Debates Parlamentares - Diário 182, p. 39 (2025-02-14)

O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.

Não foi possivel carregar a página pretendida. Reportar Erro

14 DE FEVEREIRO DE 2025

domínio garantem o acesso a dados específicos relativos ao registo de nomes de domínio a quem apresente

um pedido de acesso lícito e devidamente fundamentado, em conformidade com a legislação aplicável em

matéria de proteção de dados pessoais, designadamente, o RGPD, a Lei n.º 26/2016, de 22 de agosto, na sua

redação atual, a Lei n.º 58/2019, de 8 de agosto, e a Lei n.º 59/2019, de 8 de agosto.

2 – Os pedidos de acesso referidos no número anterior são concedidos no prazo de 72 horas a contar da

receção do mesmo.

CAPÍTULO V

Prevenção e tratamento de incidentes

Secção I

Prevenção e acompanhamento de vulnerabilidades

Artigo 38.º

Vulnerabilidades em sistemas de informação

1 – O «CERT.PT» é a entidade coordenadora nacional para efeitos da divulgação coordenada de

vulnerabilidades que afetem redes e sistemas de informação, produtos, componentes e serviços de tecnologias

de informação e comunicação.

2 – O «CERT.PT» desempenha o papel de intermediário de confiança, facilitando a interação entre a pessoa

singular ou coletiva notificadora e o fabricante ou fornecedor de produtos de TIC ou prestador de serviços de

TIC que sejam potencialmente vulneráveis, a pedido de qualquer uma das partes.

3 – As funções da «CERT.PT» incluem, designadamente:

a) A identificação e o contacto das entidades referidas no número anterior;

b) A prestação de apoio às pessoas singulares ou coletivas que notifiquem vulnerabilidades;

c) A negociação do calendário de divulgação e a gestão das vulnerabilidades que afetem várias entidades.

4 – O «CERT.PT» preserva o anonimato de qualquer pessoa singular ou coletiva que comunique uma

vulnerabilidade, caso esta lho solicite, sem prejuízo do disposto na Lei do Cibercrime, aprovada pela Lei

n.º 109/2009, de 15 de setembro, na redação introduzida pelo presente decreto-lei.

5 – Os dados incluídos nas comunicações realizadas ao abrigo do presente artigo devem ser eliminados no

prazo de 10 dias, contados a partir do momento em que a vulnerabilidade seja corrigida, devendo garantir-se a

confidencialidade dos mesmos durante todo o procedimento.

Artigo 39.º

Comunicação de vulnerabilidades

Quando a vulnerabilidade possa ter impacto importante sobre entidades em mais do que um Estado-Membro

da União Europeia, o «CERT.PT» coopera com as suas congéneres, quer no âmbito da Rede Europeia de

CSIRT, quer no âmbito da UE-CyCLONe.

Secção II

Notificação de incidentes

Artigo 40.º

Notificação obrigatória

1 – As entidades essenciais, importantes e públicas relevantes notificam qualquer incidente significativo à

autoridade de cibersegurança competente.

2 – O cumprimento da mera notificação não gera responsabilidade acrescida para a entidade notificante.

14 DE FEVEREIRO DE 2025 39 domínio garantem o acesso a dados específicos relativos ao registo de nomes de domínio a quem apresente um pedido de acesso lícito e devidamente fundamentado, em conformidade com a legislação aplicável em matéria de proteção de dados pessoais, designadamente, o RGPD, a Lei n.º 26/2016, de 22 de agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto, e a Lei n.º 59/2019, de 8 de agosto. 2 – Os pedidos de acesso referidos no número anterior são concedidos no prazo de 72 horas a contar da receção do mesmo. CAPÍTULO V Prevenção e tratamento de incidentes Secção I Prevenção e acompanhamento de vulnerabilidades Artigo 38.º Vulnerabilidades em sistemas de informação 1 – O «CERT.PT» é a entidade coordenadora nacional para efeitos da divulgação coordenada de vulnerabilidades que afetem redes e sistemas de informação, produtos, componentes e serviços de tecnologias de informação e comunicação. 2 – O «CERT.PT» desempenha o papel de intermediário de confiança, facilitando a interação entre a pessoa singular ou coletiva notificadora e o fabricante ou fornecedor de produtos de TIC ou prestador de serviços de TIC que sejam potencialmente vulneráveis, a pedido de qualquer uma das partes. 3 – As funções da «CERT.PT» incluem, designadamente: a) A identificação e o contacto das entidades referidas no número anterior; b) A prestação de apoio às pessoas singulares ou coletivas que notifiquem vulnerabilidades; c) A negociação do calendário de divulgação e a gestão das vulnerabilidades que afetem várias entidades. 4 – O «CERT.PT» preserva o anonimato de qualquer pessoa singular ou coletiva que comunique uma vulnerabilidade, caso esta lho solicite, sem prejuízo do disposto na Lei do Cibercrime, aprovada pela Lei n.º 109/2009, de 15 de setembro, na redação introduzida pelo presente decreto-lei. 5 – Os dados incluídos nas comunicações realizadas ao abrigo do presente artigo devem ser eliminados no prazo de 10 dias, contados a partir do momento em que a vulnerabilidade seja corrigida, devendo garantir-se a confidencialidade dos mesmos durante todo o procedimento. Artigo 39.º Comunicação de vulnerabilidades Quando a vulnerabilidade possa ter impacto importante sobre entidades em mais do que um Estado-Membro da União Europeia, o «CERT.PT» coopera com as suas congéneres, quer no âmbito da Rede Europeia de CSIRT, quer no âmbito da UE-CyCLONe. Secção II Notificação de incidentes Artigo 40.º Notificação obrigatória 1 – As entidades essenciais, importantes e públicas relevantes notificam qualquer incidente significativo à autoridade de cibersegurança competente. 2 – O cumprimento da mera notificação não gera responsabilidade acrescida para a entidade notificante.

Descarregar páginas