O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

4 DE AGOSTO DE 2022

49

em especial, impedir ou minimizar o impacto dos incidentes de segurança nos utilizadores e nas outras redes

e serviços.

2 – As medidas previstas no número anterior devem assegurar um nível de segurança adequado ao risco

existente tendo em conta o estado da técnica e atendendo à informação relevante emitida pelas entidades

competentes nacionais, da União Europeia ou internacionais e às avaliações nacionais ou europeias de risco

para a segurança das redes e serviços.

3 – As medidas previstas no n.º 1 devem ter em conta, no mínimo, todos os aspetos relevantes dos

seguintes elementos:

a) Em matéria de segurança das redes e dos recursos, a segurança física e ambiental, a segurança do

fornecimento, o controlo do acesso às redes e a integridade das redes;

b) Em matéria de gestão de incidentes de segurança, os procedimentos de gestão, a capacidade de

deteção de incidentes de segurança, os relatórios e as notificações, as divulgações ao público e quaisquer

outras comunicações relativas a incidentes de segurança;

c) Em matéria de gestão da continuidade operacional, a estratégia para a continuidade do serviço e os

planos de contingência, bem como as capacidades de recuperação em caso de desastres;

d) Em matéria de monitorização, auditorias e testes, as políticas de monitorização e de registo, os

exercícios relativos aos planos de contingência, os testes da rede e dos serviços, as avaliações de segurança

e a monitorização da conformidade, tendo por base as normas, especificações ou recomendações nacionais,

europeias e internacionais existentes sobre a matéria.

4 – O disposto no presente artigo não prejudica o disposto na legislação relativa ao tratamento de dados

pessoais e à proteção da privacidade no setor das comunicações eletrónicas.

Artigo 60.º

Incidentes de segurança

1 – As empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações

eletrónicas acessíveis ao público devem:

a) Notificar a ARN e o Centro Nacional de Cibersegurança (CNCS), sem demora injustificada, de qualquer

incidente de segurança com impacto significativo no funcionamento das redes ou serviços;

b) Informar o público, pelos meios mais adequados, dos incidentes de segurança, quando tal seja

considerado pela ARN como de interesse público.

2 – As empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações

eletrónicas acessíveis ao público, em caso de ameaça específica e significativa de incidente de segurança

nessas redes ou serviços, devem informar gratuitamente os seus utilizadores potencialmente afetados pela

ameaça de qualquer possível medida de prevenção ou de resposta que os utilizadores possam adotar e, se

adequado, da própria ameaça.

3 – Compete à ARN:

a) Informar as autoridades competentes dos demais Estados-Membros e a Agência da União Europeia

para a Cibersegurança (ENISA) dos incidentes de segurança, sempre que entenda adequado;

b) Informar o público, pelos meios mais adequados, dos incidentes de segurança, quando tal seja

considerado pela ARN como de interesse público;

c) Apresentar, anualmente, à Comissão Europeia e à ENISA um relatório resumido sobre as notificações

de incidentes de segurança, efetuadas nos termos da alínea a) do n.º 1, bem como das medidas tomadas.

4 – Sempre que adequado, a ARN pode informar as autoridades competentes nacionais dos incidentes de

segurança relevantes no âmbito das respetivas atribuições, incluindo as autoridades judiciárias e policiais e a

Comissão Nacional de Proteção de Dados (CNPD).