II SÉRIE-A — NÚMERO 113

64

adotadas; c) A realização de exercícios de avaliação e melhoria das medidas técnicas e organizacionais adotadas,

bem como a participação em exercícios conjuntos; d) A elaboração e apresentação à ARN de relatório anual nos termos a fixar, incluindo, nomeadamente, a

experiência recolhida com incidentes de segurança. 2 – Em função da informação relevante emitida pelas entidades competentes nacionais e da União Europeia

e as avaliações nacionais ou europeias de risco para a segurança das redes e serviços referidos no número anterior, a ARN determina os seguintes requisitos adicionais:

a) A obrigação de utilização de produtos, serviços e processos certificados no âmbito de sistemas de

certificação da cibersegurança, nomeadamente ao abrigo do disposto no Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA e à certificação da cibersegurança das tecnologias de informação e comunicação;

b) O cumprimento de condições específicas para a virtualização de funções de rede no âmbito da operação e da segurança das redes e serviços;

c) O cumprimento de condições específicas para a subcontratação de funções no âmbito da operação e da segurança das redes e serviços ou a sua proibição;

d) A adoção de uma estratégia de diversificação de fornecedores no âmbito da operação e da segurança das redes e serviços;

e) A localização do centro de operação da rede e do centro de operação de segurança no território nacional ou no território de um Estado-Membro da União Europeia.

3 – A utilização de equipamentos em quaisquer redes de comunicações eletrónicas pode ser sujeita a uma

avaliação de segurança, a realizar por iniciativa de qualquer membro da comissão referida no número seguinte, justificada e fundamentada em critérios objetivos de segurança, com base em informação relevante emitida pelas entidades competentes nacionais e da União Europeia ou constante das avaliações nacionais ou europeias de risco para a segurança das redes.

4 – A avaliação de segurança é realizada por uma Comissão de Avaliação de Segurança (Comissão) constituída no âmbito do Conselho Superior de Segurança do Ciberespaço, com a seguinte composição:

a) A Autoridade Nacional de Segurança, que preside; b) Um representante da Autoridade Nacional de Cibersegurança; c) Um representante da ARN; d) Um representante do Sistema de Segurança Interna; e) Um representante do Sistema de Informações da República Portuguesa; f) O Embaixador para a Ciberdiplomacia; g) Um representante da Direção-Geral de Política Externa; h) Um representante da Direção-Geral da Política de Defesa. 5 – Em resultado da avaliação de segurança, a Comissão pode determinar a exclusão, a aplicação de

restrições à utilização ou a cessação de utilização de equipamentos ou serviços, devendo estabelecer, sempre que adequado, um prazo razoável para o respetivo cumprimento.

6 – No exercício das suas competências, a ARN deve cumprir as determinações referidas no número anterior, procedendo, ainda, à fiscalização do seu cumprimento, nos termos do artigo 175.º.

7 – A Comissão pode solicitar às entidades envolvidas a prestação de qualquer informação necessária ao desenvolvimento da atividade prevista nos n.os 3 a 5, bem como realizar inspeções sempre que a avaliação de segurança seja realizada a propósito da instalação de uma determinada rede comunicações eletrónicas.

8 – A Comissão deve aprovar um regulamento interno que estabeleça as regras de organização e funcionamento.