Lei n.º 96/2015, de 17 de Agosto
  REGULA A DISPONIBILIZAÇÃO E A UTILIZAÇÃO DAS PLATAFORMAS ELETRÓNICAS DE CONTRATAÇÃO PÚBLICA(versão actualizada)
O diploma ainda não sofreu alterações

       
Procurar no presente diploma:
A expressão exacta

Ir para o art.:
 Todos
      Nº de artigos :  11      


 Ver índice sistemático do diploma Abre  janela autónoma para impressão mais amigável  Imprimir todo o diploma
SUMÁRIO
Regula a disponibilização e a utilização das plataformas eletrónicas de contratação pública e transpõe o artigo 29.º da Diretiva 2014/23/UE, o artigo 22.º e o anexo IV da Diretiva 2014/24/UE e o artigo 40.º e o anexo V da Diretiva 2014/25/CE, do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, revogando o Decreto-Lei n.º 143-A/2008, de 25 de julho
_____________________
  Artigo 3.º
Utilização de plataformas electrónicas
As comunicações, as trocas de dados e de informações processadas através de plataformas eletrónicas nos termos estabelecidos no CCP, bem como o respetivo arquivo, devem obedecer às regras, requisitos e especificações técnicas previstos na presente lei.

  Artigo 4.º
Lista das plataformas electrónicas
A lista atualizada das plataformas eletrónicas licenciadas e das respetivas empresas gestoras é publicitada nos sítios na Internet do Instituto dos Mercados Públicos, do Imobiliário e da Construção, I. P. (IMPIC, I. P.), e do Gabinete Nacional de Segurança (GNS) e no Portal dos Contratos Públicos.

  Artigo 5.º
Liberdade de escolha das plataformas electrónicas
1 - As entidades adjudicantes devem adquirir os serviços de plataformas eletrónicas, de acordo com os procedimentos de formação de contratos estabelecidos no CCP, de entre as plataformas eletrónicas constantes da lista referida no artigo anterior.
2 - Os operadores económicos escolhem livremente a plataforma eletrónica de contratação pública que pretendem utilizar, para efeitos de participação em procedimentos de formação de contratos públicos, de entre as plataformas eletrónicas licenciadas pelo IMPIC, I. P.

  Artigo 6.º
Liberdade de escolha dos prestadores e dos serviços de certificação electrónica
1 - As entidades adjudicantes e os operadores económicos escolhem livremente os prestadores e os serviços de certificação eletrónica que pretendem utilizar no âmbito dos procedimentos de formação de contratos públicos.
2 - As empresas gestoras devem garantir a aplicabilidade do disposto no número anterior.


CAPÍTULO II
Entidade licenciadora, de monitorização e fiscalizadora, entidade credenciadora e auditores de segurança
SECÇÃO I
Entidade licenciadora, de monitorização e fiscalizadora e entidade credenciadora
  Artigo 7.º
Entidade licenciadora, de monitorização e fiscalizadora
1 - A entidade licenciadora, de monitorização e fiscalizadora das plataformas eletrónicas é o IMPIC, I. P.
2 - Ao IMPIC, I. P., compete, designadamente:
a) Coadjuvar o membro do Governo da tutela na definição das linhas estratégicas relacionadas com a contratação pública eletrónica, incluindo a emissão de pareceres e a elaboração de projetos de legislação neste domínio;
b) Emitir as licenças necessárias ao exercício da atividade de gestão de plataformas eletrónicas;
c) Assegurar a monitorização e o acompanhamento da atividade das plataformas eletrónicas, nomeadamente através da elaboração de relatórios estatísticos;
d) Assegurar a fiscalização da atividade das plataformas eletrónicas.

  Artigo 8.º
Entidade credenciadora
1 - A entidade credenciadora das plataformas eletrónicas e dos respetivos auditores de segurança é o GNS.
2 - Ao GNS compete, para além de outras atribuições previstas na presente lei:
a) Credenciar os auditores de segurança das plataformas eletrónicas;
b) Credenciar, na marca nacional e grau confidencial, os membros dos órgãos de administração e fiscalização, os empregados e representantes das empresas gestoras com acesso aos atos e instrumentos de gestão das mesmas, os sócios da sociedade e, tratando-se de sociedade anónima, os acionistas com participação igual ou superior a 10 /prct. do capital da sociedade;
c) Credenciar as plataformas eletrónicas;
d) Elaborar normas técnicas;
e) Identificar as normas internacionais aplicáveis, designadamente as previstas no n.º 3 do artigo 43.º e no n.º 5 do artigo 52.º
3 - Os pedidos de credenciação previstos na alínea c) do número anterior podem ser apresentados diretamente ao GNS ou, em alternativa, ao IMPIC, I. P., conjuntamente com os pedidos de licenciamento previstos no n.º 1 do artigo 14.º, que os reencaminha, de imediato, ao GNS.


SECÇÃO II
Meios humanos e técnicos
  Artigo 9.º
Estrutura organizativa da empresa gestora
1 - A estrutura organizativa da empresa gestora, a comprovar perante o GNS, deve contemplar, pelo menos, os seguintes cargos e funções necessários à operação dos sistemas:
a) Administrador de segurança, com a responsabilidade global de implementar as políticas e práticas de segurança;
b) Administrador de sistemas, autorizado a instalar, configurar e manter os sistemas, mas com acesso limitado às configurações e aspetos relacionadas com a segurança;
c) Operador de sistemas, sendo responsável por operar diariamente os sistemas, autorizado a realizar cópias de segurança e operações de rotina;
d) Auditor de sistemas, autorizado a monitorizar os arquivos de atividade dos sistemas e registo de eventos para auditoria.
2 - Os postos de trabalho ou funções referidos nas alíneas a), b) e d) do número anterior não podem ser assegurados pela mesma pessoa.
3 - Todos aqueles que desempenhem funções relacionadas com os procedimentos das plataformas eletrónicas, em especial, os cargos definidos no número anterior, devem estar livres de conflitos de interesse que possam prejudicar a sua imparcialidade no exercício das funções.
4 - A empresa gestora é responsável por todos os serviços incluídos no âmbito da sua plataforma eletrónica, bem como dos meios humanos pertencentes à sua estrutura organizativa, mesmo quando prestados por terceiros por ela contratados.
5 - A empresa gestora pode contratar a prestação de serviços tecnológicos e o fornecimento dos respetivos componentes e meios humanos assumindo e mantendo a inteira responsabilidade pelo cumprimento de todos os requisitos exigidos na presente lei.
6 - São obrigatoriamente reduzidos a escrito os contratos celebrados entre a empresa gestora e qualquer prestador de serviços, onde se estabelecem as obrigações das partes e se identificam os serviços e funções prestadas pelo contratado.

  Artigo 10.º
Auditores de segurança
1 - O auditor de segurança é uma pessoa singular ou coletiva, independente da empresa gestora, de reconhecida idoneidade, experiência e qualificações comprovadas na área de sistemas de informação e de segurança de informação, devidamente credenciado pelo GNS, nos termos da alínea a) do n.º 2 do artigo 8.º
2 - O auditor de segurança deve garantir que os membros da sua equipa não atuam de forma parcial ou discriminatória e está sujeito aos seguintes impedimentos:
a) Não realizar auditorias à mesma plataforma eletrónica em mais do que três anos consecutivos;
b) Não realizar auditorias sempre que se verifique qualquer situação que possa comprometer a sua independência;
c) Não ter prestado serviços de consultoria à empresa gestora nos últimos três anos, nem manter com esta qualquer outro acordo ou vínculo contratual.
3 - O auditor de segurança, antes de celebrar qualquer contrato com a empresa gestora, deve solicitar previamente ao GNS, a respetiva autorização, tendo este 30 dias para se pronunciar.
4 - A autorização a que se refere o número anterior depende, designadamente, da inexistência de qualquer situação de impedimento ou incompatibilidade para o exercício da atividade por parte do auditor.
5 - Se, da aplicação do n.º 2 resultar que não existem auditores de segurança credenciados pelo GNS disponíveis, o GNS garante a realização da auditoria.


SECÇÃO III
Relatórios de segurança
  Artigo 11.º
Relatório inicial de segurança
1 - O auditor de segurança, indicado pela empresa gestora, é responsável pela elaboração do relatório inicial de segurança, para efeitos de obtenção da credenciação da plataforma eletrónica.
2 - O relatório inicial de segurança deve ser elaborado de acordo com as Normas ISO/IEC 20000 e 27001 e englobar obrigatoriamente:
a) A identificação dos perfis dos técnicos que operam as plataformas eletrónicas, com descrição das respetivas funções;
b) Uma descrição técnica detalhada da arquitetura e dos sistemas da plataforma eletrónica, contendo uma análise e verificação:
i) Da conformidade dos certificados digitais utilizados e disponibilizados pelas plataformas eletrónicas;
ii) Do desempenho dos processos de autenticação e validação de utilizadores;
iii) Da conformidade dos requisitos de assinatura eletrónica utilizados;
iv) Dos processos de validação cronológica;
v) Dos níveis de segurança verificados nos processos de encriptação e desencriptação;
vi) Dos processos de recuperação de chaves privadas de encriptação;
vii) Dos processos de custódia de chaves privadas;
viii) Dos mecanismos de controlo de acessos às plataformas eletrónicas e do funcionamento dos registos de acesso;
ix) Da operabilidade da plataforma eletrónica em múltiplos sistemas operativos e múltiplos navegadores (browsers);
x) Do formato standard utilizado para os ficheiros carregados nas plataformas eletrónicas;
xi) Dos processos de carregamento de documentos;
xii) Do funcionamento dos mecanismos e meios de segurança, garantia da confidencialidade e integridade das propostas, candidaturas e soluções apresentadas em procedimentos concorrenciais;
xiii) Da sincronização dos serviços das plataformas eletrónicas com o serviço de tempo de rede (NTP) definido a partir do tempo universal coordenado (UTC);
xiv) Das funcionalidades utilizadas para o arquivo e preservação digital, bem como para a interoperabilidade das plataformas eletrónicas, nos termos decorrentes do n.º 3 do artigo 36.º

  Artigo 12.º
Relatório anual de segurança
1 - Para efeitos de manutenção da credenciação da plataforma eletrónica e da sua própria credenciação, o respetivo auditor de segurança deve realizar uma auditoria anual à plataforma eletrónica, de acordo com as Normas ISO/IEC 20000 e 27001, e elaborar o respetivo relatório anual de segurança, que deve ser enviado ao GNS até ao fim do mês de fevereiro de cada ano civil.
2 - O relatório anual de segurança, para além de conter os elementos referidos no n.º 2 do artigo anterior, deve reportar-se a uma análise de procedimentos de formação dos contratos já concluídos e em curso, através de uma amostragem aleatória, considerada suficiente para a elaboração de um relatório rigoroso e com margens de erro mínimas.
3 - Se do relatório referido no número anterior resultarem desconformidades, deve a entidade gestora, no prazo de 30 dias, corrigir essas situações.
4 - Findo o prazo referido no número anterior, o auditor realiza nova auditoria para avaliar a correção das anomalias apontadas.
5 - Se da nova auditoria resultar que as situações identificadas, ou algumas delas, não foram devidamente corrigidas, deve o facto ser comunicado pelo GNS ao IMPIC, I. P., para que este, após a realização da respetiva audiência prévia, promova o cancelamento da licença, sem prejuízo da efetivação da eventual responsabilidade contraordenacional.
6 - Verificando-se o cancelamento da licença, nos termos do número anterior, a entidade gestora deve transferir, no prazo de 30 dias, para cada entidade adjudicante, toda a informação e documentação atinente aos respetivos procedimentos de formação de contratos públicos em curso, que devem prosseguir, posteriormente, noutra plataforma eletrónica licenciada pelo IMPIC, I. P.


CAPÍTULO III
Licenciamento da atividade de gestão e exploração de plataformas electrónicas
  Artigo 13.º
Licenciamento para o exercício da actividade
1 - O exercício da atividade de gestão e exploração, em território nacional, de plataformas eletrónicas, depende de licença a conceder pelo IMPIC, I. P.
2 - As licenças emitidas pelo IMPIC, I. P., têm validade de 10 anos, sem prejuízo da verificação anual oficiosa da manutenção dos requisitos gerais de licenciamento e do cancelamento da licença em caso de incumprimento destes requisitos.

Páginas:    
   Contactos      Índice      Links      Direitos      Privacidade  Copyright© 2001-2024 Procuradoria-Geral Distrital de Lisboa