O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 182

34

2 – As entidades essenciais e importantes devem adotar ainda, sem demora injustificada, todas as medidas

de cibersegurança corretivas necessárias, adequadas e proporcionais, que sejam indispensáveis ao suprimento

de falhas ou omissões no cumprimento das medidas previstas no número anterior.

3 – As autoridades nacionais setoriais de cibersegurança podem emitir disposições regulamentares para

adoção de medidas de cibersegurança específicas do sector, sem prejuízo do disposto no n.º 3 do artigo 20.º.

Artigo 28.º

Cadeiadeabastecimento

As medidas de cibersegurança relativas à segurança da cadeia de abastecimento, incluindo aspetos de

segurança respeitantes às relações entre cada entidade e os respetivos fornecedores ou prestadores de

serviços diretos, devem considerar, designadamente:

a) As vulnerabilidades específicas de cada fornecedor direto e cada prestador de serviços;

b) A qualidade global dos produtos na componente de cibersegurança;

c) As práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os respetivos

procedimentos de desenvolvimento seguro;

d) As avaliações coordenadas dos riscos de segurança de cadeias de abastecimento de produtos de TIC,

sistemas de TIC ou serviços de TIC críticos que sejam realizadas nos termos do artigo 22.º da Diretiva (UE)

2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro;

e) As decisões relativas à aplicação de restrições à utilização, a cessação de utilização ou exclusão de

equipamentos, componentes ou serviços de tecnologias de informação e comunicação, ao abrigo do disposto

no n.º 3 do artigo 18.º.

Artigo 29.º

Gestão do risco residual

1 – As entidades essenciais e importantes devem realizar uma análise e gestão de riscos em relação a

todos os ativos que garantam a continuidade do funcionamento das redes e sistemas de informação que utilizam,

incluindo aos ativos que garantam a prestação dos serviços essenciais, com a periodicidade e os elementos

técnicos e documentais a definir por regulamento da autoridade de cibersegurança competente, para além do

cumprimento das medidas de cibersegurança mínimas nos termos do n.º 5 do artigo 26.º.

2 – Com base na análise e gestão de riscos referida no número anterior, as entidades essenciais e

importantes devem adotar as medidas de cibersegurança adequadas e proporcionais de forma a gerir os riscos

que se colocam à segurança das redes e dos sistemas de informação que utilizam, incluindo os riscos residuais,

tendo em conta o QNRCS, os progressos técnicos mais recentes e, se aplicáveis, as normas europeias e

internacionais pertinentes.

3 – As entidades essenciais e importantes devem documentar a preparação, a execução e a apresentação

dos resultados da análise dos riscos.

Artigo 30.º

Relatório anual

1 – As entidades essenciais e importantes devem elaborar e manter um relatório anual que contenha os

seguintes elementos em relação ao ano civil a que se reportam:

a) Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos

serviços de informação;

b) Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes;

c) Análise agregada dos incidentes com impacto significativo, com informação sobre:

i) Número de utilizadores afetados pela perturbação serviço;