|
Lei n.º 16/2022, de 16 de Agosto LEI DAS COMUNICAÇÕES ELETRÓNICAS(versão actualizada) |
|
|
Contém as seguintes alterações: |
Ver versões do diploma:
|
|
|
|
|
| SUMÁRIO Aprova a Lei das Comunicações Eletrónicas, transpondo as Diretivas 98/84/CE, 2002/77/CE e (UE) 2018/1972, alterando as Leis n.os 41/2004, de 18 de agosto, e 99/2009, de 4 de setembro, e os Decretos-Leis n.os 151-A/2000, de 20 de julho, e 24/2014, de 14 de fevereiro, e revogando a Lei n.º 5/2004, de 10 de fevereiro, e a Portaria n.º 791/98, de 22 de setembro _____________________ |
|
SECÇÃO II
Atribuição e utilização de recursos de numeração
| Artigo 54.º
Atribuição de direitos de utilização de recursos de numeração |
1 - A utilização de recursos de numeração depende da atribuição, pela ARN, de direitos de utilização.
2 - A atribuição de direitos de utilização de recursos de numeração está dependente de pedido à ARN, nos termos a definir por esta autoridade.
3 - Nos casos em que, após o procedimento de consulta pública previsto no artigo 10.º, a ARN decidir atribuir direitos de utilização de recursos de numeração de valor económico excecional através de procedimento de seleção, por concurso ou por comparação, os candidatos devem cumprir os requisitos fixados pela ARN no respetivo regulamento.
4 - Os direitos de utilização de recursos de numeração são atribuídos através de procedimentos abertos, objetivos, transparentes, proporcionais e não discriminatórios.
5 - Os direitos de utilização de recursos de numeração podem ser transmitidos nos termos e condições a definir pela ARN, os quais devem prever mecanismos destinados a salvaguardar, nomeadamente, a utilização efetiva e eficiente dos recursos de numeração e os direitos dos utilizadores.
6 - Os direitos de utilização de recursos de numeração podem, em situações devidamente fundamentadas, ser atribuídos por um período limitado, determinado em função do serviço em causa, do objetivo a prosseguir e da necessidade de permitir um período adequado para a amortização do investimento.
7 - A decisão sobre a atribuição de direitos de utilização de recursos de numeração deve ser proferida o mais rapidamente possível após a receção do pedido completo.
8 - Sem prejuízo do disposto no número anterior, a decisão sobre a atribuição de direitos de utilização deve ser proferida no prazo de:
a) 15 dias úteis, no caso de recursos de numeração atribuídos para fins específicos no âmbito do PNN;
b) 30 dias úteis, no caso de recursos de numeração de valor económico excecional atribuídos através de procedimentos de seleção, por concurso ou por comparação.
9 - A ARN só pode limitar o número de direitos de utilização de recursos de numeração quando tal for necessário para garantir a sua utilização eficiente.
10 - O presente artigo é aplicável à atribuição de direitos de utilização de recursos de numeração às empresas que não oferecem redes ou serviços de comunicações eletrónicas, prevista no artigo 57.º |
| |
|
|
|
|
Artigo 55.º
Utilização extraterritorial de recursos de numeração |
1 - A ARN assegura a disponibilização de uma gama de números não geográficos para a oferta de serviços de comunicações eletrónicas, com exceção dos serviços de comunicações interpessoais, pelo menos no território da União Europeia, sem prejuízo do disposto no Regulamento (UE) 2022/612 do Parlamento Europeu e do Conselho, de 6 de abril de 2022, e no n.º 5 do artigo 53.º
2 - Quando atribua direitos de utilização de recursos de numeração que incluam a utilização extraterritorial na União Europeia, a ARN associa-lhes condições específicas para garantir o cumprimento das regras relevantes em matéria de defesa do consumidor, bem como de utilização de recursos de numeração aplicáveis nos Estados-Membros nos quais os recursos de numeração são utilizados.
3 - Para efeitos do disposto no número anterior, a ARN assegura que as condições associadas aos direitos de utilização dos recursos de numeração que incluem a utilização extraterritorial, bem como a sua aplicação, são tão rigorosas quanto as que são aplicadas aos direitos de utilização de recursos de numeração que não incluem essa possibilidade.
4 - A pedido de uma ARN ou de outra autoridade competente pela gestão dos recursos de numeração de um Estado-Membro no qual os recursos de numeração são utilizados, que demonstre o incumprimento das regras aplicáveis em matéria de defesa do consumidor ou de utilização dos recursos de numeração desse Estado-Membro, a ARN deve aplicar as condições referidas no n.º 2 em conformidade com o disposto no artigo 181.º
5 - A ARN pode, em caso de incumprimento grave, revogar o direito de utilização extraterritorial associado aos recursos de numeração atribuídos.
6 - O disposto no presente artigo é aplicável à oferta de serviços específicos para a qual tenham sido atribuídos direitos de utilização de recursos de numeração a empresas que não oferecem redes ou serviços de comunicações eletrónicas, nos termos do artigo 57.º |
| |
|
|
|
|
Artigo 56.º
Condições associadas aos direitos de utilização de recursos de numeração |
Sem prejuízo de outras obrigações que resultem da lei e das condições gerais previstas no artigo 27.º, os direitos de utilização de recursos de numeração apenas podem estar sujeitos às seguintes condições:
a) Designação do serviço para o qual o número deve ser utilizado e requisitos associados à oferta desse serviço, incluindo princípios de fixação de preços e preços máximos aplicáveis, para garantir a proteção dos consumidores nos termos da alínea d) do n.º 1 do artigo 5.º;
b) Utilização efetiva e eficiente dos recursos de numeração, em conformidade com o disposto na presente lei;
c) Exigências relativas à portabilidade dos números, em conformidade com o disposto no artigo 141.º;
d) Obrigação de prestar aos utilizadores finais informações sobre a oferta de serviços de informações de listas e de listas acessíveis ao público, para efeitos do disposto no artigo 145.º;
e) Duração máxima em conformidade com o disposto no n.º 6 do artigo 54.º, sem prejuízo de quaisquer alterações introduzidas no PNN;
f) Transmissão dos direitos de utilização, por iniciativa do respetivo titular, e condições aplicáveis, em conformidade com o disposto na presente lei, incluindo as condições associadas aos direitos de utilização vinculativas para as empresas transmissárias;
g) Pagamento de taxas, em conformidade com o disposto no artigo 168.º;
h) Compromissos que o titular dos direitos de utilização tenha assumido no decurso de um procedimento de seleção por concorrência ou por comparação;
i) Obrigações decorrentes dos acordos internacionais aplicáveis em matéria de utilização de recursos de numeração;
j) Obrigações relativas à utilização extraterritorial de números na União Europeia, para garantir o cumprimento das regras de proteção dos consumidores e de outras regras aplicáveis a números nos Estados-Membros que não o Estado-Membro que atribuiu o direito de utilização dos recursos de numeração. |
| |
|
|
|
|
Artigo 57.º
Atribuição de recursos de numeração a empresas que não oferecem redes ou serviços de comunicações electrónicas |
1 - A ARN pode atribuir direitos de utilização de recursos de numeração para a prestação de serviços específicos a empresas que não oferecem redes ou serviços de comunicações eletrónicas, desde que:
a) Existam recursos de numeração adequados para satisfazer a procura atual e a procura futura previsível; e
b) As empresas demonstrem capacidade para gerir os recursos de numeração e cumprir as obrigações estabelecidas em conformidade com o artigo 56.º
2 - A ARN pode suspender a atribuição de direitos de utilização de recursos de numeração referidos no número anterior quando se verifique um risco de exaustão dos recursos de numeração. |
| |
|
|
|
|
CAPÍTULO IV
Segurança e emergência
SECÇÃO I
Segurança e emergência
| Artigo 58.º
Segurança e emergência |
1 - Compete ao Estado assegurar, nos termos da lei, a adequada coordenação das redes e serviços de comunicações eletrónicas em caso de crise ou guerra, de acidente grave ou catástrofe, situação de emergência e de grave ameaça à segurança interna.
2 - Compete à ARN, nos termos da lei, em articulação com as demais autoridades competentes, designadamente a Autoridade Nacional de Emergência e Proteção Civil:
a) Contribuir para a definição e permanente atualização das políticas de planeamento civil de emergência no setor das comunicações;
b) Cooperar no âmbito da prevenção e gestão de riscos e do planeamento de emergência de proteção civil;
c) Cooperar no âmbito da atividade de segurança interna;
d) Cooperar no âmbito da atividade de segurança do ciberespaço.
3 - As empresas que oferecem redes e serviços de comunicações eletrónicas têm um dever especial de cooperação com a ARN para a prossecução das atribuições previstas no número anterior. |
| |
|
|
|
|
SECÇÃO II
Segurança das redes e serviços
| Artigo 59.º
Segurança das redes e serviços |
1 - As empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público devem adotar as medidas técnicas e organizacionais proporcionais para gerir adequadamente os riscos para a segurança das redes e serviços, incluindo a cifragem, se adequada, visando, em especial, impedir ou minimizar o impacto dos incidentes de segurança nos utilizadores e nas outras redes e serviços.
2 - As medidas previstas no número anterior devem assegurar um nível de segurança adequado ao risco existente tendo em conta o estado da técnica e atendendo à informação relevante emitida pelas entidades competentes nacionais, da União Europeia ou internacionais e às avaliações nacionais ou europeias de risco para a segurança das redes e serviços.
3 - As medidas previstas no n.º 1 devem ter em conta, no mínimo, todos os aspetos relevantes dos seguintes elementos:
a) Em matéria de segurança das redes e dos recursos, a segurança física e ambiental, a segurança do fornecimento, o controlo do acesso às redes e a integridade das redes;
b) Em matéria de gestão de incidentes de segurança, os procedimentos de gestão, a capacidade de deteção de incidentes de segurança, os relatórios e as notificações, as divulgações ao público e quaisquer outras comunicações relativas a incidentes de segurança;
c) Em matéria de gestão da continuidade operacional, a estratégia para a continuidade do serviço e os planos de contingência, bem como as capacidades de recuperação em caso de desastres;
d) Em matéria de monitorização, auditorias e testes, as políticas de monitorização e de registo, os exercícios relativos aos planos de contingência, os testes da rede e dos serviços, as avaliações de segurança e a monitorização da conformidade, tendo por base as normas, especificações ou recomendações nacionais, europeias e internacionais existentes sobre a matéria.
4 - O disposto no presente artigo não prejudica o disposto na legislação relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas. |
| |
|
|
|
|
Artigo 60.º
Incidentes de segurança |
1 - As empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público devem:
a) Notificar a ARN e o Centro Nacional de Cibersegurança (CNCS), sem demora injustificada, de qualquer incidente de segurança com impacto significativo no funcionamento das redes ou serviços;
b) Informar o público, pelos meios mais adequados, dos incidentes de segurança, quando tal seja considerado pela ARN como de interesse público.
2 - As empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público, em caso de ameaça específica e significativa de incidente de segurança nessas redes ou serviços, devem informar gratuitamente os seus utilizadores potencialmente afetados pela ameaça de qualquer possível medida de prevenção ou de resposta que os utilizadores possam adotar e, se adequado, da própria ameaça.
3 - Compete à ARN:
a) Informar as autoridades competentes dos demais Estados-Membros e a Agência da União Europeia para a Cibersegurança (ENISA) dos incidentes de segurança, sempre que entenda adequado;
b) Informar o público, pelos meios mais adequados, dos incidentes de segurança, quando tal seja considerado pela ARN como de interesse público;
c) Apresentar, anualmente, à Comissão Europeia e à ENISA um relatório resumido sobre as notificações de incidentes de segurança, efetuadas nos termos da alínea a) do n.º 1, bem como das medidas tomadas.
4 - Sempre que adequado, a ARN pode informar as autoridades competentes nacionais dos incidentes de segurança relevantes no âmbito das respetivas atribuições, incluindo as autoridades judiciárias e policiais e a Comissão Nacional de Proteção de Dados (CNPD).
5 - O presente artigo não prejudica o disposto na legislação relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas. |
| |
|
|
|
|
Artigo 61.º
Medidas de execução |
1 - Para efeitos do disposto no artigo 59.º, a ARN pode aprovar e impor medidas técnicas de execução às empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público.
2 - Para efeitos do disposto na alínea a) do n.º 1 do artigo 60.º, compete à ARN aprovar as medidas que definam as circunstâncias, o formato e os procedimentos aplicáveis às obrigações de notificação de incidentes de segurança.
3 - Na definição das circunstâncias em que um incidente de segurança assume um impacto significativo, a ARN tem em conta, em especial, os seguintes parâmetros, se disponíveis:
a) O número de utilizadores afetados pelo incidente de segurança;
b) A duração do incidente de segurança;
c) A distribuição geográfica e a dimensão da área ou das áreas afetadas pelo incidente de segurança;
d) A medida em que o funcionamento da rede ou do serviço é afetado;
e) A dimensão do impacto nas atividades económicas e sociais, incluindo no acesso aos serviços de emergência.
4 - As medidas de execução previstas nos n.os 1 e 2 devem ser conformes com os atos de execução da Comissão Europeia adotados ao abrigo do procedimento previsto no n.º 5 do artigo 40.º do CECE e, na sua ausência, devem basear-se nas normas europeias e internacionais existentes sobre a matéria, bem como ter em consideração os documentos técnicos publicados pela ENISA na prossecução das suas atribuições ao abrigo do disposto no CECE.
5 - A aprovação das medidas de execução previstas nos n.os 1 e 2 é objeto de parecer prévio vinculativo do CNCS, enquanto autoridade nacional de cibersegurança e no âmbito das suas competências previstas no artigo 7.º da Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço.
6 - A adoção das medidas de execução referidas nos n.os 1 e 2 está sujeita ao procedimento de consulta pública previsto no artigo 10.º |
| |
|
|
|
|
Artigo 62.º
Requisitos adicionais |
1 - Para além das medidas técnicas de execução previstas no artigo 61.º, a ARN, para efeitos do disposto no artigo 59.º, pode fixar às empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público requisitos adicionais mais exigentes, nomeadamente determinando o seguinte:
a) A indicação de um ponto de contacto permanente, para efeitos do disposto no presente capítulo;
b) A elaboração de um plano atualizado que contemple todas as medidas técnicas e organizacionais adotadas;
c) A realização de exercícios de avaliação e melhoria das medidas técnicas e organizacionais adotadas, bem como a participação em exercícios conjuntos;
d) A elaboração e apresentação à ARN de relatório anual nos termos a fixar, incluindo, nomeadamente, a experiência recolhida com incidentes de segurança.
2 - Em função da informação relevante emitida pelas entidades competentes nacionais e da União Europeia e as avaliações nacionais ou europeias de risco para a segurança das redes e serviços referidos no número anterior, a ARN determina os seguintes requisitos adicionais:
a) A obrigação de utilização de produtos, serviços e processos certificados no âmbito de sistemas de certificação da cibersegurança, nomeadamente ao abrigo do disposto no Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA, e à certificação da cibersegurança das tecnologias de informação e comunicação;
b) O cumprimento de condições específicas para a virtualização de funções de rede no âmbito da operação e da segurança das redes e serviços;
c) O cumprimento de condições específicas para a subcontratação de funções no âmbito da operação e da segurança das redes e serviços ou a sua proibição;
d) A adoção de uma estratégia de diversificação de fornecedores no âmbito da operação e da segurança das redes e serviços;
e) A localização do centro de operação da rede e do centro de operação de segurança no território nacional ou no território de um Estado-Membro.
3 - A utilização de equipamentos em quaisquer redes de comunicações eletrónicas pode ser sujeita a uma avaliação de segurança, a realizar por iniciativa de qualquer membro da comissão referida no número seguinte, justificada e fundamentada em critérios objetivos de segurança, com base em informação relevante emitida pelas entidades competentes nacionais e da União Europeia ou constante das avaliações nacionais ou europeias de risco para a segurança das redes.
4 - A avaliação de segurança é realizada por uma Comissão de Avaliação de Segurança (Comissão) constituída no âmbito do Conselho Superior de Segurança do Ciberespaço, com a seguinte composição:
a) A Autoridade Nacional de Segurança, que preside;
b) Um representante da Autoridade Nacional de Cibersegurança;
c) Um representante da ARN;
d) Um representante do Sistema de Segurança Interna;
e) Um representante do Sistema de Informações da República Portuguesa;
f) O Embaixador para a Ciberdiplomacia;
g) Um representante da Direção-Geral de Política Externa;
h) Um representante da Direção-Geral da Política de Defesa.
5 - Em resultado da avaliação de segurança, a Comissão pode determinar a exclusão, a aplicação de restrições à utilização ou a cessação de utilização de equipamentos ou serviços, devendo estabelecer, sempre que adequado, um prazo razoável para o respetivo cumprimento.
6 - No exercício das suas competências, a ARN deve fazer cumprir as determinações referidas no número anterior, procedendo, ainda, à fiscalização do seu cumprimento, nos termos do artigo 177.º
7 - A Comissão pode solicitar às entidades envolvidas a prestação de qualquer informação necessária ao desenvolvimento da atividade prevista nos n.os 3 a 5, bem como realizar inspeções sempre que a avaliação de segurança seja realizada a propósito da instalação de uma determinada rede comunicações eletrónicas.
8 - A Comissão deve aprovar um regulamento interno que estabeleça as regras de organização e funcionamento. |
| |
|
|
|
|
Artigo 63.º
Auditorias, inspeções e prestação de informações |
1 - Compete à ARN determinar às empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público a realização, por entidade independente qualificada e a expensas suas, de auditoria à segurança das suas redes e serviços, bem como o envio à ARN de relatório com os resultados da mesma.
2 - Para efeitos do disposto no número anterior:
a) Compete à ARN estabelecer os requisitos a que devem obedecer as auditorias previstas no número anterior, nomeadamente quanto ao seu âmbito, periodicidade, procedimentos e normas de referência, bem como quanto aos requisitos aplicáveis às entidades auditoras;
b) As empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público devem:
i) Submeter previamente à ARN a aprovação da entidade auditora;
ii) Enviar à ARN, em prazo razoável, o plano de correção das não conformidades constantes do relatório de auditoria.
3 - Pode ainda a ARN, ou outra entidade independente por si designada, efetuar inspeção ou auditoria de segurança às redes e aos serviços, nomeadamente em caso de incidente de segurança.
4 - Tendo em vista avaliar a segurança das redes e serviços, compete à ARN, nos termos dos artigos 170.º e 171.º, exigir às empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público a prestação de todas as informações necessárias, incluindo documentação referente a políticas de segurança. |
| |
|
|
|
|
Artigo 64.º
Instruções vinculativas e investigação |
1 - Para efeitos do disposto nos artigos 59.º e 60.º e no âmbito das medidas técnicas de execução e dos requisitos adicionais adotados, a ARN pode emitir instruções vinculativas às empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público, incluindo a determinação das medidas necessárias para pôr fim a um incidente de segurança ou para evitar a ocorrência de um incidente de segurança, se tiver sido identificada uma ameaça significativa, e a fixação de prazos de execução.
2 - Compete à ARN investigar casos de incumprimento das disposições e obrigações constantes do presente capítulo e os seus efeitos sobre a segurança das redes e serviços. |
| |
|
|
|
|
Ver
índice sistemático do diploma
Imprimir todo o diploma
Contactos