|
Lei n.º 46/2018, de 13 de Agosto REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União _____________________ |
|
Artigo 17.º
Notificação de incidentes para os operadores de serviços essenciais |
1 - Os operadores de serviços essenciais notificam o Centro Nacional de Cibersegurança dos incidentes com um impacto relevante na continuidade dos serviços essenciais por si prestados, no prazo definido na legislação própria referida no artigo 13.º
2 - A notificação inclui informação que permita ao Centro Nacional de Cibersegurança determinar o impacto transfronteiriço dos incidentes.
3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.
4 - A fim de determinar a relevância do impacto de um incidente são tidos em conta, designadamente, os seguintes parâmetros:
a) O número de utilizadores afetados pela perturbação do serviço essencial;
b) A duração do incidente;
c) A distribuição geográfica, no que se refere à zona afetada pelo incidente.
5 - Com base na informação prestada na notificação, o Centro Nacional de Cibersegurança informa os pontos de contacto únicos dos outros Estados-Membros afetados, caso o incidente tenha um impacto importante na continuidade dos serviços essenciais nesses Estados-Membros.
6 - No caso referido no número anterior, o Centro Nacional de Cibersegurança salvaguarda a segurança e os interesses do operador de serviços essenciais, bem como a confidencialidade da informação prestada na sua notificação.
7 - Sempre que as circunstâncias o permitam, o Centro Nacional de Cibersegurança presta ao operador de serviços essenciais notificante as informações relevantes relativas ao seguimento da sua notificação, nomeadamente informações que possam contribuir para o tratamento eficaz do incidente.
8 - O Centro Nacional de Cibersegurança transmite as notificações referidas no n.º 1 aos pontos de contacto únicos dos outros Estados-Membros afetados.
9 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar informação relativa a incidentes específicos de acordo com o interesse público.
10 - Se um operador de serviços essenciais depender de um terceiro prestador de serviços digitais para a prestação de um serviço essencial, notifica todos os impactos importantes na continuidade dos seus serviços, decorrentes dos incidentes que afetem o prestador de serviços digitais. |
| |
|
|
|
|
Artigo 18.º
Requisitos de segurança para os prestadores de serviços digitais |
1 - Os prestadores de serviços digitais identificam e tomam as medidas técnicas e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam no contexto da oferta dos serviços digitais.
2 - As medidas referidas no número anterior devem garantir um nível de segurança das redes e dos sistemas de informação adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes, e devem ter em conta os seguintes fatores:
a) A segurança dos sistemas e das instalações;
b) O tratamento dos incidentes;
c) A gestão da continuidade das atividades;
d) O acompanhamento, a auditoria e os testes realizados;
e) A conformidade com as normas internacionais.
3 - Os prestadores de serviços digitais tomam medidas para evitar os incidentes que afetem a segurança das suas redes e sistemas de informação e para reduzir ao mínimo o seu impacto nos serviços digitais, a fim de assegurar a continuidade desses serviços.
4 - O presente artigo não se aplica às microempresas nem às pequenas empresas, tal como definidas pelo Decreto-Lei n.º 372/2007, de 6 de novembro, na sua redação atual.
5 - Os elementos constantes dos n.os 1 a 3 são objeto de Regulamento de Execução da Comissão Europeia. |
| |
|
|
|
|
Artigo 19.º
Notificação de incidentes para os prestadores de serviços digitais |
1 - Os prestadores de serviços digitais notificam o Centro Nacional de Cibersegurança dos incidentes com impacto substancial na prestação dos serviços digitais, no prazo definido na legislação própria referida no artigo 13.º
2 - A notificação referida no número anterior inclui informação que permita ao Centro Nacional de Cibersegurança determinar a importância dos impactos transfronteiriços.
3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.
4 - A fim de determinar se o impacto de um incidente é substancial, são tidos em conta os seguintes parâmetros:
a) O número de utilizadores afetados pelo incidente, nomeadamente de utilizadores que dependem do serviço para prestarem os seus próprios serviços;
b) A duração do incidente;
c) A distribuição geográfica, no que se refere à zona afetada pelo incidente;
d) O nível de gravidade da perturbação do funcionamento do serviço;
e) A extensão do impacto nas atividades económicas e societais.
5 - A obrigação de notificar um incidente só se aplica se o prestador de serviços digitais tiver acesso a informação necessária para avaliar o impacto de um incidente em função dos fatores a que se refere o n.º 2 do artigo anterior.
6 - Se os incidentes referidos no n.º 1 disserem respeito a dois ou mais Estados-Membros, o Centro Nacional de Cibersegurança informa os pontos de contacto únicos dos outros Estados-Membros afetados.
7 - No caso referido no número anterior, o Centro Nacional de Cibersegurança salvaguarda a segurança e os interesses do prestador de serviços digitais.
8 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar incidentes específicos de acordo com o interesse público.
9 - O presente artigo não se aplica às microempresas nem às pequenas empresas, tal como definidas pelo Decreto-Lei n.º 372/2007, de 6 de novembro, na sua redação atual.
10 - Os elementos constantes dos n.os 1 a 5 são objeto de Regulamento de Execução da Comissão Europeia. |
| |
|
|
|
|
Artigo 20.º
Notificação voluntária de incidentes |
1 - Sem prejuízo da obrigação de notificação de incidentes prevista na presente lei, quaisquer entidades podem notificar, a título voluntário, os incidentes com impacto importante na continuidade dos serviços por si prestados.
2 - No tratamento das notificações voluntárias, aplica-se o disposto no artigo 17.º, com as necessárias adaptações.
3 - A notificação voluntária não pode dar origem à imposição à entidade notificante de obrigações às quais esta não teria sido sujeita se não tivesse procedido a essa notificação. |
| |
|
|
|
|
CAPÍTULO IV
Fiscalização e sanções
| Artigo 21.º
Competências de fiscalização e sancionatórias |
| As competências de fiscalização e de aplicação das sanções previstas na presente lei cabem ao Centro Nacional de Cibersegurança. |
| |
|
|
|
|
Artigo 22.º
Contraordenações |
| As infrações ao disposto na presente lei constituem contraordenações, nos termos dos artigos seguintes. |
| |
|
|
|
|
Artigo 23.º
Infrações muito graves |
1 - Constituem infrações muito graves:
a) O incumprimento da obrigação de implementar requisitos de segurança tal como previsto nos artigos 14.º, 16.º e 18.º;
b) O incumprimento de instruções de cibersegurança emitidas pelo Centro Nacional de Cibersegurança tal como previsto no n.º 5 do artigo 7.º
2 - As contraordenações referidas no número anterior são punidas com coima de (euro) 5000 a (euro) 25 000, tratando-se de uma pessoa singular, e de (euro) 10 000 a (euro) 50 000, no caso de se tratar de uma pessoa coletiva. |
| |
|
|
|
|
Artigo 24.º
Infrações graves |
1 - Constituem infrações graves:
a) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança dos incidentes tal como previsto nos artigos 15.º, 17.º e 19.º;
b) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança do exercício de atividade no setor das infraestruturas digitais tal como previsto no n.º 3 do artigo 29.º;
c) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança da identificação como prestador de serviços digitais tal como previsto no artigo 30.º
2 - As contraordenações referidas no número anterior são punidas com coima de (euro) 1000 a (euro) 3000, tratando-se de uma pessoa singular, e de (euro) 3000 a (euro) 9000, no caso de se tratar de uma pessoa coletiva. |
| |
|
|
|
|
| A negligência é punível, sendo os limites mínimos e máximos das coimas reduzidos a metade. |
| |
|
|
|
|
Artigo 26.º
Instrução dos processos de contraordenação e aplicação de sanções |
| Compete ao Centro Nacional de Cibersegurança instruir os processos de contraordenação e ao respetivo dirigente máximo a aplicação das coimas. |
| |
|
|
|
|
Artigo 27.º
Produto das coimas |
O produto das coimas reverte em:
a) 60 /prct. para o Estado;
b) 40 /prct. para o Centro Nacional de Cibersegurança. |
| |
|
|
|
|
|