O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 17

74

existente tendo em conta o estado da técnica e atendendo à informação relevante emitida pelas entidades

competentes nacionais, da União Europeia ou internacionais e às avaliações nacionais ou europeias de risco

para a segurança das redes e serviços.

3 – As medidas previstas no n.º 1 devem, no mínimo, ter em conta todos os aspetos relevantes dos

seguintes elementos:

a) Em matéria de segurança das redes e dos recursos, a segurança física e ambiental, a segurança do

fornecimento, o controlo do acesso às redes e a integridade das redes;

b) Em matéria de gestão de incidentes de segurança, os procedimentos de gestão, a capacidade de deteção

de incidentes de segurança, os relatórios e as notificações, as divulgações ao público e quaisquer outras

comunicações relativas a incidentes de segurança;

c) Em matéria de gestão da continuidade operacional, a estratégia para a continuidade do serviço e os

planos de contingência, bem como as capacidades de recuperação em caso de desastres;

d) Em matéria de monitorização, auditorias e testes, as políticas de monitorização e de registo, os exercícios

relativos aos planos de contingência, os testes da rede e dos serviços, as avaliações de segurança e a

monitorização da conformidade, tendo por base as normas, especificações ou recomendações nacionais,

europeias e internacionais existentes sobre a matéria.

4 – O disposto no presente artigo não prejudica o disposto na legislação relativa ao tratamento de dados

pessoais e à proteção da privacidade no setor das comunicações eletrónicas.

Artigo 60.º

Incidentes de segurança

1 – As empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações

eletrónicas acessíveis ao público devem:

a) Notificar a ARN e o CNCS, sem demora injustificada, de qualquer incidente de segurança com impacto

significativo no funcionamento das redes ou serviços;

b) Informar o público, pelos meios mais adequados, dos incidentes de segurança, quando tal seja

considerado pela ARN como de interesse público.

2 – As empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações

eletrónicas acessíveis ao público, em caso de ameaça específica e significativa de incidente de segurança

nessas redes ou serviços, devem informar gratuitamente os seus utilizadores potencialmente afetados pela

ameaça de qualquer possível medida de prevenção ou de resposta que os utilizadores possam adotar e, se

adequado, da própria ameaça.

3 – Compete à ARN:

a) Informar as autoridades competentes dos demais Estados-Membros e a Agência da União Europeia para

a Cibersegurança (ENISA) dos incidentes de segurança, sempre que entenda adequado;

b) Informar o público, pelos meios mais adequados, dos incidentes de segurança, quando tal seja

considerado pela ARN como de interesse público;

c) Apresentar, anualmente, à Comissão Europeia e à ENISA um relatório resumido sobre as notificações de

incidentes de segurança, efetuadas nos termos da alínea a) do n.º 1, bem como das medidas tomadas.

4 – Sempre que adequado, a ARN pode informar as autoridades competentes nacionais dos incidentes de

segurança relevantes no âmbito das respetivas atribuições, incluindo as autoridades judiciárias e policiais e a

Comissão Nacional de Proteção de Dados (CNPD).

5 – O presente artigo não prejudica o disposto na legislação relativa ao tratamento de dados pessoais e à

proteção da privacidade no setor das comunicações eletrónicas.