O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 182

48

quando estes endereços estejam manifestamente dedicados ou envolvidos nos tipos de ciberataques ou

incidentes previstos nas alíneas a) a d) do n.º 2.

5 – As medidas referidas nos n.os 3 e 4 não podem exceder o período de 60 dias, podendo este ser renovado

por igual período quando haja forte probabilidade, aferida mediante uma avaliação fundamentada, de os

ciberataques ou incidentes com origem nos mesmos endereços persistirem ou serem retomados.

6 – O disposto no presente artigo aplica-se igualmente aos prestadores de serviços de registo de nomes de

domínio.

Artigo 58.º

Garantias procedimentais

1 – A autoridade de cibersegurança competente apresenta uma fundamentação adequada das suas

decisões de aplicação das medidas de execução, devendo também, nos termos gerais, proceder à audiência

prévia da entidade em causa dentro de um prazo razoável, não inferior a 10 dias.

2 – Dispensa-se a audiência prévia referida no número anterior sempre que houver necessidade,

devidamente fundamentada, de aplicação de medidas imediatas para prevenir ou responder a incidentes ou

ciberameaças significativas.

3 – Ao aplicar qualquer uma das medidas de execução referidas nos números anteriores, a autoridade de

cibersegurança competente deve respeitar as garantias procedimentais da entidade, atendendo às

circunstâncias do caso concreto, e ponderar, designadamente:

a) A gravidade da infração e a importância das disposições violadas;

b) A duração da infração;

c) Quaisquer anteriores infrações relevantes cometidas pela entidade em causa:

d) Quaisquer danos materiais ou imateriais causados, incluindo quaisquer prejuízos financeiros ou

económicos, os efeitos noutros serviços e o número de utilizadores afetados;

e) Quaisquer medidas tomadas pela entidade para prevenir ou atenuar os danos materais ou imaterais;

f) A culpa do agente;

g) O nível de cooperação das pessoas singulares ou coletivas responsáveis com a autoridade de

cibersegurança competente.

4 – Para efeitos da alínea a) do número anterior, presumem-se graves:

a) Violações repetidas do presente decreto-lei;

b) Incumprimento do dever de notificação de incidentes nos termos dos artigos 40.º e seguintes;

c) Incumprimento do dever de correção de incidentes significativos;

d) Incumprimento do dever de correção de deficiências na sequência de instruções vinculativas da

autoridade de cibersegurança competente;

e) Obstrução de auditorias ou atividades de acompanhamento ordenadas pela autoridade de cibersegurança

competente, na sequência da verificação de uma infração ao presente decreto-lei;

f) Prestação de informações falsas ou grosseiramente inexatas em relação às medidas de cibersegurança

previstas nos artigos 26.º e seguintes, ou das obrigações de notificação, previstas nos artigos 40.º e seguintes.

Secção II

Cooperação entre autoridades com competências de supervisão

Artigo 59.º

Comunicação de incidentes e aplicação de medidas

1 – As autoridades nacionais setoriais de cibersegurança e as autoridades nacionais especiais de

cibersegurança informam o CNCS da ocorrência de incidentes ou ciberameaças significativas, bem como da

aplicação de medidas de supervisão e de execução em matéria de cibersegurança, nos termos do regime