|
Lei n.º 46/2018, de 13 de Agosto REGIME JURÍDICO DA SEGURANÇA DO CIBERESPAÇO(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União _____________________ |
|
Artigo 20.º
Notificação voluntária de incidentes |
1 - Sem prejuízo da obrigação de notificação de incidentes prevista na presente lei, quaisquer entidades podem notificar, a título voluntário, os incidentes com impacto importante na continuidade dos serviços por si prestados.
2 - No tratamento das notificações voluntárias, aplica-se o disposto no artigo 17.º, com as necessárias adaptações.
3 - A notificação voluntária não pode dar origem à imposição à entidade notificante de obrigações às quais esta não teria sido sujeita se não tivesse procedido a essa notificação. |
| |
|
|
|
|
CAPÍTULO IV
Fiscalização e sanções
| Artigo 21.º
Competências de fiscalização e sancionatórias |
| As competências de fiscalização e de aplicação das sanções previstas na presente lei cabem ao Centro Nacional de Cibersegurança. |
| |
|
|
|
|
Artigo 22.º
Contraordenações |
| As infrações ao disposto na presente lei constituem contraordenações, nos termos dos artigos seguintes. |
| |
|
|
|
|
Artigo 23.º
Infrações muito graves |
1 - Constituem infrações muito graves:
a) O incumprimento da obrigação de implementar requisitos de segurança tal como previsto nos artigos 14.º, 16.º e 18.º;
b) O incumprimento de instruções de cibersegurança emitidas pelo Centro Nacional de Cibersegurança tal como previsto no n.º 5 do artigo 7.º
2 - As contraordenações referidas no número anterior são punidas com coima de (euro) 5000 a (euro) 25 000, tratando-se de uma pessoa singular, e de (euro) 10 000 a (euro) 50 000, no caso de se tratar de uma pessoa coletiva. |
| |
|
|
|
|
Artigo 24.º
Infrações graves |
1 - Constituem infrações graves:
a) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança dos incidentes tal como previsto nos artigos 15.º, 17.º e 19.º;
b) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança do exercício de atividade no setor das infraestruturas digitais tal como previsto no n.º 3 do artigo 29.º;
c) O incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança da identificação como prestador de serviços digitais tal como previsto no artigo 30.º
2 - As contraordenações referidas no número anterior são punidas com coima de (euro) 1000 a (euro) 3000, tratando-se de uma pessoa singular, e de (euro) 3000 a (euro) 9000, no caso de se tratar de uma pessoa coletiva. |
| |
|
|
|
|
| A negligência é punível, sendo os limites mínimos e máximos das coimas reduzidos a metade. |
| |
|
|
|
|
Artigo 26.º
Instrução dos processos de contraordenação e aplicação de sanções |
| Compete ao Centro Nacional de Cibersegurança instruir os processos de contraordenação e ao respetivo dirigente máximo a aplicação das coimas. |
| |
|
|
|
|
Artigo 27.º
Produto das coimas |
O produto das coimas reverte em:
a) 60 /prct. para o Estado;
b) 40 /prct. para o Centro Nacional de Cibersegurança. |
| |
|
|
|
|
Artigo 28.º
Regime subsidiário |
| Em matéria contraordenacional, em tudo o que não estiver previsto na presente lei, aplica-se o disposto no regime geral das contraordenações. |
| |
|
|
|
|
CAPÍTULO V
Disposições finais
| Artigo 29.º
Identificação de operadores de serviços essenciais |
1 - Para efeito do cumprimento da presente lei, o Centro Nacional de Cibersegurança identifica os operadores de serviços essenciais até 9 de novembro de 2018.
2 - A identificação referida no número anterior é objeto de atualização anual.
3 - As entidades do setor das infraestruturas digitais devem comunicar de imediato ao Centro Nacional de Cibersegurança o exercício da respetiva atividade. |
| |
|
|
|
|
Artigo 30.º
Identificação de prestadores de serviços digitais |
1 - Os prestadores de serviços digitais devem comunicar de imediato ao Centro Nacional de Cibersegurança o exercício da respetiva atividade.
2 - O dever de notificação referido no número anterior não é aplicável às micro nem às pequenas empresas, tal como definidas pelo Decreto-Lei n.º 372/2007, de 6 de novembro, na sua redação atual. |
| |
|
|
|
|
|