O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

20 DE JULHO DE 2022

175

Artigo 62.º

Requisitos adicionais

1 - Para além das medidas técnicas de execução previstas no artigo anterior, a ARN, para efeitos do

disposto no artigo 59.º, pode fixar às empresas que oferecem redes públicas de comunicações eletrónicas ou

serviços de comunicações eletrónicas acessíveis ao público requisitos adicionais mais exigentes,

nomeadamente determinando o seguinte:

a) A indicação de um ponto de contacto permanente, para efeitos do disposto no presente capítulo;

b) A elaboração de um plano atualizado que contemple todas as medidas técnicas e organizacionais

adotadas;

c) A realização de exercícios de avaliação e melhoria das medidas técnicas e organizacionais adotadas,

bem como a participação em exercícios conjuntos;

d) A elaboração e apresentação à ARN de relatório anual nos termos a fixar, incluindo, nomeadamente, a

experiência recolhida com incidentes de segurança.

2 - Em função da informação relevante emitida pelas entidades competentes nacionais e da União

Europeia e as avaliações nacionais ou europeias de risco para a segurança das redes e serviços referidos no

número anterior, a ARN determina os seguintes requisitos adicionais:

a) A obrigação de utilização de produtos, serviços e processos certificados no âmbito de sistemas de

certificação da cibersegurança, nomeadamente ao abrigo do disposto no Regulamento (UE) 2019/881, do

Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA e à certificação da

cibersegurança das tecnologias de informação e comunicação;

b) O cumprimento de condições específicas para a virtualização de funções de rede no âmbito da

operação e da segurança das redes e serviços;

c) O cumprimento de condições específicas para a subcontratação de funções no âmbito da operação e

da segurança das redes e serviços ou a sua proibição;

d) A adoção de uma estratégia de diversificação de fornecedores no âmbito da operação e da segurança

das redes e serviços;

e) A localização do centro de operação da rede e do centro de operação de segurança no território

nacional ou no território de um Estado-Membro da União Europeia.

3 - A utilização de equipamentos em quaisquer redes de comunicações eletrónicas pode ser sujeita a uma

avaliação de segurança, a realizar por iniciativa de qualquer membro da comissão referida no número

seguinte, justificada e fundamentada em critérios objetivos de segurança, com base em informação relevante

emitida pelas entidades competentes nacionais e da União Europeia ou constante das avaliações nacionais

ou europeias de risco para a segurança das redes.

4 - A avaliação de segurança é realizada por uma Comissão de Avaliação de Segurança (Comissão)

constituída no âmbito do Conselho Superior de Segurança do Ciberespaço, com a seguinte composição:

a) A Autoridade Nacional de Segurança, que preside;

b) Um representante da Autoridade Nacional de Cibersegurança;

c) Um representante da ARN;

d) Um representante do Sistema de Segurança Interna;

e) Um representante do Sistema de Informações da República Portuguesa;

f) O Embaixador para a Ciberdiplomacia;

g) Um representante da Direção-Geral de Política Externa;

h) Um representante da Direção-Geral da Política de Defesa.

5 - Em resultado da avaliação de segurança, a Comissão pode determinar a exclusão, a aplicação de

restrições à utilização ou a cessação de utilização de equipamentos ou serviços, devendo estabelecer,