O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

14 DE FEVEREIRO DE 2025

45

fiscaliza e supervisiona o cumprimento do presente decreto-lei e adota as medidas necessárias para garantir

esse cumprimento.

2 – As atividades de supervisão e de execução são orientadas, designadamente, pelos princípios da

prossecução do interesse público, da legalidade, da eficiência, da eficácia e da proporcionalidade, devendo

minimizar, sempre que possível, o seu impacto nas atividades públicas, sociais e empresariais das entidades

supervisionadas.

3 – A atividade de supervisão assenta em metodologias de avaliação de risco e, com fundamento nessa

avaliação e nos princípios referidos no número anterior, pode determinar a afetação prioritária de recursos e as

medidas a adotar em função da matriz de risco aplicável à entidade em causa, nomeadamente no que respeita

à realização, frequência ou tipo de inspeções no local, às auditorias de segurança direcionadas ou verificações

de segurança e ao tipo de informações a solicitar.

4 – As atividades de supervisão e de execução são exercidas com autonomia operacional, incluindo as que

visam as entidades públicas relevantes.

5 – As atividades de supervisão e de execução respeitam as garantias dos particulares legal e

constitucionalmente previstas.

Artigo 54.º

Medidas de supervisão relativas a entidades essenciais

1 – A autoridade de cibersegurança competente dispõe, relativamente a entidades essenciais, de poderes

para as submeter às seguintes medidas:

a) Inspeções no local e a supervisão remota, incluindo controlos aleatórios efetuados por profissionais

qualificados;

b) Auditorias de segurança, regulares ou direcionadas, realizadas pela própria autoridade competente ou,

quando tal se justifique, por uma entidade devidamente qualificada para o efeito que ofereça garantias de

independência;

c) Auditorias ad hoc, designadamente com fundamento na verificação de incidente significativo,

incumprimento de ordens, instruções e orientações da autoridade de cibersegurança competente ou infração ao

presente decreto-lei por parte da entidade em causa;

d) Verificações de segurança com base em critérios de avaliação dos riscos objetivos, não discriminatórios,

equitativos e transparentes, se necessário em cooperação com a entidade em causa;

e) Pedidos de informações necessários para avaliar o cumprimento das medidas de cibersegurança

referidas nos artigos 27.º e seguintes, adotadas pela entidade em causa;

f) Pedidos de acesso a dados, documentos e informações necessários ao desempenho das suas funções

de supervisão;

g) Pedidos de apresentação das provas demonstrativas da aplicação das políticas e procedimentos de

cibersegurança.

2 – As auditorias direcionadas referidas na alínea b) do n.º 1 baseiam-se na análise de risco realizada pela

autoridade de cibersegurança competente, na análise de risco realizada pela entidade auditada ou noutras

informações disponíveis relacionadas com os riscos, nomeadamente as constantes das instruções técnicas de

harmonização e as matrizes de risco elaboradas pelo CNCS, nos termos do n.º 4 do artigo 26.º, bem como das

ordens, instruções e orientações da autoridade de cibersegurança competente.

3 – Os custos das auditorias direcionadas referidas nas alíneas b) do n.º 1, são suportados pela entidade

auditada, salvo decisão contrária fundamentada da autoridade de cibersegurança competente.

4 – Os pedidos de informação e de prova referidos nas alíneas e) a g) no n.º 1 devem indicar a respetiva

finalidade, especificar a informação solicitada e fixar um prazo adequado e razoável para a entidade essencial

lhes dar resposta.

Artigo 55.º

Medidas de supervisão relativas a entidades importantes e públicas relevantes

1 – Sempre que obtenha provas, indícios ou informações de que uma entidade importante ou pública