O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 63

174

eletrónicas acessíveis ao público, em caso de ameaça específica e significativa de incidente de segurança

nessas redes ou serviços, devem informar gratuitamente os seus utilizadores potencialmente afetados pela

ameaça de qualquer possível medida de prevenção ou de resposta que os utilizadores possam adotar e, se

adequado, da própria ameaça.

3 - Compete à ARN:

a) Informar as autoridades competentes dos demais Estados-Membros e a Agência da União Europeia

para a Cibersegurança (ENISA) dos incidentes de segurança, sempre que entenda adequado;

b) Informar o público, pelos meios mais adequados, dos incidentes de segurança, quando tal seja

considerado pela ARN como de interesse público;

c) Apresentar, anualmente, à Comissão Europeia e à ENISA um relatório resumido sobre as notificações

de incidentes de segurança, efetuadas nos termos da alínea a) do n.º 1, bem como das medidas tomadas.

4 - Sempre que adequado, a ARN pode informar as autoridades competentes nacionais dos incidentes de

segurança relevantes no âmbito das respetivas atribuições, incluindo as autoridades judiciárias e policiais e a

Comissão Nacional de Proteção de Dados (CNPD).

5 - O presente artigo não prejudica o disposto na legislação relativa ao tratamento de dados pessoais e à

proteção da privacidade no setor das comunicações eletrónicas.

Artigo 61.º

Medidas de execução

1 - Para efeitos do disposto no artigo 59.º, a ARN pode aprovar e impor medidas técnicas de execução às

empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações

eletrónicas acessíveis ao público.

2 - Para efeitos do disposto na alínea a) do n.º 1 do artigo anterior, compete à ARN aprovar as medidas

que definam as circunstâncias, o formato e os procedimentos aplicáveis às obrigações de notificação de

incidentes de segurança.

3 - Na definição das circunstâncias em que um incidente de segurança assume um impacto significativo, a

ARN tem em conta, em especial, os seguintes parâmetros, se disponíveis:

a) O número de utilizadores afetados pelo incidente de segurança;

b) A duração do incidente de segurança;

c) A distribuição geográfica e a dimensão da área ou das áreas afetadas pelo incidente de segurança;

d) A medida em que o funcionamento da rede ou do serviço é afetado;

e) A dimensão do impacto nas atividades económicas e sociais, incluindo no acesso aos serviços de

emergência.

4 - As medidas de execução previstas nos n.os 1 e 2 devem ser conformes com os atos de execução da

Comissão Europeia adotados ao abrigo do procedimento previsto no n.º 5 do artigo 40.º do CECE e, na sua

ausência, devem basear-se nas normas europeias e internacionais existentes sobre a matéria, bem como ter

em consideração os documentos técnicos publicados pela ENISA na prossecução das suas atribuições ao

abrigo do disposto no CECE.

5 - A aprovação das medidas de execução previstas nos n.os 1 e 2 é objeto de parecer prévio vinculativo

do CNCS, enquanto autoridade nacional de cibersegurança e no âmbito das suas competências previstas no

artigo 7.º da Lei n.º 46/2018, de 13 de agosto.

6 - A adoção das medidas de execução referidas nos n.os 1 e 2 está sujeita ao procedimento de consulta

pública previsto no artigo 10.º