, no funcionamento do Estado e dos agentes económicos, bem como na construção da confiança dos cidadãos no processo de modernização digital da Administração Pública. A transposição para o ambiente digital de funções essenciais das atividades institucionais e da vivência pessoal e profissional dos cidadãos justifica o reforço do quadro regulamentar e organizacional de cibersegurança, executado em harmonia com todo o espaço e em defesa contra ciberameaças comuns. Esta iniciativa legislativa ocorre perante a consciência, não só da gravidade premente colocada pelas múltiplas ciberameaças, como do elevado potencial disruptivo das suas ações hostis contra ativos digitais, sendo imperioso um reforço da capacitação nacional para a prevenção de atos que possam condicionar a segurança e o interesse nacional, bem como as múltiplas dinâmicas funcionais e produtivas da sociedade portuguesa. De facto, perante o aumento assinalável da quantidade e da sofisticação das ameaças, bem como a crescente utilização e dependência do uso das tecnologias de informação e comunicação por toda a sociedade, afigura-se indispensável assegurar a generalização da cibersegurança na cultura organizacional do tecido empresarial português e nas entidades, órgãos e serviços que constituem a Administração Pública. Com efeito, o aumento da ocorrência de incidentes de cibersegurança pode comprometer a segurança e o interesse nacional, acarretar perigo para a vida humana, perdas de natureza financeira, bem como comprometer a confidencialidade, a integridade e a disponibilidade da informação, das redes e dos sistemas de informação da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços essenciais e dos prestadores de serviços digitais. Em face destas ameaças e considerando o disposto na Diretiva a transpor, o regime aprovado pelo decreto-lei autorizado pela presente proposta de lei expande significativamente o conjunto de entidades abrangidas pelo regime, priorizando, por um lado, a generalização da prevenção dos riscos de cibersegurança, mas graduando a exigência regulatória em função da dimensão da entidade e da importância da sua atividade, bem como privilegiando a proporcionalidade das medidas aplicáveis. O seu âmbito de aplicação abrange uma parte significativa da Administração Pública, adaptando o regime à dimensão e tipologia da entidade pública em causa. É ainda de assinalar que, tal como admitido pela Diretiva a transpor, o regime aprovado pelo decreto-lei autorizado exclui do seu âmbito de aplicação as entidades públicas nos domínios da segurança nacional, da segurança pública, da defesa e dos serviços de informações. Entre os aspetos relevantes do regime aprovado pelo decreto-lei autorizado, encontra-se ainda o aprofundamento de três instrumentos fundamentais para as políticas públicas de cibersegurança: a Estratégia Nacional de Segurança do Ciberespaço, definindo as prioridades e os objetivos estratégicos nacionais em matéria de cibersegurança; o Plano Nacional de Resposta a Crises e Incidentes de Cibersegurança em grande escala, regulando e aperfeiçoando a gestão deste tipo de incidentes; e o Quadro Nacional de Referência para a Cibersegurança, que reunirá e permitirá a divulgação de normas, padrões e boas práticas na gestão da Cibersegurança. Acresce que o quadro institucional do regime aprovado pelo decreto-lei autorizado é alargado em relação ao regime anterior, conforme imposto pela Diretiva a transpor. Nesse sentido, o Centro Nacional de Cibersegurança (CNCS) reforça a sua função de autoridade nacional de cibersegurança, destacando-se ainda o estabelecimento de autoridades de supervisão «setoriais» e «especiais», que exercem supervisão sobre setores específicos da economia, assim se garantindo a estabilidade na supervisão de cada um dos setores abrangidos, bem como aliviando as tarefas transversais cometidas ao CNCS. No plano interadministrativo, o modelo proposto estabelece uma arquitetura de convergência, de cooperação e de interoperabilidade entre as várias entidades nacionais competentes em matéria de cibersegurança e de segurança interna e externa, fomentando, em particular, a transversalidade dos fluxos de informação relevante e a partilha de contributos táticos na resposta a incidentes entre as entidades nacionais competentes em matéria de cibersegurança, numa lógica de maximização das capacidades públicas portuguesas para a prevenção, a deteção precoce, a mitigação, a repressão e a responsabilização de ciberameaças. O fortalecimento da cooperação com o setor privado é outro dos eixos do desenho institucional previsto no regime aprovado pelo decreto-lei autorizado, fomentando-se a colaboração entre as autoridades competentes e os privados nas várias matérias relevantes. Quanto ao modelo de gestão dos riscos previsto no regime aprovado pelo decreto-lei autorizado, este consiste na fixação de padrões pré-definidos de risco, aplicáveis a cada setor e tipo de entidade, e na aplicação de medidas de prevenção correspondentes, acrescendo ainda uma análise do risco residual. Este modelo permite desonerar as autoridades de uma análise casuística do risco de cada entidade abrangida, facilitando ainda que as entidades abrangidas conheçam a categoria em que se inserem e, assim, as medidas mínimas que devem adotar. Nestes termos, o modelo proposto introduz simplicidade, previsibilidade e uma melhor adequação das medidas obrigatórias ao quadro de ameaças aplicável a cada setor de atividade. Por outro lado, o modelo fomenta a criação de um mercado de certificação em cibersegurança, o que terá utilidade económica e permitirá generalizar uma presunção de conformidade das entidades. Por fim, quanto ao modelo de supervisão previsto no regime aprovado pelo decreto-lei autorizado, este, refletindo o disposto na Diretiva a transpor, prevê um regime dual, diferenciando o tratamento a dar às entidades essenciais e importantes em função dos riscos de cibersegurança associados a cada categoria, em cumprimento, mais uma vez, do princípio da proporcionalidade. O decreto-lei autorizado concentrou-se na construção do quadro jurídico aplicável em matéria de cibersegurança. Contudo, a entrada em vigor do novo regime implicará necessariamente um reforço significativo da capacidade do CNCS e uma nova reflexão sobre o seu enquadramento institucional. Assim: Nos termos da alínea d) do n.º 1 do artigo 197.º da Constituição, o Governo apresenta à Assembleia da República a seguinte proposta de lei: Objeto Fica o Governo autorizado a aprovar o regime jurídico da cibersegurança, transpondo a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, destinada a garantir um elevado nível comum de cibersegurança em toda a União. Sentido e extensão A autorização referida no artigo anterior tem como sentido e extensão: Aprovar o regime jurídico da cibersegurança, transpondo, para a ordem jurídica interna, a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União, que altera o Regulamento (UE) n.º 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 1); Executar, na ordem jurídica interna, as obrigações decorrentes do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.º 526/2013 (Regulamento Cibersegurança), implementando um quadro nacional de certificação da cibersegurança; Proceder à nona alteração à Lei de Segurança Interna, aprovada pela Lei n.º 53/2008, de 29 de agosto, na sua redação atual; Proceder à segunda alteração à Lei do Cibercrime, aprovada pela Lei n.º 109/2009, 15 de setembro, alterada pela Lei n.º 79/2021, de 24 de novembro. Proceder à segunda alteração à Lei das Comunicações Eletrónicas, aprovada pela Lei n.º 16/2022, de 16 de agosto, alterada pelo Decreto-Lei n.º 114/2024, de 20 de dezembro. Sentido e extensão relativos ao disposto na alínea a) do artigo anterior A autorização legislativa referida na alínea a) do artigo anterior é concedida com o seguinte sentido e extensão: Ampliar o âmbito de aplicação do regime jurídico da cibersegurança, excluindo as entidades nos domínios da segurança nacional, da segurança pública, da defesa e dos serviços de informações, mas abrangendo uma parte substancial da Administração Pública, incluindo os serviços técnicos e administrativos dos órgãos de soberania, e ainda as designadas entidades essenciais, importantes e públicas relevantes, distinguidas mediante um conjunto de critérios relacionados com a importância, a dimensão e a tipologia da entidade, incluindo, designadamente: No que respeita às entidades essenciais, o respetivo grau de exposição a riscos, a dimensão da entidade, a importância da sua atividade e a probabilidade de ocorrência de incidentes e a sua gravidade, social e económica; No que respeita a entidades importantes, a não aplicação dos critérios aplicáveis às entidades essenciais; No que respeita a entidades públicas relevantes de Grupo A, a não aplicação dos critérios aplicáveis às entidades essenciais ou importantes, a natureza da entidade pública e a sua dimensão; No que respeita a entidades públicas relevantes de Grupo B, a não aplicação dos critérios aplicáveis às entidades essenciais ou importantes, a natureza da entidade pública e a sua dimensão; Habilitar o desenvolvimento dos instrumentos estruturantes da segurança do ciberespaço, incluindo: A Estratégia Nacional de Segurança do Ciberespaço, que definirá as prioridades e os objetivos estratégicos nacionais em matéria de cibersegurança; O Plano Nacional de Resposta a Crises e Incidentes de Cibersegurança em grande escala, regulando e aperfeiçoando a gestão deste tipo de incidentes; O Quadro Nacional de Referência para a Cibersegurança, reunindo e divulgando as normas, padrões e boas práticas na gestão da Cibersegurança; Prever um novo quadro institucional da segurança do ciberespaço, incluindo, designadamente: O Conselho Superior de Segurança do Ciberespaço, na qualidade de órgão consultivo do Primeiro-Ministro no domínio da cibersegurança; O Centro Nacional de Cibersegurança, na qualidade de autoridade nacional de cibersegurança; O Gabinete Nacional de Segurança e a Autoridade Nacional de Comunicações, na qualidade de autoridades nacionais setoriais de cibersegurança; A Autoridade de Supervisão de Seguros e Fundos de Pensões, a Comissão do Mercado de Valores Mobiliários e o Banco de Portugal, na qualidade de autoridades nacionais especiais de cibersegurança; Prever um novo regime aplicável às avaliações de segurança e propostas emitidas pela Comissão de Avaliação de Segurança do Ciberespaço, bem como às decisões, cuja competência é atribuída ao membro do Governo responsável pela área da cibersegurança, de aplicação de restrições provisórias à utilização, a cessação de utilização ou exclusão de equipamentos, componentes ou serviços de tecnologias de informação e comunicação, considerados de elevado risco para a segurança do ciberespaço nacional; Estabelecer um novo regime de gestão dos riscos de cibersegurança, incluindo, designadamente: A previsão de obrigações próprias dos órgãos de gestão, direção e administração das entidades abrangidas; A previsão de um sistema de gestão de riscos de cibersegurança, constituído das medidas técnicas, operacionais e organizativas adequadas para gerir os riscos de cibersegurança; A imposição de uma análise do risco residual, da emissão de um relatório anual sobre cibersegurança e da designação de um responsável de cibersegurança e de um ponto de contacto permanente nas entidades abrangidas; Prever um novo regime de prevenção e tratamento de incidentes de cibersegurança, incluindo, designadamente, o dever de as entidades abrangidas notificarem qualquer incidente significativo à autoridade de cibersegurança competente; Prever um novo regime de supervisão e execução em matéria de cibersegurança, que habilita a autoridade de cibersegurança competente a supervisionar o cumprimento do regime e a adotar, em relação às entidades abrangidas, medidas adequadas à prossecução daquele cumprimento, submetidas ao princípio da proporcionalidade e a garantias procedimentais, designadamente: Inspeções no local e a supervisão remota; Auditorias de segurança e ad hoc; Verificações de segurança; Pedidos de informações e de apresentação das provas demonstrativas da aplicação das políticas e procedimentos de cibersegurança; Advertências, ordens ou instruções vinculativas; Suspensão de certificação, autorização ou licença relativa à atividade da entidade; Solicitação ao órgão competente da suspensão da autorização ou da licença relativa à atividade da entidade; Bloqueio e redireccionamento de endereços de protocolo IP; Estabelecer um novo regime sancionatório em matéria de cibersegurança, incluindo, designadamente, a previsão de um regime contraordenacional, a previsão da possibilidade de as entidades solicitarem fundamentadamente à autoridade de cibersegurança competente a dispensa da aplicação de coimas durante 12 meses a contar da entrada em vigor do regime, e ainda a impugnabilidade das decisões da autoridade de cibersegurança competente no âmbito de processos de contraordenação para os tribunais judiciais. Sentido e extensão relativos ao disposto na alínea c) do artigo 2.º A autorização legislativa referida na alínea c) do artigo 2.º é concedida com o sentido e extensão de prever e regular um novo gabinete de crise, visando assegurar a condução de crises de cibersegurança com impacto na segurança interna. Sentido e extensão relativos ao disposto na alínea d) do artigo 2.º A autorização legislativa referida na alínea d) do artigo 2.º é concedida com o sentido e extensão de proceder à despenalização de factos suscetíveis de consubstanciar os crimes de acesso ilegítimo e de interceção ilegítima mediante a verificação cumulativa de um conjunto de circunstâncias, incluindo, designadamente: O agente atuar com a intenção única de identificar a existência de vulnerabilidades em sistema de informação, produtos e serviços de tecnologias de informação e comunicação, que não tenham sido criadas por si ou por terceiro de quem dependa, e com propósito de, através da sua divulgação, contribuir para a segurança do ciberespaço; O agente não atuar com o propósito de obter vantagem económica ou promessa de vantagem económica decorrente da sua ação, sem prejuízo da remuneração que aquele obtenha como contrapartida da sua atividade profissional; O agente comunicar, imediatamente após a sua ação, as eventuais vulnerabilidades identificadas, ao proprietário ou pessoa por ele designada para gerir o sistema de informação, produto ou serviço de tecnologias de informação e comunicação, ao titular de quaisquer dados obtidos e que se encontrem protegidos ao abrigo da legislação aplicável em matéria de proteção de dados pessoais, designadamente, o Regulamento Geral de Proteção de Dados (RGPD), aprovado pelo Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, a Lei n.º 26/2016, de 22 de agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto e a Lei n.º 59/2019, de 8 de agosto; A atuação do agente ser proporcional aos seus propósitos e estritamente limitada pelos mesmos, bastando-se com as ações necessárias à identificação das vulnerabilidades e não provocando: Uma perturbação ou interrupção do funcionamento do sistema ou serviço em causa; A eliminação ou deterioração de dados informáticos ou a sua cópia não autorizada; Qualquer efeito prejudicial, danoso ou nocivo sobre a pessoa ou entidade afetada, direta ou indiretamente, ou sobre quaisquer terceiros, excluindo os efeitos correspondentes ao próprio acesso ilegítimo ou interceção ilegítima, nos termos previstos nos artigos 6.º e 7.º da Lei n.º 109/2009, de 15 de setembro, e ainda os que resultariam já, com elevada probabilidade, da própria vulnerabilidade detetada ou da sua exploração. A atuação do agente não consubstanciar a violação de dados pessoais protegidos ao abrigo da legislação aplicável em matéria de proteção de dados pessoais, designadamente, do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, da Lei n.º 58/2019, de 8 de agosto e da Lei n.º 59/2019, de 8 de agosto. Duração A autorização concedida pela presente lei tem a duração de 180 dias. Visto e aprovado em Conselho de Ministros de 3 de julho de 2025 O Primeiro-Ministro O Ministro da Presidência O Ministro dos Assuntos Parlamentares DECRETO-LEI AUTORIZADO O presente decreto-lei aprova o regime jurídico da cibersegurança, transpondo a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, destinada a garantir um elevado nível comum de cibersegurança em toda a União. A preservação da cibersegurança desempenha um papel crucial em matéria de segurança nacional e internacional, no funcionamento do Estado e dos agentes económicos, bem como na construção da confiança dos cidadãos no processo de modernização digital da Administração Pública. A transposição para o ambiente digital de funções essenciais das atividades institucionais e da vivência pessoal e profissional dos cidadãos justifica o reforço do quadro regulamentar e organizacional de cibersegurança, executado em harmonia com todo o espaço e em defesa contra ciberameaças comuns. Esta iniciativa legislativa ocorre perante a consciência, não só da gravidade premente colocada pelas múltiplas ciberameaças, como do elevado potencial disruptivo das suas ações hostis contra ativos digitais, sendo imperioso um reforço da capacitação nacional para a prevenção de atos que possam condicionar a segurança e o interesse nacional, bem como as múltiplas dinâmicas funcionais e produtivas da sociedade portuguesa. De facto, perante o aumento assinalável da quantidade e da sofisticação das ameaças, bem como a crescente utilização e dependência do uso das tecnologias de informação e comunicação por toda a sociedade, afigura-se indispensável assegurar a generalização da cibersegurança na cultura organizacional do tecido empresarial português e nas entidades, órgãos e serviços que constituem a Administração Pública. Com efeito, o aumento da ocorrência de incidentes de cibersegurança pode comprometer a segurança e o interesse nacional, acarretar perigo para a vida humana, perdas de natureza financeira, bem como comprometer a confidencialidade, a integridade e a disponibilidade da informação, das redes e dos sistemas de informação da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços essenciais e dos prestadores de serviços digitais. Em face destas ameaças e considerando o disposto na Diretiva a transpor, o regime aprovado pelo presente decreto-lei expande significativamente o conjunto de entidades abrangidas pelo regime, priorizando, por um lado, a generalização da prevenção dos riscos de cibersegurança, mas graduando a exigência regulatória em função da dimensão da entidade e da importância da sua atividade, bem como privilegiando a proporcionalidade das medidas aplicáveis. O seu âmbito de aplicação abrange uma parte significativa da Administração Pública, adaptando o regime à dimensão e tipologia da entidade pública em causa. É ainda de assinalar que, tal como admitido pela Diretiva a transpor, o regime aprovado pelo presente decreto-lei exclui do seu âmbito de aplicação as entidades públicas nos domínios da segurança nacional, da segurança pública, da defesa e dos serviços de informações. Entre os aspetos relevantes do regime aprovado pelo presente decreto-lei, encontra-se ainda o aprofundamento de três instrumentos fundamentais para as políticas públicas de cibersegurança: a Estratégia Nacional de Segurança do Ciberespaço, definindo as prioridades e os objetivos estratégicos nacionais em matéria de cibersegurança; o Plano Nacional de Resposta a Crises e Incidentes de Cibersegurança em grande escala, regulando e aperfeiçoando a gestão deste tipo de incidentes; e o Quadro Nacional de Referência para a Cibersegurança, que reunirá e permitirá a divulgação de normas, padrões e boas práticas na gestão da Cibersegurança. Acresce que o quadro institucional do regime aprovado pelo presente decreto-lei é alargado em relação ao regime anterior, conforme imposto pela Diretiva a transpor. Nesse sentido, o Centro Nacional de Cibersegurança (CNCS) reforça a sua função de autoridade nacional de cibersegurança, destacando-se ainda o estabelecimento de autoridades de supervisão «setoriais» e «especiais», que exercem supervisão sobre setores específicos da economia, assim se garantindo a estabilidade na supervisão de cada um dos setores abrangidos, bem como aliviando as tarefas transversais cometidas ao CNCS. No plano interadministrativo, o modelo proposto estabelece uma arquitetura de convergência, de cooperação e de interoperabilidade entre as várias entidades nacionais competentes em matéria de cibersegurança e de segurança interna e externa, fomentando, em particular, a transversalidade dos fluxos de informação relevante e a partilha de contributos táticos na resposta a incidentes entre as entidades nacionais competentes em matéria de cibersegurança, numa lógica de maximização das capacidades públicas portuguesas para a prevenção, a deteção precoce, a mitigação, a repressão e a responsabilização de ciberameaças. O fortalecimento da cooperação com o setor privado é outro dos eixos do desenho institucional previsto no regime aprovado presente pelo decreto-lei, fomentando-se a colaboração entre as autoridades competentes e os privados nas várias matérias relevantes. Quanto ao modelo de gestão dos riscos previsto no regime aprovado pelo presente decreto-lei, este consiste na fixação de padrões pré-definidos de risco, aplicáveis a cada setor e tipo de entidade, e na aplicação de medidas de prevenção correspondentes, acrescendo ainda uma análise do risco residual. Este modelo permite desonerar as autoridades de uma análise casuística do risco de cada entidade abrangida, facilitando ainda que as entidades abrangidas conheçam a categoria em que se inserem e, assim, as medidas mínimas que devem adotar. Nestes termos, o modelo proposto introduz simplicidade, previsibilidade e uma melhor adequação das medidas obrigatórias ao quadro de ameaças aplicável a cada setor de atividade. Por outro lado, o modelo fomenta a criação de um mercado de certificação em cibersegurança, o que terá utilidade económica e permitirá generalizar uma presunção de conformidade das entidades. Por fim, quanto ao modelo de supervisão previsto no regime aprovado pelo presente decreto-lei, este, refletindo o disposto na Diretiva a transpor, prevê um regime dual, diferenciando o tratamento a dar às entidades essenciais e importantes em função dos riscos de cibersegurança associados a cada categoria, em cumprimento, mais uma vez, do princípio da proporcionalidade. O presente decreto-lei tem, assim, como objetivo a consagração do novo quadro jurídico aplicável em matéria de cibersegurança, sem prejuízo de a entrada em vigor deste regime implicar necessariamente um reforço significativo da capacidade do CNCS e uma nova reflexão sobre o seu enquadramento institucional. O presente decreto-lei foi submetido a consulta pública entre 22 de novembro e 31 de dezembro de 2024. [Foram ouvidos os órgãos de governo próprio das Regiões Autónomas, a Associação Nacional de Municípios Portugueses e a Comissão Nacional de Proteção de Dados]. Assim: No uso da autorização legislativa concedida pelo artigo […] da Lei n.º […], de […], e nos termos das alíneas a) e b) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte: Objeto O presente decreto-lei aprova o regime jurídico da cibersegurança, transpondo, para a ordem jurídica interna, a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União, que altera o Regulamento (UE) n.º 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 1). O presente decreto-lei procede ainda à: Execução, na ordem jurídica interna, das obrigações decorrentes do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.º 526/2013 (Regulamento Cibersegurança), implementando um quadro nacional de certificação da cibersegurança; Nona alteração à Lei de Segurança Interna, aprovada pela Lei n.º 53/2008, de 29 de agosto, na sua redação atual; Segunda alteração à Lei do Cibercrime, aprovada pela Lei n.º 109/2009, 15 de setembro, alterada pela Lei n.º 79/2021, de 24 de novembro; Segunda alteração à Lei das Comunicações Eletrónicas, aprovada pela Lei n.º 16/2022, de 16 de agosto, alterada pelo Decreto-Lei n.º 114/2024, de 20 de dezembro. O disposto no presente decreto-lei não prejudica as medidas e o quadro legal vigente destinados a salvaguardar as funções essenciais do Estado, nomeadamente as medidas e disposições referentes à preservação da segurança e do interesse nacional, à produção de informações para a segurança interna e externa do Estado português, à proteção do segredo de Estado e da informação classificada, e ainda a salvaguardar a manutenção da ordem pública e a permitir a investigação, a deteção e a repressão de infrações criminais, sem prejuízo do previsto nos artigos 7.º e 8.º. Regime jurídico da cibersegurança É aprovado, em anexo ao presente decreto-lei e do qual faz parte integrante, o regime jurídico da cibersegurança. Alteração à Lei n.º 53/2008, de 29 de agosto O artigo 16.º da Lei de Segurança Interna, aprovada pela Lei n.º 53/2008, de 29 de agosto, na sua redação atual, passa ter a seguinte redação: «Artigo 16.º […] […]. […]. […]. Ao Secretário-Geral do Sistema de Segurança Interna compete convocar, nos termos do artigo 25.º-A, um gabinete de crise na sequência da atribuição de um grau de ameaça elevado pelo Serviço de Informações de Segurança , ou equivalente nível de alerta nacional para Cibersegurança, ou quando for informado pelo Centro Nacional de Cibersegurança ou por qualquer entidade competente, designadamente forças e serviços de segurança, sobre a ocorrência de uma ciberameaça significativa ou de crise ou incidente suscetível de ser considerado em grande escala.» Alteração à Lei n.º 109/2009, de 15 de setembro O artigo 2.º da Lei do Cibercrime, aprovada pela Lei n.º 109/2009, de 15 de setembro, na sua redação atual, passa a ter a seguinte redação: «Artigo 2.º […] […]: […]; […]; […]; […]; […]; […]; […]; «Vulnerabilidade», uma fragilidade, suscetibilidade ou falha, que afeta redes e sistemas de informação, produtos ou serviços de tecnologias da informação ou comunicação, passível de ser explorada por uma ciberameaça, definida na aceção do ponto n.º 8 do artigo 2.º do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho de 17 de abril de 2019.» Alteração à Lei n.º 16/2022, de 16 de agosto O artigo 13.º da Lei das Comunicações Eletrónicas, aprovada pela Lei n.º 16/2022, de 16 de agosto, na sua redação atual, passa a ter a seguinte redação: «Artigo 13.º […] […]. Não obstante o disposto no número anterior, o artigo 177.º, a alínea q) do n.º 3 do artigo 178.º, o artigo 179.º, o artigo 180.º, o artigo 181.º, o artigo 182.º e o artigo 183.º da Lei das Comunicações Eletrónicas, aprovada em anexo à presente lei, entram em vigor no dia seguinte ao da sua publicação.» Aditamento à Lei n.º 53/2008, de 29 de agosto É aditado o artigo 25.º-A à Lei de Segurança Interna, aprovada pela Lei n.º 53/2008, de 29 de agosto, na sua redação atual, com a seguinte redação: «Artigo 25.º-A Gabinete de crise O gabinete de crise referido no n.º 4 do artigo 16.º é composto por representantes da Polícia Judiciária, do Serviço de Informações de Segurança, do Serviço de Informações Estratégicas de Defesa, do Centro Nacional de Cibersegurança e do Comando de Operações de Ciberdefesa, ou de outras entidades com relevância em razão da matéria. O gabinete de crise referido no número anterior visa assegurar, de forma coordenada e sem prejuízo das competências legalmente atribuídas a cada entidade, a condução de crises de cibersegurança com impacto na segurança interna e, em situações de ocorrências com impacto transnacional, garantir a interoperabilidade funcional com entidades congéneres da União Europeia.» Aditamento à Lei n.º 109/2009, de 15 de setembro É aditado o artigo 8.º-A à Lei do Cibercrime, aprovada pela Lei n.º 109/2009, de 15 de setembro, na sua redação atual, com a seguinte redação: «Artigo 8.º-A Atos não puníveis por interesse público de cibersegurança Não são puníveis factos suscetíveis de consubstanciar os crimes de acesso ilegítimo e de interceção ilegítima previstos, respetivamente, nos artigos 6.º e 7.º, se verificadas, cumulativamente, as seguintes circunstâncias: O agente atue com a intenção única de identificar a existência de vulnerabilidades em sistema de informação, produtos e serviços de tecnologias de informação e comunicação, que não tenham sido criadas por si ou por terceiro de quem dependa, e com propósito de, através da sua divulgação, contribuir para a segurança do ciberespaço; O agente não atue com o propósito de obter vantagem económica ou promessa de vantagem económica decorrente da sua ação, sem prejuízo da remuneração que aquele obtenha como contrapartida da sua atividade profissional; O agente comunique, imediatamente após a sua ação, as eventuais vulnerabilidades identificadas, ao proprietário ou pessoa por ele designada para gerir o sistema de informação, produto ou serviço de tecnologias de informação e comunicação, ao titular de quaisquer dados obtidos e que se encontrem protegidos ao abrigo da legislação aplicável em matéria de proteção de dados pessoais, designadamente, o Regulamento Geral de Proteção de Dados (RGPD), aprovado pelo Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, a Lei n.º 26/2016, de 22 de agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto e a Lei n.º 59/2019, de 8 de agosto; A atuação do agente seja proporcional aos seus propósitos e estritamente limitada pelos mesmos, bastando-se com as ações necessárias à identificação das vulnerabilidades e não provocando: Uma perturbação ou interrupção do funcionamento do sistema ou serviço em causa; A eliminação ou deterioração de dados informáticos ou a sua cópia não autorizada; Qualquer efeito prejudicial, danoso ou nocivo sobre a pessoa ou entidade afetada, direta ou indiretamente, ou sobre quaisquer terceiros, excluindo os efeitos correspondentes ao próprio acesso ilegítimo ou interceção ilegítima, nos termos previstos nos artigos 6.º e 7.º, e ainda os que resultariam já, com elevada probabilidade, da própria vulnerabilidade detetada ou da sua exploração; A atuação do agente não consubstancie a violação de dados pessoais protegidos ao abrigo da legislação aplicável em matéria de proteção de dados pessoais, designadamente, do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, da Lei n.º 58/2019, de 8 de agosto e da Lei n.º 59/2019, de 8 de agosto. A comunicação prevista na alínea c) do número anterior, deve ser feita também à autoridade nacional de cibersegurança, que a remete à Polícia Judiciária sempre que revista relevância criminal. Para efeitos de determinação da proporcionalidade da atuação do agente, tomar-se-á em conta se a mesma era necessária à deteção da vulnerabilidade e se a extensão dos sistemas ou dados informáticos acedidos, consultados e/ou copiados era imposta pelo interesse em contribuir para a segurança do ciberespaço, sendo expressamente vedado o uso das seguintes práticas: Mecanismos de negação de serviço (DoS) ou negação de serviço distribuída (DDoS); Engenharia social, definido como facto de enganar de responsáveis ou utilizadores dos sistemas de informação com vista à disponibilização de informação sensível ou sigilosa; «Phishing» e variantes; Roubo ou furto de palavras-passe ou outras informações sensíveis; Eliminação ou alteração dolosa de dados informáticos; Inflição dolosa de danos ao sistema de informação; Instalação e distribuição de software malicioso. Sem prejuízo das regras aplicáveis em matéria de proteção de dados, os dados informáticos que sejam comunicados ao proprietário ou pessoa encarregue da gestão do sistema de informação, produto e serviço de tecnologias de informação e comunicação, ou à autoridade nacional de cibersegurança devem ser eliminados no prazo de 10 dias contados a partir do momento em que a vulnerabilidade for corrigida, devendo garantir-se a sua natureza secreta durante todo o procedimento. Não são igualmente puníveis os factos praticados com consentimento do proprietário ou administrador de sistema de informação, produto ou serviço de tecnologias de informação e comunicação, sem prejuízo do dever de notificação das vulnerabilidades eventualmente identificadas à autoridade nacional coordenadora encarregada da resposta a incidentes de cibersegurança das vulnerabilidades eventualmente identificadas, nos termos previstos no regime jurídico da cibersegurança.» Norma transitória A entrada em vigor do presente decreto-lei não prejudica a validade das decisões tomadas pela Comissão de Avaliação de Segurança ao abrigo do regime anterior, que continuam a produzir efeitos pelo período de 180 dias após a data da entrada em vigor do presente decreto-lei, durante o qual deve ser realizada nova avaliação de segurança. Com base na nova avaliação de segurança referida no número anterior, e ao abrigo do regime aprovado em anexo ao presente decreto-lei, o membro do Governo responsável pela área da cibersegurança pode decidir pela renovação, modificação ou substituição das decisões adotadas pela Comissão de Avaliação de Segurança no âmbito do regime anterior. Mantêm-se em vigor, até à respetiva substituição ou revogação pelas entidades competentes, os regulamentos e atos adotados pela ANACOM, em matéria de segurança e de integridade das redes e serviços, que tenham sido adotados ao abrigo da Lei n.º 5/2004, de 10 de fevereiro, da Lei n.º 16/2022, de 18 de agosto, e do Decreto-Lei n.º 65/2021, de que 30 de julho, que não sejam incompatíveis com o disposto no presente decreto-lei. Norma revogatória São revogados: O artigo 2.º-A do Decreto-Lei n.º 3/2012, de 16 de janeiro, na sua redação atual, que aprova a orgânica do Gabinete Nacional de Segurança. O regime jurídico da segurança do ciberespaço, aprovado pela Lei n.º 46/2018, de 13 de agosto; A regulamentação do regime jurídico da segurança do ciberespaço, aprovada pelo Decreto-Lei n.º 65/2021, de 30 de julho; Os artigos 59.º a 65.º e as alíneas m) a t) do n.º 3 do artigo 178.º da Lei das Comunicações Eletrónicas, aprovada pela Lei n.º 16/2022, de 16 de agosto, na sua redação atual. Produção de efeitos O disposto na alínea d) do artigo 9.º produz efeitos após a substituição ou revogação, pelas entidades competentes, dos regulamentos e atos adotados pela ANACOM, em matéria de segurança e de integridade das redes e serviços, ao abrigo da Lei n.º 5/2004, de 10 de fevereiro, da Lei n.º 16/2022, de 18 de agosto, e do Decreto-Lei n.º 65/2021, de que 30 de julho, e que não sejam incompatíveis com o disposto no presente decreto-lei. O disposto nos n.ºs 1 e 2 do artigo 27.º, nos artigos 28.º a 30.º, 33.º e nas alíneas b), c) e f) do n.º 1 do artigo 61.º do regime jurídico da cibersegurança, aprovado em anexo ao presente decreto-lei, produz efeitos 24 meses após a publicação da regulamentação referida nos artigos 8.º, 14.º, 26.º, 31.º, 32.º e 83.º do referido regime. Entrada em vigor O presente decreto-lei entra em vigor 120 dias após a sua publicação. Visto e aprovado em Conselho de Ministros de O Primeiro-Ministro O Ministro de Estado e dos Negócios Estrangeiros O Ministro de Estado e das Finanças O Ministro da Presidência O Ministro da Economia e da Coesão Territorial ANEXO (a que se refere o artigo 2.º) Regime jurídico da cibersegurança Capítulo I Disposições gerais Artigo 1.º Objeto O presente decreto-lei estabelece o regime jurídico da cibersegurança, transpondo, para a ordem jurídica interna, a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União, que altera o Regulamento (UE) n.º 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 1). O disposto no presente decreto-lei não prejudica o cumprimento do disposto na legislação aplicável em matéria de: Processos de investigação criminal pelas autoridades judiciárias e pelos órgãos de polícia criminal competentes, nomeadamente pelo Ministério Público e pela Polícia Judiciária; Processos das respetivas competências exclusivas do Serviço de Informações de Segurança e do Serviço de Informações Estratégicas de Defesa em matéria de produção de informações referentes à salvaguarda da independência nacional, dos interesses nacionais, da segurança externa e interna do Estado Português, e da prevenção da sabotagem, do terrorismo, da espionagem e da prática de atos que, pela sua natureza, possam alterar ou destruir o Estado de direito constitucionalmente estabelecido; Proteção de dados pessoais, designadamente no âmbito do Regulamento Geral de Proteção de Dados (RGPD), aprovado pelo Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, a Lei n.º 26/2016, de 22 de agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto e a Lei n.º 59/2019, de 8 de agosto; Tratamento de dados pessoais e proteção da privacidade no setor das comunicações eletrónicas, designadamente no âmbito do disposto na Lei n.º 41/2004, de 18 de agosto na sua redação atual. Identificação e designação de infraestruturas críticas nacionais e europeias, designadamente no âmbito do Decreto-Lei n.º 20/2022, de 28 de janeiro; Luta contra o abuso sexual e a exploração sexual de crianças e a pornografia infantil, designadamente no âmbito da Lei n.º 103/2015, de 24 de agosto; Proteção do utente de serviços públicos essenciais, designadamente no âmbito da Lei n.º 23/96, de 26 de julho, na sua redação atual; Segurança e emergência no setor das comunicações eletrónicas, designadamente no âmbito do disposto na Lei das Comunicações Eletrónicas, aprovada pela Lei n.º 16/2022, de 16 de agosto, na sua redação atual; Segredo de Estado e Informação Classificada, designadamente no âmbito do disposto na Lei Orgânica n.º 2/2014, de 6 de agosto, alterada pela Lei n.º 1/2015, de 8 de janeiro. Artigo 2.º Definições Para efeitos do presente decreto-lei, entende-se por: «Ativo», todo o sistema de informação e comunicação, os equipamentos e os demais recursos físicos e lógicos geridos ou detidos pela entidade, que suportam, direta ou indiretamente, um ou mais serviços; «Autoridade de cibersegurança competente», o Centro Nacional de Cibersegurança (CNCS), ou, quando aplicável, a autoridade nacional setorial de cibersegurança competente nos termos da alínea a) do n.º 2 do artigo 15., sem prejuízo das reservas de competência exclusiva de entidades públicas com responsabilidades em matéria de investigação criminal, de produção de informações e de ciberdefesa; «Ciberameaça», uma ciberameaça nos termos do ponto 8 do artigo 2.º do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019; «Ciberameaça significativa», uma ciberameaça que, com base nas suas características técnicas, possa ser considerada suscetível de ter um impacto grave nas redes e sistemas de informação de uma entidade ou dos utilizadores dos serviços das entidades, causando danos materiais ou imateriais consideráveis; «Cibersegurança», cibersegurança nos termos do ponto 1 do artigo 2.º Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019; «Entidade», uma pessoa coletiva criada e reconhecida como tal pelo direito nacional do seu local de estabelecimento, que, atuando em seu próprio nome, pode exercer direitos e estar sujeita a obrigações; «Entidades competentes no âmbito da segurança do ciberespaço», o Comando de Operações de Ciberdefesa do Estado Maior General das Forças Armadas, a Polícia Judiciária, o Serviço de Informações de Segurança e o Serviço de Informações Estratégicas de Defesa; «Entidade que presta serviços de registo de nomes de domínio», um agente de registo ou um agente que atua em nome de agentes de registo, tal como um prestador ou revendedor de serviços de proteção da privacidade ou de registo de servidores intermediários; «Especificação técnica», uma especificação técnica nos termos do ponto 4 do artigo 2.º do Regulamento (UE) n.º 1025/2012, do Parlamento Europeu e do Conselho, de 25 de outubro de 2012; «Incidente», um evento que ponha em causa a disponibilidade, a autenticidade, a integridade ou a confidencialidade de dados armazenados, transmitidos ou tratados ou dos serviços oferecidos por redes e sistemas de informação ou acessíveis por intermédio destas; «Crise ou incidente de cibersegurança em grande escala», um incidente que cause um nível de perturbação superior à capacidade de resposta do Estado Português, que tenha um impacto significativo em, pelo menos, dois Estados-Membros da União Europeia, ou que, pelo seu alcance e impacto sistémico, reclame coordenação intersectorial urgente; «Incidente significativo», um incidente que: Cause, ou seja suscetível de causar, graves perturbações operacionais dos serviços ou perdas financeiras à entidade em causa; Afete, ou seja suscetível de afetar, outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis; «Matriz de risco», o quadro referencial que estabelece os valores de risco para o conjunto de cenários de risco que recai sobre um setor e subsetor de atividade, considerando os ativos comuns, as principais ameaças e vulnerabilidades; «Medidas de gestão dos riscos de cibersegurança ou medidas de cibersegurança», medidas de âmbito técnico, operacional e organizacional, visando gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam nas suas operações ou na prestação dos seus serviços, bem como impedir ou minimizar o impacto de incidentes nos destinatários dos seus serviços e noutros serviços; «Mercado em linha», um mercado em linha nos termos da alínea n) do artigo 3.º do Decreto-Lei n.º 57/2008, de 26 de março, na sua redação atual, que estabelece o regime aplicável às práticas comerciais desleais; «Motor de pesquisa em linha», um motor de pesquisa em linha nos termos conjugados do disposto no ponto 5) do artigo 2.º do Regulamento (UE) 2019/1150, do Parlamento Europeu e do Conselho, de 20 de junho de 2019, e da alínea j) do artigo 3.º do Regulamento (UE) 2022/2065, do Parlamento e do Conselho, de 19 de outubro de 2022; «Norma», uma norma nos termos do ponto 1 do artigo 2.o do Regulamento (UE) n.º 1025/2012, do Parlamento Europeu e do Conselho, de 25 de outubro de 2012; «Operações de cibersegurança», ações de operacionalização das medidas de gestão dos riscos de cibersegurança; «Organismo de investigação», uma entidade cujo objetivo principal é realizar investigação aplicada ou desenvolvimento experimental com vista à exploração dos resultados dessa investigação para fins comerciais ou científicos; «Plataforma de serviços de redes sociais», uma plataforma em linha, definida de acordo com a alínea i) do artigo 3.º do Regulamento (UE) 2022/2065, do Parlamento Europeu e do Conselho, de 19 de outubro de 2022, que permite que utilizadores finais se conectem, partilhem, descubram e comuniquem entre si em vários dispositivos, especialmente por intermédio de conversas, publicações, vídeos e recomendações; «Ponto de troca de tráfego», uma estrutura de rede que: Permita a interligação de mais de duas redes independentes (sistemas autónomos), sobretudo a fim de facilitar a troca de tráfego na Internet; Só interligue sistemas autónomos; Não implique que o tráfego na Internet entre um par de sistemas autónomos participantes passe através de um terceiro sistema autónomo, não altere esse tráfego nem interfira nele de qualquer outra forma. «Prestador de serviços de DNS», uma entidade que presta serviços de resolução recursiva de nomes de domínio acessíveis ao público para os utilizadores finais de Internet ou serviços de resolução com autoridade para nomes de domínio para utilização por terceiros, com exceção dos servidores de nomes raiz; «Prestador de serviços de confiança», um prestador de serviços de confiança nos termos do ponto 19 do artigo 3.o do Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho de 2014, conforme alterado pela Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, e pelo Regulamento (UE) n.º 2024/1183, do Parlamento Europeu e do Conselho, de 11 de abril de 2024; «Prestador de serviços de segurança geridos», um prestador de serviços geridos que realize ou preste assistência a atividades relacionadas com a gestão dos riscos de cibersegurança; «Prestador de serviços geridos», uma entidade que preste serviços relacionados com a instalação, gestão, operação ou manutenção de produtos de TIC, redes, infraestruturas, aplicações ou quaisquer outras redes e sistemas de informação, através de assistência ou administração ativa efetuadas nas instalações dos clientes ou à distância; «Prestador qualificado de serviços de confiança», um prestador qualificado de serviços de confiança nos termos do ponto 20 do artigo 3.o Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho de 2014, conforme alterado pela Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, e pelo Regulamento (UE) n.º 2024/1183, do Parlamento Europeu e do Conselho, de 11 de abril de 2024; «Processo de TIC», um processo de TIC nos termos do ponto 14 do artigo 2.º do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019; «Produto de TIC», um produto de TIC nos termos do ponto 12 do artigo 2.º do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019; «Quase incidente», um evento que poderia ter posto em causa a disponibilidade, a autenticidade, a integridade ou a confidencialidade de dados armazenados, transmitidos ou tratados ou de serviços oferecidos por redes e sistemas de informação ou acessíveis por intermédio destas, que, no entanto, foi possível evitar ou não se materializou; «Rede de distribuição de conteúdos», uma rede de servidores distribuídos geograficamente para o efeito de assegurar uma elevada disponibilidade, acessibilidade ou rápida distribuição de serviços e conteúdos digitais a utilizadores da Internet por conta de fornecedores de conteúdos e serviços; «Registo de nomes de domínio de topo» ou «Registo de nomes de TLD (top level domain, na expressão e sigla de língua inglesa)», uma entidade a quem foi delegado um TLD específico e que é responsável pela sua administração, incluindo o registo de nomes de domínio sob o TLD e a operação técnica desse TLD, incluindo a operação dos seus servidores de nomes, a manutenção das suas bases de dados e a distribuição de ficheiros da zona de TLD pelos servidores de nomes, independentemente de qualquer uma destas operações ser executada pela própria entidade ou ser externalizada, mas excluindo situações em que os nomes do TLD sejam utilizados por um registo apenas para uso próprio; «Rede pública de comunicações eletrónicas», uma rede pública de comunicações eletrónicas nos termos da alínea oo) do n.º 1 do artigo 3.º da Lei das Comunicações Eletrónicas, aprovada pela Lei n.º 16/2022, de 16 de agosto, na sua redação atual; «Redes e sistemas de informação»: Uma rede de comunicações eletrónicas, nos termos da alínea mm) do n.º 1 do artigo 3.º da Lei das Comunicações Eletrónicas, aprovada pela Lei n.º 16/2022, de 16 de agosto, na sua redação atual; Um dispositivo ou um grupo de dispositivos interligados ou associados, dos quais um ou vários efetuam o tratamento automático de dados digitais com base num programa; ou Os dados digitais armazenados, tratados, obtidos ou transmitidos por elementos indicados nas subalíneas anteriores, tendo em vista a sua exploração, utilização, proteção e manutenção; «Representante», qualquer pessoa singular ou coletiva, estabelecida na União Europeia, expressamente designada para atuar por conta de um prestador de serviços de DNS, um Registo de nomes de domínio de topo, uma entidade que presta serviços de registo de nomes de domínio, um prestador de serviços de computação em nuvem, um prestador de serviços de centro de dados, um fornecedor de redes de distribuição de conteúdos, um prestador de serviços geridos, um prestador de serviços de segurança geridos, um prestador de serviços de mercados em linha, de motores de pesquisa em linha ou de plataformas de serviços de redes sociais que não se encontre estabelecido na União Europeia, que possa ser contactada pelas entidades competentes, em vez da entidade representada, quanto às obrigações que incumbem a esta última por força do presente decreto-lei; «Risco», a medida da possibilidade de uma perda ou perturbação causada por um incidente, resultante da combinação da magnitude de tal perda ou perturbação e da probabilidade de ocorrência do incidente; «Risco residual», medida de risco existente após a adoção das medidas de cibersegurança mínimas; «Segurança das redes e sistemas de informação», a capacidade das redes e sistemas de informação para resistir, com um dado nível de confiança, a eventos suscetíveis de pôr em causa a disponibilidade, a autenticidade, a integridade ou a confidencialidade dos dados armazenados, transmitidos ou tratados, ou dos serviços oferecidos por essas redes e sistemas de informação, ou acessíveis por intermédio destes; «Serviço de centro de dados», um serviço que engloba estruturas ou grupos de estruturas dedicados ao alojamento, à interligação e à operação centralizadas de equipamento de redes e TI que preste serviços de armazenamento, tratamento e transmissão de dados, juntamente com todas as instalações e infraestruturas de distribuição de energia e controlo ambiental; «Serviço de computação em nuvem», um serviço digital que permite a administração a pedido e um amplo acesso remoto a um conjunto modulável e adaptável de recursos de computação partilháveis, inclusive quando esses recursos estão distribuídos por várias localizações; «Serviço de comunicações eletrónicas», um serviço de comunicações eletrónicas nos termos da alínea ss) do n.º 1 do artigo 3.º da Lei das Comunicações Eletrónicas, aprovada pela Lei n.º 16/2022, de 16 de agosto, na sua redação atual; «Serviço de confiança», um serviço de confiança nos termos do ponto 16 do artigo 3.º Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho de 2014, conforme alterado pela Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, e pelo Regulamento (UE) n.º 2024/1183, do Parlamento Europeu e do Conselho, de 11 de abril de 2024; «Serviço de confiança qualificado», um serviço de confiança qualificado nos termos do ponto 17 do artigo 3.º do Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho de 2014, conforme alterado pela Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, e pelo Regulamento (UE) n.º 2024/1183, do Parlamento Europeu e do Conselho, de 11 de abril de 2024; «Serviço de TIC», um serviço de TIC nos termos do ponto 13 do artigo 2.º do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019; «Sistema de nomes de domínio» ou «DNS», um sistema de nomes distribuídos hierarquicamente que possibilita a identificação de serviços e recursos na Internet, permitindo que os dispositivos dos utilizadores finais utilizem os serviços de encaminhamento e de conectividade da Internet para aceder a esses serviços e recursos; «Serviço digital», um serviço nos termos da alínea g) do artigo 3.º do Decreto-Lei n.º 30/2020, de 29 de junho, que estabelece as regras a que obedece o procedimento de informação no domínio das regras técnicas relativas a produtos e das regras relativas aos serviços da sociedade da informação; «Tratamento de incidentes», todas as ações e procedimentos que visam a prevenção, a deteção, a análise, a contenção ou a resposta a um incidente e a recuperação de um incidente; «Vulnerabilidade», uma fragilidade, suscetibilidade ou falha, que afeta redes e sistemas de informação, produtos ou serviços de tecnologias da informação ou comunicação (TIC), passível de ser explorada por uma ciberameaça. Artigo 3.º Âmbito de aplicação subjetivo O presente decreto-lei aplica-se às entidades privadas de um dos tipos que constam nos anexos I ou II ao presente decreto-lei e do qual fazem parte integrante, que, respeitados os critérios de âmbito territorial fixados no artigo seguinte: Sejam qualificadas como médias empresas nos termos do artigo 2.º do anexo III ao presente decreto-lei e do qual faz parte integrante, correspondentes ao previsto na Recomendação 2003/361/CE, da Comissão, de 6 de maio de 2003, ou que excedam os limiares relativos às médias empresas previstos no n.º 1 desse artigo; e Prestem os seus serviços ou exerçam as suas atividades na União Europeia. O presente decreto-lei aplica-se igualmente às entidades de um dos tipos que constam nos anexos I ou II ao presente decreto-lei que, independentemente da sua natureza e dimensão e respeitados os critérios de âmbito territorial fixados no artigo seguinte, preencham pelo menos um dos seguintes requisitos: A entidade em causa seja: Fornecedor de redes públicas de comunicações eletrónicas ou prestador de serviços de comunicações eletrónicas acessíveis ao público; Prestador de serviços de confiança; Registo de nomes de domínio de topo, prestador de serviços de registo de nomes de domínio, e prestador de serviços de sistemas de nomes de domínio; A entidade em causa seja o único prestador de um serviço que é essencial para a manutenção de atividades sociais ou económicas críticas, designadamente as atividades correspondentes aos setores, subsetores e tipos de entidades referidos nos anexos I e II ao presente decreto-lei; Uma perturbação do serviço por si prestado possa afetar consideravelmente a segurança pública, a proteção pública ou a saúde pública; Uma perturbação do serviço por si prestado possa gerar riscos sistémicos consideráveis, especialmente para os setores relativamente aos quais tal perturbação possa ter um impacto transfronteiriço; A entidade seja crítica devido à sua importância específica, a nível nacional ou regional, para o setor ou tipo de serviço em causa, ou para outros setores interdependentes. O presente decreto-lei aplica-se à Administração Pública, abrangendo: Os serviços da administração direta do Estado, central e periférica; Os serviços da administração direta das Regiões Autónomas, central e periférica; As entidades da administração indireta do Estado; As entidades da administração indireta das Regiões Autónomas; As entidades da administração autónoma; Os organismos e as entidades administrativas independentes, com exceção do Banco de Portugal, da Comissão do Mercado dos Valores Mobiliários e da Autoridade de Supervisão de Seguros e Fundos de Pensões. O presente decreto-lei aplica-se às seguintes entidades: Provedoria de Justiça; Conselho Económico e Social; Serviços técnicos e administrativos da Presidência da República, da Assembleia da República, dos Tribunais e das secretarias com competência para a tramitação de procedimentos, do Conselho Superior da Magistratura, do Conselho Superior dos Tribunais Administrativos e Fiscais e do Conselho Superior do Ministério Público, sem prejuízo do disposto no n.º 7. O presente decreto-lei aplica-se às entidades que, independentemente da sua dimensão, sejam identificadas como entidades críticas nos termos do disposto da Diretiva (UE) 2022/2557, do Parlamento Europeu e o Conselho, de 14 de dezembro de 2022, relativa à resiliência das entidades críticas, sem prejuízo da alínea f) do n.º 3. O presente decreto-lei aplica-se às instituições de ensino superior. O presente decreto-lei não é aplicável: Ao Estado-Maior General das Forças Armadas e dos ramos das Forças Armadas, no que respeita às redes e sistemas de informação diretamente relacionados com o seu comando e controlo; Às entidades públicas com responsabilidades de investigação criminal e aos órgãos de polícia criminal e de segurança pública, no que respeita às redes e sistemas de informação diretamente relacionados com o seu comando e controlo; Às entidades públicas com responsabilidades exclusivas em matéria de produção de informações, nomeadamente ao Sistema de Informações da República Portuguesa, ao Serviço de Informações Estratégicas de Defesa e ao Serviço de Informações de Segurança, no que respeita às redes e sistemas de informação diretamente relacionados com o seu comando e controlo; Às entidades públicas cuja atividade incida sobre redes e sistemas de informação diretamente relacionados com a produção e difusão de informação classificada, nomeadamente com as marcas nacionais, da Organização do Tratado do Atlântico Norte (OTAN), e da União Europeia, ou catalogada como segredo de Estado, no que respeita a essas redes e sistemas de informação; Às demais entidades públicas que exercem a sua atividade nos domínios da segurança nacional, da segurança pública, da defesa, e dos serviços de informações, no que respeita às redes e sistemas de informação diretamente relacionados com as atividades de produção de informações e prevenção, investigação, deteção e repressão de infrações penais; Às entidades privadas que prestem serviços exclusivamente a uma ou mais entidades previstas nas alíneas anteriores e no que respeita a estas atividades. Às entidades referidas na alínea b) do n.º 2 do artigo 15.º aplica-se o presente decreto-lei apenas no que respeita ao exercício das suas competências na qualidade de autoridades nacionais especiais de cibersegurança. O presente decreto-lei não prejudica o disposto no Regulamento (UE) 2022/2554, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro. Artigo 4.º Delimitação territorial do âmbito de aplicação subjetivo O presente decreto-lei aplica-se às entidades referidas nos n.ºs 1 e 2 do artigo anterior que: Tenham estabelecimento no território nacional; Tratando-se de empresas que oferecem redes públicas de comunicações eletrónicas ou prestam serviços de comunicações eletrónicas acessíveis ao público, disponibilizem os mesmos no território nacional; Tratando-se de prestadores de serviços de sistemas de nomes de domínio, registo de nomes de domínio de topo, entidades que prestam serviços de registo de nomes de domínio, prestadores de serviços de computação em nuvem, prestadores de serviços de centro de dados, aos fornecedores de redes de distribuição de conteúdos, prestadores de serviços geridos, aos prestadores de serviços de segurança geridos, bem como prestadores de serviços de mercados em linha, de motores de pesquisa em linha ou de plataformas de serviços de redes sociais: Tenham o seu estabelecimento principal no território nacional; Não tendo estabelecimento na União Europeia, o seu representante tenha estabelecimento no território nacional. Para efeitos da subalínea i) da alínea c) do número anterior, considera-se que a entidade tem estabelecimento principal no território nacional quando: As decisões relacionadas com as medidas de gestão dos riscos de cibersegurança são predominantemente tomadas em território nacional; As operações de cibersegurança são levadas a cabo em território nacional, se não for possível determinar se as decisões relacionadas com as medidas de gestão de risco de cibersegurança foram nele tomadas de forma predominante ou em outro Estado-Membro da União Europeia; O estabelecimento da entidade com maior número de trabalhadores se situa no território nacional, se não for possível determinar se as operações de cibersegurança são nele levadas a cabo. Nos termos do artigo 20.º, o CNCS, perante um pedido de assistência mútua proveniente de outro Estado-Membro da União Europeia e em relação a uma entidade a que se refere a alínea c) do n.º 1, pode, dentro dos limites desse pedido, tomar medidas de supervisão e execução adequadas em relação à entidade em causa. Artigo 5.º Âmbito extraterritorial A fim de evitar ciberameaças significativas para a segurança das redes e sistemas de informação de um grande número de utilizadores, o CNCS pode, ouvido o Conselho Superior de Segurança do Ciberespaço, adotar medidas de execução corretivas ou restritivas, incluindo a ordem de suspensão do serviço no território nacional, dirigidas a um prestador de serviços sem estabelecimento ou representação no território nacional que não ofereça as medidas adequadas de cibersegurança. Salvo quando as medidas forem urgentes, o CNCS apresenta uma fundamentação preliminar das decisões ao prestador de serviços, concedendo um prazo de resposta não inferior a 10 dias. Para efeitos da determinação e fundamentação das medidas de execução previstas nos números anteriores, o CNCS terá em consideração as ações e medidas, bem como a sua eficácia e extensão, tomadas pelas autoridades de cibersegurança europeias e internacionais. A autoridade de cibersegurança competente, nos termos das suas competências e na medida do necessário, pode, relativamente a uma entidade com conexão relevante com o território nacional, prestar assistência às autoridades competentes dos Estados-Membros da União Europeia, a pedido fundamentado destas, designadamente mediante: Prestação de informações relativamente a uma medida de supervisão ou execução tomada em relação a essa entidade, através do respetivo ponto de contacto único; Aplicação de medidas de supervisão ou execução nos termos do disposto no capítulo VI, se necessário conjuntamente com a autoridade competente do respetivo Estado-Membro da União Europeia; Prestação de apoio à autoridade competente do respetivo Estado-Membro da União Europeia quanto à aplicação por esta de medidas de supervisão ou execução, podendo este apoio incluir as formas de assistência referidas nas alíneas anteriores. A autoridade de cibersegurança competente apenas pode recusar a assistência pedida nos termos no número anterior se esta exceder as suas competências, for desproporcional em relação às suas funções de supervisão ou comprometer interesses essenciais do Estado Português em matéria de segurança nacional, segurança pública ou defesa. Artigo 6.º Entidades essenciais e entidades importantes Para efeitos do presente decreto-lei, consideram-se entidades essenciais: As entidades de um dos tipos referidos no anexo I ao presente decreto-lei que excedam os limiares para as médias empresas previstos no artigo 2.º do anexo III ao presente decreto-lei, correspondentes aos da Recomendação 2003/361/CE, da Comissão, de 6 de maio de 2003; Os prestadores de serviços de confiança qualificados e registo de nomes de domínio de topo, e os prestadores de serviços de sistemas de nomes de domínio, independentemente da sua dimensão; As empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público que sejam consideradas médias empresas nos termos do artigo 2.º do anexo III ao presente decreto-lei, correspondentes aos da Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003; As entidades da Administração Pública que tenham como atribuições a prestação de serviços nas áreas do desenvolvimento, manutenção e gestão de infraestruturas de tecnologias de informação e comunicação ou aquelas que apresentem um grau particularmente elevado de integração digital na prestação dos seus serviços, e ainda a entidade pública responsável pela área da avaliação educativa; As entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557 do Parlamento Europeu e o Conselho, de 14 de dezembro de 2022, relativa à resiliência das entidades críticas e que revoga a Diretiva 2008/114/CE do Conselho, independentemente da sua dimensão; Qualquer outra entidade de um dos tipos constantes dos anexos I ou II ao presente decreto-lei, referida nas alíneas b) a e) do n.º 2 do artigo 3.º, que seja qualificada como entidade essencial com base no respetivo grau de exposição da entidade aos riscos, na dimensão da entidade e na probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto social e económico. Para efeitos do presente decreto-lei, são entidades importantes as entidades dos tipos referidos nos anexos I e II ao presente decreto-lei que não sejam consideradas entidades essenciais ao abrigo do número anterior. Para efeitos do presente decreto-lei, são também entidades importantes as entidades de um dos tipos constantes nos anexos I ou II ao presente decreto-lei, referidas nas alíneas b) a e) do no n.º 2 do artigo 3.º, que justifiquem tal qualificação com base no respetivo grau de exposição da entidade aos riscos, na dimensão da entidade e na probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto social e económico. A atribuição das qualificações de entidades essenciais e entidades importantes previstas nos números anteriores resulta dos mecanismos previstos no artigo 8.º. Artigo 7.º Entidades públicas relevantes As entidades públicas que não sejam qualificadas como entidades essenciais ou importantes nos termos do artigo anterior, consideram-se entidades públicas relevantes, integrando-se em dois grupos para efeitos de aplicação de regimes específicos nos termos do presente decreto-lei e restante regulamentação emitida pelo CNCS. São consideradas entidades públicas relevantes do Grupo A: Os serviços da administração direta do Estado, central e periférica, com 250 ou mais trabalhadores no seu quadro de pessoal; Os serviços da administração direta das Regiões Autónomas, central e periférica, com 250 ou mais trabalhadores no seu quadro de pessoal; As entidades da administração indireta do Estado, com mais de 250 trabalhadores no seu quadro de pessoal; As entidades da administração indireta das Regiões Autónomas, com mais de 250 trabalhadores no seu quadro de pessoal; As entidades da administração autónoma, com mais de 250 trabalhadores no seu quadro de pessoal; As entidades públicas empresariais que excedam os limiares previstos no artigo 2.º do anexo III ao presente decreto-lei, correspondentes aos da Recomendação 2003/361/CE, da Comissão, de 6 de maio de 2003; As entidades administrativas independentes; O Conselho Económico e Social, a Provedoria da Justiça, os serviços técnicos e administrativos da Presidência da República, da Assembleia da República, dos Tribunais e das secretarias com competência para a tramitação de procedimentos, do Conselho Superior da Magistratura, do Conselho Superior dos Tribunais Administrativos e Fiscais e do Conselho Superior do Ministério Público. São consideradas entidades públicas relevantes do Grupo B: Os serviços da administração direta do Estado, central e periférica, que tenham entre 75 e 249 trabalhadores no seu quadro de pessoal; Os serviços da administração direta das Regiões Autónomas, central e periférica, que tenham entre 75 e 249 trabalhadores no seu quadro de pessoal; As entidades da administração indireta do Estado, que tenham entre 75 e 249 trabalhadores no seu quadro de pessoal; As entidades da administração indireta das Regiões Autónomas, que tenham entre 75 e 249 trabalhadores no seu quadro de pessoal; As entidades da administração autónoma, que tenham entre 75 e 249 trabalhadores no seu quadro de pessoal; As entidades públicas empresariais qualificadas como empresas médias nos termos do anexo III ao presente decreto-lei, correspondentes aos da Recomendação 2003/361/CE, da Comissão, de 6 de maio de 2003. A atribuição da qualificação de entidade pública relevante prevista nos números anteriores resulta dos mecanismos de qualificação previstos no artigo seguinte. Artigo 8.º Procedimento de qualificação das entidades As entidades previstas no artigo 3.º identificam-se em plataforma eletrónica disponibilizada pelo CNCS, no prazo de 30 dias após o início da sua atividade ou, caso a entidade já se encontre em atividade aquando da entrada em vigor do presente decreto-lei, no prazo de 60 dias após a disponibilização da referida plataforma eletrónica, sendo responsáveis por manter essa informação devidamente atualizada. A qualificação das entidades pelo CNCS com base nos critérios previstos nas alíneas a) a c) e e) do n.º 1 e no n.º 2 do artigo 6.º, e ainda no artigo 7.º, resulta do mecanismo previsto no número anterior. A qualificação das entidades pelo CNCS com base nos critérios previstos nas alíneas d) e f) do n.º 1 e no n.º 3 do artigo 6.º, é comunicada com a antecedência mínima de 60 dias ao membro do Governo responsável pela área da cibersegurança e revista pelo menos de dois em dois anos. A qualificação prevista no número anterior é devidamente fundamentada pelo CNCS, sendo precedida de audiência prévia da entidade em causa e, quando aplicável, de parecer das autoridades nacionais setoriais de cibersegurança referidas na alínea a) do n.º 2 do artigo 15.º. O CNCS, ou, quando aplicável, as autoridades nacionais setoriais de cibersegurança competentes nos termos da alínea a) do n.º 2 do artigo 15.º, notifica a entidade da sua qualificação nos termos dos n.ºs 2 e 3, no prazo máximo de 30 dias a contar da data da referida qualificação. Os prestadores de serviços de registos de nomes de domínio devem identificar-se e comunicar a informação prevista no n.º 2 do artigo 35.º através da plataforma eletrónica disponibilizada pelo CNCS, no prazo de 30 dias após o início da sua atividade. As regras de funcionamento da plataforma eletrónica referida no presente artigo são definidas através de regulamento a aprovar pelo CNCS. O procedimento de qualificação referido no presente artigo não prejudica, para as entidades abrangidas, o cumprimento do dever previsto no artigo 35.º. Artigo 9.º Concurso de qualificações e medidas de cibersegurança Caso uma entidade se enquadre simultaneamente em mais do que uma qualificação, aplica-se o regime que resultar mais exigente para gerir os riscos que se colocam à segurança das redes e sistemas de informação, de acordo com a seguinte ordem: Entidades essenciais; Entidades importantes; Entidades públicas relevantes do Grupo A; Entidades públicas relevantes do Grupo B. O CNCS pode associar à qualificação da entidade, nos termos do disposto no n.º 4 do artigo 26.º e do artigo 33.º, medidas de cibersegurança e demais medidas técnicas e organizativas resultantes dos instrumentos previstos do presente decreto-lei, cujo incumprimento pode determinar a aplicação das sanções correspondentes nos termos do regime sancionatório previsto no capítulo VII do presente decreto-lei. Artigo 10.º Tratamento de dados pessoais As entidades que integram o quadro institucional da segurança do ciberespaço, nos termos do artigo 15.º, tratam dados pessoais na medida do estritamente necessário para assegurar o cumprimento de obrigações legais e a prossecução de missões de interesse público ou de autoridade pública em que estão investidos, nos termos do disposto nas alíneas c) ou e) do n.º 1 e no n.º 3 do artigo 6.º do RGPD e em conformidade com o presente decreto-lei e demais legislação nacional aplicável. Sem prejuízo do disposto no artigo 29.º da Lei n.º 58/2019, de 8 de agosto, as entidades que integram o quadro institucional da segurança do ciberespaço podem proceder ao tratamento das categorias especiais de dados pessoais para, na medida do estritamente necessário e nos termos da alínea g) do n.º 2 do artigo 9.º do RGPD: Evitar a consumação de uma ciberameaça significativa para a segurança das redes e sistemas de informação; Responder eficazmente a um incidente de cibersegurança. Capítulo II Instrumentos estruturantes Artigo 11.º Instrumentos estruturantes da Segurança do Ciberespaço São instrumentos estruturantes da Segurança do Ciberespaço, observando as disposições legais e regulamentares nacionais e internacionais aplicáveis: Estratégia Nacional de Segurança do Ciberespaço (ENSC); Plano nacional de resposta a crises e incidentes de cibersegurança em grande escala; Quadro Nacional de Referência para a Cibersegurança (QNRCS); Estratégia Nacional de Ciberdefesa; Conceito Estratégico de Defesa Nacional. Artigo 12.º Estratégia Nacional de Segurança do Ciberespaço A ENSC define o enquadramento, as prioridades, os objetivos estratégicos nacionais e um quadro de governação definidor das funções e responsabilidades das partes interessadas a nível nacional com relevância para a execução da ENSC. A ENCS inclui, designadamente: Os objetivos e prioridades da ENCS, abrangendo, designadamente, os setores nos anexos I e II ao presente decreto-lei; Um quadro de governação para cumprir os objetivos e prioridades referidos na alínea anterior; Um quadro de governação definidor das funções e responsabilidades das partes interessadas a nível nacional com relevância para a execução da ENSC e que consolide a cooperação e coordenação institucional ao abrigo do presente decreto-lei; Um mecanismo para identificar ativos pertinentes e uma avaliação dos riscos em Portugal; A identificação das medidas de preparação, de resposta e de recuperação em caso de incidentes, incluindo a cooperação entre os setores público e privado; Uma lista das diversas autoridades e partes interessadas envolvidas na execução da ENCS; Um quadro político para o reforço da cooperação entre as autoridades competentes nos termos do presente decreto-lei e as autoridades competentes que resultem da transposição da Diretiva (UE) 2022/2557, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, para efeitos de partilha de informações sobre riscos, ciberameaças e incidentes, bem como riscos, ameaças e incidentes não cibernéticos, e do exercício de funções de supervisão; Um plano, incluindo as medidas necessárias, para reforçar o nível geral de educação, formação e sensibilização dos cidadãos para a cibersegurança e ciber-higiene; Um plano, incluindo as medidas necessárias, adequado às necessidades específicas em matéria de cibersegurança das pequenas e médias empresas, qualificadas nos termos do artigo 2.º do anexo III ao presente decreto-lei, correspondentes aos da Recomendação 2003/361/CE, da Comissão, de 6 de maio de 2003; A promoção do desenvolvimento, investigação e integração de tecnologias avançadas que visem a aplicação de medidas, boas práticas e controlos inovadores, incluindo o recurso a inteligência artificial, em matéria de gestão dos riscos de cibersegurança e da deteção e prevenção de ciberataques. A ENSC é aprovada por resolução do Conselho de Ministros, sob proposta do CNCS, ouvido o Conselho Superior de Segurança do Ciberespaço (CSSC) e decorrido um período de consulta pública não inferior a 30 dias. A aprovação referida no número anterior é precedida ainda de apreciação da ENSC pela Assembleia da República. A ENCS é revista e atualizada a cada 5 anos, após um processo de avaliação baseado em indicadores-chave de impacto e desempenho, podendo este período ser reduzido por decisão do membro do Governo responsável pela área da cibersegurança mediante proposta fundamentada do CNCS. A ENSC não prejudica a aprovação pelas entidades competentes, quando necessário, de instrumentos que estabeleçam estratégias setoriais de cibersegurança, que devem ser revistas e atualizadas nos mesmos termos aplicáveis à ENCS. Artigo 13.º Plano nacional de resposta a crises e incidentes de cibersegurança em grande escala O plano nacional de resposta a crises e incidentes de cibersegurança em grande escala estabelece os objetivos e modalidades de gestão deste tipo de crises e incidentes. O plano nacional de resposta a crises e incidentes de cibersegurança em grande escala é aprovado por resolução do Conselho de Ministros, por proposta conjunta do Secretário-Geral do Sistema de Segurança Interna, da Polícia Judiciária, do Serviço de Informações de Segurança, do Serviço de Informações Estratégicas de Defesa, do Comando de Operações de Ciberdefesa e do CNCS, cabendo a este último a sua implementação, acompanhamento e monitorização, em colaboração estreita com as entidades que compõe o gabinete de crise previsto no n.º 4 do artigo 16.º da Lei 53/2008, de 29 de agosto, na redação que lhe é atribuída pelo presente decreto-lei, e ouvido o CSSC. O plano nacional de resposta a crises e incidentes de cibersegurança em grande escala deve garantir a coerência com os quadros existentes de gestão geral de crises a nível nacional. Artigo 14.º Quadro Nacional de Referência para a Cibersegurança O QNRCS é o instrumento nacional de referência para a identificação das normas, padrões e boas práticas existentes em matéria de gestão da cibersegurança e da segurança da informação. O QNRCS é aprovado por regulamento do CNCS, ouvido o CSSC, devendo ser regularmente atualizado, pelo menos de cinco em cinco anos. As entidades essenciais e importantes devem ter em conta o QNRCS no âmbito da adoção de medidas de cibersegurança previstas nos artigos 27.º e seguintes. As autoridades nacionais setoriais de cibersegurança referidas na alínea a) do n.º 2 do artigo 15.º podem adotar normas complementares ao QNRCS, através de regulamento próprio, em articulação com o CNCS. Sem prejuízo dos números anteriores, a aplicação do QNRCS pelas entidades essenciais, importantes e públicas relevantes é objeto de regulamento a aprovar pelo CNCS, prevendo medidas de cibersegurança específicas e níveis de conformidade. Capítulo III Quadro institucional da segurança do ciberespaço Artigo 15.º Organização O quadro institucional da segurança do ciberespaço é composto pelas seguintes entidades: O CSSC, na qualidade de órgão consultivo do Primeiro-Ministro no domínio da cibersegurança; O CNCS, na qualidade de: Autoridade nacional de cibersegurança; Ponto de contacto único para efeitos de cooperação no âmbito da União Europeia e ao nível internacional, sem prejuízo das competências atribuídas a outras entidades em matéria de cooperação internacional; Autoridade nacional de certificação de cibersegurança; Entidade que integra a equipa de resposta a incidentes de cibersegurança nacional; O Secretário-Geral do Sistema de Segurança Interna, na qualidade de autoridade nacional de gestão de crises e incidentes de cibersegurança em grande escala. Integram ainda o quadro institucional da segurança do ciberespaço: Na qualidade de autoridades nacionais setoriais de cibersegurança: O Gabinete Nacional de Segurança (GNS), no que respeita aos serviços de confiança nas transações eletrónicas no mercado interno; A Autoridade Nacional de Comunicações (ANACOM), no que respeita à matéria das comunicações eletrónicas e dos serviços postais. Na qualidade de autoridades nacionais especiais de cibersegurança, no que respeita à matéria da resiliência operacional digital do setor financeiro: A Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF); A Comissão do Mercado de Valores Mobiliários (CMVM); O Banco de Portugal. A Comissão de Avaliação de Segurança do Ciberespaço; A Polícia Judiciária; O Serviço de Informações de Segurança; O Serviço de Informações Estratégicas de Defesa; O Comando de Operações de Ciberdefesa. A organização do quadro institucional da segurança do ciberespaço não prejudica a articulação informal das autoridades referidas no presente artigo, nomeadamente mediante a participação em instâncias multilaterais de coordenação no que respeita à defesa da segurança do ciberespaço, como o Gabinete de Oficiais de Ligação do Ciberespaço para a cooperação tático-operacional (G5). Artigo 16.º Conselho Superior de Segurança do Ciberespaço O CSSC é o órgão de coordenação estratégica que apoia o Primeiro-Ministro em matéria de segurança do ciberespaço. O CSSC é composto por: O Primeiro-Ministro, que preside, ou o membro do Governo responsável pela área da cibersegurança com competência delegada; Dois Deputados designados pela Assembleia da República através do método de Hondt; O Secretário-Geral do Sistema de Segurança Interna; O Secretário-Geral do Sistema de Informações da República Portuguesa; O Diretor do Serviço de Informações de Segurança; O Diretor do Serviço de Informações Estratégicas de Defesa; O Diretor-geral do Gabinete Nacional de Segurança; O Coordenador do CNCS; O Embaixador para a ciberdiplomacia; O Chefe do Centro de Comunicações e Informação, Ciberespaço e Espaço do Estado-Maior-General das Forças Armada; O Diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Polícia Judiciária; Um representante do Ministério Público, designado pelo Procurador-Geral da República; O Presidente do Conselho Nacional de Planeamento Civil de Emergência; O Presidente do Conselho Diretivo da Agência para a Modernização Administrativa; Um representante da Rede Nacional de Equipas de Resposta a Incidentes de Segurança Informática; O dirigente máximo das autoridades nacionais setoriais e especiais de cibersegurança, referidas no n.º 2 do artigo 15.º, não constantes nas alíneas anteriores. O CSSC é ainda composto por um representante do Governo Regional dos Açores e um representante do Governo Regional da Madeira. O presidente, por sua iniciativa ou a pedido de qualquer dos membros do CSSC, pode convocar outros titulares de órgãos públicos ou convidar outras entidades e personalidades de reconhecido mérito para participar em reuniões. O presidente é substituído nas suas ausências e impedimentos pelo membro do Governo que designar. Artigo 17.º Competências do Conselho Superior de Segurança do Ciberespaço São competências do CSSC: Assegurar a coordenação estratégica para a segurança do ciberespaço; Emitir parecer prévio sobre a ENSC, bem como acompanhar a sua execução e elaborar anualmente, ou sempre que necessário, relatório de avaliação da mesma; Emitir parecer prévio sobre o plano nacional de resposta a crises e incidentes de cibersegurança em grande escala; Emitir parecer sobre matérias relativas à segurança do ciberespaço, a pedido do Primeiro-Ministro, ou do membro do Governo em quem este delegar, no âmbito das suas competências; Responder a solicitações do Primeiro-Ministro, ou do membro do Governo em quem este delegar, no âmbito das suas competências; Propor ao membro do Governo responsável pela área de cibersegurança a realização de avaliações de segurança, nos termos do disposto no artigo seguinte. O relatório anual de avaliação da execução da Estratégia Nacional da Segurança do Ciberespaço é enviado à Assembleia da República até 30 de junho do ano posterior àquele a que se reporta. Os Serviços de Informações instruem o Conselho Superior de Segurança do Ciberespaço a respeito da avaliação da ameaça vigente para o ciberespaço nacional e para o ciberespaço internacional, sempre que for conveniente ou revisto o grau de ameaça atribuído pelo Serviço de Informações de Segurança. Artigo 18.º Comissão de Avaliação de Segurança do Ciberespaço A Comissão de Avaliação de Segurança do Ciberespaço funciona junto do CSSC e é responsável pela realização de avaliações de segurança de equipamentos, componentes ou serviços de tecnologias de informação e comunicação, utilizados em redes e sistemas de informação públicos ou privados, de fabricantes ou fornecedores que possam ser considerados de elevado risco para a segurança do ciberespaço de interesse nacional, designadamente nos contextos da segurança interna e externa, da defesa nacional, da integridade do processo democrático e de outras funções de soberania, e ainda da operação de infraestruturas críticas e da prestação de serviços essenciais. A Comissão de Avaliação de Segurança do Ciberespaço tem a seguinte composição: O Diretor-geral do Gabinete Nacional de Segurança, que preside; O coordenador do CNCS; Um representante da ANACOM; Um representante do Sistema de Segurança Interna; Um representante do Sistema de Informações da República Portuguesa; O Embaixador para a ciberdiplomacia; Um representante da Polícia Judiciária; Um representante do Serviço de Informações de Segurança; Um representante do Serviço de Informações Estratégicas de Defesa; Um representante do Comando de Operações de Ciberdefesa; Um representante da Direção-Geral de Política Externa; Um representante da Direção-Geral da Política de Defesa Nacional; Um representante da Autoridade da Concorrência. O membro do Governo responsável pela área da cibersegurança pode determinar a aplicação de restrições provisórias à utilização, a cessação de utilização ou exclusão de equipamentos, componentes ou serviços de tecnologias de informação e comunicação, utilizados em redes e sistemas de informação públicos ou privados, considerados de elevado risco para a segurança do ciberespaço de interesse nacional, mediante proposta da Comissão de Avaliação de Segurança do Ciberespaço, fundamentada em avaliação de segurança realizada nos termos do disposto nos números seguintes. A avaliação de segurança deve ser devidamente fundamentada, tendo em conta os riscos técnicos dos equipamentos, componentes ou serviços, o seu contexto de utilização ou e a exposição dos seus fabricantes ou fornecedores à influência indevida de países estrangeiros, para tal considerando, designadamente, informação relevante emitida pelas entidades competentes nacionais e da União Europeia ou constante das avaliações nacionais ou europeias de risco para a segurança das redes e sistemas de informação, bem como outros riscos securitários relevantes. Para avaliar o nível de exposição dos fabricantes ou fornecedores à influência indevida de um país estrangeiro, podem ser considerados os seguintes elementos: O fabricante ou fornecedor estar sujeito, direta ou indiretamente, à interferência do governo ou administração de um país estrangeiro; O fabricante ou fornecedor estar domiciliado em, ou de qualquer forma relevantemente vinculado a países reconhecidos por Portugal, pela União Europeia, pela Organização para a Cooperação e Desenvolvimento Económico (OCDE) ou pela OTAN, como responsáveis ou envolvidos em ações hostis à segurança interna e defesa nacional de Portugal ou dos seus aliados, designadamente atos de espionagem ou de sabotagem; O fabricante ou fornecedor estar domiciliado em, ou de qualquer forma relevantemente vinculado a países que não dispõem de legislação ou acordos diplomáticos com Portugal ou com a União Europeia em matéria de proteção de dados, de cibersegurança e de proteção de propriedade intelectual. O fabricante ou fornecedor estar associado a práticas de introdução de vulnerabilidades ou acessos ocultos; O fabricante ou fornecedor adotar modelos de governação corporativa que não esclareçam sobre o grau de influência ou vinculação a países estrangeiros nas condições das alíneas anteriores; As cadeias de produção e fornecimento do fabricante ou fornecedor evidenciarem falhas sistémicas de controlo e segurança. As avaliações de segurança podem ser realizadas ou revistas a pedido do membro do Governo responsável pela área da cibersegurança, bem como, em aplicação do mecanismo português de salvaguarda de ativos estratégicos essenciais, a pedido do membro do Governo responsável pela área em que o ativo estratégico em causa esteja integrado. A proposta da Comissão de Avaliação de Segurança do Ciberespaço realizada na sequência da avaliação de segurança deve, no seu teor, abrangência e intensidade, respeitar o princípio da proporcionalidade, considerando, designadamente, o grau de risco apurado, o grau de incidência, global e específica, sobre cada equipamento, componente ou serviço em causa, o prejuízo sofrido pelo fabricante e fornecedor afetado, e ainda os prejuízos económicos e sociais potencialmente decorrentes da decisão. A Comissão de Avaliação de Segurança do Ciberespaço pode solicitar a qualquer entidade, pública ou privada, a prestação de qualquer informação necessária à elaboração de avaliações de segurança. A decisão do membro do Governo responsável pela área da cibersegurança prevista no n.º 3 define os prazos razoáveis e, quando aplicável, o âmbito geográfico da medida a aplicar, de forma que as entidades públicas ou privadas em causa procedam à sua implementação. Os documentos ou informações produzidas no âmbito dos trabalhos da Comissão de Avaliação de Segurança do Ciberespaço são considerados como informação classificada no grau de segurança reservado, salvo se o presidente da Comissão considerar necessário atribuir um grau de classificação de segurança superior, e sem prejuízo destes documentos ou informações poderem ser classificadas como segredo de Estado nos termos da Lei Orgânica n.º 2/2014, de 6 de agosto, na sua redação atual. No exercício das suas competências, o CNCS ou, quando aplicável, a autoridade nacional setorial ou nacional especial, procede à fiscalização do cumprimento das solicitações da Comissão de Avaliação de Segurança do Ciberespaço e da decisão do membro do Governo responsável pela área da cibersegurança previstas no presente artigo, sancionando o seu incumprimento nos termos da alínea d) do n.º 1 do artigo 63.º e da alínea a) do n.º 1 do artigo 61.º, respetivamente. O apoio técnico, administrativo e logístico da Comissão de Avaliação de Segurança do Ciberespaço, assim como os respetivos encargos associados, são prestados e suportados pelo GNS. Artigo 19.º Centro Nacional de Cibersegurança O CNCS é a autoridade nacional de cibersegurança, tendo por missão garantir que o país alcança e mantém um nível elevado de cibersegurança, através da promoção da melhoria contínua da cibersegurança nacional e da cooperação internacional, bem como da definição e implementação das medidas e instrumentos necessários à antecipação, deteção, reação e recuperação de situações que, face à iminência ou ocorrência de incidentes, ponham em causa o interesse nacional, o funcionamento das entidades essenciais, entidades importantes e entidades públicas relevantes. O CNCS é ainda o ponto de contacto único para efeitos de cooperação ao nível da União Europeia, bem como ao nível internacional em matéria de cibersegurança, sem prejuízo das competências atribuídas a outras autoridades em matéria de cooperação em matéria penal, designadamente as competências da Polícia Judiciária para a cooperação internacional que lhe são conferidas pelo disposto nos artigos 20.º a 26.º e artigo 29.º da Lei do Cibercrime, e em matéria de produção de informações referentes a segurança interna e externa do Estado Português e dos seus aliados. O CNCS integra o «CERT.PT», previsto no artigo 22.º, que atua como equipa de resposta a incidentes de cibersegurança nacional. O CNCS é igualmente a autoridade nacional de certificação de cibersegurança, nomeadamente para efeitos do disposto no artigo 58.º do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, sem prejuízo das competências do GNS no que diz respeito à certificação e acreditação dos sistemas de informação e comunicação que tratam informação classificada, nos termos do Decreto-Lei n.º 3/2012, de 16 de janeiro, na sua redação atual. Artigo 20.º Competências do CNCS O CNCS, no âmbito das responsabilidades atribuídas nos n.ºs 1 e 2 do artigo 19.º, prossegue as atribuições e exerce as competências descritas nas alíneas seguintes: Desenvolver as capacidades nacionais de prevenção, monitorização, deteção, reação, análise e correção destinadas a fazer face a incidentes de cibersegurança, a ciberataques, e a ciberameaças; Cooperar com as entidades competentes no âmbito da segurança do ciberespaço no âmbito das respetivas atribuições; Comunicar, no prazo de 24 horas, à Polícia Judiciária todos os factos com relevância criminal de que tenha conhecimento no decurso da sua atividade; Comunicar, no prazo de 24 horas, ao Serviço de Informações de Segurança todos os factos referentes a ameaças à segurança interna, à ciberespionagem e à cibersabotagem, de que tenha conhecimento no decurso da sua atividade; Adotar regulamentos e emitir as orientações, recomendações e instruções técnicas relativas à cibersegurança; Propor ao membro do Governo responsável pela área da cibersegurança a definição do nível nacional de alerta de cibersegurança, desenvolvido através de regulamento próprio do CNCS e difundido em coordenação com as entidades competentes no âmbito da segurança do ciberespaço, e emitir ordens e instruções adequadas à gravidade da situação; Informar o Secretário-Geral do Sistema de Segurança Interna sobre a verificação de uma ciberameaça significativa ou sobre a ocorrência de uma crise ou incidente de cibersegurança em grande escala, nos termos das alíneas d) e k) do artigo 2.º, respetivamente e sem prejuízo do disposto no n.º 2 do artigo 21.º; Emitir ordens, orientações, recomendações e instruções técnicas em matéria de divulgação coordenada de vulnerabilidades; Prevenir e minorar o impacto de incidentes de cibersegurança, designadamente pela deteção e divulgação de vulnerabilidades em redes e sistemas de informação, em colaboração com entidades públicas e privadas, pessoas singulares e coletivas; Aplicar as medidas de supervisão e de execução nos termos do disposto no capítulo VI; Emitir avisos, designadamente sobre vulnerabilidades, relativos a malware ou outros riscos de cibersegurança em produtos, componentes ou serviços TIC; Assegurar a cooperação transfronteiriça com as autoridades competentes dos Estados-Membros da União Europeia, com a Comissão Europeia, com a Agência da União Europeia para a Cibersegurança (ENISA) e outras instituições, organismos e agências da União Europeia que desenvolvam atividades no âmbito da cibersegurança e das competências que lhe são cometidas pelo presente artigo, nomeadamente a participação e a representação nacional em fóruns multilaterais e bilaterais com as suas congéneres, sem prejuízo do disposto nos artigos 20.º a 26.º e 29.º da Lei do Cibercrime, incluindo a participação e representação nacional: No Grupo de Cooperação, previsto no artigo 14.º da Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro; Na Rede Europeia de CSIRTs (Computer Security Incident Response Team, na expressão e sigla de língua inglesa), prevista no artigo 15.º da Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022; e Na Rede de Organizações de Coordenação de Cibercrises (UE-CyCLONe) prevista no artigo 16.º da Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022; Emitir parecer não vinculativo, quando solicitado, sobre qualquer medida legislativa relativa à cibersegurança; Promover a sensibilização, formação e qualificação de recursos humanos na área da cibersegurança, com vista à formação de uma comunidade de conhecimento e de uma cultura nacional de cibersegurança e ciber-higiene; Apoiar o desenvolvimento das capacidades técnicas, científicas e industriais, promovendo projetos de inovação e desenvolvimento na área da cibersegurança; Publicar estudos e relatórios na área da cibersegurança; Aprovar os formulários que se mostrem necessários adequados ao exercício das suas atribuições. O CNCS tem, no exercício das responsabilidades atribuídas pelo n.º 4 do artigo 19.º, prossegue as atribuições e exerce as competências descritas nas alíneas seguintes: Solicitar aos organismos de avaliação da conformidade, aos titulares de certificados de cibersegurança e aos emitentes de declarações de conformidade, as informações de que necessite para o exercício das suas competências; Tomar as medidas adequadas a garantir que os organismos de avaliação da conformidade, os titulares de certificados nacionais ou europeus de cibersegurança, e os emitentes de declarações de conformidade cumprem o disposto na legislação aplicável em matéria de certificação da cibersegurança; Exercer as demais competências legalmente estabelecidas para as autoridades de certificação da cibersegurança, designadamente as decorrentes do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, sem prejuízo das competências do GNS no que diz respeito à certificação e acreditação dos sistemas de informação e comunicação que tratam informação classificada, nos termos do Decreto-Lei n.º 3/2012, de 16 de janeiro, na sua redação atual; Implementar um quadro nacional de certificação da cibersegurança, estabelecendo as disposições necessárias à elaboração, implementação e execução dos esquemas de certificação, aos quais são aplicáveis, com as necessárias adaptações, as disposições constantes do título III do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019; Avaliar os esquemas de certificação específicos, designadamente sobre a respetiva adequação, articulação com o Instituto Português de Acreditação, I. P., na qualidade de organismo nacional de acreditação, bem como com o Instituto Português da Qualidade, I. P., na qualidade de organismo nacional de normalização, e com as demais entidades públicas com competências no âmbito da matéria abrangida pela certificação; Desenvolver e implementar esquemas específicos de certificação da cibersegurança relativos a entidades, produtos, serviços e processos de tecnologias de informação e comunicação que não sejam ainda abrangidos por um esquema europeu, sempre que a especificidade do objeto da certificação o justifique; Promover a formação de auditores no âmbito da cibersegurança, em colaboração com o Instituto Português de Acreditação, I. P. Qualquer disposição regulamentar de cibersegurança emitida pelas autoridades nacionais setoriais ou especiais de cibersegurança é precedida de parecer do CNCS. As entidades públicas e privadas prestam a sua colaboração ao CNCS para o exercício das respetivas atribuições e competências ao abrigo do presente decreto-lei, no respeito pelo princípio da proporcionalidade. O dever de cooperação previsto no número anterior pode incluir o acesso físico às instalações das entidades para a realização de diligências integradas em ações de supervisão ou de resposta a incidentes, sem prejuízo do cumprimento de requisitos de acesso previstos noutros regimes especiais de segurança da informação e respeitadas as exigências previstas no Código do Procedimento Administrativo. O CNCS atua em estreita cooperação com as estruturas nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo. Artigo 21.º Autoridade de gestão de crises de cibersegurança O Secretário-Geral do Sistema de Segurança Interna é a autoridade nacional de gestão de crises e incidentes de cibersegurança em grande escala, também designada por autoridade de gestão de crises de cibersegurança. A declaração de crises e incidentes de cibersegurança em grande escala, depende da atribuição de um grau de ameaça elevado pelo Serviço de Informações de Segurança, nos termos previstos no plano de coordenação, controlo e comando operacional das Forças e Serviços de Segurança, aprovado pela Deliberação do Conselho de Ministros n.º DB 14/2010, de 5 de março, ou da comunicação, pelo CNCS, da ocorrência de uma crise ou incidente de cibersegurança em grande escala, nos termos da alínea g) do n.º 1 do artigo anterior. O Secretário-Geral do Sistema de Segurança Interna convoca o gabinete de crise de cibersegurança, nos termos do n.º 4 do artigo 16.º da Lei n.º 53/2008, de 29 de agosto, na sua redação atual. Artigo 22.º Equipa de Resposta a Incidentes de Cibersegurança O «CERT.PT» é a equipa nacional de resposta a incidentes de cibersegurança. O «CERT.PT» está integrado no CNCS e dispõe de autonomia técnica e operacional. O «CERT.PT» exerce as seguintes competências: Garantir a resposta operacional a incidentes; Monitorizar e analisar ciberameaças, vulnerabilidades e incidentes a nível nacional e, mediante pedido, prestar assistência a entidades essenciais, importantes e públicas relevantes relativamente à monitorização em tempo real ou quase real dos seus sistemas em rede e informação; Ativar os mecanismos de alerta rápido, enviar mensagens de alerta, fazer comunicações e divulgar informações às entidades essenciais, importantes e públicas relevantes, a autoridades competentes, e a outras partes interessadas, sobre ciberameaças, vulnerabilidades e incidentes, incluindo em tempo real; Intervir em caso de incidentes e prestar assistência às entidades essenciais, importantes e públicas relevantes, nomeadamente, quando aplicável, propondo ao CNCS a emissão de ordens, instruções e orientações operacionais quanto a medidas que devem ser adotadas para conter, mitigar e resolver os incidentes, bem como os prazos adequados para a sua implementação; Em situações de grave e comprovado risco, propor à autoridade de cibersegurança competente a adoção de medidas de execução necessárias para uma resposta imediata à ciberameaça, incidente ou crise, nos termos do n.º 3 do artigo 52.º, caso a entidade essencial, importante ou pública relevante em causa não o faça de forma voluntária; Recolher e analisar dados forenses, determinar a sua preservação e proceder à análise dinâmica dos riscos e dos incidentes e desenvolver o conhecimento situacional em matéria de cibersegurança; Realizar, a pedido de uma entidade essencial, importante ou pública relevante, uma análise proativa das respetivas redes e sistemas de informação da entidade, a fim de detetar vulnerabilidades com um potencial impacto significativo; Implementar ferramentas e funcionalidades que permitam uma partilha segura de informação com as entidades essenciais, importantes e públicas relevantes, bem como com outras partes interessadas; Realizar, por sua iniciativa, análises proativas e não intrusivas de redes e sistemas de informação acessíveis ao público de entidades essenciais, importantes e públicas relevantes, com o objetivo de detetar redes e sistemas de informação vulneráveis ou inseguros e informar as entidades em causa, na medida em que não tenham qualquer impacto negativo no funcionamento dos serviços destas; Promover a adoção e a utilização de práticas comuns ou normalizadas; Assegurar a representação nacional na rede de equipas de resposta a incidentes de cibersegurança nacionais nos termos da subalínea ii) da alínea l) do n.º 1 do artigo 20.º e restantes fóruns internacionais de cooperação de equipas de resposta a incidentes de cibersegurança; Participar nos fóruns nacionais de cooperação de equipas de resposta a incidentes de segurança informática; Participar em eventos e ações de formação nacionais e internacionais; Colaborar e articular a sua atuação com as redes de CSIRTs setoriais, nacionais e europeias, sempre que necessário ou conveniente; Cooperar com as entidades competentes no âmbito da segurança do ciberespaço. No exercício das suas competências, o «CERT.PT» pode determinar a priorização de certas tarefas através de uma abordagem baseada no risco, considerando, designadamente, a avaliação de ameaça vigente e produzida pelo Serviço de Informações de Segurança. As entidades públicas e privadas prestam a sua colaboração ao «CERT.PT» para o exercício das respetivas atribuições e competências ao abrigo do presente decreto-lei. A colaboração referida no número anterior pode incluir o acesso físico às instalações e a partilha de informação entre as entidades que prestam serviços de resposta a incidentes a terceiros e o «CERT.PT», e ações conjuntas, por iniciativa deste, para efeitos da alínea e) do n.º 3. Artigo 23.º Cooperação entre autoridades nacionais O CNCS, o Secretário-Geral do Sistema de Segurança Interna e as autoridades nacionais setoriais de cibersegurança, no exercício das suas atribuições e competências ao abrigo do presente decreto-lei, atuam em cooperação estreita com: A Comissão Nacional de Proteção de Dados (CNPD), sempre que estejam em causa incidentes que tenham dado origem à violação de dados pessoais, nos termos do artigo 79.º; O Ministério Público, os tribunais e a Polícia Judiciária, sempre que estejam em causa incidentes que possam ter dado origem à prática de cibercrimes, nomeadamente através: Da comunicação, logo que possível, de factos relativos à preparação e execução de cibercrimes de que tenham tido conhecimento no exercício das suas funções, sem prejuízo do disposto no artigo 38.º; Da prática dos atos cautelares necessários e urgentes para assegurar a conservação de provas e da partilha, nos termos legais, de outros elementos probatórios necessários para o estrito exercício das competências previstas nas alíneas a) a e) do n.º 3 do artigo anterior; Do desempenho da função de perito prevista no artigo 153.º do Código do Processo Penal; O Comando de Operações de Ciberdefesa, nomeadamente quando estejam em causa prevenção de incidentes, monitorização, deteção, reação, análise e correção no âmbito da ciberdefesa e da cibersegurança das Forças Armadas; O Serviço de Informações de Segurança, nomeadamente na partilha de informações necessárias à preservação da segurança do ciberespaço de interesse nacional, designadamente no que respeita à espionagem, à sabotagem, ao terrorismo e à criminalidade organizada. A obtenção de informação ao abrigo da cooperação prevista no número anterior deve respeitar a legislação aplicável em matéria de proteção de dados pessoais, designadamente, o RGPD, a Lei n.º 26/2016, de 22 de agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto e a Lei n.º 59/2019, de 8 de agosto. A cooperação prevista na alínea b) do n.º 1 não põe em causa o segredo de justiça. O acesso a informação nos termos da cooperação prevista, designadamente, nas subalíneas i) e ii) da alínea b) do n.º 1, relativa a processos que estejam a ser objeto de investigação, pode ser recusado com os fundamentos previstos no n.º 1 do artigo 89.º do Código de Processo Penal. A Polícia Judiciária e o Serviço de Informações de Segurança designam um elemento de ligação permanente junto do CNCS. Os termos da cooperação técnica e operacional entre o CNCS, o Comando de Operações de Ciberdefesa, a Polícia Judiciária, o Serviço de Informações de Segurança e o Serviço de Informações Estratégicas de Defesa, são definidos por mútuo acordo no âmbito do G5. As autoridades referidas no presente artigo devem responder aos pedidos de informação no prazo de 5 dias após a data em que as informações tiverem sido solicitadas, salvo motivo devidamente justificado. Artigo 24.º Cooperação com o setor privado As entidades que integrem o quadro institucional da segurança do ciberespaço, nos termos do artigo 15.º, devem estabelecer relações de cooperação com as entidades abrangidas pelo presente decreto-lei e, quando pertinente, com outras entidades interessadas do setor privado, com vista a alcançar os objetivos do regime jurídico da cibersegurança. As relações de cooperação devem abranger, pelo menos, os seguintes aspetos relativos à partilha de informação, adoção de boas práticas, desenvolvimento ou melhoria de sistemas de classificação e de taxonomias comuns ou normalizadas quanto a: Medidas de gestão dos riscos de cibersegurança; Indicadores de exposição a riscos ou ciberameaças; Procedimentos de tratamento de incidentes; Gestão de crises; e Divulgação coordenada de vulnerabilidades, nos termos do artigo 38.º. A fim de promover a troca de conhecimento, a partilha de boas práticas e a mobilização de conhecimentos especializados de entidades do setor privado no apoio à autoridade de cibersegurança competente, podem ser adotadas parcerias público-privadas para a cibersegurança, definindo o âmbito e as partes envolvidas, o modelo de governação, as opções de financiamento disponíveis e a interação entre as partes participantes. Podem ser celebrados, entre as entidades referidas no n.º 1 bem como, quando pertinente, com os seus fornecedores ou prestadores de serviços, acordos de partilha de informações sobre cibersegurança, para os seguintes fins: Evitar, detetar, responder e recuperar de incidentes ou atenuar o seu impacto; Reforçar o nível de cibersegurança, em especial ao sensibilizar para as ciberameaças, limitar ou impedir a sua capacidade de disseminação, apoiar um leque de capacidades defensivas, a correção e divulgação de vulnerabilidades, as técnicas de deteção, contenção e prevenção de ameaças, as estratégias de atenuação ou as fases de resposta e recuperação, ou promover a investigação colaborativa de ciberameaças entre entidades públicas e privadas. As partes signatárias dos acordos de partilha de informação, quando necessário, tomam medidas para proteger a natureza sensível das informações partilhadas e limitar a sua distribuição, em conformidade com o designado TLP (Traffic Light Protocol, na expressão e sigla de língua inglesa). As entidades essenciais e importantes são obrigadas a notificar a autoridade de cibersegurança competente da sua participação nos acordos referidos no n.º 4, aquando da sua celebração, ou, quando aplicável, da sua retirada de tais acordos, assim que esta produza efeitos. Os acordos referidos no n.º 4, quando celebrados por entidades essenciais e importantes abrangidas pelo Regulamento (UE) 2022/2554, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro, são comunicados às respetivas autoridades nacionais especiais de cibersegurança. O CNCS assegura e gere uma plataforma em linha para a partilha de informações. Capítulo IV Gestão dos riscos de cibersegurança e outros deveres Secção I Gestão da cibersegurança e da segurança da informação Artigo 25.º Obrigações dos órgãos de gestão, direção e administração Os órgãos de gestão, direção e administração das entidades essenciais e importantes: Aprovam as medidas de gestão dos riscos de cibersegurança, adotadas em conformidade com o artigo 27.º; Supervisionam a aplicação das medidas de gestão dos riscos de cibersegurança; Asseguram o cumprimento das medidas de supervisão e de execução, a que se refere o capítulo VI do presente decreto-lei; Asseguram a realização, com uma periodicidade regular, de ações de formação em cibersegurança, de forma a promover uma cultura de gestão interna sobre práticas de gestão dos riscos de cibersegurança. Os titulares dos órgãos de gestão, direção e administração podem responder por ação ou omissão, com dolo ou culpa grave, nos termos da legislação aplicável, pelas infrações previstas no presente decreto-lei. A responsabilidade e poderes necessários para o cumprimento das obrigações referidas no presente artigo não podem ser delegados, exceto num dos titulares dos órgãos de gestão, direção e administração. Artigo 26.º Sistema de gestão de riscos de cibersegurança As entidades essenciais e importantes são responsáveis por garantir a segurança das redes e dos sistemas de informação, tomando as medidas técnicas, operacionais e organizativas adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam nas suas operações e para impedir ou minimizar o impacto de incidentes nos destinatários dos seus serviços e noutros serviços. As medidas de cibersegurança adotadas devem basear-se numa abordagem sistémica que abranja todos os riscos para as entidades essenciais e importantes e que vise proteger todos os ativos que garantam a continuidade do funcionamento das redes e os sistemas de informação que suportam os serviços essenciais, incluindo o seu ambiente físico, contra incidentes. As medidas devem ainda: Garantir um nível de segurança das redes e dos sistemas de informação adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes e, se aplicáveis, as normas europeias e internacionais pertinentes, bem como os custos de execução e a viabilidade financeira destes; e Ser proporcionais ao grau de exposição da entidade aos riscos, a dimensão da entidade e a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto social e económico, segundo os critérios técnicos que venham a ser definidos pelo CNCS. De forma a orientar a política de gestão de riscos de cibersegurança por parte das entidades essenciais e importantes, o CNCS pode emitir instruções técnicas de harmonização e, sempre que necessário, elaborar e atualizar a matriz de risco aplicável àquelas entidades. Considerando o setor de atividade e a dimensão da entidade e a matriz de risco definida, o CNCS, através de regulamento a aprovar pelo CNCS, define medidas de cibersegurança mínimas e específicas e níveis de conformidade a adotar pelas entidades essenciais e entidades importantes. As medidas de cibersegurança mínimas não prejudicam a adoção de outras medidas que sejam necessárias e proporcionais, em resultado da análise e gestão dos riscos residuais de cibersegurança, nos termos do artigo seguinte. As entidades públicas relevantes devem adotar as medidas técnicas, operacionais e organizativas adequadas que sejam determinadas pelo CNCS, de acordo com o grupo a que pertençam, nos termos do artigo 33.º. Artigo 27.º Medidas de cibersegurança As medidas de cibersegurança a adotar pelas entidades essenciais e importantes, tendo em consideração a matriz de risco em que estiverem inseridas nos termos do artigo anterior, abrangem, designadamente, as seguintes áreas: Tratamento de incidentes; Continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises; Segurança da cadeia de abastecimento, incluindo aspetos de segurança respeitantes às relações entre cada entidade e os respetivos fornecedores ou prestadores de serviços diretos; Segurança na aquisição, desenvolvimento e manutenção das redes e sistemas de informação, incluindo o tratamento e a divulgação de vulnerabilidades; Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança; Práticas básicas de ciber-higiene e formação em cibersegurança, incluindo os titulares de órgãos máximos de gestão e trabalhadores; Políticas e procedimentos relativos à utilização de criptografia e, se for caso disso, de cifragem, sem prejuízo das competências conferidas a outras entidades em matéria de criptografia no âmbito nacional ou perante outras organizações internacionais de que Portugal seja membro; Segurança dos recursos humanos, políticas seguidas em matéria de controlo do acesso e gestão de ativos; Utilização de autenticação multifator ou de autenticação contínua, comunicações seguras e sistemas seguros de comunicações de emergência no seio da entidade. As entidades essenciais e importantes devem adotar ainda, sem demora injustificada, todas as medidas de cibersegurança corretivas necessárias, adequadas e proporcionais, que sejam indispensáveis ao suprimento de falhas ou omissões no cumprimento das medidas previstas no número anterior. As autoridades nacionais setoriais de cibersegurança podem emitir disposições regulamentares para adoção de medidas de cibersegurança específicas do sector, sem prejuízo do disposto no n.º 3 do artigo 20.º. Artigo 28.º Cadeia de abastecimento As medidas de cibersegurança relativas à segurança da cadeia de abastecimento, incluindo aspetos de segurança respeitantes às relações entre cada entidade e os respetivos fornecedores ou prestadores de serviços diretos, devem considerar, designadamente: As vulnerabilidades específicas de cada fornecedor direto e cada prestador de serviços; A qualidade global dos produtos na componente de cibersegurança; As práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os respetivos procedimentos de desenvolvimento seguro; As avaliações coordenadas dos riscos de segurança de cadeias de abastecimento de produtos de TIC, sistemas de TIC ou serviços de TIC críticos que sejam realizadas nos termos do artigo 22.º da Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022; As decisões relativas à aplicação de restrições à utilização, a cessação de utilização ou exclusão de equipamentos, componentes ou serviços de tecnologias de informação e comunicação, ao abrigo do disposto no n.º 3 do artigo 18.º. Artigo 29.º Gestão do risco residual As entidades essenciais e importantes devem realizar uma análise e gestão de riscos em relação a todos os ativos que garantam a continuidade do funcionamento das redes e sistemas de informação que utilizam, incluindo aos ativos que garantam a prestação dos serviços essenciais, com a periodicidade e os elementos técnicos e documentais a definir por regulamento da autoridade de cibersegurança competente, para além do cumprimento das medidas de cibersegurança mínimas nos termos do n.º 5 do artigo 26.º. Com base na análise e gestão de riscos referida no número anterior, as entidades essenciais e importantes devem adotar as medidas de cibersegurança adequadas e proporcionais de forma a gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, incluindo os riscos residuais, tendo em conta o QNRCS, os progressos técnicos mais recentes e, se aplicáveis, as normas europeias e internacionais pertinentes. As entidades essenciais e importantes devem documentar a preparação, a execução e a apresentação dos resultados da análise dos riscos. Artigo 30.º Relatório anual As entidades essenciais e importantes devem elaborar e manter um relatório anual que contenha os seguintes elementos em relação ao ano civil a que se reportam: Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos serviços de informação; Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes; Análise agregada dos incidentes com impacto significativo, com informação sobre: Número de utilizadores afetados pela perturbação serviço; Duração dos incidentes; Distribuição geográfica, no que se refere à zona afetada pelos incidentes, incluindo a indicação de impacto transfronteiriço; Recomendações de atividades, de medidas ou de práticas que promovam a melhoria da segurança das redes e dos sistemas de informação; Problemas identificados e medidas implementadas na sequência dos incidentes; Qualquer outra informação que se considere relevante. As entidades essenciais remetem o relatório anual à autoridade de cibersegurança competente, devidamente assinado pelo responsável de cibersegurança, nos seguintes termos: O primeiro relatório anual é submetido: Até ao último dia útil do mês de janeiro do ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido início no primeiro semestre; Até ao último dia útil do mês de janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade, quando esta tenha tido início no segundo semestre; Os relatórios anuais subsequentes são submetidos até ao último dia útil do mês de janeiro do ano civil seguinte aos quais os mesmos se reportam. Para efeitos do disposto na subalínea ii) da alínea a) do número anterior, o relatório anual deve abranger também o período entre a data de início de atividade e o final do ano civil anterior ao que se reporta. As entidades importantes devem comunicar o relatório anual ao CNCS sempre que solicitado. O CNCS, ouvidas as autoridades nacionais setoriais de cibersegurança, pode adotar modelos para a apresentação do relatório referido nos números anteriores. Artigo 31.º Responsável de cibersegurança As entidades essenciais e importantes designam um responsável de cibersegurança para a gestão da cibersegurança e da segurança da informação, que seja titular dos órgãos de gestão, direção ou administração ou lhes responda organicamente e de forma direta. O responsável de cibersegurança tem, pelo menos, as seguintes funções: Propor as medidas de gestão dos riscos de cibersegurança, incluindo ao nível da cadeia de abastecimento, que devem ser aprovadas nos termos da alínea a) do n.º 1 do artigo 25.º; Prestar informações relativas às medidas de gestão dos riscos de cibersegurança aos órgãos da entidade responsável pela sua supervisão nos termos da alínea b) do n.º 1 do artigo 25.º; Auxiliar os órgãos da entidade no cumprimento das medidas de supervisão e de execução nos termos da alínea c) do n.º 1 do artigo 25.º; Contribuir para a promoção de uma cultura de cibersegurança na entidade, propondo, nomeadamente, as ações de formação em cibersegurança previstas na alínea d) do n.º 1 do artigo 25.º; Assegurar a gestão de riscos prevista no artigo 29.º; Assegurar o cumprimento das obrigações referentes à elaboração do relatório anual nos termos do artigo 30.º; Coordenar as ações do ponto de contacto permanente, previstas no artigo 32.º, quando esta função não seja assegurada por si. As entidades essenciais e importantes comunicam à autoridade de cibersegurança competente, no prazo de 20 dias úteis a contar do início de funções, a pessoa designada para exercer as funções de responsável de cibersegurança, incluindo a informação referida em regulamento a aprovar pelo CNCS. As entidades essenciais e importantes que tenham iniciado atividade antes da data de entrada em vigor do presente decreto-lei, efetuam a comunicação prevista no número anterior no prazo de 20 dias úteis, a contar desta data. As entidades essenciais e importantes comunicam, sem demora injustificada, às autoridades de cibersegurança competentes, a substituição do responsável de cibersegurança. Relativamente às entidades essenciais e importantes que pertençam à administração direta, pode ser designado o mesmo responsável de cibersegurança para vários ministérios, áreas governativas ou secretarias regionais. Relativamente às entidades essenciais e importantes inseridas no mesmo grupo empresarial, pode cada empresa estabelecer um elemento que funcione como ponto de contacto para a cibersegurança sob coordenação de um responsável de segurança comum ao grupo. O exercício das funções de responsável de cibersegurança é compatível com a acumulações de outras funções dentro da mesma entidade, sem prejuízo do disposto no presente artigo. Artigo 32.º Ponto de contacto permanente As entidades essenciais e importantes asseguram a função do ponto de contacto permanente com uma disponibilidade contínua de 24 horas por dia e de sete dias por semana, limitada a períodos de ativação, iniciados e terminados mediante comunicação da autoridade de cibersegurança competentes. As entidades essenciais e importantes comunicam ao CNCS, pelo menos, um ponto de contacto permanente, que pode ser assegurado por um elemento ou uma equipa, de modo a assegurar: Os fluxos de informação de nível operacional e técnico com a autoridade de cibersegurança competente, nomeadamente: A articulação intersectorial, incluindo a eficácia da resposta a incidentes de segurança com impacto a nível dos setores; A obtenção de informação operacional e técnica, na sequência de notificação de incidentes com impacto significativo submetida pela mesma ou por outra entidade; A obtenção e atualização de informação de situação integrada no contexto de um incidente significativo; A partilha de informação com a autoridade de cibersegurança competente, quando estejam ativados planos de emergência de proteção civil diretamente relacionados ou com impacto ao nível da cibersegurança bem como de planos no âmbito do planeamento civil de emergência da cibersegurança, dos planos de segurança das infraestruturas críticas nacionais ou europeias, ou dos planos de resiliência das entidades críticas nacionais ou europeias; A operacionalização dos procedimentos fixados no âmbito de um plano de emergência de proteção civil quando tenham impacto no funcionamento das redes e sistemas de informação, ou do planeamento civil de emergência da cibersegurança; A receção das orientações, recomendações, instruções técnicas e ordens emitidas pela autoridade de cibersegurança competente. As entidades essenciais e importantes devem indicar à autoridade de cibersegurança competente, no prazo de 20 dias úteis a contar do início de funções, a pessoa ou pessoas que compõem a equipa que asseguram as funções de ponto de contacto permanente, bem como os respetivos meios de contacto principal e alternativos contendo a informação referida em regulamento a aprovar pelo CNCS. As entidades essenciais e importantes que tenham iniciado atividade antes da data de entrada em vigor do presente decreto-lei devem efetuar a comunicação prevista no número anterior no prazo de 20 dias úteis a contar desta data. As entidades essenciais e importantes devem comunicar imediatamente à autoridade de cibersegurança competente, qualquer alteração à informação prevista no n.º 3. As entidades essenciais e importantes devem assegurar que o ponto de contacto permanente dispõe de meios de contacto principais e alternativos para a comunicação com a autoridade de cibersegurança competente. Artigo 33.º Medidas de cibersegurança aplicáveis às entidades públicas relevantes As entidades públicas relevantes devem cumprir com as medidas de cibersegurança estabelecidas pelo CNCS nos termos do número seguinte. O CNCS estabelece, através de regulamento, as medidas de cibersegurança que devem ser cumpridas por parte das entidades públicas relevantes, considerando os critérios previstos no disposto nos n.ºs 2 e 3 do artigo 26.º e em termos proporcionais e adequados ao grupo a que pertencem, de acordo com o disposto no artigo 7.º. As entidades públicas relevantes estão sujeitas às medidas de supervisão e de execução previstas nos artigos 55.º e 56.º, respetivamente. Artigo 34.º Certificação da cibersegurança O CNCS pode exigir às entidades essenciais, importantes e públicas relevantes, a obtenção de certificação, nacional, europeia ou internacional, que ateste o cumprimento das medidas de cibersegurança do presente decreto-lei, nomeadamente em conformidade com esquemas de certificação elaborados a partir do Documento Normativo Português - Especificação Técnica (DNP TS) 4577-1, Maturidade Digital - Selo Digital e do Quadro Nacional de Referência para a Cibersegurança, assegurando, em todo caso, uma matriz de equivalência com esquemas de certificação de referência existentes. O CNCS pode ainda exigir às entidades essenciais, importantes e públicas relevantes, nos termos do n.º 1 do artigo 24.º da Diretiva (UE) 2022/2555, do Parlamento e do Conselho, de 14 de dezembro de 2022, a utilização de produtos, serviços e processos, todos de TIC, desenvolvidos pela entidade ou fornecidos por terceiros, certificados no âmbito de sistemas nacionais e europeus de certificação da cibersegurança, adotados nos termos do artigo 49.º do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019. As entidades essenciais, importantes e públicas relevantes podem recorrer à certificação referida n.º 1 para comprovar a implementação de medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos de segurança dos sistemas de rede e informação utilizados nas respetivas operações ou prestação de serviços. Secção II Outros deveres Artigo 35.º Dever de registo Para efeitos de registo, as entidades essenciais, importantes e públicas relevantes têm o dever de inscrever na plataforma eletrónica referida no n.º 7 do artigo 8.º os elementos que permitam a sua identificação completa, designadamente: Nome da entidade em causa; Número de identificação fiscal; Endereço e dados de contacto atualizados, incluindo os endereços de correio eletrónico, as gamas de endereços IP e os números de telefone; Se aplicável, o setor e subsetor pertinentes referidos nos anexos I ou II ao presente decreto-lei; e Se aplicável, uma lista dos Estados-Membros da União Europeia em que prestam serviços abrangidos pelo âmbito de aplicação do presente decreto-lei. Além dos dados referidos no número anterior, o registo de nomes de domínio de topo, bem como as entidades que sejam prestadores de serviços de DNS, prestadores serviços de registo de nomes de domínio, prestadores de serviços de computação em nuvem, prestadores de serviços de centro de dados, fornecedores de redes de distribuição de conteúdos, prestadores de serviços geridos, prestadores de serviços de segurança geridos, bem como dos prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais, têm o dever de inscrever na plataforma eletrónica referida no n.º 7 do artigo 8.º os seguintes elementos: O endereço do respetivo estabelecimento principal e dos outros estabelecimentos legais que possui na União Europeia ou, caso não esteja estabelecida na União, do representante designado; Contactos atualizados, incluindo endereços de correio eletrónico e números de telefone da entidade e, se aplicável, do seu representante designado; Os Estados-Membros onde presta serviços; e As gamas de endereços IP. As entidades essenciais, importantes, públicas relevantes e os prestadores de serviços de registos de nomes de domínio notificam o CNCS de qualquer alteração aos dados referidos nos números anteriores, no prazo de 30 dias úteis a contar da alteração. No caso do registo de nomes de TLD, bem como as entidades que sejam prestadores de serviços de DNS, prestadores serviços de registo de nomes de domínio, prestadores de serviços de computação em nuvem, prestadores de serviços de centro de dados, fornecedores de redes de distribuição de conteúdos, prestadores de serviços geridos, prestadores de serviços de segurança geridos, bem como dos prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais, a alteração aos dados referidos nos n.ºs 1 e 2 é notificada no prazo de 3 meses a contar da alteração. Artigo 36.º Base de dados relativos ao registo de nomes de domínio O registo de nomes de domínio de topo e as entidades que prestam serviços de registo de nomes de domínio devem recolher e manter os dados exatos e completos relativos ao registo de nomes de domínio em bases de dados criadas especificamente para o efeito. A recolha e manutenção dos dados referidos no número anterior constitui uma obrigação jurídica nos termos e para os efeitos da alínea c) do n.º 1 do artigo 6.º do RGPD. A base de dados referida no n.º 1 contém a seguinte informação: O nome de domínio; A data de registo; O nome, o endereço de correio eletrónico de contato e o número de telefone do titular de registo; O endereço de contacto e o número de telefone de contacto que administra o nome de domínio, caso sejam diferentes do titular de registo. O registo de nomes de domínio de topo e as entidades que prestam serviços de domínio adotam políticas e procedimentos, incluindo de verificação, para assegurar que as respetivas bases de dados, nos termos do n.º 1, contêm informações exatas e completas. Os dados relativos ao registo de nomes de domínio e as políticas e procedimentos referidos nos números anteriores devem ser acessíveis ao público, quando não sejam dados pessoais e não se encontrem protegidos ao abrigo da legislação aplicável em matéria de proteção de dados pessoais, designadamente, o RGPD, a Lei n.º 26/2016, de 22 de agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto e a Lei n.º 59/2019, de 8 de agosto. Artigo 37.º Acesso ao registo de nomes de domínio O registo de nomes de domínio de topo e as entidades que prestam serviços de registo de nomes de domínio garantem o acesso gratuito a dados específicos relativos ao registo de nomes de domínio a quem apresente um pedido de acesso devidamente fundamentado e que preencha os requisitos legais, em conformidade com a legislação aplicável em matéria de proteção de dados pessoais, designadamente, o RGPD, a Lei n.º 26/2016, de 22 de agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto, e a Lei n.º 59/2019, de 8 de agosto. Os pedidos de acesso referidos no número anterior são concedidos no prazo de 72 horas a contar da receção do mesmo. Capítulo V Prevenção e tratamento de incidentes Secção I Prevenção e acompanhamento de vulnerabilidades Artigo 38.º Vulnerabilidades em sistemas de informação O «CERT.PT» é a entidade coordenadora nacional para efeitos da divulgação coordenada de vulnerabilidades que afetem redes e sistemas de informação, produtos, componentes e serviços de tecnologias de informação e comunicação. O «CERT.PT» desempenha o papel de intermediário de confiança, facilitando a interação entre a pessoa singular ou coletiva notificadora e o fabricante ou fornecedor de produtos de TIC ou prestador de serviços de TIC que sejam potencialmente vulneráveis, a pedido de qualquer uma das partes. As funções da «CERT.PT» incluem, designadamente: A identificação e o contacto das entidades referidas no número anterior; A prestação de apoio às pessoas singulares ou coletivas que notifiquem vulnerabilidades; A negociação do calendário de divulgação e a gestão das vulnerabilidades que afetem várias entidades. O «CERT.PT» preserva o anonimato de qualquer pessoa singular ou coletiva que comunique uma vulnerabilidade, caso esta lho solicite, sem prejuízo do disposto na Lei do Cibercrime, aprovada pela Lei n.º 109/2009, de 15 de setembro, na redação introduzida pelo presente decreto-lei. Os dados incluídos nas comunicações realizadas ao abrigo do presente artigo devem ser eliminados no prazo de 10 dias, contados a partir do momento em que a vulnerabilidade seja corrigida, devendo garantir-se a confidencialidade dos mesmos durante todo o procedimento. Artigo 39.º Comunicação de vulnerabilidades Quando a vulnerabilidade possa ter impacto importante sobre entidades em mais do que um Estado-Membro da União Europeia, o «CERT.PT» coopera com as suas congéneres, quer no âmbito da Rede Europeia de CSIRTs, quer no âmbito da UE-CyCLONe. Secção II Notificação de incidentes Artigo 40.º Notificação obrigatória As entidades essenciais, importantes e públicas relevantes notificam qualquer incidente significativo à autoridade de cibersegurança competente. O cumprimento da mera notificação não gera responsabilidade acrescida para a entidade notificante. A fim de determinar se um incidente tem impacto significativo nos termos do n.º 1, as entidades em causa devem ter em consideração, designadamente, os seguintes parâmetros: Número de utilizadores afetados pela perturbação do serviço; Número total de utilizadores do serviço perturbado; A duração do incidente; O nível da gravidade da perturbação do funcionamento do serviço; A dimensão do impacto nas atividades económicas e sociais. As entidades devem ainda ter em consideração os parâmetros e limiares definidos, quando aplicável, por instrução técnica do CNCS e pelos atos de execução da Comissão, previstos no n.º 11 do artigo 23.º da Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022. O cumprimento do disposto no presente decreto-lei não dispensa o respeito pelas obrigações específicas de notificação de incidentes nos termos definidos pelas autoridades com competência para o efeito, nomeadamente o Ministério Público, a Polícia Judiciária, a CNPD, a Entidade Fiscalizadora do Segredo de Estado e o GNS, de acordo com as disposições legais e regulamentares aplicáveis. As notificações devem ser submetidas na plataforma eletrónica referida no n.º 7 do artigo 8.º. Às entidades essenciais, importantes e públicas relevantes é assegurada a possibilidade de notificar um incidente, simultaneamente, à autoridade de cibersegurança competente, às autoridades especiais de cibersegurança, bem como às entidades previstas no n.º 5, através da plataforma prevista no n.º 7 do artigo 8.º, nos termos a definir por protocolo outorgado entre as referidas autoridades. Artigo 41.º Tipos de notificações Por cada incidente sujeito a notificação obrigatória, as entidades essenciais, importantes e públicas relevantes submetem: Uma notificação inicial, nos termos do artigo 42.º; Uma notificação de fim do impacto significativo, nos termos do artigo 43.º; Um relatório final, nos termos dos artigos 44.º. Nos casos em que o incidente é resolvido nas duas horas após a sua deteção, as entidades referidas ficam apenas obrigadas ao envio da notificação do fim de impacto significativo. Sem prejuízo do disposto no número anterior, as entidades essenciais, importantes e públicas relevantes poderão ainda ser notificadas para apresentar um relatório intercalar, nos termos do artigo 44.º. O formato e procedimento de notificação de incidentes e a taxonomia dos incidentes, incluindo as categorias de causas dos incidentes e os seus efeitos, são definidos por instrução técnica do CNCS, sem prejuízo dos atos de execução adotados pela Comissão previstos no n.º 11 do artigo 23.º da Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022. Artigo 42.º Notificação inicial A notificação inicial deve ser enviada à autoridade de cibersegurança competente, assim que a entidade essencial, importante ou pública relevante concluir que existe, ou possa vir a existir, um incidente significativo, sem demora injustificada e até 24 horas após essa verificação, salvo quando tal for incompatível com a mitigação ou a resolução do incidente. A notificação inicial deve incluir, pelo menos, a seguinte informação: Nome, número de telefone e endereço de correio eletrónico de um representante da entidade, quando diferente do ponto de contacto permanente a que se refere o artigo 32.º, para efeito de um eventual contacto pela autoridade de cibersegurança competente; Data e hora do início ou, em caso de impossibilidade de o determinar, da deteção do incidente; Breve descrição do incidente, incluindo a indicação da categoria da causa e dos efeitos produzidos, de acordo com a taxonomia definida pelo CNCS, sempre que possível, o respetivo detalhe; Estimativa possível do impacto, considerando: Número de utilizadores afetados pela perturbação do serviço; Duração do incidente; Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação do impacto transfronteiriço; Outra informação que a entidade essencial e importante considere relevante. Quando necessário, a entidade essencial, importante ou pública relevante envia à autoridade de cibersegurança competente uma atualização da notificação inicial até 72 horas após a verificação do incidente significativo, revendo a informação referida no número anterior e fornecendo uma avaliação inicial do incidente significativo, incluindo da sua gravidade e do seu impacto, bem como, se disponíveis, dos indicadores de exposição a riscos. Artigo 43.º Notificação do fim de impacto significativo A notificação do fim de impacto significativo do incidente deve ser submetida à autoridade de cibersegurança competente, sem demora injustificada e dentro do prazo de 24 horas após o fim do impacto. A notificação do fim de impacto significativo deve incluir a seguinte informação, pelo menos: Atualização da informação transmitida na notificação inicial, caso exista; Breve descrição das medidas adotadas para a resolução do incidente; Descrição da situação de impacto existente no momento da perda de impacto significativo, nomeadamente: Número de utilizadores afetados pela perturbação do serviço; Duração do incidente; Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço; Tempo estimado para a recuperação total dos serviços. Artigo 44.º Relatórios final e intercalar O relatório final deve ser submetido à autoridade de cibersegurança competente, no prazo de 30 dias úteis a contar da data da notificação do fim de impacto significativo do incidente. O relatório final deve incluir a seguinte informação: Data e hora em que o incidente assumiu o impacto significativo; Data e hora em que o incidente perdeu o impacto significativo; Impacto do incidente, considerando: Número de utilizadores afetados pela perturbação do serviço; Duração do incidente; Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço; Descrição do incidente, com a indicação da categoria da causa e dos efeitos produzidos, de acordo com a taxonomia definida pelo CNCS, e o respetivo detalhe; Indicação das medidas adotadas para mitigar o incidente; Descrição da situação residual do impacto existente à data da notificação final, nomeadamente: Número de utilizadores afetados pela perturbação do serviço; Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço; Tempo estimado para a recuperação total dos serviços ainda afetados; Indicação, sempre que aplicável, da apresentação de notificação do incidente em causa às autoridades competentes, nomeadamente ao Ministério Público ou à CNPD e a outras autoridades setoriais, nos termos previstos nas disposições legais e regulamentares aplicáveis; Outra informação que a entidade essencial e importante considere relevante. Na hipótese de, decorrido o prazo para apresentação do relatório final, o incidente ainda se encontrar em curso, a entidade essencial, importante ou pública relevante em causa deve apresentar relatório intercalar a autoridade de cibersegurança competente, a pedido destas entidades e com periodicidade semanal até ao momento da apresentação do relatório final. O relatório intercalar deve incluir a seguinte informação: Atualização da informação transmitida na notificação inicial, caso exista; Breve descrição das medidas adotadas para a resolução do incidente; Descrição da situação de impacto existente no momento da perda de impacto significativo, nomeadamente: Número de utilizadores afetados pela perturbação do serviço; Duração do incidente; Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto transfronteiriço; Tempo estimado para a recuperação total dos serviços. Artigo 45.º Notificações voluntárias de informações pertinentes Sem prejuízo da obrigação de notificação de incidentes prevista no presente decreto-lei, qualquer pessoa singular ou coletiva pode notificar, a título voluntário, a ocorrência de incidentes, ciberameaças, quase incidentes ou vulnerabilidades. As notificações voluntárias não geram obrigações adicionais para a entidade notificante. O disposto nos artigos 42.º a 44.º aplica-se, com as devidas adaptações, às notificações voluntárias, sem prejuízo da prioridade a dar ao tratamento das notificações obrigatórias. Artigo 46.º Pedidos de informação A autoridade de cibersegurança competente pode solicitar às entidades essenciais, importantes ou públicas relevantes, as informações relevantes ou determinar as ações necessárias, nos termos legalmente aplicáveis, quando tenha conhecimento, por qualquer meio, de um potencial incidente, aplicando-se, com as devidas adaptações, o disposto nos artigos 42.º a 44.º. Artigo 47.º Proteção da informação O envio de informações pelo CNCS ou, quando aplicável, pelas autoridades nacionais setoriais de cibersegurança, ao abrigo do presente decreto-lei, para autoridades ou entidades competentes nacionais, da União Europeia ou de outro Estado-Membro limita-se ao necessário e proporcional, em conformidade com a legislação aplicável em matéria de proteção de dados pessoais, designadamente, o RGPD, a Lei n.º 26/2016, de 22 de agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto e a Lei n.º 59/2019, de 8 de agosto. A autoridade de cibersegurança competente garante a proteção adequada das informações e dados, qualquer que seja a sua natureza, transmitidos pelas entidades essenciais, importantes e públicas relevantes em matéria de confidencialidade, segredo comercial e segredo profissional. O n.º 2 aplica-se, com as devidas adaptações, às informações fornecidas pelas pessoas singulares e coletivas que procedam a uma notificação ao abrigo do artigo anterior. Artigo 48.º Comunicação aos destinatários dos serviços As entidades essenciais, importantes e públicas relevantes comunicam aos destinatários dos seus serviços, sem demora injustificada, quaisquer incidentes com impacto significativo que sejam suscetíveis de os afetar negativamente. As entidades essenciais, importantes e públicas relevantes comunicam aos destinatários dos seus serviços potencialmente afetados por uma ciberameaça significativa, sem demora injustificada, as medidas ou soluções que estes podem adotar para responder à ameaça e, quando apropriado, comunicam aos mesmos a ciberameaça em causa. A comunicação referida no número anterior não dispensa as entidades em causa do dever de, a expensas suas, adotarem as medidas adequadas e imediatas para prevenir ou remediar quaisquer ameaças e restabelecer o nível normal de segurança do serviço que prestam. A informação referida nos números anteriores deve ser prestada de forma gratuita e em linguagem facilmente compreensível. Secção III Comunicação de incidentes, informação ao público e resposta Artigo 49.º Comunicação entre autoridades As autoridades nacionais setoriais e especiais de cibersegurança comunicam ao CNCS todos os incidentes de que são notificados nos termos do disposto no artigo 40.º, e informam aquela autoridade da respetiva evolução. Para efeitos do artigo 21.º, o CNCS comunica ao Secretário-Geral do Sistema de Segurança Interna, sem demora injustificada, os incidentes de que são notificados nos termos do disposto no artigo 40.º, que sejam suscetíveis de ser qualificados como de grande escala. O CNCS informa, quando entenda ser necessário, as autoridades nacionais setoriais e especiais de cibersegurança das notificações voluntárias nos termos do artigo 45.º. O disposto no presente artigo aplica-se, com as devidas adaptações, às notificações efetuadas nos termos do artigo 42.º. As comunicações referidas nos números anteriores são feitas de forma imediata, através de meios eletrónicos. Artigo 50.º Comunicação a entidades no âmbito da União Europeia ou dos seus Estados-Membros Sempre que se justificar, nomeadamente quando um incidente significativo envolver pelo menos outro Estado-Membro da União Europeia, o CNCS deve informar os outros Estados-Membros afetados, designados ao abrigo do artigo 8.º da Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, e a ENISA da ocorrência do mesmo, com envolvimento dos canais de cooperação em matéria de cooperação policial e em matéria de serviços de informações. A comunicação referida no número anterior inclui as informações recebidas através das notificações feitas nos termos dos artigos 42.º e seguintes. Compete ao CNCS, na qualidade de ponto de contacto único, apresentar trimestralmente à ENISA um relatório de síntese que inclua dados anonimizados e agregados sobre os incidentes significativos, os incidentes, as ciberameaças e os quase incidentes notificados nos termos dos artigos 40.º e 45.º. Artigo 51.º Informação ao público A autoridade de cibersegurança competente deve informar o público da ocorrência de um incidente significativo, após consulta com a entidade em causa, quando: For necessário esclarecer o público para evitar o incidente ou para responder a um incidente em curso; A divulgação do incidente significativo seja de interesse público. A autoridade de cibersegurança competente deve também exigir que a entidade em causa proceda à divulgação ao público do incidente significativo, quando estejam em causa as situações referidas no número anterior. A autoridade de cibersegurança competente deve informar o público de um incidente significativo, perante pedido de uma autoridade competente de outro Estado-Membro da União Europeia. A comunicação ao público prevista no presente artigo não prejudica a cooperação em sede de investigações criminais em curso, ou que estejam abrangidas pelos regimes de segredo de justiça e de segredo de Estado. Artigo 52.º Resposta a notificações A autoridade de cibersegurança competente responde à entidade notificante, sem demora injustificada e, se possível, no prazo de 24 horas após a receção da notificação inicial prevista no artigo 42.º. A autoridade de cibersegurança competente fornece, na sua resposta, designadamente, as suas observações iniciais sobre o incidente significativo e, a pedido da entidade, orientações ou aconselhamento operacional sobre a aplicação de possíveis medidas de atenuação. Em situações de grave e comprovado risco do impacto do incidente notificado nos termos do artigo 40.º, a autoridade de cibersegurança competente pode impor, como medida de execução imediata, a interrupção da prestação de serviço à entidade essencial, importante ou pública relevante em causa, ou a cessação de uma conduta que infringe o presente decreto-lei, caso esta não o faça de forma voluntária. Nos casos de suspeita fundada da natureza criminosa do incidente significativo, a autoridade de cibersegurança competente deve fornecer igualmente orientações sobre a notificação do incidente significativo às autoridades policiais. O disposto nos números anteriores aplica-se, com as necessárias adaptações, aos incidentes, quase incidentes ou ciberameaças que tenham sido notificados, de forma voluntária, ao abrigo do artigo 45.º. Capítulo VI Supervisão e execução Secção I Medidas de supervisão e execução Artigo 53.º Princípios A autoridade de cibersegurança competente, na qualidade de autoridade de supervisão e de execução, fiscaliza e supervisiona o cumprimento do presente decreto-lei e adota as medidas necessárias para garantir esse cumprimento. As atividades de supervisão e de execução são orientadas, designadamente, pelos princípios da prossecução do interesse público, da legalidade, da eficiência, da eficácia e da proporcionalidade, devendo minimizar, sempre que possível, o seu impacto nas atividades públicas, sociais e empresariais das entidades supervisionadas. A atividade de supervisão assenta em metodologias de avaliação de risco e, com fundamento nessa avaliação e nos princípios referidos no número anterior, pode determinar a afetação prioritária de recursos e as medidas a adotar em função da matriz de risco aplicável à entidade em causa, nomeadamente no que respeita à realização, frequência ou tipo de inspeções no local, às auditorias de segurança direcionadas ou verificações de segurança e ao tipo de informações a solicitar. As atividades de supervisão e de execução são exercidas com autonomia operacional, incluindo as que visam as entidades públicas relevantes. As atividades de supervisão e de execução respeitam as garantias dos particulares legal e constitucionalmente previstas. Artigo 54.º Medidas de supervisão relativas a entidades essenciais A autoridade de cibersegurança competente dispõe, relativamente a entidades essenciais, de poderes para as submeter às seguintes medidas: Inspeções no local e a supervisão remota, incluindo controlos aleatórios efetuados por profissionais qualificados; Auditorias de segurança, regulares ou direcionadas, realizadas pela própria autoridade competente ou, quando tal se justifique, por uma entidade devidamente qualificada para o efeito que ofereça garantias de independência; Auditorias ad hoc, designadamente com fundamento na verificação de incidente significativo, incumprimento de ordens, instruções e orientações da autoridade de cibersegurança competente ou infração ao presente decreto-lei por parte da entidade em causa; Verificações de segurança com base em critérios de avaliação dos riscos objetivos, não discriminatórios, equitativos e transparentes, se necessário em cooperação com a entidade em causa; Pedidos de informações necessários para avaliar o cumprimento das medidas de cibersegurança referidas nos artigos 27.º e seguintes, adotadas pela entidade em causa; Pedidos de acesso a dados, documentos e informações necessários ao desempenho das suas funções de supervisão; Pedidos de apresentação das provas demonstrativas da aplicação das políticas e procedimentos de cibersegurança. As auditorias direcionadas referidas na alínea b) do número anterior baseiam-se na análise de risco realizada pela autoridade de cibersegurança competente, na análise de risco realizada pela entidade auditada ou noutras informações disponíveis relacionadas com os riscos, nomeadamente as constantes das instruções técnicas de harmonização e as matrizes de risco elaboradas pelo CNCS, nos termos do n.º 4 do artigo 26.º, bem como das ordens, instruções e orientações da autoridade de cibersegurança competente. Os custos das auditorias direcionadas referidas nas alíneas b) do n.º 1, são suportados pela entidade auditada, salvo decisão contrária fundamentada da autoridade de cibersegurança competente. Os pedidos de informação e de prova referidos nas alíneas e) a g) no n.º 1 devem indicar a respetiva finalidade, especificar a informação solicitada e fixar um prazo adequado e razoável para a entidade essencial lhes dar resposta. Artigo 55.º Medidas de supervisão relativas a entidades importantes e públicas relevantes Sempre que obtenha provas, indícios ou informações de que uma entidade importante ou pública relevante não está a cumprir o presente decreto-lei, a autoridade de cibersegurança competente aplica as medidas de supervisão ex post previstas nos números seguintes. A autoridade de cibersegurança competente dispõe, relativamente a entidades importantes, de poderes para as submeter às seguintes medidas: Inspeções no local e supervisão ex post remota efetuadas por profissionais qualificados; Auditorias de segurança direcionadas realizadas pela própria autoridade competente ou, quando tal se justifique, por uma entidade devidamente qualificada para o efeito que ofereça garantias de independência; Auditorias ad hoc, designadamente com fundamento na verificação de incidente significativo, incumprimento de ordens, instruções e orientações da autoridade de cibersegurança competente ou infração ao presente decreto-lei por parte da entidade em causa; Verificações de segurança com base em critérios de avaliação dos riscos objetivos, não discriminatórios, equitativos e transparentes, se necessário em cooperação com a entidade em causa; Pedidos de informações necessários para avaliar o cumprimento das medidas de cibersegurança referidas nos artigos 27.º e seguintes, adotadas pela entidade em causa; Pedidos de acesso a dados, documentos e quaisquer informações necessárias para o desempenho das suas funções de supervisão; Pedidos de apresentação das provas demonstrativas da aplicação das políticas e procedimentos de cibersegurança, incluindo as inerentes à obtenção dos certificados referidos no n.º 1 do artigo 34.º. As auditorias direcionadas referidas na alínea b) do número anterior baseiam-se na análise de risco realizada pela autoridade de cibersegurança competente, na análise de risco realizada pela entidade auditada ou noutras informações disponíveis relacionadas com os riscos, nomeadamente as constantes das instruções técnicas de harmonização e as matrizes de risco elaboradas pelo CNCS, nos termos do n.º 4 do artigo 26.º, bem como das ordens, instruções e orientações da autoridade de cibersegurança competente. Os custos das auditorias direcionadas referidas na alínea b) do n.º 2 são suportados pela entidade auditada, salvo decisão contrária fundamentada da autoridade de cibersegurança competente. Os pedidos de informação e de prova referidos nas alíneas e) a g) do n.º 2 devem indicar a respetiva finalidade, especificar a informação solicitada e fixar um prazo adequado e razoável para a entidade essencial lhes dar resposta. Artigo 56.º Medidas de execução A autoridade de cibersegurança competente pode, relativamente a entidades essenciais, importantes e públicas relevantes, adotar medidas que incluam o seguinte: Advertências sobre infrações dos deveres decorrentes do presente decreto-lei e do respetivo regime regulamentar aplicável; Ordens ou instruções vinculativas com vista à adoção de medidas necessárias para prevenir, impedir ou corrigir um incidente, determinando os prazos para a sua execução e respetiva informação; Ordens ou instruções vinculativas com vista à correção de deficiências ou infrações ao presente decreto-lei; Ordens ou instruções vinculativas com vista ao cumprimento do disposto no artigo 26.º e seguintes ou, quando se trate de uma entidade pública relevante, do disposto no artigo 33.º, ou ainda com vista ao cumprimento do disposto nos artigos 40.º e seguintes; Ordens para que as entidades em causa informem as pessoas singulares ou coletivas a quem prestam serviços ou que realizam atividades potencialmente afetadas por ciberameaça significativa da natureza desta, bem como de quaisquer medidas de proteção ou corretivas que possam ser adotadas em resposta a essa ciberameaça; Ordens para que a entidade em causa aplique, num prazo razoável, as recomendações formuladas em resultado de uma auditoria de segurança; Designação de um supervisor com funções adequadamente circunscritas, durante um período limitado, para supervisionar o cumprimento das obrigações previstas nos artigos 26.º e seguintes, e previstas nos artigos 40.º e seguintes, pela entidade em causa; Ordens para que entidade em causa publicite os aspetos das infrações ao presente decreto-lei de uma forma específica; Aplicação de coimas nos termos do capítulo seguinte. Em caso de incumprimento, por qualquer entidade essencial, das medidas referidas nas alíneas a) a d) e f) do número anterior no prazo determinado pela autoridade de cibersegurança competente, esta pode, na medida do estritamente necessário: Suspender uma certificação, autorização ou licença relativa a uma parte ou à totalidade dos serviços relevantes prestados ou das atividades realizadas pela entidade, ou ordenar a um organismo de certificação a sua suspensão; Solicitar ao órgão competente a suspensão da autorização ou da licença relativa a uma parte ou à totalidade dos serviços relevantes prestados ou das atividades realizadas pela entidade. As suspensões ou inibições temporárias referidas no número anterior mantêm-se até ao momento em que a entidade corrija as deficiências ou cumpra as medidas referidas no n.º 1. As medidas referidas no n.º 2 não se aplicam às entidades públicas abrangidas pelo presente decreto-lei, sem prejuízo do exercício dos poderes de direção e tutela, nos termos gerais. Artigo 57.º Medidas de bloqueio e redireccionamento A autoridade de cibersegurança competente pode emitir ordens ou instruções com vista a neutralizar uma ciberameaça, ciberataque ou incidente para as redes e sistemas de informação das entidades essenciais, importantes ou públicas relevantes que resulte da utilização abusiva de nomes de domínio ou endereço de protocolo IP, nos termos dos números seguintes. Os tipos de abusos referidos no número anterior incluem, designadamente: Ataques de negação de serviço distribuída (DDoS); Servidores maliciosos (Comando e Controlo); Equipamentos infetados (comunicação com Comando e Controlo); Distribuição de código malicioso; Utilização ilegítima de nome de terceiros; Correio eletrónico não solicitado (SPAM). Na medida do estritamente necessário para cessar a utilização abusiva de nomes de domínio, a autoridade de cibersegurança competente pode ordenar, de forma devidamente fundamentada: Ao registo de nomes de TLD, que solicite ao titular de um registo de um nome de domínio a adoção de medidas adequadas, dentro de um prazo determinado, para reprimir uma ciberameaça ou responder a um ciberataque ou a um incidente; Ao registo de nomes de TLD ou aos prestadores de serviços de DNS, o bloqueio ou redireccionamento de nomes de domínio para um servidor seguro do CNCS, quando estes estejam manifestamente dedicados a ou envolvidos em ciberataques ou incidentes e não estejam disponíveis outros meios eficazes para fazer cessar o ciberataque ou incidente. Na medida do estritamente necessário para cessar a utilização abusiva de endereços de protocolo IP, o CNCS pode ordenar às empresas que oferecem redes e serviços de comunicações eletrónicas o bloqueio ou redireccionamento de endereço de protocolo IP, dinâmico ou estático, para um servidor seguro do CNCS, quando estes endereços estejam manifestamente dedicados ou envolvidos nos tipos de ciberataques ou incidentes previstos nas alíneas a) a d) do n.º 2. As medidas referidas nos n.ºs 3 e 4 não podem exceder o período de 60 dias, podendo este ser renovado por igual período quando haja forte probabilidade, aferida mediante uma avaliação fundamentada, de os ciberataques ou incidentes com origem nos mesmos endereços persistirem ou serem retomados. O disposto no presente artigo aplica-se igualmente aos prestadores de serviços de registo de nomes de domínio. Artigo 58.º Garantias procedimentais A autoridade de cibersegurança competente apresenta uma fundamentação adequada das suas decisões de aplicação das medidas de execução, devendo também, nos termos gerais, proceder à audiência prévia da entidade em causa dentro de um prazo razoável, não inferior a 10 dias. Dispensa-se a audiência prévia referida no número anterior sempre que houver necessidade, devidamente fundamentada, de aplicação de medidas imediatas para prevenir ou responder a incidentes ou ciberameaças significativas. Ao aplicar qualquer uma das medidas de execução referidas nos números anteriores, a autoridade de cibersegurança competente deve respeitar as garantias procedimentais da entidade, atendendo às circunstâncias do caso concreto, e ponderar, designadamente: A gravidade da infração e a importância das disposições violadas; A duração da infração; Quaisquer anteriores infrações relevantes cometidas pela entidade em causa; Quaisquer danos materiais ou imateriais causados, incluindo quaisquer prejuízos financeiros ou económicos, os efeitos noutros serviços e o número de utilizadores afetados; Quaisquer medidas tomadas pela entidade para prevenir ou atenuar os danos materais ou imaterais; A culpa do agente; O nível de cooperação das pessoas singulares ou coletivas responsáveis com a autoridade de cibersegurança competente. Para efeitos da alínea a) do número anterior, presumem-se graves: Violações repetidas do presente decreto-lei; Incumprimento do dever de notificação de incidentes nos termos dos artigos 40.º e seguintes; Incumprimento do dever de correção de incidentes significativos; Incumprimento do dever de correção de deficiências na sequência de instruções vinculativas da autoridade de cibersegurança competente; Obstrução de auditorias ou atividades de acompanhamento ordenadas pela autoridade de cibersegurança competente, na sequência da verificação de uma infração ao presente decreto-lei; Prestação de informações falsas ou grosseiramente inexatas em relação às medidas de cibersegurança previstas nos artigos 26.º e seguintes, ou das obrigações de notificação, previstas nos artigos 40.º e seguintes. Secção II Cooperação entre autoridades com competências de supervisão Artigo 59.º Comunicação de incidentes e aplicação de medidas As autoridades nacionais setoriais de cibersegurança e as autoridades nacionais especiais de cibersegurança informam o CNCS da ocorrência de incidentes ou ciberameaças significativas, bem como da aplicação de medidas de supervisão e de execução em matéria de cibersegurança, nos termos do regime aplicável. A aplicação das medidas de supervisão e de execução em matéria de cibersegurança, nos termos do regime aplicável, pelas autoridades nacionais setoriais de cibersegurança e pelas autoridades nacionais especiais de cibersegurança é precedida de parecer não vinculativo do CNCS, com exceção, para as autoridades nacionais setoriais de cibersegurança, das medidas previstas na alínea i) do n.º 1 do artigo 56.º. As autoridades nacionais setoriais de cibersegurança e as autoridades nacionais especiais de cibersegurança estão dispensadas de solicitar parecer ao CNCS nos termos do número anterior, quando esteja em causa o cumprimento de medidas de execução num prazo inferior a 24h, sem prejuízo de as medidas serem imediatamente comunicadas ao CNCS. A autoridade de cibersegurança competente informa as autoridades nacionais especiais de cibersegurança dos incidentes significativos ocorridos que possam afetar as entidades do setor financeiro. A transmissão da informação acima referida deve ser realizada através da plataforma mencionada no n.º 7 do artigo 8.º. Artigo 60.º Cooperação no âmbito da segurança das infraestruturas críticas Sempre que o CNCS, as autoridades nacionais setoriais de cibersegurança ou as autoridades nacionais especiais de cibersegurança, consoante o caso, exerçam os seus poderes de supervisão relativamente a uma entidade referida no n.º 5 do artigo 3.º, devem informar as autoridades competentes que resultem da transposição da Diretiva (UE) 2022/2557, do Parlamento Europeu e o Conselho, de 14 de dezembro de 2022. As autoridades competentes que resultem da transposição da Diretiva (UE) 2022/2557, do Parlamento Europeu e o Conselho, de 14 de dezembro de 2022, podem, se for necessário, solicitar que o CNCS, as autoridades nacionais setoriais de cibersegurança ou as autoridades nacionais especiais de cibersegurança, consoante o caso, exerçam os seus poderes de supervisão, relativamente a uma entidade referida no n.º 5 do artigo 3.º. Capítulo VII Regime Sancionatório Artigo 61.º Contraordenações muito graves Constituem contraordenações muito graves ao abrigo do presente decreto-lei: O incumprimento das decisões do membro do Governo responsável pela área da cibersegurança, previstas no n.º 3 do artigo 18.º; O incumprimento do dever de adoção das medidas de cibersegurança nos termos dos artigos 27.º a 29.º; O incumprimento dos deveres previstos no artigo 30.º; O incumprimento dos deveres previstos no artigo 31.º; O incumprimento dos deveres previstos no artigo 32.º; O incumprimento do dever de adoção das medidas de cibersegurança estabelecidas pelo CNCS nos termos do artigo 33.º; O incumprimento dos deveres previstos no artigo 34.º; O incumprimento dos deveres previstos nos n.ºs 1 e 2 do artigo 36.º; O incumprimento dos deveres previstos no artigo 37.º; O incumprimento do dever de notificação nos termos dos artigos 40.º a 44.º; O incumprimento do dever de comunicação nos termos do disposto no artigo 48.º; As contraordenações referidas no número anterior são punidas com as seguintes coimas: Quando se trate de uma entidade essencial: De €2 000,00 a €10 000 000,00 ou a 2 % do volume de negócios anual a nível mundial, no exercício financeiro anterior, da entidade essencial em causa, consoante o montante que for mais elevado, se praticadas por uma pessoa coletiva; De €350,00 a €200 000,00, se praticadas por uma pessoa singular. Quando se trate de uma entidade importante: De €1 250,00 a €7 000 000,00 ou num montante máximo não inferior a 1,4 % do volume de negócios anual a nível mundial, no exercício financeiro anterior, da entidade importante em causa, consoante o montante que for mais elevado, se praticada por pessoa coletiva; De €350,00 a €200 000,00, se praticadas por uma pessoa singular. Quando se trate de uma entidade pública relevante integrada no Grupo A previsto no n.º 2 do artigo 7.º: De €16 000,00 a €4 000 000,00, se praticadas por pessoa coletiva; De €500,00 a €16 000,00, se praticadas por pessoa singular; Quando se trate de uma entidade pública relevante integrada no Grupo B previsto no n.º 3 do artigo 7.º: De €8 000,00 a €350 000,00, se praticadas por pessoa coletiva; De €500,00 a €16 000,00, se praticadas por pessoa singular. Artigo 62.º Contraordenações graves Constituem contraordenações graves ao abrigo do presente decreto-lei: O incumprimento dos deveres previstos no artigo 8.º; O incumprimento dos deveres previstos no artigo 35.º; O incumprimento dos deveres previstos nos n.ºs 4 e 5 do artigo 36.º; O incumprimento dos deveres previstos no artigo 46.º; O incumprimento da obrigação prevista no n.º 2 do artigo 51.º; O incumprimento da medida de execução imediata prevista no n.º 3 do artigo 52.º; O incumprimento das advertências, ordens ou instruções vinculativas dadas pela autoridade de cibersegurança competente, ao abrigo das alíneas a) a g) do n.º 1 do artigo 56.º; A violação da suspensão determinada ao abrigo do disposto na alínea a) do n.º 2 do artigo 56.º; A violação da suspensão determinada ao abrigo do disposto na alínea b) do n.º 2 do artigo 56.º; O incumprimento das ordens ou instruções previstas no artigo 57.º. As contraordenações referidas no número anterior são punidas com as seguintes coimas: Quando se trate de uma entidade essencial: De €1 250,00 a €5 000 000,00 ou a 1 % do volume de negócios anual a nível mundial, no exercício financeiro anterior, da entidade essencial em causa, consoante o montante que for mais elevado, se praticadas por uma pessoa coletiva; De €250,00 a €125 000,00, se praticadas por uma pessoa singular. Quando se trate de uma entidade importante: De €875,00 a €3 500 000,00 ou num montante máximo não inferior a 0,7 % do volume de negócios anual a nível mundial, no exercício financeiro anterior, da entidade importante em causa, consoante o montante que for mais elevado, se praticada por pessoa coletiva; De €250,00 a €125 000,00, se praticadas por uma pessoa singular; Quando se trate de uma entidade pública relevante integrada no «Grupo A» previsto no n.º 2 do artigo 7.º: De €10 000,00 a €2 500 000,00, se praticadas por pessoa coletiva; De €375,00 a €10 000,00, se praticadas por pessoa singular; Quando se trate de uma entidade pública relevante integrada no «Grupo B» previsto no n.º 3 do artigo 7.º: De €5 000,00 a €225 000,00, se praticadas por pessoa coletiva; De €375,00 a €10 000,00, se praticadas por pessoa singular. Artigo 63.º Contraordenações leves São contraordenações leves: A utilização, pelas entidades, de marca de certificação da cibersegurança inválida, caducada ou revogada; A utilização de expressão ou grafismo que expressa ou tacitamente sugira a certificação da cibersegurança de produto, serviço ou processo que não seja certificado; A omissão dolosa de informação ou a prestação de falsa informação que seja relevante para o processo de certificação da cibersegurança que se encontre em curso, nos termos definidos em cada esquema de certificação; O incumprimento das solicitações da Comissão de Avaliação de Segurança do Ciberespaço, previstas no n.º 8 do artigo 18.º; As contraordenações referidas no número anterior são punidas com as seguintes coimas: De €875,00 a €45 000,00, se praticadas por uma pessoa coletiva; De €250,00 a €3 750,00, se praticadas por uma pessoa singular. Artigo 64.º Negligência As contraordenações referidas no n.º 1 do artigo 61.º, no n.º 1 do artigo 62.º e nas alíneas a) e b) do n.º 1 do artigo 63.º, são igualmente puníveis a título negligente, sendo os limites mínimos e máximos das coimas reduzidos a metade. Artigo 65.º Dispensa de aplicação das coimas Todas as entidades essenciais, importantes e públicas relevantes podem, mediante pedido devidamente fundamentado, solicitar à autoridade de cibersegurança competente a dispensa da aplicação de coimas referidas no n.º 2 do artigo 61.º e no n.º 2 do artigo 62.º, com fundamento na inexistência de um procedimento interno de adaptação dessas entidades ao novo regime jurídico, durante 12 meses a contar da entrada em vigor do presente decreto-lei. Artigo 66.º Determinação da medida da coima A determinação da coima concreta faz-se em função da gravidade da ilicitude concreta do facto, da culpa do agente, da sua situação económica e do benefício económico que este retirou da prática da contraordenação. Na determinação da ilicitude concreta do facto e da culpa do agente atende-se às seguintes circunstâncias: A gravidade da infração, A duração da infração; O caráter ocasional ou reiterado da infração; Os danos causados, incluindo quaisquer prejuízos financeiros ou económicos, os efeitos noutros serviços e o número de utilizadores afetados; As medidas tomadas pela entidade para prevenir ou atenuar os danos referidos na alínea anterior; O nível de cooperação das pessoas singulares ou coletivas responsáveis com a autoridade de cibersegurança competente. Para efeitos da alínea a) do número anterior, presumem-se graves: As violações repetidas do presente decreto-lei; A ausência de notificação de incidentes nos termos dos artigos 40.º e seguintes; A ausência de correção de incidentes significativos; A ausência de correção de deficiências na sequência de instruções vinculativas das autoridades competentes; A obstrução de auditorias ou atividades de acompanhamento ordenadas pela autoridade de cibersegurança competente, na sequência da verificação de uma infração ao presente decreto-lei; A prestação de informações falsas ou grosseiramente inexatas em relação às medidas de cibersegurança e deveres relativos às medidas de cibersegurança, nos termos do disposto nos artigos 27.º e seguintes, ou das obrigações de notificação, nos termos do disposto nos artigos 40.º e seguintes. O disposto na alínea f) do número anterior não prejudica a responsabilidade nos termos do Código Penal. Exceto em caso de dolo, a instauração de processo de contraordenação depende de prévia advertência do agente, por parte da autoridade de cibersegurança competente, para cumprimento da obrigação omitida ou reintegração da proibição violada em prazo razoável. Artigo 67.º Sanções acessórias e outras determinações Caso a gravidade da infração e a culpa do infrator o justifiquem, a autoridade de cibersegurança competente pode determinar, em simultâneo com a coima: A publicação no Diário da República e num dos jornais de maior circulação nacional, regional ou local, consoante o mercado geográfico relevante, a expensas do infrator, de extrato da decisão de condenação ou, pelo menos, da parte decisória da decisão de condenação proferida no âmbito de um processo instaurado ao abrigo do presente decreto-lei, após o trânsito em julgado; A proibição de participação em procedimentos de contratação pública, quando aplicável; A adoção e execução de um plano de formação em cibersegurança, a executar no prazo de 6 meses; A adoção ou alteração de um plano de segurança, a executar no prazo de 6 meses; A suspensão da prestação do serviço até ao cumprimento dos deveres omitidos; A interdição temporária dos titulares dos órgãos de gestão, direção e administração, do exercício das respetivas funções. Artigo 68.º Sanções compulsórias Os destinatários de uma decisão da autoridade de cibersegurança competente ficam sujeitos ao pagamento de uma quantia pecuniária a pagar por cada dia de atraso no cumprimento, contado da data da respetiva notificação. Para efeitos do disposto no número anterior, considera-se sanção pecuniária compulsória a imposição ao agente do pagamento de uma quantia pecuniária por cada dia de incumprimento que se verifique para além do prazo fixado para o cumprimento da obrigação. A sanção pecuniária compulsória é fixada segundo critérios de razoabilidade e proporcionalidade, sendo o valor diário da sanção prevista no número anterior fixado em €500,00, quando cometida por pessoa coletiva, e em €100,00, quando cometida por pessoa singular. Os montantes diários fixados podem aumentar para cada dia de incumprimento, não podendo, em caso algum, ultrapassar a duração máxima de 30 dias. Artigo 69.º Prescrição do procedimento O procedimento pelas contraordenações graves e muito graves extingue-se por efeito da prescrição logo que sobre a prática da contraordenação haja decorrido o prazo de cinco anos, sem prejuízo das causas de interrupção e suspensão previstas nos termos gerais. O procedimento pelas contraordenações leves extingue-se por efeito da prescrição logo que sobre a prática da contraordenação haja decorrido o prazo de três anos, sem prejuízo das causas de interrupção e suspensão previstas nos termos gerais. Artigo 70.º Prescrição da coima e sanções acessórias O prazo de prescrição da coima e sanções acessórias é de: Três anos, no caso das contraordenações graves e muito graves; Dois anos, no caso de contraordenações leves. O prazo conta-se a partir do carácter definitivo ou do trânsito em julgado da decisão condenatória. Artigo 71.º Regra da competência das autoridades competentes A instauração e instrução dos processos de contraordenação, bem como a aplicação das coimas, é da competência da autoridade de cibersegurança competente. Artigo 72.º Notificações As notificações realizadas pelas autoridades de cibersegurança competentes são feitas por via eletrónica, ou, a pedido fundamentado da entidade, por carta registada ou pessoalmente. A notificação por via eletrónica faz-se por meio de disponibilização da mesma em área digital de acesso reservado ao destinatário, integrada na plataforma prevista no n.º 7 do artigo 8.º e associada ao endereço de correio eletrónico nela registado pelo destinatário, e ainda, cumulativamente, através do serviço público de notificações eletrónicas (SPNE), sempre que se verifique que o destinatário a ele tenha aderido, nos termos do Decreto-Lei n.º 93/2017, de 1 de agosto, na sua redação atual. A disponibilização é acompanhada de envio de aviso ao destinatário para o endereço de correio eletrónico registado na plataforma prevista no n.º 7 do artigo 8.º, indicando-se a autoridade remetente e a forma de acesso à área reservada do destinatário. A notificação por via eletrónica considera-se feita na data da consulta eletrónica da área digital de acesso reservado da plataforma prevista no n.º 7 do artigo 8.º ou, se esta não ocorrer nos primeiros três dias a contar da receção, no termo desse prazo. A notificação postal presume-se feita no terceiro dia útil posterior ao do registo. Artigo 73.º Produto das coimas O produto das coimas reverte em: 60 % para o Estado; 40 % para o CNCS ou para a autoridade nacional setorial de cibersegurança competente, consoante a entidade que tenha instaurado e instruído o processo. Artigo 74.º Custas Pelos processos de contraordenação são, ainda, devidas custas relativas aos encargos com a sua tramitação, arquivo e disponibilização. As decisões da autoridade de cibersegurança competente sobre a matéria do processo devem fixar o montante das custas. As custas destinam-se a cobrir as despesas efetuadas no processo. O reembolso pelas despesas com notificações e comunicações, meios audiovisuais e materiais utilizados no processo é calculado: Sendo o processo tramitado, total ou parcialmente, em papel, à razão de metade de 0,5 UC nas primeiras 50 folhas ou fração do processado e de um décimo de UC por cada conjunto subsequente de 25 folhas ou fração do processado, sem prejuízo do disposto nos números seguintes; Sendo o processo tramitado, a título principal, de forma digital, até a um máximo de 5 UC, atendendo à complexidade do processo e atos praticados. As custas compreendem, ainda, os seguintes encargos: A remuneração de peritos, tradutores, intérpretes e consultores técnicos; O pagamento devido por deslocações ou pagamentos a qualquer entidade pelo custo de serviços técnicos, de certidões ou outros elementos de informação e de prova. Caso sejam facultadas cópias ou certidões do processo ou de partes deste, em suporte físico ou digital, a pedido do arguido, acresce ao valor referido nos números anteriores uma quantia calculada nos termos previstos nos mesmos números. As custas são suportadas pelo arguido e corresponsáveis nos termos do presente decreto-lei, em caso de aplicação de uma sanção de admoestação, de uma coima ou de uma sanção acessória. As custas revertem para o CNCS ou para a autoridade nacional setorial de cibersegurança, consoante a competência para a tramitação do processo de contraordenação. Artigo 75.º Cumprimento de dever omitido Sempre que a contraordenação resulte da omissão de um dever, a aplicação da sanção e o pagamento da coima não dispensam o infrator do seu cumprimento se este ainda for possível. Artigo 76.º Suspensão da execução da coima A autoridade de cibersegurança competente suspende a execução da coima aplicada, atendendo à natureza não reiterada da conduta ilícita do agente, às circunstâncias do cometimento da infração e à sua conduta anterior e posterior ao crime, sempre que conclua que a simples censura do facto, a sujeição a sanções acessórias e a ameaça de coima realizam de forma adequada e suficiente as finalidades preventivas e corretivas da sanção. A autoridade de cibersegurança competente, se julgar conveniente à realização das finalidades da punição, subordina a suspensão da execução da coima ao cumprimento das sanções e determinações previstas no artigo 67.º, ou de outros deveres que considere relevantes. A decisão condenatória especifica sempre os fundamentos da suspensão e das suas condições, incluindo o respetivo prazo de duração. O período de suspensão é fixado entre 1 e 3 anos a contar da notificação da decisão condenatória ou da decisão judicial transitada em julgado que dela conhecer. Artigo 77.º Revogação da suspensão da execução da coima Se, durante o período da suspensão, o condenado deixar de cumprir qualquer das sanções ou determinações previstas no artigo 67.º ou cometer uma contraordenação muito grave ou grave, a autoridade de cibersegurança competente, após o devido procedimento, revoga a decisão de suspensão da execução da coima. A revogação determina o dever de pagamento imediato da coima, sem que o arguido possa exigir a reparação de quaisquer prestações efetuadas ou despesas suportadas, durante o cumprimento anterior das sanções acessórias que lhe foram aplicadas. Artigo 78.º Extinção da coima A coima é declarada extinta se, decorrido o período da sua suspensão, não houver motivos que possam conduzir à sua revogação. Artigo 79.º Violação de dados pessoais Sempre que a autoridade de cibersegurança competente obtiver um grau razoável de certeza, no decurso de uma ação de supervisão ou da imposição de medida de execução, de que a infração das obrigações estabelecidas nos artigos 27.º a 29.º e dos artigos 40.º a 43.º por parte de uma entidade essencial ou importante pode implicar uma violação de dados pessoais, nos termos do ponto 12 do artigo 4.º do RGPD, a qual deve ser notificada nos termos do artigo 33.º do mesmo RGPD, aquela autoridade deve, sem demora injustificada, informar a CNPD. No caso de a CNPD aplicar uma coima, nos termos da alínea i) do n.º 2 do artigo 58.º do RGPD e restante direito nacional aplicável, a autoridade de cibersegurança competente fica impedida de aplicar uma coima em resultado da prática da mesma infração nos termos do presente decreto-lei, sem prejuízo do disposto no número seguinte. A autoridade de cibersegurança competente pode impor as medidas de execução, previstas nas alíneas a) a h) do n.º 1 do artigo 56.º, às entidades essenciais e importantes cuja violação das obrigações decorrentes do presente decreto-lei resulte num incidente de violação de dados pessoais. Artigo 80.º Impugnação das decisões da autoridade de cibersegurança competente Sem prejuízo do disposto no n.º 3, impugnada a decisão proferida pela autoridade de cibersegurança competente no âmbito de um processo de contraordenação, aquela remete os autos respetivos ao Ministério Público, preferencialmente por via eletrónica, no prazo de 20 dias úteis, podendo juntar alegações, bem como outros elementos ou informações que considere relevantes para a decisão da causa, e ainda oferecer meios de prova. A remessa dos autos por via eletrónica dispensa o envio dos respetivos originais, sem prejuízo do dever de exibição das peças processuais em suporte de papel e dos originais dos documentos dele constantes, quando existentes, sempre que o Ministério Público ou o juiz o determine. As decisões ou quaisquer medidas adotadas e aplicadas pela autoridade de cibersegurança competente no âmbito de processos de contraordenação são impugnáveis para os tribunais judiciais, devendo o recurso ser apresentado à autoridade de cibersegurança competente. A impugnação de quaisquer decisões proferidas pela autoridade de cibersegurança competente que, no âmbito de processos de contraordenação, determinem a aplicação de coimas, de sanções acessórias ou de sanções pecuniárias compulsórias, tem efeito suspensivo. A impugnação das demais decisões ou medidas da autoridade de cibersegurança competente adotadas no âmbito de processos de contraordenação tem efeito meramente devolutivo e obedece às regras previstas no presente artigo. A autoridade de cibersegurança competente, o Ministério Público e os arguidos podem opor-se a que o tribunal decida por despacho, sem audiência de julgamento. A autoridade de cibersegurança competente tem legitimidade para recorrer autonomamente de quaisquer sentenças e despachos que não sejam de mero expediente, incluindo os que versem sobre nulidades e outras questões prévias ou incidentais, ou sobre a aplicação de medidas cautelares, bem como para responder a recursos interpostos. As decisões dos tribunais judiciais que admitam recurso, nos termos previstos no regime do ilícito de mera ordenação social, aprovado pelo Decreto-Lei n.º 433/82, de 27 de outubro, na sua redação atual, são impugnáveis junto do Tribunal da Relação de Lisboa. O Tribunal da Relação, no âmbito da competência prevista no número anterior, decide em última instância, não cabendo recurso ordinário dos seus acórdãos. Artigo 81.º Direito Subsidiário Em matéria contraordenacional, em tudo que não estiver previsto do presente decreto-lei, aplica-se, subsidiariamente, o disposto no regime do ilícito de mera ordenação social, aprovado pelo Decreto-Lei n.º 433/82, de 27 de outubro, na sua redação atual. Capítulo VIII Disposições complementares Secção I Outras disposições Artigo 82.º Taxa de supervisão Pode ser cobrada às entidades essenciais e importantes uma taxa de supervisão por contrapartida dos atos de supervisão praticados, a fixar em função dos custos necessários à prestação de serviços de supervisão. As taxas de supervisão obedecem ao princípio da proporcionalidade e são fixadas de acordo com critérios objetivos e transparentes. O regime que regula as taxas referidas nos números anteriores é fixado por portaria dos membros do Governo responsáveis pelas áreas das finanças e da cibersegurança. Artigo 83.º Comunicações As comunicações entre as entidades com o CNCS, ou com as autoridades nacionais setoriais de cibersegurança referidas na alínea a) do n.º 2 no 15.º, incluindo as notificações de incidentes nos termos dos artigos 40.º e seguintes, devem seguir o formato e o procedimento definido pelo CNCS em regulamento a aprovar pelo CNCS. Na ausência de disposição regulamentar aplicável, todas as comunicações dirigidas à autoridade de cibersegurança competente, no âmbito do presente decreto-lei, bem como o envio de informação, devem ser realizadas por meios eletrónicos. Nos casos em que a entidade não tenha temporariamente capacidade operacional para assegurar a comunicação prevista nos números anteriores, ou nos casos em que o sítio na Internet da autoridade de cibersegurança competente, esteja indisponível, em resultado do incidente ou por outro motivo de natureza eminentemente técnica devidamente justificado, a notificação pode ser efetuada, a título excecional, através de correio eletrónico ou telefonicamente. O formato e procedimento referido no n.º 1 é adotado pelo CNCS, mediante prévia audição das autoridades nacionais setoriais de cibersegurança competentes, que também podem adotar formatos e procedimentos próprios, adaptados às suas especificidades, conforme referido no n.º 1. Os casos referidos no n.º 3 são objeto de instruções técnicas do CNCS, adotadas em articulação com as autoridades nacionais setoriais de cibersegurança. Artigo 84.º Segurança e integridade da informação O CNCS e as autoridades nacionais setoriais de cibersegurança competentes nos termos do disposto na alínea a) do n.º 2 do artigo 15.º mantêm e gerem a informação em matéria de segurança e integridade num sistema de informação seguro, em conformidade com as disposições respeitantes à segurança de informação classificada no âmbito nacional e no âmbito das organizações internacionais de que Portugal é parte. O acesso aos sistemas eletrónicos e sítios de Internet para tratamento das notificações previstas no presente decreto-lei deve ser efetuado preferencialmente com recurso a sistema de identificação eletrónico com nível de garantia elevado, nos termos definidos pelos artigos 8.º e 9.º do Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança, designadamente através do Cartão de Cidadão e da Chave Móvel Digital, conforme alterado pela Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, e pelo Regulamento (UE) n.º 2024/1183, do Parlamento Europeu e do Conselho, de 11 de abril de 2024. Capítulo IX Disposições finais Artigo 85.º Aprovação do plano nacional de resposta a crises e incidentes de cibersegurança em grande escala O plano referido no artigo 13.º é aprovado no prazo de 6 meses após a entrada em vigor do presente decreto-lei. Artigo 86.º Dotação de meios e independência operacional do CNCS Por forma a prosseguir atribuições e a exercer as competências previstas no presente decreto-lei, o CNCS deve ser dotado dos meios necessários e beneficia de independência operacional em relação às entidades supervisionadas. Artigo 87.º Interoperabilidade e acesso a informação O CNCS acede gratuitamente às bases de dados e registos nacionais relevantes para a concretização das atribuições e exercício das competências previstas no presente decreto-lei e demais legislação em matéria de cibersegurança, em especial para a atribuição ou confirmação da qualificação das entidades. As entidades públicas responsáveis pelas bases de dados e registos nacionais previstos no número anterior disponibilizam o acesso às mesmas, mediante uma solução de interoperabilidade estipulada em protocolo e adequada para o efeito. A falta de assinatura dos protocolos referidos no número anterior não obsta ao acesso às informações relevantes pelo CNCS, devendo as entidades públicas responsáveis pelas bases de dados e registos nacionais prestar todas as informações necessárias sempre que solicitadas pelo CNCS. ANEXO I (a que se referem os n.ºs 1 e 2 e a alínea b) do n.º 2 do artigo 3.º, as alíneas a) e f) do n.º 1 e os n.ºs 2 e 3 do artigo 6.º, a alínea a) do n.º 2 do artigo 12.º e a alínea d) do n.º 1 do artigo 35.º) Setores de importância crítica Setor Subsetor Tipo de entidade Energia a) Eletricidade Empresas de eletricidade na aceção do ponto 57 do artigo 2.º da Diretiva (UE) 2019/944 do Parlamento Europeu e do Conselho, que exercem a atividade de «comercialização» na aceção do ponto 12 do artigo 2.º da mesma diretiva Operadores da rede de distribuição na aceção do ponto 29 do artigo 2.º da Diretiva (UE) 2019/944 Operadores da rede de transporte na aceção do ponto 35 do artigo 2.º da Diretiva (UE) 2019/944 Produtores na aceção do artigo 2.º, ponto 38 da Diretiva (UE) 2019/944 Operadores nomeados do mercado da eletricidade na aceção do ponto 8 do artigo 2.º do Regulamento (UE) 2019/943 do Parlamento Europeu e do Conselho Participantes no mercado na aceção do ponto 25 do artigo 2.º do Regulamento (UE) 2019/943, que prestam serviços de agregação, resposta da procura ou armazenamento de energia na aceção dos pontos 18, 20 e 59 do artigo 2.º da Diretiva (UE) 2019/944 Os operadores de um ponto de carregamento que são responsáveis pela gestão e operação de um ponto de carregamento que presta um serviço de carregamento aos utilizadores finais, incluindo em nome e por conta de um prestador de serviços de mobilidade b) Sistemas de aquecimento e arrefecimento urbano Operadores de sistemas de aquecimento urbano ou sistemas de arrefecimento urbano na aceção do ponto 19 do artigo 2.º da Diretiva (UE) 2018/2001, do Parlamento Europeu e do Conselho c) Petróleo Operadores de oleodutos de petróleo Operadores de instalações de produção, refinamento e tratamento, armazenamento e transporte de petróleo Entidades centrais de armazenagem na aceção da alínea f) do artigo 2.º da Diretiva 2009/119/CE do Conselho c) Gás Empresas de comercialização na aceção do ponto 8 do artigo 2.º da Diretiva 2009/73/CE do Parlamento Europeu e do Conselho Operadores da rede de distribuição na aceção do ponto 6 do artigo 2.º da Diretiva 2009/73/CE Operadores da rede de transporte na aceção do ponto 4 do artigo 2.º da Diretiva 2009/73/CE Operadores do sistema de armazenamento na aceção do ponto 10 do artigo 2.º da Diretiva 2009/73/CE Operadores da rede de GNL na aceção do ponto 12 do artigo 2.º da Diretiva 2009/73/CE Empresas de gás natural na aceção do ponto 1 do artigo 2.º da Diretiva 2009/73/CE Operadores de instalações de refinamento e tratamento de gás natural e) Hidrogénio Operadores de produção, armazenamento e transporte de hidrogénio Transportes Transporte aéreo Transportadoras aéreas na aceção do ponto 4 do artigo 3.º do Regulamento (CE) n.º 300/2008 utilizadas para fins comerciais Entidades gestoras aeroportuárias na aceção do ponto 2 do artigo 2.º da Diretiva 2009/12/CE do Parlamento Europeu e do Conselho, aeroportos na aceção do ponto 1 do artigo 2.º da mesma diretiva, incluindo os aeroportos principais enumerados na secção 2 do anexo II do Regulamento (UE) n.º 1315/2013 do Parlamento Europeu e do Conselho, e as entidades que exploram instalações auxiliares existentes dentro dos aeroportos Operadores de controlo da gestão do tráfego aéreo que prestam serviços de controlo de tráfego aéreo (CTA) na aceção do ponto 1 do artigo 2.º do Regulamento (CE) n.º 549/2004 do Parlamento Europeu e do Conselho Transporte ferroviário Gestores de infraestrutura na aceção do ponto 2 do artigo 3.º da Diretiva 2012/34/UE do Parlamento Europeu e do Conselho Empresas ferroviárias na aceção do ponto 1 do artigo 3.º da Diretiva 2012/34/UE, incluindo os operadores das instalações de serviço na aceção do ponto 12 do artigo 3.º dessa diretiva Transporte aquático Companhias de transporte por vias navegáveis interiores, marítimo e costeiro de passageiros e de mercadorias, tal como definidas para o transporte marítimo no anexo I do Regulamento (CE) n.º 725/2004 do Parlamento Europeu e do Conselho, não incluindo os navios explorados por essas companhias Entidades gestoras dos portos na aceção do ponto 1 do artigo 3.º da Diretiva 2005/65/CE do Parlamento Europeu e do Conselho, incluindo as respetivas instalações portuárias na aceção do ponto 11 do artigo 2.º do Regulamento (CE) n.º 725/2004, e as entidades que gerem as obras e o equipamento existentes dentro dos portos Operadores de serviços de tráfego marítimo (VTS, do inglês, vessel traffic services) na aceção da alínea o) do artigo 3.º da Diretiva 2002/59/CE do Parlamento Europeu e do Conselho Transporte rodoviário Autoridades rodoviárias na aceção do ponto 12 do artigo 2.º do Regulamento Delegado (UE) 2015/962 da Comissão, responsáveis pelo controlo da gestão do tráfego, com exceção das entidades públicas nas quais a gestão do tráfego ou a gestão de sistemas de transporte inteligentes constituem uma parte não essencial da sua atividade geral Operadores de sistemas de transporte inteligentes na aceção do ponto1 do artigo 4.º da Diretiva 2010/40/UE do Parlamento Europeu e do Conselho Setor bancário Instituições de crédito, tal como definidas no ponto 1 do artigo 4.º do Regulamento (UE) n.º 575/2013 do Parlamento Europeu e do Conselho Infraestruturas do mercado financeiro Operadores de plataformas de negociação na aceção ponto 24 do artigo 4.ºda Diretiva 2014/65/UE do Parlamento Europeu e do Conselho Contrapartes centrais (CCP) na aceção do ponto 1 do artigo 2.º do Regulamento (UE) n.º 648/2012 do Parlamento Europeu e do Conselho Saúde Prestadores de cuidados de saúde na aceção da alínea g) do artigo 3.º da Diretiva 2011/24/UE do Parlamento Europeu e do Conselho Laboratórios de referência da UE referidas no artigo 15.º do Regulamento (UE) 2022/2371, do Parlamento Europeu e do Conselho Entidades que realizam atividades de investigação e desenvolvimento de medicamentos na aceção do ponto 2 do artigo 1.º da Diretiva 2001/83/CE, do Parlamento Europeu e do Conselho Água potável Fornecedores e distribuidores de água destinada ao consumo humano na aceção da alínea a) do ponto 1 do artigo 2.º da Diretiva (UE) 2020/2184 do Parlamento Europeu e do Conselho, excluindo os distribuidores para os quais a distribuição de água para consumo humano constitui uma parte não essencial da sua atividade geral de distribuição de outros produtos de base e mercadorias Águas residuais Empresas que recolhem, eliminam ou tratam águas residuais urbanas, domésticas ou industriais na aceção dos pontos 1, 2 e 3 do artigo 2.º da Diretiva 91/271/CEE do Conselho, excluindo as empresas para as quais a recolha, eliminação ou tratamento de águas residuais urbanas, domésticas ou industriais constitui uma parte não essencial da sua atividade geral Infraestruturas digitais Fornecedores de pontos de troca de tráfego Prestadores de serviços de DNS, excluindo operadores de servidores de nomes raiz Registos de nomes de TLD Prestadores de serviços de computação em nuvem Prestadores de serviços de centro de dados Fornecedores de redes de distribuição de conteúdos Prestadores de serviços de confiança Fornecedores de redes públicas de comunicações eletrónicas Prestadores de serviços de comunicações eletrónicas acessíveis ao público Gestão de serviços de tecnologias da informação ou comunicação (entre empresas) Prestadores de serviços geridos Prestadores de serviços de segurança geridos Espaço Operadores de infraestruturas terrestres, detidas, geridas e operadas por Estados-Membros ou entidades privadas, que apoiam a prestação de serviços espaciais, excluindo os fornecedores de redes públicas de comunicações eletrónicas ANEXO II (a que se referem os n.ºs 1 e 2 e a alínea b) do n.º 2 do artigo 3.º, a alínea f) do n.º 1 e os n.ºs 2 e 3 do artigo 6.º, a alínea a) do n.º 2 do artigo 12.º e a alínea d) do n.º 1 do artigo 35.º) Outros setores críticos Setor Subsetor Tipo de entidade Serviços postais e de estafeta Prestadores de serviços postais na aceção da Lei n.º 17/2012, de 26 de abril, na sua redação atual, incluindo prestadores de serviços de estafeta Gestão de resíduos Empresas que realizam a gestão de resíduos na aceção do ponto 9 do artigo 3.º da Diretiva 2008/98/CE do Parlamento Europeu e do Conselho, mas excluindo as empresas para as quais a gestão de resíduos não constitui a atividade económica principal Produção, fabrico e distribuição de produtos químicos Empresas que realizam a produção de substâncias e a distribuição de substâncias ou misturas, referidas nos pontos 9 e 14 do artigo 3.º do Regulamento (CE) n.º 1907/2006 do Parlamento Europeu e do Conselho e empresas que realizam a produção de «artigos» na aceção do ponto 3 do artigo 3.º do mesmo regulamento, de substâncias ou misturas Produção, transformação e distribuição de produtos alimentares Empresas do setor alimentar, na aceção do ponto 2 do artigo 3.º do Regulamento (CE) n.º 178/2002 do Parlamento Europeu e do Conselho, que se dedicam à distribuição por grosso e à produção e transformação industriais Indústria transformadora a) Fabrico de dispositivos médicos e dispositivos médicos para diagnóstico in vitro Entidades que fabricam dispositivos médicos na aceção do ponto 1 do artigo 2.º do Regulamento (UE) 2017/745 do Parlamento Europeu e do Conselho, e entidades que fabricam dispositivos médicos para diagnóstico in vitro na aceção do ponto 2 do artigo 2.º do Regulamento (UE) 2017/746 do Parlamento Europeu e do Conselho, com exceção das entidades que fabricam dispositivos médicos referidas no quinto travessão do ponto 5 do anexo I da presente diretiva b) Fabricação de equipamentos informáticos, equipamentos para comunicação, produtos eletrónicos e óticos Empresas que exercem qualquer uma das atividades económicas referidas na divisão 26 da secção C da NACE Rev. 2 c) Fabricação de equipamento elétrico Empresas que exercem qualquer uma das atividades económicas referidas na divisão27 da secção C da NACE Rev. 2 d) Fabricação de máquinas e equipamentos (não especificados) Empresas que exercem qualquer uma das atividades económicas referidas na divisão 28 da secção C da NACE Rev. 2 e) Fabricação de veículos automóveis, reboques e semirreboques Empresas que exercem qualquer uma das atividades económicas referidas na divisão 29 da secção C da NACE Rev. 2 f) Fabricação de outro equipamento de transporte Empresas que exercem qualquer uma das atividades económicas referidas na divisão 30 da secção C da NACE Rev. 2 Prestação de serviços digitais Prestadores de serviço de mercados em linha Prestadores de serviço de motores de pesquisa em linha Prestadores de serviço de plataformas de serviços de redes sociais Investigação Organismos de investigação ANEXO III (a que se referem a alínea a) do n.º 1 do artigo 3.º, as alíneas a) e c) do n.º 1 do artigo 6.º, a alínea f) do n.º 2 do 7.º e a alínea i) do n.º 2 do artigo 12.º) Empresa Entende-se por empresa qualquer entidade que, independentemente da sua forma jurídica, exerce uma atividade económica. São, nomeadamente, consideradas como tal as entidades que exercem uma atividade artesanal ou outras atividades a título individual ou familiar, as sociedades de pessoas ou as associações que exercem regularmente uma atividade económica. Categorias A categoria das micro, pequenas e médias empresas (PME) é constituída por empresas que empregam menos de 250 pessoas e cujo volume de negócios anual não excede 50 milhões de euros ou cujo balanço total anual não excede 43 milhões de euros. Na categoria das PME, uma pequena empresa é definida como uma empresa que emprega menos de 50 pessoas e cujo volume de negócios anual ou balanço total anual não excede 10 milhões de euros. Na categoria das PME, uma microempresa é definida como uma empresa que emprega menos de 10 pessoas e cujo volume de negócios anual ou balanço total anual não excede 2 milhões de euros. --- Admissão — Nota de Admissiblidade - 09/07/2025 NOTA DE ADMISSIBILIDADE [Prevista no n.º 2 do artigo 125.º do Regimento (RAR), para efeitos do disposto na alínea c) do n.º 1 do artigo 16.º e no n.º 3 do artigo 125.º do RAR] Forma da iniciativa: Proposta de Lei Número/Legislatura/Sessão legislativa: 7/XVII/1ª Proponente(s): Governo (GOV) Título: «Autoriza o Governo a transpor a Diretiva (UE) 2022/2555, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União» A iniciativa respeita o limite de não renovação na mesma sessão legislativa (n.º 4 do artigo 167.º da CRP e n.º 3 do artigo 120.º do RAR)? Sim O proponente junta ficha de avaliação prévia de impacto de género (deliberação da CL e Lei n.º 4/2018, de 9 de fevereiro)? Sim Justifica-se a audição dos órgãos de governo próprio das regiões autónomas (artigo 142.º do RAR, para efeitos do n.º 2 do artigo 229.º da CRP)? Parece justificar-se A iniciativa foi agendada pela CL ou tem pedido de arrastamento? Não Comissão competente em razão da matéria e eventuais conexões: Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias (1.ª), sem prejuízo das competências que vierem a ser estabelecidas pela Conferência dos Presidentes das Comissões Parlamentares. Conclusão: A apresentação desta iniciativa parece cumprir os requisitos formais de admissibilidade previstos na Constituição e no Regimento da Assembleia da República. Assembleia da República, 4 de julho de 2025 A Assessora Parlamentar Cátia Duarte Divisão de Apoio ao Plenário --- Parecer da ALRAM — Parecer - 17/07/2025 REGÁO AUTONOMA DA MADEIRA ASSEMBLEIA LEGISLATIVA 1.' Comissão Especializada Permanente de Política Geral Finanças Proposta de Lei n,o TlKVlln.a (GOV) Autoriza o Governo a transpor a Diretiva (UEI'202212555, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União Parecer Por solicitação do Gabinete do Senhor Presidente da Assembleia da República, reuniu a 1.a Comissão Especializada Permanente de Política Geral e Finanças, da Assembleia Legislativa da Região Autonoma da Madeira, aos 15 dias de julho do conente ano, pelas 14 horas, a fim de analisar e tomar posição relativamente à Proposta de Lei em epígrafe, no âmbito da audição dos orgãos de governo próprio das Regiões Autónomas, nos termos do disposto no n.0 2 do artigo 229.o da Constituição da República Portuguesa e no artigo 142.0 do Regimento da Assembleia da República. CAPÍTULO II Enquadramento Legal e antecedentes A apreciação da Proposta de Lei, da autoria do Governo da República, que "Autoriza o Governo a transpor a Diretiva (UE) 2022/2555, relativa a medidas desÍrhadas a garantir um elevado nível comum de cibersegurança na União', enquadra-se no disposto no n.0 2 do artigo 229.o da Constituição da República Portuguesa, na alínea i) do n.0 1 do artigo 36.0 e nos artigos 89.0 e 90.0 do Estatuto Político-Administrativo da Região Autónoma da Madeira, aprovado pela Lei n.o 13/91, de 5 de junho, revisto e alterado pelas Leis n.o, 130/99, de 21 de agosto e 1212000, de 21 de junho, e coaduna-se, igualmente, com o estipulado na alínea i) do artigo 44.0 do Regimento da Assembleia Legislativa da Região Autónoma da Madeira. A emissão de parecer da Assembleia Legislativa cabe à comissão especializada permanente em razâo da matéria, nos termos do artigo 43.0 do Regimento, sendo competente, no caso em apreç0, a 1.a Comissão Especializada Permanente de Política Geral e Finanças. CAPíTULO III Apreciação da iniciativa A presente Proposta de Lei 'vrsa autorizar o Governo a aprovar o regime jurídico da cibersegurança, transpondo a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, destinada a garantir um elevado nível comum de cibersegurança em toda a Uniã0. A preseruação da cibersegurança desempenha um papelcrucial em matéria de segurança nacional e internacional, no funcionamento do Estado e dos agentes economicos, bem como na construção da confiança dos crdadãos no processo de modernização digital da Administração Públíca. Avenida do Mar e das Comunidades Madeirenses I 9004 - 506 / Funchal / Telef. 291210500 / Fax 291 14091 I REGIÃO AUTONOMA DA MADEIRA ASSEMBLE]A LEGISLATIVA 1.4 Comissão Especializada Permanente de Política Geral e Finanças A transposição para o ambiente digital de funções essencrais das atividades institucionars e da vivência pessoa/ e profissional dos cidadãoslustrfrca o reforço do quadro regulamentar e organizacional de cibersegurança, executado em harmonia com todo o espaço e em defesa contra ciberarneaças com.)ns. Esta iniciativa legislativa ocorre perante a consciência, não so da gravidade premente colocada pelas múltiplas ciberameaças, como do elevado potencial disruptivo das suas ações hosfrs contra ativos digitais, sendo imperioso um reforço da capacitação nacional para a prevenção de aÍos que possam condicionar a segurança e o rnÍeresse nacional, bem como as múltiplas dinâmicas funcionais e produtivas da sociedade portuguesa.', pelo que atento ao teor da mesma nada temos a opor, condicionado à manutenção de um representante desta Região Autonoma no Conselho Superior de Segurança do Ciberespaç0, à garantia de entrega do produto das coimas e da comparticipação do Estado na eventual necessidade de atualização tecnologica que resulte deste diploma. Apos discussão e análise da iniciativa legislativa, a 1.^ Comissão Especializada deliberou, por unanimidade, emitir parecer favorável à Proposta de Lei. Este parecer foi aprovado, por unanimidade Funchal, 15 de julho de 2025 0 Relator Bruno Macedo O Presidente '1 *-' Brício Araújo Avenida do Mar e das Comunidades Madeirenses / 9004 - 5 06 / Funchal I Telef . 291210500 / Fax 29 I 1409 I I --- Parecer do Governo da RAA — Parecer - 22/07/2025 REGIÃO AUTÓNOMA DOS AÇORES PRESIDÊNCIA DO GOVERNO GABINETE DO PRESIDENTE Palácio de Sant’Ana – Rua José Jácome Correia – 9500-077 Ponta Delgada Telef. 296 301000 Correio eletrónico: presidencia@azores.gov.pt Exma. Senhora Chefe do Gabinete de Sua Excelência O Presidente da Assembleia da República Palácio de São Bento 1249-068 Lisboa Sua referência Sua comunicação Nossa referência Data 09/07/2025 SAI-GAPS/2025/676 2025-07-22 ASSUNTO: PROPOSTA DE LEI 7/XVII/1.ª (GOV) - AUTORIZA O GOVERNO A TRANSPOR A DIRETIVA (UE) 2022/2555, RELATIVA A MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NÍVEL COMUM DE CIBERSEGURANÇA NA UNIÃO. Nos termos do dever de audição dos órgãos de governo próprio das regiões autónomas, fixado no n.º 2 do artigo 229.º da Constituição da República Portuguesa e no artigo 117.º do Estatuto Político – Administrativo da Região Autónoma dos Açores, e no seguimento da mensagem de correio eletrónico datada de 9 de julho de 2025, encarrega-me Sua Excelência o Presidente do Governo Regional de acusar a receção da proposta supra referenciada, informando o seguinte: A Proposta de Lei 7/XVII/1.ª (GOV) representa um avanço normativo ao criar um enquadramento mais robusto e abrangente para a organização e coordenação da cibersegurança, mas também levanta desafios operacionais, jurídicos e administrativos, especialmente para a Administração Pública e para entidades de menor dimensão. A proposta de diploma reconhece o papel do Centro Nacional de Cibersegurança (CNCS) como autoridade competente, reforça os seus poderes e cria autoridades setoriais de supervisão, com competências de regulação, auditoria e imposição de medidas corretivas. No entanto, a forma como as entidades são categorizadas, com base não apenas no tipo de atividade e competências, mas em alguns casos de acordo com a sua dimensão, poderá ser contraproducente, tendo em consideração este último fator. REGIÃO AUTÓNOMA DOS AÇORES PRESIDÊNCIA DO GOVERNO GABINETE DO PRESIDENTE Palácio de Sant’Ana – Rua José Jácome Correia – 9500-077 Ponta Delgada Telef. 296 301000 Correio eletrónico: presidencia@azores.gov.pt Os requisitos de conformidade com a lei ora proposta serão difíceis de alcançar, tendo em consideração questões que se prendem com a inexistência de recursos humanos suficientes no mercado, com competências nas áreas da cibersegurança, administração de redes e de infraestruturas de suporte aos sistemas de informação, sobre os quais, invariavelmente, recaem estas matérias, tendo de as acumular com as necessidades e solicitações do dia a dia, de equipas, na sua maioria já subdimensionadas. Sendo a cibersegurança uma matéria de índole muito mais comportamental do que tecnológica, deve esta proposta de lei estimular a necessidade da existência de serviços de auditoria e de conformidade multidisciplinares, com valências no âmbito da análise de risco. Alerta-se para o facto de muitas das necessidades atinentes à conformidade com as quais as entidades abrangidas pelo novo regime se vão deparar, resultarem da existência de sistemas aplicacionais legacy, amplamente difundidos e abundantes no quadro da administração pública, para os quais, invariavelmente, inexistem recursos financeiros disponíveis para a sua substituição. Além disso, muitas dessas substituições resultam em projetos transversais com impacto em outros sistemas e eventualmente na atividade de entidades terceiras. A indisponibilidade de serviços essenciais, motivada por causas com origem em incidentes de cibersegurança, não deve ter um tratamento diferenciado, no que concerne à aplicação de penalizações, das situações em que a indisponibilidade dos mesmos serviços tem origem em qualquer outra causa. Recomendam-se, assim, medidas mais eficazes e complementares que garantam os objetivos a que esta proposta de lei se propõe, como exemplo: a) Na administração pública, obrigação de contratação de um serviço de auditoria externa, isenta e independente, que efetue a análise de risco e proponha medidas de mitigação, bem como que esta implementação seja financiada e apoiada; b) Disponibilização de cofinanciamento europeu que considere dotação para substituição de sistemas legacy; d) Um referencial de governança de cibersegurança, para a Administração Pública, que evite a replicação de recursos e do esforço necessários, assim como que atribua competências e obrigações, no âmbito da conformidade com esta lei, para que as mesmas não recaiam apenas em chefias intermédias, parcas de recursos, e com dificuldade de sensibilização da hierarquia de topo para a necessidade destes investimentos. REGIÃO AUTÓNOMA DOS AÇORES PRESIDÊNCIA DO GOVERNO GABINETE DO PRESIDENTE Palácio de Sant’Ana – Rua José Jácome Correia – 9500-077 Ponta Delgada Telef. 296 301000 Correio eletrónico: presidencia@azores.gov.pt Sobre as competências da Autoridade Nacional de Cibersegurança, exercidas pelo Centro Nacional de Cibersegurança (CNCS), esta Proposta de Lei prevê o reforço das mesmas, em relação àquelas que estão previstas no Decreto-Lei n.º 65/2021, um conjunto de novas atribuições e, consequentemente, de responsabilidades. Sobre essa matéria existem preocupações, no que concerne ao Poder de Imposição e Medidas Corretivas, que prevê, em caso de incidentes graves ou persistentes, que o CNCS possa adotar medidas de execução corretivas ou restritivas, inclusive ordenar a suspensão de serviços no território nacional, quando houver ameaças significativas e insuficiência de medidas de segurança por parte dos prestadores de serviços. Salvo melhor opinião, a execução de medidas restritivas deve depender de despacho de órgão judicial. Outro aspeto que se considera relevante é o da garantia do cumprimento do Regulamento Geral sobre a Proteção de Dados no âmbito da Interoperabilidade e Acesso a Bases de Dados, uma vez que a Proposta de Lei em apreço prevê que o CNCS possa aceder, sem custos, a bases de dados nacionais relevantes para suas atividades de supervisão e certificação, com o objetivo de facilitar uma resposta mais rápida e bem informada a incidentes e ameaças. Esta Proposta de Lei estabelece que, em caso de um incidente grave de cibersegurança numa das regiões autónomas, a articulação é feita principalmente através da cooperação entre o CNCS e as autoridades locais e regionais, incluindo representantes do Governo Regional. As entidades regionais devem notificar o CNCS sobre o incidente, que coordena com as autoridades regionais a necessária resposta. Cada Região tem um representante no Conselho Superior de Segurança do Ciberespaço (CSSC), o que facilita a comunicação e coordenação para incidentes com impacto significativo localmente. No caso de incidentes de grande escala ou com potenciais impactos transnacionais, o Secretário- Geral do Sistema de Segurança Interna pode convocar um gabinete de crise com representantes do CNCS, da Polícia Judiciária, das Forças Armadas e outros órgãos relevantes. Esse gabinete assegura a resposta coordenada em situações que excedem a capacidade de uma única região, garantindo interoperabilidade entre entidades nacionais e regionais. O Governo Regional dos Açores é do entendimento que sempre que se verifique um incidente desta natureza, as Regiões Autónomas devem ter um representante no citado gabinete de crise. Nestes termos, o parecer do Governo Regional dos Açores à proposta em apreço é favorável, condicionado ao aperfeiçoamento dos aspetos seguintes: REGIÃO AUTÓNOMA DOS AÇORES PRESIDÊNCIA DO GOVERNO GABINETE DO PRESIDENTE Palácio de Sant’Ana – Rua José Jácome Correia – 9500-077 Ponta Delgada Telef. 296 301000 Correio eletrónico: presidencia@azores.gov.pt 1 – Reforço da cooperação institucional através da inclusão de representantes das Regiões Autónomas no Gabinete de Crise Nacional, sempre que os incidentes ocorram em contexto insular; 2 - Garantia de salvaguardas jurídicas na atuação do CNCS, sujeitando medidas restritivas a controlo judicial prévio ou subsequente, nos termos da lei; 3 – Criação de mecanismos de financiamento e planos de transição para entidades com infraestruturas obsoletas, designadamente nos setores público e social; 4 – Estabelecimento de referenciais mínimos de governança de cibersegurança para evitar a dispersão de responsabilidades e promoção de práticas consistentes; 5 – Previsão da obrigatoriedade de auditoria externa independente para entidades públicas, como ferramenta de mitigação de risco e responsabilização institucional. Com os melhores cumprimentos, A Consultora-coordenadora do Centro de Consulta e Estudos Técnico-Jurídicos da Presidência do Governo Regional Alexandra Maria do Couto Pereira --- Parecer da ALRAA — Parecer - 23/07/2025 R E L AT Ó R I O E PA R E C E R AUDIÇÃO N.º 43/XIII/1.ª-AR PROPOSTA DE LEI 7/XVII/1.ª (GOVERNO) -AUTORIZA O GOVERNO A TRANSPOR A DIRETIVA (UE) 2022/2555, RELATIVA A MEDIDAS DESTINADAS A GARANTIR UM ELEVADO NÍVEL COMUM DE CIBERSEGURANÇA NA UNIÃO A S S E M B L E I A L E G I S L A T I V A D A R E G I Ã O A U T Ó N O M A D O S A Ç O R E S C O M I S S Ã O E S P E C I A L I Z A D A P E R M A N E N T E D E A S S U N T O S S O C I A I S J U L H O D E 2 0 2 5 I/742/2025 registado no webdoc a 23/07/2025 V0 ASSEMBLEIA LEGISLATIVA DA REGIÃO AUTÓNOMA DOS AÇORES COMISSÃO DE ASSUNTOS SOCIAIS | 2 INTRODUÇÃO A Comissão Especializada Permanente de Assuntos Sociais analisou e emitiu parecer, no dia 22 de julho de 2025, na sequência do solicitado por Sua Excelência o Presidente da Assembleia Legislativa da Região Autónoma dos Açores, sobre a Audição n.º 43/XIII/1.ª-AR – Proposta de Lei 7/XVII/1.ª (Governo) - Autoriza o Governo a transpor a Diretiva (UE) 2022/2555, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União. CAPÍTULO I ENQUADRAMENTO JURÍDICO A Proposta de Lei em apreciação foi enviada à Assembleia Legislativa da Região Autónoma dos Açores para audição, por despacho do Senhor Adjunto do Gabinete de Sua Excelência o Presidente da Assembleia da República, com pedido de parecer, de acordo com o disposto no n.º 2 do artigo 229.º da Constituição da República Portuguesa. A apreciação da presente Proposta de Lei enquadra-se no disposto no n.º 2 do artigo 229.º da Constituição da República Portuguesa, e na alínea i) do artigo 34.º, no n.º 1 do artigo 116.º e no artigo 118.º da Lei n.º 2/2009, de 12 de janeiro, que aprovou a terceira alteração ao Estatuto Político-Administrativo da Região Autónoma dos Açores. Considerando que a matéria da presente iniciativa incide sobre ciência, investigação e inovação tecnológica, constata-se que a competência para emitir parecer é da Comissão de Assuntos Sociais, nos termos do artigo 4.º da Resolução da Assembleia Legislativa da Região Autónoma dos Açores n.º 1/2024/A, de 8 de abril, que aprova as competências das comissões especializadas permanentes. CAPÍTULO II APRECIAÇÃO NA GENERALIDADE A presente iniciativa legislativa, conforme plasmado no seu artigo 1.º, visa autorizar o Governo a aprovar o regime jurídico da cibersegurança, transpondo a Diretiva (UE) 2022/2555, do ASSEMBLEIA LEGISLATIVA DA REGIÃO AUTÓNOMA DOS AÇORES COMISSÃO DE ASSUNTOS SOCIAIS | 3 Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, destinada a garantir um elevado nível comum de cibersegurança em toda a União. Na exposição de motivos que fundamenta a apresentação da presente iniciativa legislativa, o proponente refere que «A presente proposta de lei visa autorizar o Governo a aprovar o regime jurídico da cibersegurança, transpondo a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, destinada a garantir um elevado nível comum de cibersegurança em toda a União. A preservação da cibersegurança desempenha um papel crucial em matéria de segurança nacional e internacional, no funcionamento do Estado e dos agentes económicos, bem como na construção da confiança dos cidadãos no processo de modernização digital da Administração Pública. A transposição para o ambiente digital de funções essenciais das atividades institucionais e da vivência pessoal e profissional dos cidadãos justifica o reforço do quadro regulamentar e organizacional de cibersegurança, executado em harmonia com todo o espaço e em defesa contra ciberameaças comuns. Esta iniciativa legislativa ocorre perante a consciência, não só da gravidade premente colocada pelas múltiplas ciberameaças, como do elevado potencial disruptivo das suas ações hostis contra ativos digitais, sendo imperioso um reforço da capacitação nacional para a prevenção de atos que possam condicionar a segurança e o interesse nacional, bem como as múltiplas dinâmicas funcionais e produtivas da sociedade portuguesa. De facto, perante o aumento assinalável da quantidade e da sofisticação das ameaças, bem como a crescente utilização e dependência do uso das tecnologias de informação e comunicação por toda a sociedade, afigura-se indispensável assegurar a generalização da cibersegurança na cultura organizacional do tecido empresarial português e nas entidades, órgãos e serviços que constituem a Administração Pública. Com efeito, o aumento da ocorrência de incidentes de cibersegurança pode comprometer a segurança e o interesse nacional, acarretar perigo para a vida humana, perdas de natureza financeira, bem como comprometer a confidencialidade, a integridade e a disponibilidade da informação, das redes e dos sistemas de informação da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços essenciais e dos prestadores de serviços digitais. Em face destas ameaças e considerando o disposto na Diretiva a transpor, o regime aprovado pelo decreto-lei autorizado pela presente proposta de lei expande significativamente o conjunto de entidades abrangidas pelo regime, priorizando, por um lado, a generalização da ASSEMBLEIA LEGISLATIVA DA REGIÃO AUTÓNOMA DOS AÇORES COMISSÃO DE ASSUNTOS SOCIAIS | 4 prevenção dos riscos de cibersegurança, mas graduando a exigência regulatória em função da dimensão da entidade e da importância da sua atividade, bem como privilegiando a proporcionalidade das medidas aplicáveis. O seu âmbito de aplicação abrange uma parte significativa da Administração Pública, adaptando o regime à dimensão e tipologia da entidade pública em causa. É ainda de assinalar que, tal como admitido pela Diretiva a transpor, o regime aprovado pelo decreto-lei autorizado exclui do seu âmbito de aplicação as entidades públicas nos domínios da segurança nacional, da segurança pública, da defesa e dos serviços de informações. Entre os aspetos relevantes do regime aprovado pelo decreto-lei autorizado, encontra-se ainda o aprofundamento de três instrumentos fundamentais para as políticas públicas de cibersegurança: a Estratégia Nacional de Segurança do Ciberespaço, definindo as prioridades e os objetivos estratégicos nacionais em matéria de cibersegurança; o Plano Nacional de Resposta a Crises e Incidentes de Cibersegurança em grande escala, regulando e aperfeiçoando a gestão deste tipo de incidentes; e o Quadro Nacional de Referência para a Cibersegurança, que reunirá e permitirá a divulgação de normas, padrões e boas práticas na gestão da Cibersegurança. Acresce que o quadro institucional do regime aprovado pelo decreto-lei autorizado é alargado em relação ao regime anterior, conforme imposto pela Diretiva a transpor. Nesse sentido, o Centro Nacional de Cibersegurança (CNCS) reforça a sua função de autoridade nacional de cibersegurança, destacando-se ainda o estabelecimento de autoridades de supervisão «setoriais» e «especiais», que exercem supervisão sobre setores específicos da economia, assim se garantindo a estabilidade na supervisão de cada um dos setores abrangidos, bem como aliviando as tarefas transversais cometidas ao CNCS. No plano interadministrativo, o modelo proposto estabelece uma arquitetura de convergência, de cooperação e de interoperabilidade entre as várias entidades nacionais competentes em matéria de cibersegurança e de segurança interna e externa, fomentando, em particular, a transversalidade dos fluxos de informação relevante e a partilha de contributos táticos na resposta a incidentes entre as entidades nacionais competentes em matéria de cibersegurança, numa lógica de maximização das capacidades públicas portuguesas para a prevenção, a deteção precoce, a mitigação, a repressão e a responsabilização de ciberameaças. O fortalecimento da cooperação com o setor privado é outro dos eixos do desenho institucional previsto no regime aprovado pelo decreto-lei autorizado, fomentando-se a colaboração entre as autoridades competentes e os privados nas várias matérias relevantes. Quanto ao modelo de gestão dos riscos previsto no regime aprovado pelo decreto-lei autorizado, este consiste na fixação de padrões pré-definidos de risco, aplicáveis a cada setor e tipo de entidade, e na aplicação de ASSEMBLEIA LEGISLATIVA DA REGIÃO AUTÓNOMA DOS AÇORES COMISSÃO DE ASSUNTOS SOCIAIS | 5 medidas de prevenção correspondentes, acrescendo ainda uma análise do risco residual. Este modelo permite desonerar as autoridades de uma análise casuística do risco de cada entidade abrangida, facilitando ainda que as entidades abrangidas conheçam a categoria em que se inserem e, assim, as medidas mínimas que devem adotar. Nestes termos, o modelo proposto introduz simplicidade, previsibilidade e uma melhor adequação das medidas obrigatórias ao quadro de ameaças aplicável a cada setor de atividade. Por outro lado, o modelo fomenta a criação de um mercado de certificação em cibersegurança, o que terá utilidade económica e permitirá generalizar uma presunção de conformidade das entidades. Por fim, quanto ao modelo de supervisão previsto no regime aprovado pelo decreto-lei autorizado, este, refletindo o disposto na Diretiva a transpor, prevê um regime dual, diferenciando o tratamento a dar às entidades essenciais e importantes em função dos riscos de cibersegurança associados a cada categoria, em cumprimento, mais uma vez, do princípio da proporcionalidade. O decreto-lei autorizado concentrou-se na construção do quadro jurídico aplicável em matéria de cibersegurança. Contudo, a entrada em vigor do novo regime implicará necessariamente um reforço significativo da capacidade do CNCS e uma nova reflexão sobre o seu enquadramento institucional.» CAPÍTULO III APRECIAÇÃO NA ESPECIALIDADE Na análise na especialidade não foram apresentadas quaisquer propostas de alteração. CAPÍTULO IV SÍNTESE DA POSIÇÃO Foram ouvidos todos os grupos e representações parlamentares para cumprimento do disposto no n.º 4 do artigo 195.º do Regimento, tendo-se apurado as seguintes posições sobre a matéria: • O Grupo Parlamentar do Partido Social Democrata (PSD): Aprova o relatório e emite parecer favorável, face à presente iniciativa. Conforme solicitado, inclui-se a respetiva declaração de voto: “O diploma em causa pretende transpor uma diretiva europeia e tem atenção às regiões autónomas, desde logo com a integração de uma representação regional no Conselho ASSEMBLEIA LEGISLATIVA DA REGIÃO AUTÓNOMA DOS AÇORES COMISSÃO DE ASSUNTOS SOCIAIS | 6 Superior de Segurança do Ciberespaço, mas também porque prevê a cooperação entre a República e a Região.” • O Grupo Parlamentar do Partido Socialista (PS): Aprova o relatório e emite parecer favorável, face à presente iniciativa. • O Grupo Parlamentar do Partido CHEGA (CH): Aprova o relatório e emite parecer favorável, face à presente iniciativa. • O Grupo Parlamentar do CDS - Partido Popular (CDS - PP): Aprova o relatório e emite parecer favorável, face à presente iniciativa. • A Representação Parlamentar do Partido Popular Monárquico (PPM): Aprova o relatório e emite parecer favorável, face à presente iniciativa • A Representação Parlamentar do Bloco de Esquerda (BE): Aprova o relatório e emite parecer de abstenção, face à presente iniciativa. A Representação Parlamentar da Iniciativa Liberal (IL) não emitiu parecer face à presente iniciativa. • A Representação Parlamentar do Partido Pessoas-Animais-Natureza (PAN): Aprova o relatório e emite parecer de abstenção, face à presente iniciativa. CAPÍTULO V VOTAÇÃO DOS PARTIDOS O Grupo Parlamentar do PSD vota a favor relativamente à presente iniciativa. O Grupo Parlamentar do PS vota a favor relativamente à presente iniciativa. O Grupo Parlamentar do CH vota a favor relativamente à presente iniciativa. O Grupo Parlamentar do CDS-PP vota a favor relativamente à presente iniciativa. A Representação Parlamentar do PPM vota a favor relativamente à presente iniciativa. A Representação Parlamentar do BE abstém-se relativamente à presente iniciativa. A Representação Parlamentar do IL não emitiu parecer relativamente à presente iniciativa. A Representação Parlamentar do PAN abstém-se relativamente à presente iniciativa. ASSEMBLEIA LEGISLATIVA DA REGIÃO AUTÓNOMA DOS AÇORES COMISSÃO DE ASSUNTOS SOCIAIS | 7 CAPÍTULO VI CONCLUSÕES E PARECER A Comissão Especializada Permanente de Assuntos Sociais, deliberou, por maioria, dar parecer favorável à presente iniciativa. Horta, 22 de julho de 2025 A Relatora Inês Soares de Oliveira e Sá O presente relatório foi aprovado por unanimidade. A Presidente Sandra Costa Dias --- Parecer do Governo da RAM — Parecer - 11/08/2025 De: Gabinete - Secretaria Regional de Educação, Ciência e Tecnologia Enviada: 11 de agosto de 2025 11:38 Para: Cláudio Sarmento Cc: Rui Abreu Assunto: Proposta de Lei 7/XVII/1.ª (GOV) - Autoriza o Governo a transpor a Diretiva (UE) 2022/2555, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União Em referência ao vosso email, sobre o assunto mencionado em epígrafe, cumpre-me levar ao conhecimento de V. Exª. que, o parecer do Governo Regional da Madeira, é o seguinte: “O artigo 31.º referente aos Responsáveis de Cibersegurança mantém-se inalterado comparativamente com a anterior Proposta de Lei n.º 50/XVI/1.ª, incluindo as funções dos mesmos, bem como a sugestão ora emitida pelo GCPD relativa à designação de um único Responsável de Cibersegurança para as entidades da administração direta regional. No entanto, este artigo poderá não responder na integra ao nosso modelo de governação de cibersegurança aprovado, mais especificamente para o caso o setor da Educação, assente num único responsável de cibersegurança da Direção Regional de Educação (DRE) para todos os estabelecimentos de ensino. Assim, propomos a seguinte nova redação do n.º 6 do artigo 31.º : “6 - Relativamente às entidades essenciais e importantes que pertençam à administração direta, pode ser designado o mesmo responsável de cibersegurança para vários ministérios, áreas governativas ou secretarias regionais. O mesmo é aplicável aos agrupamentos escolares e estabelecimentos de ensino públicos.” A mesma continuidade surge para outros artigos relevantes para o nosso âmbito, nomeadamente sobre o ponto de contacto permanente e medidas de cibersegurança aplicáveis às entidades públicas relevantes. Destaque para a alteração que surge com a nova proposta, no artigo 34.º - Certificação da cibersegurança: • Mantém-se a possibilidade do CNCS exigir às entidades essenciais, importantes e públicas relevantes obtenham certificações nacionais, europeias ou internacionais (como o Selo de Maturidade Digital, o QNRCS) mantém-se; • Acresce uma nova vantagem dessas certificações no n.º3, sendo que essas mesmas entidades podem recorrer a essas certificações para comprovar a implementação de medidas suficientemente adequadas e proporcionais para os riscos de redes e informação utilizados nas suas operações e serviços prestados.” Com os melhores cumprimentos, GABINETE DO SECRETÁRIO gabinete.sre@madeira.gov.pt Palácio do Governo - Avenida Zarco – Apartado 551 9001-958 Funchal Telefone: 291 145 804 https://www.madeira.gov.pt/sre | simplifica.madeira.gov.pt |