|
Lei n.º 46/2018, de 13 de Agosto REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União _____________________ |
|
Artigo 9.º
Competências do «CERT.PT» |
O «CERT.PT» possui as seguintes competências:
a) Exercer a coordenação operacional na resposta a incidentes, nomeadamente em articulação com as equipas de resposta a incidentes de segurança informática setoriais existentes;
b) Monitorizar os incidentes com implicações a nível nacional;
c) Ativar mecanismos de alerta rápido;
d) Intervir na reação, análise e mitigação de incidentes;
e) Proceder à análise dinâmica dos riscos;
f) Assegurar a cooperação com entidades públicas e privadas;
g) Promover a adoção e a utilização de práticas comuns ou normalizadas;
h) Participar nos fora nacionais de cooperação de equipas de resposta a incidentes de segurança informática;
i) Assegurar a representação nacional nos fora internacionais de cooperação de equipas de resposta a incidentes de segurança informática;
j) Participar em eventos de treino nacionais e internacionais. |
| |
|
|
|
|
Artigo 10.º
Operadores de serviços essenciais |
| Os operadores de serviços essenciais enquadram-se num dos tipos de entidades que atuam nos setores e subsetores constantes do anexo à presente lei, da qual faz parte integrante. |
| |
|
|
|
|
Artigo 11.º
Prestadores de serviços digitais |
Os prestadores de serviços digitais prestam os seguintes serviços:
a) Serviço de mercado em linha;
b) Serviço de motor de pesquisa em linha;
c) Serviço de computação em nuvem. |
| |
|
|
|
|
CAPÍTULO III
Segurança das redes e dos sistemas de informação
| Artigo 12.º
Definição de requisitos de segurança e normalização |
1 - Os requisitos de segurança são definidos nos termos previstos em legislação própria, sem prejuízo do disposto no artigo 18.º
2 - Os requisitos de segurança não se aplicam:
a) Às empresas sujeitas aos requisitos previstos nos artigos 54.º-A a 54.º-G da lei das comunicações eletrónicas, aprovada pela Lei n.º 5/2004, de 10 de fevereiro, na sua redação atual;
b) Aos prestadores de serviços de confiança previstos no artigo 19.º do Regulamento (UE) n.º 910/2014, de 23 de julho, do Parlamento Europeu e do Conselho, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno.
3 - Os requisitos de segurança são definidos de forma a permitir a utilização de normas e especificações técnicas internacionalmente aceites aplicáveis à segurança das redes e dos sistemas de informação, sem imposição ou discriminação em favor da utilização de um determinado tipo de tecnologia. |
| |
|
|
|
|
Artigo 13.º
Definição de requisitos de notificação de incidentes |
1 - Os requisitos de notificação de incidentes são definidos nos termos previstos em legislação própria, sem prejuízo do disposto no artigo 19.º
2 - Os requisitos de notificação de incidentes não se aplicam:
a) Às empresas sujeitas aos requisitos previstos nos artigos 54.º-A a 54.º-G da lei das comunicações eletrónicas, aprovada pela Lei n.º 5/2004, de 10 de fevereiro, na sua redação atual;
b) Aos prestadores de serviços de confiança previstos no artigo 19.º do Regulamento (UE) n.º 910/2014, de 23 de julho, do Parlamento Europeu e do Conselho, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno. |
| |
|
|
|
|
Artigo 14.º
Requisitos de segurança para a Administração Pública e operadores de infraestruturas críticas |
1 - A Administração Pública e os operadores de infraestruturas críticas devem cumprir as medidas técnicas e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam.
2 - As medidas previstas no número anterior devem garantir um nível de segurança adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes.
3 - A Administração Pública e os operadores de infraestruturas críticas tomam as medidas adequadas para evitar os incidentes que afetem a segurança das redes e dos sistemas de informação utilizados e para reduzir ao mínimo o seu impacto. |
| |
|
|
|
|
Artigo 15.º
Notificação de incidentes para a Administração Pública e operadores de infraestruturas críticas |
1 - A Administração Pública e os operadores de infraestruturas críticas notificam o Centro Nacional de Cibersegurança dos incidentes com um impacto relevante na segurança das redes e dos sistemas de informação, no prazo definido na legislação própria referida no artigo 13.º
2 - A notificação dos operadores de infraestruturas críticas inclui informação que permita ao Centro Nacional de Cibersegurança determinar o impacto transfronteiriço dos incidentes.
3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.
4 - A fim de determinar a relevância do impacto de um incidente são tidos em conta, designadamente, os seguintes parâmetros:
a) O número de utilizadores afetados;
b) A duração do incidente;
c) A distribuição geográfica, no que se refere à zona afetada pelo incidente.
5 - Sempre que as circunstâncias o permitam, o Centro Nacional de Cibersegurança presta ao notificante as informações relevantes relativas ao seguimento da sua notificação, nomeadamente informações que possam contribuir para o tratamento eficaz do incidente.
6 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar incidentes específicos de acordo com o interesse público, salvaguardando a segurança e os interesses dos operadores de infraestruturas críticas. |
| |
|
|
|
|
Artigo 16.º
Requisitos de segurança para os operadores de serviços essenciais |
1 - Os operadores de serviços essenciais devem cumprir as medidas técnicas e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam.
2 - As medidas previstas no número anterior devem garantir um nível de segurança adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes.
3 - Os operadores de serviços essenciais tomam as medidas adequadas para evitar os incidentes que afetem a segurança das redes e dos sistemas de informação utilizados para a prestação dos seus serviços essenciais e para reduzir ao mínimo o seu impacto, a fim de assegurar a continuidade desses serviços. |
| |
|
|
|
|
Artigo 17.º
Notificação de incidentes para os operadores de serviços essenciais |
1 - Os operadores de serviços essenciais notificam o Centro Nacional de Cibersegurança dos incidentes com um impacto relevante na continuidade dos serviços essenciais por si prestados, no prazo definido na legislação própria referida no artigo 13.º
2 - A notificação inclui informação que permita ao Centro Nacional de Cibersegurança determinar o impacto transfronteiriço dos incidentes.
3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.
4 - A fim de determinar a relevância do impacto de um incidente são tidos em conta, designadamente, os seguintes parâmetros:
a) O número de utilizadores afetados pela perturbação do serviço essencial;
b) A duração do incidente;
c) A distribuição geográfica, no que se refere à zona afetada pelo incidente.
5 - Com base na informação prestada na notificação, o Centro Nacional de Cibersegurança informa os pontos de contacto únicos dos outros Estados-Membros afetados, caso o incidente tenha um impacto importante na continuidade dos serviços essenciais nesses Estados-Membros.
6 - No caso referido no número anterior, o Centro Nacional de Cibersegurança salvaguarda a segurança e os interesses do operador de serviços essenciais, bem como a confidencialidade da informação prestada na sua notificação.
7 - Sempre que as circunstâncias o permitam, o Centro Nacional de Cibersegurança presta ao operador de serviços essenciais notificante as informações relevantes relativas ao seguimento da sua notificação, nomeadamente informações que possam contribuir para o tratamento eficaz do incidente.
8 - O Centro Nacional de Cibersegurança transmite as notificações referidas no n.º 1 aos pontos de contacto únicos dos outros Estados-Membros afetados.
9 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar informação relativa a incidentes específicos de acordo com o interesse público.
10 - Se um operador de serviços essenciais depender de um terceiro prestador de serviços digitais para a prestação de um serviço essencial, notifica todos os impactos importantes na continuidade dos seus serviços, decorrentes dos incidentes que afetem o prestador de serviços digitais. |
| |
|
|
|
|
Artigo 18.º
Requisitos de segurança para os prestadores de serviços digitais |
1 - Os prestadores de serviços digitais identificam e tomam as medidas técnicas e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam no contexto da oferta dos serviços digitais.
2 - As medidas referidas no número anterior devem garantir um nível de segurança das redes e dos sistemas de informação adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes, e devem ter em conta os seguintes fatores:
a) A segurança dos sistemas e das instalações;
b) O tratamento dos incidentes;
c) A gestão da continuidade das atividades;
d) O acompanhamento, a auditoria e os testes realizados;
e) A conformidade com as normas internacionais.
3 - Os prestadores de serviços digitais tomam medidas para evitar os incidentes que afetem a segurança das suas redes e sistemas de informação e para reduzir ao mínimo o seu impacto nos serviços digitais, a fim de assegurar a continuidade desses serviços.
4 - O presente artigo não se aplica às microempresas nem às pequenas empresas, tal como definidas pelo Decreto-Lei n.º 372/2007, de 6 de novembro, na sua redação atual.
5 - Os elementos constantes dos n.os 1 a 3 são objeto de Regulamento de Execução da Comissão Europeia. |
| |
|
|
|
|
Artigo 19.º
Notificação de incidentes para os prestadores de serviços digitais |
1 - Os prestadores de serviços digitais notificam o Centro Nacional de Cibersegurança dos incidentes com impacto substancial na prestação dos serviços digitais, no prazo definido na legislação própria referida no artigo 13.º
2 - A notificação referida no número anterior inclui informação que permita ao Centro Nacional de Cibersegurança determinar a importância dos impactos transfronteiriços.
3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.
4 - A fim de determinar se o impacto de um incidente é substancial, são tidos em conta os seguintes parâmetros:
a) O número de utilizadores afetados pelo incidente, nomeadamente de utilizadores que dependem do serviço para prestarem os seus próprios serviços;
b) A duração do incidente;
c) A distribuição geográfica, no que se refere à zona afetada pelo incidente;
d) O nível de gravidade da perturbação do funcionamento do serviço;
e) A extensão do impacto nas atividades económicas e societais.
5 - A obrigação de notificar um incidente só se aplica se o prestador de serviços digitais tiver acesso a informação necessária para avaliar o impacto de um incidente em função dos fatores a que se refere o n.º 2 do artigo anterior.
6 - Se os incidentes referidos no n.º 1 disserem respeito a dois ou mais Estados-Membros, o Centro Nacional de Cibersegurança informa os pontos de contacto únicos dos outros Estados-Membros afetados.
7 - No caso referido no número anterior, o Centro Nacional de Cibersegurança salvaguarda a segurança e os interesses do prestador de serviços digitais.
8 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar incidentes específicos de acordo com o interesse público.
9 - O presente artigo não se aplica às microempresas nem às pequenas empresas, tal como definidas pelo Decreto-Lei n.º 372/2007, de 6 de novembro, na sua redação atual.
10 - Os elementos constantes dos n.os 1 a 5 são objeto de Regulamento de Execução da Comissão Europeia. |
| |
|
|
|
|
|