|
DL n.º 20/2022, de 28 de Janeiro RESILIÊNCIA DAS INFRAESTRUTURAS CRÍTICAS NACIONAIS E EUROPEIAS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Aprova os procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias _____________________ |
|
Artigo 3.º
Âmbito de aplicação |
O presente decreto-lei aplica-se à identificação, designação, proteção e aumento da resiliência das:
a) Infraestruturas críticas nacionais dos setores constantes do seu anexo e do qual faz parte integrante;
b) Infraestruturas críticas europeias dos setores da energia e dos transportes, nos termos do anexo referido na alínea anterior. |
| |
|
|
|
|
Artigo 4.º
Deveres de proteção e de colaboração |
1 - Os operadores devem zelar pela proteção, aumento da resiliência e manutenção das funções e serviços das respetivas infraestruturas críticas.
2 - Sem prejuízo do disposto no número anterior, as entidades setoriais devem, no âmbito das respetivas competências, colaborar com os operadores na proteção, aumento da resiliência e manutenção das funções e serviços das infraestruturas críticas.
3 - As entidades com competências próprias no âmbito do presente decreto-lei devem:
a) Colaborar entre si, através da partilha de informações relevantes à proteção e aumento da resiliência das infraestruturas críticas, bem como no procedimento de identificação e de designação das mesmas;
b) Facultar aos operadores, através dos respetivos agentes de ligação de segurança, o acesso às melhores práticas e metodologias disponíveis, bem como, sempre que possível, informação sobre os novos avanços técnicos relacionados com a proteção das infraestruturas críticas.
4 - Caso os operadores estejam sujeitos a deveres especiais de proteção, previstos em legislação setorial nacional ou europeia, que tenham, pelo menos, efeitos equivalentes às obrigações previstas no presente decreto-lei, o seu cumprimento substitui os deveres de proteção previstos no presente decreto-lei. |
| |
|
|
|
|
Artigo 5.º
Informações sensíveis |
1 - As informações sensíveis relacionadas com a designação, a proteção e o aumento da resiliência das infraestruturas críticas são objeto de classificação de segurança, nos termos da legislação sobre informação classificada.
2 - Sem prejuízo do disposto no número anterior, a designação das infraestruturas críticas, nacionais ou europeias, tem o grau de classificação de segurança mínimo de «reservado».
3 - Os agentes de ligação de segurança, os elementos de contacto da infraestrutura e as demais pessoas que, por força do presente decreto-lei, tratem informação classificada, são sujeitos a um processo de credenciação de segurança, no grau adequado, pela Autoridade Nacional de Segurança.
4 - As entidades envolvidas na execução do presente decreto-lei asseguram o cumprimento dos normativos aplicáveis à proteção e ao manuseamento da informação classificada e que as informações classificadas referidas no n.º 1 não são utilizadas para fins distintos da proteção das infraestruturas críticas.
5 - O disposto no presente artigo aplica-se igualmente às informações não escritas trocadas durante reuniões em que sejam debatidos assuntos sensíveis. |
| |
|
|
|
|
1 - A identificação e a designação das infraestruturas críticas são efetuadas pelo Conselho Nacional de Planeamento Civil de Emergência (CNPCE).
2 - O CNPCE aprova, igualmente, os critérios de identificação das infraestruturas críticas, mediante proposta das respetivas entidades setoriais.
3 - O CNPCE pode solicitar parecer a outras entidades que considere relevantes, para efeitos do disposto no número anterior. |
| |
|
|
|
|
Artigo 7.º
Entidades sectoriais |
1 - As entidades setoriais são identificadas no anexo ao presente decreto-lei e do qual faz parte integrante.
2 - As entidades setoriais podem solicitar a colaboração de outras entidades consideradas relevantes, no âmbito das respetivas atribuições. |
| |
|
|
|
|
Artigo 8.º
Identificação das infraestruturas críticas nacionais |
1 - As entidades setoriais elaboram uma lista das infraestruturas do respetivo setor com potencial para serem designadas como infraestruturas críticas nacionais, efetuando uma apreciação qualitativa das consequências provocadas pela inoperacionalidade de cada infraestrutura, nomeadamente:
a) O impacto económico, estimado em termos de importância dos prejuízos económicos e da degradação de bens ou serviços, incluindo também os potenciais efeitos ambientais;
b) O impacto na sociedade, avaliado em termos de impacto na soberania nacional, na confiança das populações e na perturbação da vida quotidiana, incluindo a perda de serviços essenciais;
c) A possibilidade de ocorrência de acidentes, avaliada em termos de número potencial de feridos ou vítimas mortais.
2 - As entidades setoriais selecionam as infraestruturas que, constando da lista referida no número anterior, consideram dever ser designadas como críticas no respetivo setor, aplicando os critérios de identificação fixados pelo CNPCE, tendo em especial consideração:
a) O tipo de bens produzidos ou serviços prestados pela infraestrutura crítica;
b) As alternativas disponíveis no fornecimento dos bens produzidos ou serviços prestados pela infraestrutura crítica;
c) A população e área geográfica afetada por uma eventual perturbação do funcionamento ou destruição da infraestrutura crítica;
d) A duração de uma eventual perturbação do funcionamento da infraestrutura crítica e o tempo previsível para a sua recuperação.
3 - Com base na seleção referida no número anterior, as entidades setoriais ordenam as infraestruturas críticas do respetivo setor e submetem ao CNPCE uma proposta fundamentada quanto às que devem ser identificadas como infraestruturas críticas nacionais.
4 - O CNPCE avalia a proposta das entidades setoriais e aprova a identificação das infraestruturas críticas nacionais em cada setor.
5 - O CNPCE pode identificar infraestruturas críticas diferentes das propostas pelas entidades setoriais quando:
a) Seja detentor de indicadores distintos dos aplicados pelas entidades setoriais;
b) Sejam conexas com outras infraestruturas críticas nacionais, do mesmo ou de outro setor, nomeadamente por as poderem afetar em caso de perturbação do funcionamento ou destruição.
6 - O CNPCE comunica a identificação de uma infraestrutura crítica nacional ao respetivo operador, notificando-o para, querendo, se pronunciar sobre a referida identificação, fixando um prazo não inferior a dez dias para o efeito. |
| |
|
|
|
|
Artigo 9.º
Designação das infraestruturas críticas nacionais |
1 - O CNPCE procede à designação das infraestruturas críticas nacionais e notifica-a ao operador, dando conhecimento à respetiva entidade setorial, ao Secretário-Geral do Sistema de Segurança Interna (SSI) e ao presidente da Câmara Municipal territorialmente competente.
2 - A designação prevista no número anterior pode ser alterada ou revogada pelo CNPCE, na sequência de proposta fundamentada:
a) Da respetiva entidade setorial;
b) Do operador, com a concordância da respetiva entidade setorial.
3 - No caso previsto no número anterior, a alteração ou revogação são notificadas ao operador, sendo dado conhecimento à respetiva entidade setorial, ao Secretário-Geral do SSI e aos presidentes das Câmaras Municipais territorialmente competentes. |
| |
|
|
|
|
Artigo 10.º
Identificação de infraestruturas críticas europeias |
1 - As entidades setoriais selecionam, com base nos critérios previstos nos n.os 1 e 2 do artigo 8.º, as infraestruturas críticas nacionais com potencial para serem designadas como infraestruturas críticas europeias.
2 - As entidades setoriais submetem ao CNPCE uma proposta fundamentada quanto às infraestruturas críticas nacionais que devem também ser identificadas como infraestruturas críticas europeias.
3 - Sem prejuízo do disposto nos números anteriores, o CNPCE pode identificar infraestruturas críticas nacionais diferentes das propostas pelas entidades setoriais para serem designadas como infraestrutura crítica europeia quando verificar que aquelas apresentam as características e requisitos necessários ou quando sejam propostas pela Comissão Europeia ou por outro Estado-Membro da União Europeia.
4 - O CNPCE comunica a identificação de uma potencial infraestrutura crítica europeia ao respetivo operador, notificando-o para, querendo, se pronunciar sobre a referida identificação, fixando um prazo não inferior a 10 dias para o efeito.
5 - O CNPCE pode solicitar a colaboração da Comissão Europeia ou de outros Estados-Membros da União Europeia na identificação das infraestruturas críticas europeias ou na avaliação do impacto, nos respetivos territórios, da sua perturbação do funcionamento ou destruição. |
| |
|
|
|
|
Artigo 11.º
Designação de infraestruturas críticas europeias |
1 - O CNPCE informa a entidade congénere do Estado-Membro da União Europeia suscetível de ser afetado pela perturbação do funcionamento ou destruição da potencial infraestrutura crítica europeia, identificando a infraestrutura em causa e expondo os motivos para a sua eventual designação, solicitando o seu acordo.
2 - Para efeitos do disposto no número anterior, o CNPCE pode solicitar o apoio técnico ou diplomático de outras entidades nacionais.
3 - O CNPCE procede à designação da infraestrutura crítica europeia após ter obtido o acordo referido no n.º 1.
4 - A designação prevista no número anterior pode ser alterada ou revogada pelo CNPCE, oficiosamente ou mediante proposta fundamentada da respetiva entidade setorial ou do operador, com a concordância da respetiva entidade setorial, na sequência da:
a) Alteração ou revogação da designação da infraestrutura como infraestrutura crítica nacional;
b) Cessação dos pressupostos que conduziram à identificação da infraestrutura como infraestrutura crítica europeia;
c) Cessação do acordo referido no n.º 1.
5 - Para efeitos do disposto na alínea b) do número anterior, o CNPCE deve obter o acordo das entidades congéneres dos Estados-Membros da União Europeia que possam ser afetados de forma significativa pela infraestrutura crítica europeia em questão.
6 - O CNPCE:
a) Notifica o operador da infraestrutura, dando conhecimento à respetiva entidade setorial, ao Secretário-Geral do SSI e aos presidentes das Câmaras Municipais territorialmente competentes da designação da infraestrutura como infraestrutura crítica europeia, bem como da eventual alteração ou revogação dessa designação;
b) Informa anualmente a Comissão Europeia do número e identidade das infraestruturas críticas europeias designadas em cada sector e subsetor, bem como do número de Estados-Membros da União Europeia relacionados com cada infraestrutura crítica europeia.
7 - A identidade de uma infraestrutura crítica europeia apenas deve ser do conhecimento da Comissão Europeia e dos Estados-Membros da União Europeia que por ela possam ser afetados de forma significativa. |
| |
|
|
|
|
Artigo 12.º
Iniciativa de designação por outro Estado-Membro |
| O CNPCE pode informar a Comissão Europeia de que pretende iniciar debates bilaterais ou multilaterais sobre a designação de uma infraestrutura localizada noutro Estado-Membro da União Europeia como infraestrutura crítica europeia, caso considere que o Estado português pode por ela ser afetado de forma significativa e o Estado-Membro em cujo território se situe não a tenha designado como infraestrutura crítica europeia. |
| |
|
|
|
|
Artigo 13.º
Planos de segurança das infraestruturas críticas nacionais |
1 - Cada infraestrutura crítica nacional deve dispor de um plano de segurança, o qual inclui:
a) A identificação dos elementos críticos;
b) A delimitação das áreas de segurança;
c) Uma análise do risco baseada em cenários de ameaça grave, na vulnerabilidade de cada elemento e nos impactos potenciais;
d) A identificação, seleção e prioridade de contramedidas e procedimentos de segurança permanentes;
e) A identificação, seleção e prioridade de contramedidas e procedimentos de segurança progressivos a ativar consoante o grau de ameaça aplicável ou o estado de segurança decretado.
2 - As contramedidas e procedimentos de segurança permanentes previstos na alínea d) do número anterior incluem:
a) A instalação de equipamentos de deteção, controlo de acesso, proteção e prevenção, sem prejuízo do cumprimento das normas relativas à segurança física e digital da informação classificada;
b) Procedimentos de alerta e gestão de crises;
c) Normas de controlo de acesso e de verificação de segurança;
d) Ações de comunicação, sensibilização e formação;
e) Soluções em matéria de cibersegurança, nos termos previstos nos artigos 9.º e 10.º do Decreto-Lei n.º 65/2021, de 30 de julho;
f) Medidas de minimização dos danos e impactos e de reposição da normalidade.
3 - O Secretário-Geral do SSI elabora e divulga orientações para a elaboração dos planos de segurança, mediante parecer das entidades setoriais, das forças e serviços de segurança, da Autoridade Nacional de Emergência e Proteção Civil (ANEPC) e do Centro Nacional de Cibersegurança. |
| |
|
|
|
|
|