O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 182

32

seguintes fins:

a) Evitar, detetar, responder e recuperar de incidentes ou atenuar o seu impacto;

b) Reforçar o nível de cibersegurança, em especial ao sensibilizar para as ciberameaças, limitar ou impedir

a sua capacidade de disseminação, apoiar um leque de capacidades defensivas, a correção e divulgação de

vulnerabilidades, as técnicas de deteção, contenção e prevenção de ameaças, as estratégias de atenuação ou

as fases de resposta e recuperação, ou promover a investigação colaborativa de ciberameaças entre entidades

públicas e privadas.

5 – As partes signatárias dos acordos de partilha de informação, quando necessário, tomam medidas para

proteger a natureza sensível das informações partilhadas e limitar a sua distribuição, em conformidade com o

designado TLP (Traffic Light Protocol, na expressão e sigla de língua inglesa).

6 – As entidades essenciais e importantes são obrigadas a notificar a autoridade de cibersegurança

competente da sua participação nos acordos referidos no n.º 4, aquando da sua celebração, ou, quando

aplicável, da sua retirada de tais acordos, assim que esta produza efeitos.

7 – Os acordos referidos no n.º 4, quando celebrados por entidades essenciais e importantes abrangidas

pelo Regulamento (UE) 2022/2554, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo

à resiliência operacional digital do setor financeiro, são comunicados às respetivas autoridades nacionais

especiais de cibersegurança.

8 – O CNCS assegura e gere uma plataforma em linha para a partilha de informações.

CAPÍTULO IV

Gestão dos riscos de cibersegurança e outros deveres

Secção I

Gestão da cibersegurança e da segurança da informação

Artigo 25.º

Obrigações dos órgãos de gestão, direção e administração

1 – Os órgãos de gestão, direção e administração das entidades essenciais e importantes:

a) Aprovam as medidas de gestão dos riscos de cibersegurança, adotadas em conformidade com o artigo

27.º;

b) Supervisionam a aplicação das medidas de gestão dos riscos de cibersegurança;

c) Asseguram o cumprimento das medidas de supervisão e de execução, a que se refere o Capítulo VI do

presente decreto-lei;

d) Asseguram a realização, com uma periodicidade regular, de ações de formação em cibersegurança, de

forma a promover uma cultura de gestão interna sobre práticas de gestão dos riscos de cibersegurança.

2 – Os titulares dos órgãos de gestão, direção e administração podem responder por ação ou omissão, com

dolo ou culpa grave, nos termos da legislação aplicável, pelas infrações previstas no presente decreto-lei.

3 – A responsabilidade e poderes necessários para o cumprimento das obrigações referidas no presente

artigo não podem ser delegados, exceto num dos titulares dos órgãos de gestão, direção e administração.

Artigo 26.º

Sistema de gestão de riscos de cibersegurança

1 – As entidades essenciais e importantes são responsáveis por garantir a segurança das redes e dos

sistemas de informação, tomando as medidas técnicas, operacionais e organizativas adequadas para gerir os

riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam nas suas operações e