Debates Parlamentares - Diário 182, p. 46 (2025-02-14)

O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.

Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 182

relevante não está a cumprir o presente decreto-lei, a autoridade de cibersegurança competente aplica as

medidas de supervisão ex post previstas nos números seguintes.

2 – A autoridade de cibersegurança competente dispõe, relativamente a entidades importantes, de poderes

para as submeter às seguintes medidas:

a) Inspeções no local e supervisão ex post remota efetuadas por profissionais qualificados;

b) Auditorias de segurança direcionadas realizadas pela própria autoridade competente ou, quando tal se

justifique, por uma entidade devidamente qualificada para o efeito que ofereça garantias de independência;

c) Auditorias ad hoc, designadamente com fundamento na verificação de incidente significativo,

incumprimento de ordens, instruções e orientações da autoridade de cibersegurança competente ou infração ao

presente decreto-lei por parte da entidade em causa;

d) Verificações de segurança com base em critérios de avaliação dos riscos objetivos, não discriminatórios,

equitativos e transparentes, se necessário em cooperação com a entidade em causa;

e) Pedidos de informações necessários para avaliar o cumprimento das medidas de cibersegurança

referidas nos artigos 27.º e seguintes, adotadas pela entidade em causa;

f) Pedidos de acesso a dados, documentos e quaisquer informações necessárias para o desempenho das

suas funções de supervisão;

g) Pedidos de apresentação das provas demonstrativas da aplicação das políticas e procedimentos de

cibersegurança.

3 – As auditorias direcionadas referidas na alínea b) do n.º 2 baseiam-se na análise de risco realizada pela

autoridade de cibersegurança competente, na análise de risco realizada pela entidade auditada ou noutras

informações disponíveis relacionadas com os riscos, nomeadamente as constantes das instruções técnicas de

harmonização e as matrizes de risco elaboradas pelo CNCS, nos termos do n.º 4 do artigo 26.º, bem como das

ordens, instruções e orientações da autoridade de cibersegurança competente.

4 – Os custos das auditorias direcionadas referidas na alínea b) do n.º 2 são suportados pela entidade

auditada, salvo decisão contrária fundamentada da autoridade de cibersegurança competente.

5 – Os pedidos de informação e de prova referidos nas alíneas e) a g) do n.º 2 devem indicar a respetiva

finalidade, especificar a informação solicitada e fixar um prazo adequado e razoável para a entidade essencial

lhes dar resposta.

Artigo 56.º

Medidas de execução

1 – A autoridade de cibersegurança competente pode, relativamente a entidades essenciais, importantes e

públicas relevantes, adotar medidas que incluam o seguinte:

a) Advertências sobre infrações dos deveres decorrentes do presente decreto-lei e do respetivo regime

regulamentar aplicável;

b) Ordens ou instruções vinculativas com vista à adoção de medidas necessárias para prevenir, impedir ou

corrigir um incidente, determinando os prazos para a sua execução e respetiva informação;

c) Ordens ou instruções vinculativas com vista à correção de deficiências ou infrações ao presente decreto-

lei;

d) Ordens ou instruções vinculativas com vista ao cumprimento do disposto no artigo 26.º e seguintes ou,

quando se trate de uma entidade pública relevante, do disposto no artigo 33.º, ou ainda com vista ao

cumprimento do disposto nos artigos 40.º e seguintes;

e) Ordens para que as entidades em causa informem as pessoas singulares ou coletivas a quem prestam

serviços ou que realizam atividades potencialmente afetadas por ciberameaça significativa da natureza desta,

bem como de quaisquer medidas de proteção ou corretivas que possam ser adotadas em resposta a essa

ciberameaça;

f) Ordens para que a entidade em causa aplique, num prazo razoável, as recomendações formuladas em

resultado de uma auditoria de segurança;

II SÉRIE-A — NÚMERO 182 46 relevante não está a cumprir o presente decreto-lei, a autoridade de cibersegurança competente aplica as medidas de supervisão ex post previstas nos números seguintes. 2 – A autoridade de cibersegurança competente dispõe, relativamente a entidades importantes, de poderes para as submeter às seguintes medidas: a) Inspeções no local e supervisão ex post remota efetuadas por profissionais qualificados; b) Auditorias de segurança direcionadas realizadas pela própria autoridade competente ou, quando tal se justifique, por uma entidade devidamente qualificada para o efeito que ofereça garantias de independência; c) Auditorias ad hoc, designadamente com fundamento na verificação de incidente significativo, incumprimento de ordens, instruções e orientações da autoridade de cibersegurança competente ou infração ao presente decreto-lei por parte da entidade em causa; d) Verificações de segurança com base em critérios de avaliação dos riscos objetivos, não discriminatórios, equitativos e transparentes, se necessário em cooperação com a entidade em causa; e) Pedidos de informações necessários para avaliar o cumprimento das medidas de cibersegurança referidas nos artigos 27.º e seguintes, adotadas pela entidade em causa; f) Pedidos de acesso a dados, documentos e quaisquer informações necessárias para o desempenho das suas funções de supervisão; g) Pedidos de apresentação das provas demonstrativas da aplicação das políticas e procedimentos de cibersegurança. 3 – As auditorias direcionadas referidas na alínea b) do n.º 2 baseiam-se na análise de risco realizada pela autoridade de cibersegurança competente, na análise de risco realizada pela entidade auditada ou noutras informações disponíveis relacionadas com os riscos, nomeadamente as constantes das instruções técnicas de harmonização e as matrizes de risco elaboradas pelo CNCS, nos termos do n.º 4 do artigo 26.º, bem como das ordens, instruções e orientações da autoridade de cibersegurança competente. 4 – Os custos das auditorias direcionadas referidas na alínea b) do n.º 2 são suportados pela entidade auditada, salvo decisão contrária fundamentada da autoridade de cibersegurança competente. 5 – Os pedidos de informação e de prova referidos nas alíneas e) a g) do n.º 2 devem indicar a respetiva finalidade, especificar a informação solicitada e fixar um prazo adequado e razoável para a entidade essencial lhes dar resposta. Artigo 56.º Medidas de execução 1 – A autoridade de cibersegurança competente pode, relativamente a entidades essenciais, importantes e públicas relevantes, adotar medidas que incluam o seguinte: a) Advertências sobre infrações dos deveres decorrentes do presente decreto-lei e do respetivo regime regulamentar aplicável; b) Ordens ou instruções vinculativas com vista à adoção de medidas necessárias para prevenir, impedir ou corrigir um incidente, determinando os prazos para a sua execução e respetiva informação; c) Ordens ou instruções vinculativas com vista à correção de deficiências ou infrações ao presente decreto-lei; d) Ordens ou instruções vinculativas com vista ao cumprimento do disposto no artigo 26.º e seguintes ou, quando se trate de uma entidade pública relevante, do disposto no artigo 33.º, ou ainda com vista ao cumprimento do disposto nos artigos 40.º e seguintes; e) Ordens para que as entidades em causa informem as pessoas singulares ou coletivas a quem prestam serviços ou que realizam atividades potencialmente afetadas por ciberameaça significativa da natureza desta, bem como de quaisquer medidas de proteção ou corretivas que possam ser adotadas em resposta a essa ciberameaça; f) Ordens para que a entidade em causa aplique, num prazo razoável, as recomendações formuladas em resultado de uma auditoria de segurança;

Descarregar páginas