|
Lei n.º 16/2022, de 16 de Agosto LEI DAS COMUNICAÇÕES ELETRÓNICAS(versão actualizada) |
|
|
Contém as seguintes alterações: |
Ver versões do diploma:
|
|
|
|
|
| SUMÁRIO Aprova a Lei das Comunicações Eletrónicas, transpondo as Diretivas 98/84/CE, 2002/77/CE e (UE) 2018/1972, alterando as Leis n.os 41/2004, de 18 de agosto, e 99/2009, de 4 de setembro, e os Decretos-Leis n.os 151-A/2000, de 20 de julho, e 24/2014, de 14 de fevereiro, e revogando a Lei n.º 5/2004, de 10 de fevereiro, e a Portaria n.º 791/98, de 22 de setembro _____________________ |
|
SECÇÃO II
Segurança das redes e serviços
| Artigo 59.º
Segurança das redes e serviços |
1 - As empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público devem adotar as medidas técnicas e organizacionais proporcionais para gerir adequadamente os riscos para a segurança das redes e serviços, incluindo a cifragem, se adequada, visando, em especial, impedir ou minimizar o impacto dos incidentes de segurança nos utilizadores e nas outras redes e serviços.
2 - As medidas previstas no número anterior devem assegurar um nível de segurança adequado ao risco existente tendo em conta o estado da técnica e atendendo à informação relevante emitida pelas entidades competentes nacionais, da União Europeia ou internacionais e às avaliações nacionais ou europeias de risco para a segurança das redes e serviços.
3 - As medidas previstas no n.º 1 devem ter em conta, no mínimo, todos os aspetos relevantes dos seguintes elementos:
a) Em matéria de segurança das redes e dos recursos, a segurança física e ambiental, a segurança do fornecimento, o controlo do acesso às redes e a integridade das redes;
b) Em matéria de gestão de incidentes de segurança, os procedimentos de gestão, a capacidade de deteção de incidentes de segurança, os relatórios e as notificações, as divulgações ao público e quaisquer outras comunicações relativas a incidentes de segurança;
c) Em matéria de gestão da continuidade operacional, a estratégia para a continuidade do serviço e os planos de contingência, bem como as capacidades de recuperação em caso de desastres;
d) Em matéria de monitorização, auditorias e testes, as políticas de monitorização e de registo, os exercícios relativos aos planos de contingência, os testes da rede e dos serviços, as avaliações de segurança e a monitorização da conformidade, tendo por base as normas, especificações ou recomendações nacionais, europeias e internacionais existentes sobre a matéria.
4 - O disposto no presente artigo não prejudica o disposto na legislação relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas. |
| |
|
|
|
|
Artigo 60.º
Incidentes de segurança |
1 - As empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público devem:
a) Notificar a ARN e o Centro Nacional de Cibersegurança (CNCS), sem demora injustificada, de qualquer incidente de segurança com impacto significativo no funcionamento das redes ou serviços;
b) Informar o público, pelos meios mais adequados, dos incidentes de segurança, quando tal seja considerado pela ARN como de interesse público.
2 - As empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público, em caso de ameaça específica e significativa de incidente de segurança nessas redes ou serviços, devem informar gratuitamente os seus utilizadores potencialmente afetados pela ameaça de qualquer possível medida de prevenção ou de resposta que os utilizadores possam adotar e, se adequado, da própria ameaça.
3 - Compete à ARN:
a) Informar as autoridades competentes dos demais Estados-Membros e a Agência da União Europeia para a Cibersegurança (ENISA) dos incidentes de segurança, sempre que entenda adequado;
b) Informar o público, pelos meios mais adequados, dos incidentes de segurança, quando tal seja considerado pela ARN como de interesse público;
c) Apresentar, anualmente, à Comissão Europeia e à ENISA um relatório resumido sobre as notificações de incidentes de segurança, efetuadas nos termos da alínea a) do n.º 1, bem como das medidas tomadas.
4 - Sempre que adequado, a ARN pode informar as autoridades competentes nacionais dos incidentes de segurança relevantes no âmbito das respetivas atribuições, incluindo as autoridades judiciárias e policiais e a Comissão Nacional de Proteção de Dados (CNPD).
5 - O presente artigo não prejudica o disposto na legislação relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas. |
| |
|
|
|
|
Artigo 61.º
Medidas de execução |
1 - Para efeitos do disposto no artigo 59.º, a ARN pode aprovar e impor medidas técnicas de execução às empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público.
2 - Para efeitos do disposto na alínea a) do n.º 1 do artigo 60.º, compete à ARN aprovar as medidas que definam as circunstâncias, o formato e os procedimentos aplicáveis às obrigações de notificação de incidentes de segurança.
3 - Na definição das circunstâncias em que um incidente de segurança assume um impacto significativo, a ARN tem em conta, em especial, os seguintes parâmetros, se disponíveis:
a) O número de utilizadores afetados pelo incidente de segurança;
b) A duração do incidente de segurança;
c) A distribuição geográfica e a dimensão da área ou das áreas afetadas pelo incidente de segurança;
d) A medida em que o funcionamento da rede ou do serviço é afetado;
e) A dimensão do impacto nas atividades económicas e sociais, incluindo no acesso aos serviços de emergência.
4 - As medidas de execução previstas nos n.os 1 e 2 devem ser conformes com os atos de execução da Comissão Europeia adotados ao abrigo do procedimento previsto no n.º 5 do artigo 40.º do CECE e, na sua ausência, devem basear-se nas normas europeias e internacionais existentes sobre a matéria, bem como ter em consideração os documentos técnicos publicados pela ENISA na prossecução das suas atribuições ao abrigo do disposto no CECE.
5 - A aprovação das medidas de execução previstas nos n.os 1 e 2 é objeto de parecer prévio vinculativo do CNCS, enquanto autoridade nacional de cibersegurança e no âmbito das suas competências previstas no artigo 7.º da Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço.
6 - A adoção das medidas de execução referidas nos n.os 1 e 2 está sujeita ao procedimento de consulta pública previsto no artigo 10.º |
| |
|
|
|
|
Artigo 62.º
Requisitos adicionais |
1 - Para além das medidas técnicas de execução previstas no artigo 61.º, a ARN, para efeitos do disposto no artigo 59.º, pode fixar às empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público requisitos adicionais mais exigentes, nomeadamente determinando o seguinte:
a) A indicação de um ponto de contacto permanente, para efeitos do disposto no presente capítulo;
b) A elaboração de um plano atualizado que contemple todas as medidas técnicas e organizacionais adotadas;
c) A realização de exercícios de avaliação e melhoria das medidas técnicas e organizacionais adotadas, bem como a participação em exercícios conjuntos;
d) A elaboração e apresentação à ARN de relatório anual nos termos a fixar, incluindo, nomeadamente, a experiência recolhida com incidentes de segurança.
2 - Em função da informação relevante emitida pelas entidades competentes nacionais e da União Europeia e as avaliações nacionais ou europeias de risco para a segurança das redes e serviços referidos no número anterior, a ARN determina os seguintes requisitos adicionais:
a) A obrigação de utilização de produtos, serviços e processos certificados no âmbito de sistemas de certificação da cibersegurança, nomeadamente ao abrigo do disposto no Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA, e à certificação da cibersegurança das tecnologias de informação e comunicação;
b) O cumprimento de condições específicas para a virtualização de funções de rede no âmbito da operação e da segurança das redes e serviços;
c) O cumprimento de condições específicas para a subcontratação de funções no âmbito da operação e da segurança das redes e serviços ou a sua proibição;
d) A adoção de uma estratégia de diversificação de fornecedores no âmbito da operação e da segurança das redes e serviços;
e) A localização do centro de operação da rede e do centro de operação de segurança no território nacional ou no território de um Estado-Membro.
3 - A utilização de equipamentos em quaisquer redes de comunicações eletrónicas pode ser sujeita a uma avaliação de segurança, a realizar por iniciativa de qualquer membro da comissão referida no número seguinte, justificada e fundamentada em critérios objetivos de segurança, com base em informação relevante emitida pelas entidades competentes nacionais e da União Europeia ou constante das avaliações nacionais ou europeias de risco para a segurança das redes.
4 - A avaliação de segurança é realizada por uma Comissão de Avaliação de Segurança (Comissão) constituída no âmbito do Conselho Superior de Segurança do Ciberespaço, com a seguinte composição:
a) A Autoridade Nacional de Segurança, que preside;
b) Um representante da Autoridade Nacional de Cibersegurança;
c) Um representante da ARN;
d) Um representante do Sistema de Segurança Interna;
e) Um representante do Sistema de Informações da República Portuguesa;
f) O Embaixador para a Ciberdiplomacia;
g) Um representante da Direção-Geral de Política Externa;
h) Um representante da Direção-Geral da Política de Defesa.
5 - Em resultado da avaliação de segurança, a Comissão pode determinar a exclusão, a aplicação de restrições à utilização ou a cessação de utilização de equipamentos ou serviços, devendo estabelecer, sempre que adequado, um prazo razoável para o respetivo cumprimento.
6 - No exercício das suas competências, a ARN deve fazer cumprir as determinações referidas no número anterior, procedendo, ainda, à fiscalização do seu cumprimento, nos termos do artigo 177.º
7 - A Comissão pode solicitar às entidades envolvidas a prestação de qualquer informação necessária ao desenvolvimento da atividade prevista nos n.os 3 a 5, bem como realizar inspeções sempre que a avaliação de segurança seja realizada a propósito da instalação de uma determinada rede comunicações eletrónicas.
8 - A Comissão deve aprovar um regulamento interno que estabeleça as regras de organização e funcionamento. |
| |
|
|
|
|
Artigo 63.º
Auditorias, inspeções e prestação de informações |
1 - Compete à ARN determinar às empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público a realização, por entidade independente qualificada e a expensas suas, de auditoria à segurança das suas redes e serviços, bem como o envio à ARN de relatório com os resultados da mesma.
2 - Para efeitos do disposto no número anterior:
a) Compete à ARN estabelecer os requisitos a que devem obedecer as auditorias previstas no número anterior, nomeadamente quanto ao seu âmbito, periodicidade, procedimentos e normas de referência, bem como quanto aos requisitos aplicáveis às entidades auditoras;
b) As empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público devem:
i) Submeter previamente à ARN a aprovação da entidade auditora;
ii) Enviar à ARN, em prazo razoável, o plano de correção das não conformidades constantes do relatório de auditoria.
3 - Pode ainda a ARN, ou outra entidade independente por si designada, efetuar inspeção ou auditoria de segurança às redes e aos serviços, nomeadamente em caso de incidente de segurança.
4 - Tendo em vista avaliar a segurança das redes e serviços, compete à ARN, nos termos dos artigos 170.º e 171.º, exigir às empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público a prestação de todas as informações necessárias, incluindo documentação referente a políticas de segurança. |
| |
|
|
|
|
Artigo 64.º
Instruções vinculativas e investigação |
1 - Para efeitos do disposto nos artigos 59.º e 60.º e no âmbito das medidas técnicas de execução e dos requisitos adicionais adotados, a ARN pode emitir instruções vinculativas às empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público, incluindo a determinação das medidas necessárias para pôr fim a um incidente de segurança ou para evitar a ocorrência de um incidente de segurança, se tiver sido identificada uma ameaça significativa, e a fixação de prazos de execução.
2 - Compete à ARN investigar casos de incumprimento das disposições e obrigações constantes do presente capítulo e os seus efeitos sobre a segurança das redes e serviços. |
| |
|
|
|
|
Artigo 65.º
Assistência e cooperação |
1 - Para efeitos do disposto no presente capítulo, a ARN e as empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público dispõem da assistência da Equipa de Resposta a Incidentes de Segurança Informática Nacional, no âmbito das suas competências previstas no artigo 9.º da Lei n.º 46/2018, de 13 de agosto.
2 - A ARN, se adequado e de acordo com a legislação aplicável, consulta e coopera com as autoridades judiciárias e policiais, com o CNCS, com a CNPD e com as demais autoridades competentes. |
| |
|
|
|
|
SECÇÃO III
Disponibilidade dos serviços
| Artigo 66.º
Disponibilidade dos serviços |
1 - As empresas que oferecem serviços de comunicações de voz ou um serviço de acesso à Internet através de redes públicas de comunicações eletrónicas devem assegurar a máxima disponibilidade possível dos serviços em situações de rutura da rede, de emergência ou de força maior.
2 - As empresas que oferecem serviços de comunicações de voz devem adotar todas as medidas necessárias para assegurar o acesso ininterrupto aos serviços de emergência e a transmissão ininterrupta de avisos à população. |
| |
|
|
|
|
SECÇÃO IV
Comunicações de emergência
| Artigo 67.º
Comunicações de emergência e número único europeu de emergência |
1 - Constitui direito dos utilizadores finais de serviços de comunicações interpessoais com base em números acessíveis ao público que permitam efetuar chamadas para um número incluído num plano nacional ou internacional de numeração, incluindo os utilizadores de postos públicos, aceder aos serviços de emergência através de comunicações de emergência, gratuitamente e sem ter de recorrer a qualquer meio de pagamento, utilizando o número único europeu de emergência «112» ou qualquer outro número nacional de emergência especificado pela ARN, devidamente identificado no PNN.
2 - As empresas que oferecem os serviços referidos no número anterior devem:
a) Assegurar o acesso aos serviços de emergência através de comunicações de emergência para o PASP mais adequado;
b) Disponibilizar a informação sobre a localização do chamador ao PASP mais adequado, sem demora após o estabelecimento da comunicação de emergência e ao longo da sua duração, bem como, se exequível, assegurar que o referido PASP possa recuperar e gerir as informações disponíveis de localização da pessoa que efetuou a chamada.
3 - O estabelecimento e a transmissão da informação sobre a localização do chamador são gratuitos para o utilizador final e para o PASP relativamente a todas as comunicações de emergência para o número único europeu de emergência «112» ou para qualquer outro número nacional de emergência.
4 - Compete à ARN estabelecer, por regulamento e, se necessário, após consulta ao ORECE, os critérios de precisão e de fiabilidade da informação sobre a localização do chamador a fornecer ao PASP mais adequado.
5 - As empresas referidas no n.º 2 devem disponibilizar aos utilizadores finais com deficiência o acesso aos serviços de emergência através de comunicações de emergência de nível equivalente ao dos restantes utilizadores finais, de acordo com a legislação aplicável aos requisitos de acessibilidade dos produtos e serviços, devendo, sempre que possível, seguir as normas e especificações europeias publicadas nos termos previstos no artigo 30.º, sem prejuízo da adoção de requisitos suplementares mais exigentes destinados a assegurar o acesso aos referidos serviços.
6 - As empresas que oferecem serviços de comunicações interpessoais não acessíveis ao público, mas que permitem chamadas, a partir das suas redes, para um número incluído num plano nacional ou internacional de numeração, devem:
a) Garantir o acesso aos serviços de emergência através da marcação do número «112» ou de qualquer outro número nacional de emergência, não lhes podendo afetar qualquer outra utilização;
b) Disponibilizar às empresas referidas no n.º 2 os dados de localização necessários ao cumprimento das obrigações previstas no mesmo número, em conformidade com os critérios de precisão e de fiabilidade estabelecidos pela ARN ao abrigo do disposto no n.º 4 e nos termos a prever obrigatoriamente nos contratos celebrados entre ambas para a oferta de redes e serviços de comunicações eletrónicas.
7 - A entidade responsável pelo atendimento e tratamento das comunicações de emergência deve:
a) Assegurar o apropriado e eficiente atendimento e tratamento de todas as comunicações de emergência para o número único europeu de emergência «112» ou para qualquer outro número nacional de emergência;
b) Adotar as medidas necessárias a garantir a adequada divulgação aos utilizadores finais da existência e da utilização do número único europeu de emergência e das suas características de acessibilidade, incluindo através de iniciativas destinadas especificamente a pessoas que viajem para o território nacional e a utilizadores finais com deficiência, em formatos acessíveis e dirigidas a diferentes tipos de deficiência. |
| |
|
|
|
|
SECÇÃO V
Avisos de proteção civil
| Artigo 68.º
Transmissão de avisos de proteção civil |
1 - As empresas que oferecem serviços de comunicações interpessoais móveis com base em números devem, nos termos a determinar pelas entidades públicas responsáveis pelos avisos à população e recorrendo a toda a capacidade disponível e com a máxima prioridade, transmitir os avisos à população relativos a emergências ou a acidentes graves ou catástrofes, iminentes ou em curso, aos utilizadores finais potencialmente afetados.
2 - A transmissão dos avisos à população é gratuita para os utilizadores finais e para as respetivas entidades públicas responsáveis.
3 - Nos termos a determinar pelas entidades públicas referidas no n.º 1, as empresas que oferecem serviços de comunicações interpessoais móveis com base em números devem enviar aos utilizadores finais que entram no território nacional, automaticamente por meio de SMS (short message service), sem atraso indevido e gratuitamente, informações facilmente compreensíveis, prestadas pelas referidas entidades sob sua exclusiva responsabilidade, sobre a forma como receber avisos à população.
4 - Sem prejuízo do disposto n.º 1, nos termos a determinar pelas entidades públicas responsáveis pelos avisos à população e desde que a eficácia do sistema de aviso seja equivalente em termos de cobertura, de capacidade e de facilidade de receção, tendo em consideração as orientações emitidas pelo ORECE, a ARN pode determinar que os avisos à população sejam transmitidos por empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público, com a exceção dos serviços de radiodifusão, através do serviço ou através de uma aplicação móvel dependente de um serviço de acesso à Internet. |
| |
|
|
|
|
TÍTULO IV
Análise de mercados e controlos regulatórios
CAPÍTULO I
Disposições gerais
| Artigo 69.º
Princípios gerais |
1 - A análise de mercados e a imposição de obrigações específicas nos termos do presente título devem obedecer ao princípio da fundamentação plena.
2 - Na fundamentação das decisões de aplicação de obrigações específicas deve a ARN, cumulativamente, demonstrar que a obrigação imposta:
a) É adequada ao problema identificado, proporcional e justificada à luz dos objetivos gerais previstos no artigo 5.º;
b) É objetivamente justificável em relação às redes, serviços ou infraestruturas a que se refere;
c) Não origina uma discriminação indevida relativamente a qualquer empresa;
d) É transparente em relação aos fins a que se destina. |
| |
|
|
|
|
Ver
índice sistemático do diploma
Imprimir todo o diploma
Contactos