Os artigos 14.º, 115.º-T, 116.º-A, 116.º-H, 134.º, 138.º-AE, 138.º-AH e 138.º-AJ do Regime Geral das Instituições de Crédito e Sociedades Financeiras, aprovado pelo Decreto-Lei n.º 298/92, de 31 de dezembro, passam a ter a seguinte redação:
«Artigo 14.º
[…]
1 - […]
a) […]
b) […]
c) […]
d) […]
e) […]
f) […]
g) […]
h) […]
i) […]
j) […]
k) Dispor de sistemas de rede e informação criados e geridos em conformidade com o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
2 - […]
3 - […]
Artigo 115.º-T
[…]
1 - […]
2 - As instituições de crédito implementam planos de contingência e de continuidade de negócio, incluindo políticas e planos de continuidade das atividades no domínio das tecnologias de informação e comunicação (TIC) e planos de resposta e recuperação em matéria de TIC em relação a sistemas de TIC que apoiem todas as funções, sendo esses planos estabelecidos, geridos e testados em conformidade com o artigo 11.º do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, a fim de permitir que as instituições continuem a operar numa base contínua na eventualidade de uma perturbação grave da sua atividade de negócio e contenham as perdas incorridas em consequência dessa perturbação.
Artigo 116.º-A
[…]
1 - […]
a) […]
b) […]
c) […]
d) Os riscos revelados pelos testes de resiliência operacional digital realizados em conformidade com o capítulo iv do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
2 - […]
3 - […]
4 - […]
5 - […]
6 - […]
7 - […]
8 - […]
9 - […]
10 - […]
11 - […]
12 - […]
13 - […]
Artigo 116.º-H
[…]
1 - […]
a) […]
b) […]
c) […]
d) […]
e) […]
f) […]
g) […]
h) […]
i) […]
j) […]
k) […]
l) […]
m) […]
n) […]
o) […]
p) Mecanismos e medidas necessárias para manter o funcionamento continuado dos processos operacionais da instituição de crédito, incluindo as infraestruturas e os sistemas de rede e informação criados e geridos em conformidade com o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022;
q) […]
r) […]
s) […]
t) […]
u) […]
2 - […]
Artigo 134.º
[…]
1 - […]
2 - […]
3 - […]
4 - […]
5 - O Banco de Portugal pode, sempre que seja necessário para a supervisão em base consolidada das instituições de crédito, proceder ou mandar proceder a verificações e exames periciais nas companhias financeiras, companhias mistas ou nas companhias financeiras mistas e nas respetivas filiais, bem como nas sociedades de serviços auxiliares, incluindo terceiros prestadores de serviços de TIC referidos no capítulo v do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
6 - […]
Artigo 138.º-AE
[…]
1 - […]
2 - […]
3 - […]
4 - […]
a) […]
b) […]
c) A explicação da forma como as funções críticas e as linhas de negócio estratégicas podem ser jurídica, económica e operacionalmente separadas, na medida do necessário, de outras funções, para assegurar a sua continuidade, e a resiliência operacional digital, em caso de insolvência da instituição de crédito;
d) […]
e) […]
f) […]
g) […]
h) […]
i) […]
j) […]
k) […]
l) […]
m) […]
n) […]
o) […]
p) […]
q) […]
r) A descrição das operações e dos sistemas essenciais para manter os processos operacionais da instituição de crédito em funcionamento contínuo, incluindo os sistemas de rede e informação a que se refere o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022;
s) […]
5 - […]
6 - […]
7 - […]
8 - […]
9 - […]
10 - […]
11 - […]
12 - […]
Artigo 138.º-AH
[…]
1 - […]
a) […]
b) […]
c) […]
d) […]
e) […]
f) […]
g) […]
h) […]
i) […]
j) […]
k) […]
l) […]
m) […]
n) […]
o) […]
p) […]
q) Identificação dos proprietários dos sistemas identificados na alínea anterior, acordos de nível de serviço associados e programas, sistemas ou licenças informáticas, incluindo uma discriminação das respetivas entidades jurídicas, das funções críticas e linhas de negócio estratégicas, bem como uma identificação dos terceiros prestadores de serviços de TIC críticos, tal como definido no artigo 3.º, ponto 23, do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022;
r) […]
s) […]
t) […]
u) Resultados dos testes de resiliência operacional digital das instituições realizados ao abrigo do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
2 - […]
3 - […]
4 - […]
5 - […]
Artigo 138.º-AJ
[…]
1 - […]
2 - […]
a) […]
b) […]
c) […]
d) […]
e) A possibilidade de assegurar que, em caso de resolução, mantém-se a validade, solidez e eficácia dos contratos de prestação de serviços, incluindo acordos contratuais relativos à utilização de serviços de TIC, celebrados pela instituição ou pelo grupo;
f) […]
g) […]
h) […]
i) […]
j) […]
k) […]
l) […]
m) […]
n) […]
o) […]
p) […]
q) […]
r) […]
s) […]
t) […]
u) […]
v) […]
w) […]
x) […]
y) […]
z) […]
aa) […]
bb) […]
cc) […]
dd) A resiliência operacional digital dos sistemas de rede e informação que apoiam as funções críticas e as linhas de negócio estratégicas da instituição de crédito ou do grupo, tendo em conta a notificação de incidentes de caráter severo relacionados com as TIC e os resultados dos testes de resiliência operacional digital realizados ao abrigo do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
3 - […]
4 - […]»

  Redacção dada pelo seguinte diploma:  Lei n.º 73/2025, de 23 de Dezembro