O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

22 DE ABRIL DE 2022

75

Artigo 61.º

Medidas de execução

1 – Para efeitos do disposto no artigo 59.º, a ARN pode aprovar e impor medidas técnicas de execução às

empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas

acessíveis ao público.

2 – Para efeitos do disposto na alínea a) do n.º 1 do artigo anterior, compete à ARN aprovar as medidas que

definam as circunstâncias, o formato e os procedimentos aplicáveis às obrigações de notificação de incidentes

de segurança.

3 – Na definição das circunstâncias em que um incidente de segurança assume um impacto significativo, a

ARN tem em conta, em especial, os seguintes parâmetros, se disponíveis:

a) O número de utilizadores afetados pelo incidente de segurança;

b) A duração do incidente de segurança;

c) A distribuição geográfica e a dimensão da área ou das áreas afetadas pelo incidente de segurança;

d) A medida em que o funcionamento da rede ou do serviço é afetado;

e) A dimensão do impacto nas atividades económicas e sociais, incluindo no acesso aos serviços de

emergência.

4 – As medidas de execução previstas nos n.os 1 e 2 devem ser conformes com os atos de execução da

Comissão Europeia adotados ao abrigo do procedimento previsto no n.º 5 do artigo 40.º do CECE e, na sua

ausência, devem basear-se nas normas europeias e internacionais existentes sobre a matéria, bem como ter

em consideração os documentos técnicos publicados pela ENISA na prossecução das suas atribuições ao

abrigo do disposto no CECE.

5 – A aprovação das medidas de execução previstas nos n.os 1 e 2 é objeto de parecer prévio vinculativo do

CNCS, enquanto autoridade nacional de cibersegurança e no âmbito das suas competências previstas no artigo

7.º da Lei n.º 46/2018, de 13 de agosto.

6 – A adoção das medidas de execução referidas nos n.os 1 e 2 está sujeita ao procedimento de consulta

pública previsto no artigo 10.º

Artigo 62.º

Requisitos adicionais

1 – Para além das medidas técnicas de execução previstas no artigo anterior, a ARN, para efeitos do

disposto no artigo 59.º, pode fixar às empresas que oferecem redes públicas de comunicações eletrónicas ou

serviços de comunicações eletrónicas acessíveis ao público requisitos adicionais mais exigentes,

nomeadamente determinando o seguinte:

a) A indicação de um ponto de contacto permanente, para efeitos do disposto no presente capítulo;

b) A elaboração de um plano atualizado que contemple todas as medidas técnicas e organizacionais

adotadas;

c) A realização de exercícios de avaliação e melhoria das medidas técnicas e organizacionais adotadas,

bem como a participação em exercícios conjuntos;

d) A elaboração e apresentação à ARN de relatório anual nos termos a fixar, incluindo, nomeadamente, a

experiência recolhida com incidentes de segurança.

2 – Em função da informação relevante emitida pelas entidades competentes nacionais e da União Europeia

e as avaliações nacionais ou europeias de risco para a segurança das redes e serviços referidos no número

anterior, a ARN determina os seguintes requisitos adicionais:

a) A obrigação de utilização de produtos, serviços e processos certificados no âmbito de sistemas de

certificação da cibersegurança, nomeadamente ao abrigo do disposto no Regulamento (UE) 2019/881, do