14 DE FEVEREIRO DE 2025

31

tenham tido conhecimento no exercício das suas funções, sem prejuízo do disposto no artigo 38.º;

ii) Da prática dos atos cautelares necessários e urgentes para assegurar a conservação de provas e da

partilha, nos termos legais, de outros elementos probatórios necessários para o estrito exercício das

competências previstas nas alíneas a) a e) do n.º 3 do artigo anterior;

iii) Do desempenho da função de perito prevista no artigo 153.º do Código de Processo Penal;

c) O Comando de Operações de Ciberdefesa, nomeadamente quando estejam em causa prevenção de

incidentes, monitorização, deteção, reação, análise e correção no âmbito da ciberdefesa e da cibersegurança

das Forças Armadas;

d) O Serviço de Informações de Segurança, nomeadamente na partilha de informações necessárias à

preservação da segurança do ciberespaço de interesse nacional, designadamente no que respeita à

espionagem, à sabotagem, ao terrorismo e à criminalidade organizada.

2 – A obtenção de informação ao abrigo da cooperação prevista no número anterior deve respeitar a

legislação aplicável em matéria de proteção de dados pessoais, designadamente, o RGPD, a Lei n.º 26/2016,

de 22 de agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto e a Lei n.º 59/2019, de 8 de agosto.

3 – A cooperação prevista na alínea b) do n.º 1 não põe em causa o segredo de justiça.

4 – O acesso a informação nos termos da cooperação prevista, designadamente, nas subalíneas i) e ii) da

alínea b) do n.º 1, relativa a processos que estejam a ser objeto de investigação, pode ser recusado com os

fundamentos previstos no n.º 1 do artigo 89.º do Código de Processo Penal.

5 – A Polícia Judiciária e o Serviço de Informações de Segurança designam um elemento de ligação

permanente junto do CNCS.

6 – Os termos da cooperação técnica e operacional entre o CNCS, o Comando de Operações de

Ciberdefesa, a Polícia Judiciária, o Serviço de Informações de Segurança e o Serviço de Informações

Estratégicas de Defesa, são definidos por mútuo acordo no âmbito do G5.

7 – As autoridades referidas no presente artigo devem responder aos pedidos de informação no prazo de 5

dias após a data em que as informações tiverem sido solicitadas, salvo motivo devidamente justificado.

Artigo 24.º

Cooperação com o setor privado

1 – As entidades que integrem o quadro institucional da segurança do ciberespaço, nos termos do artigo

15.º, devem estabelecer relações de cooperação com as entidades abrangidas pelo presente decreto-lei e,

quando pertinente, com outras entidades interessadas do setor privado, com vista a alcançar os objetivos do

regime jurídico da cibersegurança.

2 – As relações de cooperação devem abranger, pelo menos, os seguintes aspetos relativos à partilha de

informação, adoção de boas práticas, desenvolvimento ou melhoria de sistemas de classificação e de

taxonomias comuns ou normalizadas quanto a:

a) Medidas de gestão dos riscos de cibersegurança;

b) Indicadores de exposição a riscos ou ciberameaças;

c) Procedimentos de tratamento de incidentes;

d) Gestão de crises; e

e) Divulgação coordenada de vulnerabilidades, nos termos do artigo 38.º.

3 – A fim de promover a troca de conhecimento, a partilha de boas práticas e a mobilização de

conhecimentos especializados de entidades do setor privado no apoio à autoridade de cibersegurança

competente, podem ser adotadas parcerias público-privadas para a cibersegurança, definindo o âmbito e as

partes envolvidas, o modelo de governação, as opções de financiamento disponíveis e a interação entre as

partes participantes.

4 – Podem ser celebrados, entre as entidades referidas no n.º 1 bem como, quando pertinente, com os seus

fornecedores ou prestadores de serviços, acordos de partilha de informações sobre cibersegurança, para os