Debates Parlamentares - Diário 182, p. 26 (2025-02-14)

O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.

Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 182

l) Um representante da Direção-Geral da Política de Defesa Nacional;

m) Um representante da Autoridade da Concorrência.

3 – O membro do Governo responsável pela área da cibersegurança pode determinar a aplicação de

restrições provisórias à utilização, a cessação de utilização ou exclusão de equipamentos, componentes ou

serviços de tecnologias de informação e comunicação, utilizados em redes e sistemas de informação públicos

ou privados, considerados de elevado risco para a segurança do ciberespaço de interesse nacional, mediante

proposta da Comissão de Avaliação de Segurança do Ciberespaço, fundamentada em avaliação de segurança

realizada nos termos do disposto nos números seguintes.

4 – A avaliação de segurança deve ser devidamente fundamentada, tendo em conta os riscos técnicos dos

equipamentos, componentes ou serviços, o seu contexto de utilização e a exposição dos seus fabricantes ou

fornecedores à influência indevida de países estrangeiros, para tal considerando, designadamente, informação

relevante emitida pelas entidades competentes nacionais e da União Europeia ou constante das avaliações

nacionais ou europeias de risco para a segurança das redes e sistemas de informação, bem como outros riscos

securitários relevantes.

5 – Para avaliar o nível de exposição dos fabricantes ou fornecedores à influência indevida de um país

estrangeiro, podem ser considerados os seguintes elementos:

a) O fabricante ou fornecedor estar sujeito, direta ou indiretamente, à interferência do governo ou

administração de um país estrangeiro;

b) O fabricante ou fornecedor estar domiciliado em, ou de qualquer forma relevantemente vinculado a países

reconhecidos por Portugal, pela União Europeia, pela Organização para a Cooperação e Desenvolvimento

Económico (OCDE) ou pela OTAN, como responsáveis ou envolvidos em ações hostis à segurança interna e

defesa nacional de Portugal ou dos seus aliados, designadamente atos de espionagem ou de sabotagem;

c) O fabricante ou fornecedor estar domiciliado em, ou de qualquer forma relevantemente vinculado a países

que não dispõem de legislação ou acordos diplomáticos com Portugal ou com a União Europeia em matéria de

proteção de dados, de cibersegurança e de proteção de propriedade intelectual.

d) O fabricante ou fornecedor estar associado a práticas de introdução de vulnerabilidades ou acessos

ocultos;

e) O fabricante ou fornecedor adotar modelos de governação corporativa que não esclareçam sobre o grau

de influência ou vinculação a países estrangeiros nas condições das alíneas anteriores;

f) As cadeias de produção e fornecimento do fabricante ou fornecedor evidenciarem falhas sistémicas de

controlo e segurança.

6 – As avaliações de segurança podem ser realizadas ou revistas a pedido do membro do Governo

responsável pela área da cibersegurança, bem como, em aplicação do mecanismo português de salvaguarda

de ativos estratégicos essenciais, a pedido do membro do Governo responsável pela área em que o ativo

estratégico em causa esteja integrado.

7 – A proposta da Comissão de Avaliação de Segurança do Ciberespaço realizada na sequência da

avaliação de segurança deve, no seu teor, abrangência e intensidade, respeitar o princípio da proporcionalidade,

considerando, designadamente, o grau de risco apurado, o grau de incidência, global e específica, sobre cada

equipamento, componente ou serviço em causa, o prejuízo sofrido pelo fabricante e fornecedor afetado, e ainda

os prejuízos económicos e sociais potencialmente decorrentes da decisão.

8 – A Comissão de Avaliação de Segurança do Ciberespaço pode solicitar a qualquer entidade, pública ou

privada, a prestação de qualquer informação necessária à elaboração de avaliações de segurança.

9 – A decisão do membro do Governo responsável pela área da cibersegurança prevista no n.º 3 define os

prazos razoáveis e, quando aplicável, o âmbito geográfico da medida a aplicar, de forma que as entidades

públicas ou privadas em causa procedam à sua implementação.

10 – Os documentos ou informações produzidas no âmbito dos trabalhos da Comissão de Avaliação de

Segurança do Ciberespaço são considerados como informação classificada no grau de segurança reservado,

salvo se o presidente da Comissão considerar necessário atribuir um grau de classificação de segurança

superior, e sem prejuízo destes documentos ou informações poderem ser classificadas como segredo de Estado

II SÉRIE-A — NÚMERO 182 26 l) Um representante da Direção-Geral da Política de Defesa Nacional; m) Um representante da Autoridade da Concorrência. 3 – O membro do Governo responsável pela área da cibersegurança pode determinar a aplicação de restrições provisórias à utilização, a cessação de utilização ou exclusão de equipamentos, componentes ou serviços de tecnologias de informação e comunicação, utilizados em redes e sistemas de informação públicos ou privados, considerados de elevado risco para a segurança do ciberespaço de interesse nacional, mediante proposta da Comissão de Avaliação de Segurança do Ciberespaço, fundamentada em avaliação de segurança realizada nos termos do disposto nos números seguintes. 4 – A avaliação de segurança deve ser devidamente fundamentada, tendo em conta os riscos técnicos dos equipamentos, componentes ou serviços, o seu contexto de utilização e a exposição dos seus fabricantes ou fornecedores à influência indevida de países estrangeiros, para tal considerando, designadamente, informação relevante emitida pelas entidades competentes nacionais e da União Europeia ou constante das avaliações nacionais ou europeias de risco para a segurança das redes e sistemas de informação, bem como outros riscos securitários relevantes. 5 – Para avaliar o nível de exposição dos fabricantes ou fornecedores à influência indevida de um país estrangeiro, podem ser considerados os seguintes elementos: a) O fabricante ou fornecedor estar sujeito, direta ou indiretamente, à interferência do governo ou administração de um país estrangeiro; b) O fabricante ou fornecedor estar domiciliado em, ou de qualquer forma relevantemente vinculado a países reconhecidos por Portugal, pela União Europeia, pela Organização para a Cooperação e Desenvolvimento Económico (OCDE) ou pela OTAN, como responsáveis ou envolvidos em ações hostis à segurança interna e defesa nacional de Portugal ou dos seus aliados, designadamente atos de espionagem ou de sabotagem; c) O fabricante ou fornecedor estar domiciliado em, ou de qualquer forma relevantemente vinculado a países que não dispõem de legislação ou acordos diplomáticos com Portugal ou com a União Europeia em matéria de proteção de dados, de cibersegurança e de proteção de propriedade intelectual. d) O fabricante ou fornecedor estar associado a práticas de introdução de vulnerabilidades ou acessos ocultos; e) O fabricante ou fornecedor adotar modelos de governação corporativa que não esclareçam sobre o grau de influência ou vinculação a países estrangeiros nas condições das alíneas anteriores; f) As cadeias de produção e fornecimento do fabricante ou fornecedor evidenciarem falhas sistémicas de controlo e segurança. 6 – As avaliações de segurança podem ser realizadas ou revistas a pedido do membro do Governo responsável pela área da cibersegurança, bem como, em aplicação do mecanismo português de salvaguarda de ativos estratégicos essenciais, a pedido do membro do Governo responsável pela área em que o ativo estratégico em causa esteja integrado. 7 – A proposta da Comissão de Avaliação de Segurança do Ciberespaço realizada na sequência da avaliação de segurança deve, no seu teor, abrangência e intensidade, respeitar o princípio da proporcionalidade, considerando, designadamente, o grau de risco apurado, o grau de incidência, global e específica, sobre cada equipamento, componente ou serviço em causa, o prejuízo sofrido pelo fabricante e fornecedor afetado, e ainda os prejuízos económicos e sociais potencialmente decorrentes da decisão. 8 – A Comissão de Avaliação de Segurança do Ciberespaço pode solicitar a qualquer entidade, pública ou privada, a prestação de qualquer informação necessária à elaboração de avaliações de segurança. 9 – A decisão do membro do Governo responsável pela área da cibersegurança prevista no n.º 3 define os prazos razoáveis e, quando aplicável, o âmbito geográfico da medida a aplicar, de forma que as entidades públicas ou privadas em causa procedam à sua implementação. 10 – Os documentos ou informações produzidas no âmbito dos trabalhos da Comissão de Avaliação de Segurança do Ciberespaço são considerados como informação classificada no grau de segurança reservado, salvo se o presidente da Comissão considerar necessário atribuir um grau de classificação de segurança superior, e sem prejuízo destes documentos ou informações poderem ser classificadas como segredo de Estado

Descarregar páginas