O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

14 DE FEVEREIRO DE 2025

43

cibersegurança, ao abrigo do presente decreto-lei, para autoridades ou entidades competentes nacionais, da

União Europeia ou de outro Estado-Membro limita-se ao necessário e proporcional, em conformidade com a

legislação aplicável em matéria de proteção de dados pessoais, designadamente, o RGPD, a Lei n.º 26/2016,

de 22 de agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto, e a Lei n.º 59/2019, de 8 de agosto.

2 – A autoridade de cibersegurança competente garante a proteção adequada das informações e dados,

qualquer que seja a sua natureza, transmitidos pelas entidades essenciais, importantes e públicas relevantes

em matéria de confidencialidade e segredo comercial.

3 – O n.º 2 aplica-se, com as devidas adaptações, às informações fornecidas pelas pessoas singulares e

coletivas que procedam a uma notificação ao abrigo do artigo anterior.

Artigo 48.º

Comunicação aos destinatários dos serviços

1 – As entidades essenciais, importantes e públicas relevantes comunicam aos destinatários dos seus

serviços, sem demora injustificada, quaisquer incidentes com impacto significativo que sejam suscetíveis de os

afetar negativamente.

2 – As entidades essenciais, importantes e públicas relevantes comunicam aos destinatários dos seus

serviços potencialmente afetados por uma ciberameaça significativa, sem demora injustificada, as medidas ou

soluções que estes podem adotar para responder à ameaça e, quando apropriado, comunicam aos mesmos a

ciberameaça em causa.

3 – A comunicação referida no número anterior não dispensa as entidades em causa do dever de, a

expensas suas, adotarem as medidas adequadas e imediatas para prevenir ou remediar quaisquer ameaças e

restabelecer o nível normal de segurança do serviço que prestam.

4 – A informação referida nos números anteriores deve ser prestada de forma gratuita e em linguagem

facilmente compreensível.

Secção III

Comunicação de incidentes, informação ao público e resposta

Artigo 49.º

Comunicação entre autoridades

1 – As autoridades nacionais setoriais e especiais de cibersegurança comunicam ao CNCS todos os

incidentes de que são notificados nos termos do disposto no artigo 40.º, e informam aquela autoridade da

respetiva evolução.

2 – Para efeitos do artigo 21.º, o CNCS comunica ao Secretário-Geral do Sistema de Segurança Interna,

sem demora injustificada, os incidentes de que são notificados nos termos do disposto no artigo 40.º, que sejam

suscetíveis de ser qualificados como de grande escala.

3 – O CNCS informa, quando entenda ser necessário, as autoridades nacionais setoriais e especiais de

cibersegurança das notificações voluntárias nos termos do artigo 45.º.

4 – O disposto no presente artigo aplica-se, com as devidas adaptações, às notificações efetuadas nos

termos do artigo 42.º.

5 – As comunicações referidas nos números anteriores são feitas de forma imediata, através de meios

eletrónicos.

Artigo 50.º

Comunicação a entidades no âmbito da União Europeia ou dos seus Estados-Membros

1 – Sempre que se justificar, nomeadamente quando um incidente significativo envolver pelo menos outro

Estado-Membro da União Europeia, o CNCS deve informar os outros Estados-Membros afetados, designados

ao abrigo do artigo 8.º da Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro,

e a ENISA da ocorrência do mesmo, com envolvimento dos canais de cooperação em matéria de cooperação

policial e em matéria de serviços de informações.