Lei n.º 46/2018, de 13 de Agosto REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO(versão actualizada) O diploma ainda não sofreu alterações |
|
SUMÁRIO Estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União _____________________ |
|
Artigo 19.º
Notificação de incidentes para os prestadores de serviços digitais |
1 - Os prestadores de serviços digitais notificam o Centro Nacional de Cibersegurança dos incidentes com impacto substancial na prestação dos serviços digitais, no prazo definido na legislação própria referida no artigo 13.º
2 - A notificação referida no número anterior inclui informação que permita ao Centro Nacional de Cibersegurança determinar a importância dos impactos transfronteiriços.
3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.
4 - A fim de determinar se o impacto de um incidente é substancial, são tidos em conta os seguintes parâmetros:
a) O número de utilizadores afetados pelo incidente, nomeadamente de utilizadores que dependem do serviço para prestarem os seus próprios serviços;
b) A duração do incidente;
c) A distribuição geográfica, no que se refere à zona afetada pelo incidente;
d) O nível de gravidade da perturbação do funcionamento do serviço;
e) A extensão do impacto nas atividades económicas e societais.
5 - A obrigação de notificar um incidente só se aplica se o prestador de serviços digitais tiver acesso a informação necessária para avaliar o impacto de um incidente em função dos fatores a que se refere o n.º 2 do artigo anterior.
6 - Se os incidentes referidos no n.º 1 disserem respeito a dois ou mais Estados-Membros, o Centro Nacional de Cibersegurança informa os pontos de contacto únicos dos outros Estados-Membros afetados.
7 - No caso referido no número anterior, o Centro Nacional de Cibersegurança salvaguarda a segurança e os interesses do prestador de serviços digitais.
8 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar incidentes específicos de acordo com o interesse público.
9 - O presente artigo não se aplica às microempresas nem às pequenas empresas, tal como definidas pelo Decreto-Lei n.º 372/2007, de 6 de novembro, na sua redação atual.
10 - Os elementos constantes dos n.os 1 a 5 são objeto de Regulamento de Execução da Comissão Europeia. |
|
|
|
|
|
Artigo 20.º
Notificação voluntária de incidentes |
1 - Sem prejuízo da obrigação de notificação de incidentes prevista na presente lei, quaisquer entidades podem notificar, a título voluntário, os incidentes com impacto importante na continuidade dos serviços por si prestados.
2 - No tratamento das notificações voluntárias, aplica-se o disposto no artigo 17.º, com as necessárias adaptações.
3 - A notificação voluntária não pode dar origem à imposição à entidade notificante de obrigações às quais esta não teria sido sujeita se não tivesse procedido a essa notificação. |
|
|
|
|
|
CAPÍTULO IV
Fiscalização e sanções
| Artigo 21.º
Competências de fiscalização e sancionatórias |
As competências de fiscalização e de aplicação das sanções previstas na presente lei cabem ao Centro Nacional de Cibersegurança. |
|
|
|
|
|
Artigo 22.º
Contraordenações |
As infrações ao disposto na presente lei constituem contraordenações, nos termos dos artigos seguintes. |
|
|
|
|
|
Artigo 23.º
Infrações muito graves |
1 - Constituem infrações muito graves:
a) O incumprimento da obrigação de implementar requisitos de segurança tal como previsto nos artigos 14.º, 16.º e 18.º;
b) O incumprimento de instruções de cibersegurança emitidas pelo Centro Nacional de Cibersegurança tal como previsto no n.º 5 do artigo 7.º
2 - As contraordenações referidas no número anterior são punidas com coima de (euro) 5000 a (euro) 25 000, tratando-se de uma pessoa singular, e de (euro) 10 000 a (euro) 50 000, no caso de se tratar de uma pessoa coletiva. |
|
|
|
|
|
Artigo 24.º
Infrações graves |
1 - Constituem infrações graves:
a) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança dos incidentes tal como previsto nos artigos 15.º, 17.º e 19.º;
b) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança do exercício de atividade no setor das infraestruturas digitais tal como previsto no n.º 3 do artigo 29.º;
c) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança da identificação como prestador de serviços digitais tal como previsto no artigo 30.º
2 - As contraordenações referidas no número anterior são punidas com coima de (euro) 1000 a (euro) 3000, tratando-se de uma pessoa singular, e de (euro) 3000 a (euro) 9000, no caso de se tratar de uma pessoa coletiva. |
|
|
|
|
|
A negligência é punível, sendo os limites mínimos e máximos das coimas reduzidos a metade. |
|
|
|
|
|
Artigo 26.º
Instrução dos processos de contraordenação e aplicação de sanções |
Compete ao Centro Nacional de Cibersegurança instruir os processos de contraordenação e ao respetivo dirigente máximo a aplicação das coimas. |
|
|
|
|
|
Artigo 27.º
Produto das coimas |
O produto das coimas reverte em:
a) 60 /prct. para o Estado;
b) 40 /prct. para o Centro Nacional de Cibersegurança. |
|
|
|
|
|
Artigo 28.º
Regime subsidiário |
Em matéria contraordenacional, em tudo o que não estiver previsto na presente lei, aplica-se o disposto no regime geral das contraordenações. |
|
|
|
|
|
CAPÍTULO V
Disposições finais
| Artigo 29.º
Identificação de operadores de serviços essenciais |
1 - Para efeito do cumprimento da presente lei, o Centro Nacional de Cibersegurança identifica os operadores de serviços essenciais até 9 de novembro de 2018.
2 - A identificação referida no número anterior é objeto de atualização anual.
3 - As entidades do setor das infraestruturas digitais devem comunicar de imediato ao Centro Nacional de Cibersegurança o exercício da respetiva atividade. |
|
|
|
|
|
|