O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

26 DE MARÇO DE 2018

23

CAPÍTULO III

Segurança das redes e dos sistemas de informação

Artigo 12.º

Definição de requisitos de segurança e normalização

1 - Os requisitos de segurança são definidos nos termos previstos em legislação própria, sem prejuízo do

disposto no artigo 18.º.

2 - Os requisitos de segurança não se aplicam:

a) Às empresas sujeitas aos requisitos previstos nos artigos 54.º-A a 54.º-G da lei das comunicações

eletrónicas, aprovada pela Lei n.º 5/2004, de 10 de fevereiro;

b) Aos prestadores de serviços de confiança previstos no artigo 19.º do Regulamento (UE) n.º 910/2014, de

23 de julho, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no

mercado interno.

3 - Os requisitos de segurança são definidos de forma a permitir a utilização de normas e especificações

técnicas internacionalmente aceites aplicáveis à segurança das redes e dos sistemas de informação, sem

imposição ou discriminação em favor da utilização de um determinado tipo de tecnologia.

Artigo 13.º

Definição de requisitos de notificação de incidentes

1 - Os requisitos de notificação de incidentes são definidos nos termos previstos em legislação própria,

sem prejuízo do disposto no artigo 19.º.

2 - Os requisitos de notificação de incidentes não se aplicam:

a) Às empresas sujeitas aos requisitos previstos nos artigos 54.º-A a 54.º-G da lei das comunicações

eletrónicas, aprovada pela Lei n.º 5/2004, de 10 de fevereiro;

b) Aos prestadores de serviços de confiança previstos no artigo 19.º do Regulamento (UE) n.º 910/2014, de

23 de julho, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no

mercado interno.

Artigo 14.º

Requisitos de segurança para a Administração Pública e operadores de infraestruturas críticas

1 - A Administração Pública e os operadores de infraestruturas críticas devem cumprir as medidas técnicas

e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos

sistemas de informação que utilizam.

2 - As medidas previstas no número anterior devem garantir um nível de segurança adequado ao risco em

causa, tendo em conta os progressos técnicos mais recentes.

3 - A Administração Pública e os operadores de infraestruturas críticas tomam as medidas adequadas para

evitar os incidentes que afetem a segurança das redes e dos sistemas de informação utilizados e para reduzir

ao mínimo o seu impacto.

Artigo 15.º

Notificação de incidentes para a Administração Pública e operadores de infraestruturas críticas

1 - A Administração Pública e os operadores de infraestruturas críticas notificam o Centro Nacional de

Cibersegurança dos incidentes com um impacto relevante na segurança das redes e dos sistemas de

informação, no prazo definido na legislação própria referida no artigo 13.º.

2 - A notificação dos operadores de infraestruturas críticas inclui informação que permita ao Centro Nacional

de Cibersegurança determinar o impacto transfronteiriço dos incidentes.

3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.