|
Lei n.º 46/2018, de 13 de Agosto REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União _____________________ |
|
Artigo 7.º
Centro Nacional de Cibersegurança |
1 - O Centro Nacional de Cibersegurança funciona no âmbito do Gabinete Nacional de Segurança e é a Autoridade Nacional de Cibersegurança.
2 - O Centro Nacional de Cibersegurança tem por missão garantir que o País usa o ciberespaço de uma forma livre, confiável e segura, através da promoção da melhoria contínua da cibersegurança nacional e da cooperação internacional, em articulação com todas as autoridades competentes, bem como da definição e implementação das medidas e instrumentos necessários à antecipação, deteção, reação e recuperação de situações que, face à iminência ou ocorrência de incidentes, ponham em causa o interesse nacional, o funcionamento da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços essenciais e dos prestadores de serviços digitais.
3 - O Centro Nacional de Cibersegurança é o ponto de contacto único nacional para efeitos de cooperação internacional, sem prejuízo das atribuições legais da Polícia Judiciária relativas a cooperação internacional em matéria penal.
4 - O Centro Nacional de Cibersegurança exerce as funções de regulação, regulamentação, supervisão, fiscalização e sancionatórias nos termos das suas competências.
5 - O Centro Nacional de Cibersegurança tem o poder de emitir instruções de cibersegurança e de definir o nível nacional de alerta de cibersegurança.
6 - Qualquer disposição legal de cibersegurança carece do parecer prévio do Centro Nacional de Cibersegurança.
7 - O Centro Nacional de Cibersegurança atua em articulação e estreita cooperação com as estruturas nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo, devendo comunicar à autoridade competente, no mais curto prazo, os factos de que tenha conhecimento relativos à preparação e execução de crimes.
8 - O Centro Nacional de Cibersegurança atua em articulação com a Comissão Nacional de Proteção de Dados quando estejam em causa incidentes que tenham dado origem à violação de dados pessoais.
9 - O Centro Nacional de Cibersegurança pode solicitar a quaisquer entidades públicas ou privadas toda a colaboração ou auxílio que julgue necessários para o exercício das suas atividades. |
| |
|
|
|
|
Artigo 8.º
Equipa de Resposta a Incidentes de Segurança Informática Nacional |
1 - A Equipa de Resposta a Incidentes de Segurança Informática Nacional é o «CERT.PT».
2 - O «CERT.PT» funciona no Centro Nacional de Cibersegurança. |
| |
|
|
|
|
Artigo 9.º
Competências do «CERT.PT» |
O «CERT.PT» possui as seguintes competências:
a) Exercer a coordenação operacional na resposta a incidentes, nomeadamente em articulação com as equipas de resposta a incidentes de segurança informática setoriais existentes;
b) Monitorizar os incidentes com implicações a nível nacional;
c) Ativar mecanismos de alerta rápido;
d) Intervir na reação, análise e mitigação de incidentes;
e) Proceder à análise dinâmica dos riscos;
f) Assegurar a cooperação com entidades públicas e privadas;
g) Promover a adoção e a utilização de práticas comuns ou normalizadas;
h) Participar nos fora nacionais de cooperação de equipas de resposta a incidentes de segurança informática;
i) Assegurar a representação nacional nos fora internacionais de cooperação de equipas de resposta a incidentes de segurança informática;
j) Participar em eventos de treino nacionais e internacionais. |
| |
|
|
|
|
Artigo 10.º
Operadores de serviços essenciais |
| Os operadores de serviços essenciais enquadram-se num dos tipos de entidades que atuam nos setores e subsetores constantes do anexo à presente lei, da qual faz parte integrante. |
| |
|
|
|
|
Artigo 11.º
Prestadores de serviços digitais |
Os prestadores de serviços digitais prestam os seguintes serviços:
a) Serviço de mercado em linha;
b) Serviço de motor de pesquisa em linha;
c) Serviço de computação em nuvem. |
| |
|
|
|
|
CAPÍTULO III
Segurança das redes e dos sistemas de informação
| Artigo 12.º
Definição de requisitos de segurança e normalização |
1 - Os requisitos de segurança são definidos nos termos previstos em legislação própria, sem prejuízo do disposto no artigo 18.º
2 - Os requisitos de segurança não se aplicam:
a) Às empresas sujeitas aos requisitos previstos nos artigos 54.º-A a 54.º-G da lei das comunicações eletrónicas, aprovada pela Lei n.º 5/2004, de 10 de fevereiro, na sua redação atual;
b) Aos prestadores de serviços de confiança previstos no artigo 19.º do Regulamento (UE) n.º 910/2014, de 23 de julho, do Parlamento Europeu e do Conselho, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno.
3 - Os requisitos de segurança são definidos de forma a permitir a utilização de normas e especificações técnicas internacionalmente aceites aplicáveis à segurança das redes e dos sistemas de informação, sem imposição ou discriminação em favor da utilização de um determinado tipo de tecnologia. |
| |
|
|
|
|
Artigo 13.º
Definição de requisitos de notificação de incidentes |
1 - Os requisitos de notificação de incidentes são definidos nos termos previstos em legislação própria, sem prejuízo do disposto no artigo 19.º
2 - Os requisitos de notificação de incidentes não se aplicam:
a) Às empresas sujeitas aos requisitos previstos nos artigos 54.º-A a 54.º-G da lei das comunicações eletrónicas, aprovada pela Lei n.º 5/2004, de 10 de fevereiro, na sua redação atual;
b) Aos prestadores de serviços de confiança previstos no artigo 19.º do Regulamento (UE) n.º 910/2014, de 23 de julho, do Parlamento Europeu e do Conselho, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno. |
| |
|
|
|
|
Artigo 14.º
Requisitos de segurança para a Administração Pública e operadores de infraestruturas críticas |
1 - A Administração Pública e os operadores de infraestruturas críticas devem cumprir as medidas técnicas e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam.
2 - As medidas previstas no número anterior devem garantir um nível de segurança adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes.
3 - A Administração Pública e os operadores de infraestruturas críticas tomam as medidas adequadas para evitar os incidentes que afetem a segurança das redes e dos sistemas de informação utilizados e para reduzir ao mínimo o seu impacto. |
| |
|
|
|
|
Artigo 15.º
Notificação de incidentes para a Administração Pública e operadores de infraestruturas críticas |
1 - A Administração Pública e os operadores de infraestruturas críticas notificam o Centro Nacional de Cibersegurança dos incidentes com um impacto relevante na segurança das redes e dos sistemas de informação, no prazo definido na legislação própria referida no artigo 13.º
2 - A notificação dos operadores de infraestruturas críticas inclui informação que permita ao Centro Nacional de Cibersegurança determinar o impacto transfronteiriço dos incidentes.
3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.
4 - A fim de determinar a relevância do impacto de um incidente são tidos em conta, designadamente, os seguintes parâmetros:
a) O número de utilizadores afetados;
b) A duração do incidente;
c) A distribuição geográfica, no que se refere à zona afetada pelo incidente.
5 - Sempre que as circunstâncias o permitam, o Centro Nacional de Cibersegurança presta ao notificante as informações relevantes relativas ao seguimento da sua notificação, nomeadamente informações que possam contribuir para o tratamento eficaz do incidente.
6 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar incidentes específicos de acordo com o interesse público, salvaguardando a segurança e os interesses dos operadores de infraestruturas críticas. |
| |
|
|
|
|
Artigo 16.º
Requisitos de segurança para os operadores de serviços essenciais |
1 - Os operadores de serviços essenciais devem cumprir as medidas técnicas e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam.
2 - As medidas previstas no número anterior devem garantir um nível de segurança adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes.
3 - Os operadores de serviços essenciais tomam as medidas adequadas para evitar os incidentes que afetem a segurança das redes e dos sistemas de informação utilizados para a prestação dos seus serviços essenciais e para reduzir ao mínimo o seu impacto, a fim de assegurar a continuidade desses serviços. |
| |
|
|
|
|
Artigo 17.º
Notificação de incidentes para os operadores de serviços essenciais |
1 - Os operadores de serviços essenciais notificam o Centro Nacional de Cibersegurança dos incidentes com um impacto relevante na continuidade dos serviços essenciais por si prestados, no prazo definido na legislação própria referida no artigo 13.º
2 - A notificação inclui informação que permita ao Centro Nacional de Cibersegurança determinar o impacto transfronteiriço dos incidentes.
3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.
4 - A fim de determinar a relevância do impacto de um incidente são tidos em conta, designadamente, os seguintes parâmetros:
a) O número de utilizadores afetados pela perturbação do serviço essencial;
b) A duração do incidente;
c) A distribuição geográfica, no que se refere à zona afetada pelo incidente.
5 - Com base na informação prestada na notificação, o Centro Nacional de Cibersegurança informa os pontos de contacto únicos dos outros Estados-Membros afetados, caso o incidente tenha um impacto importante na continuidade dos serviços essenciais nesses Estados-Membros.
6 - No caso referido no número anterior, o Centro Nacional de Cibersegurança salvaguarda a segurança e os interesses do operador de serviços essenciais, bem como a confidencialidade da informação prestada na sua notificação.
7 - Sempre que as circunstâncias o permitam, o Centro Nacional de Cibersegurança presta ao operador de serviços essenciais notificante as informações relevantes relativas ao seguimento da sua notificação, nomeadamente informações que possam contribuir para o tratamento eficaz do incidente.
8 - O Centro Nacional de Cibersegurança transmite as notificações referidas no n.º 1 aos pontos de contacto únicos dos outros Estados-Membros afetados.
9 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar informação relativa a incidentes específicos de acordo com o interesse público.
10 - Se um operador de serviços essenciais depender de um terceiro prestador de serviços digitais para a prestação de um serviço essencial, notifica todos os impactos importantes na continuidade dos seus serviços, decorrentes dos incidentes que afetem o prestador de serviços digitais. |
| |
|
|
|
|
|