O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

14 DE FEVEREIRO DE 2025

5

i) A previsão de obrigações próprias dos órgãos de gestão, direção e administração das entidades

abrangidas;

ii) A previsão de um sistema de gestão de riscos de cibersegurança, constituído das medidas técnicas,

operacionais e organizativas adequadas para gerir os riscos de cibersegurança;

iii) A imposição de uma análise do risco residual, da emissão de um relatório anual sobre cibersegurança

e da designação de um responsável de cibersegurança e de um ponto de contacto permanente nas

entidades abrangidas;

f) Prever um novo regime de prevenção e tratamento de incidentes de cibersegurança, incluindo,

designadamente, o dever de as entidades abrangidas notificarem qualquer incidente significativo à autoridade

de cibersegurança competente;

g) Prever um novo regime de supervisão e execução em matéria de cibersegurança, que habilita a

autoridade de cibersegurança competente a supervisionar o cumprimento do regime e a adotar, em relação às

entidades abrangidas, medidas adequadas à prossecução daquele cumprimento, submetidas ao princípio da

proporcionalidade e a garantias procedimentais, designadamente:

i) Inspeções no local e a supervisão remota;

ii) Auditorias de segurança e ad hoc;

iii) Verificações de segurança;

iv) Pedidos de informações e de apresentação das provas demonstrativas da aplicação das políticas e

procedimentos de cibersegurança;

v) Advertências, ordens ou instruções vinculativas;

vi) Suspensão de certificação, autorização ou licença relativa à atividade da entidade;

vii) Solicitação ao órgão competente da suspensão da autorização ou da licença relativa à atividade da

entidade;

viii) Bloqueio e redireccionamento de endereços de protocolo IP;

h) Estabelecer um novo regime sancionatório em matéria de cibersegurança, incluindo, designadamente, a

previsão de um regime contraordenacional, a previsão da possibilidade de as entidades solicitarem

fundamentadamente à autoridade de cibersegurança competente a dispensa da aplicação de coimas durante

12 meses a contar da entrada em vigor do regime, e ainda a impugnabilidade das decisões da autoridade de

cibersegurança competente no âmbito de processos de contraordenação para os tribunais judiciais.

Artigo 4.º

Sentido e extensão relativos ao disposto na alínea c) do artigo 2.º

A autorização legislativa referida na alínea c) do artigo 2.º é concedida com o sentido e extensão de prever

e regular um novo gabinete de crise, visando assegurar a condução de crises de cibersegurança com impacto

na segurança interna.

Artigo 5.º

Sentido e extensão relativos ao disposto na alínea d) do artigo 2.º

A autorização legislativa referida na alínea d) do artigo 2.º é concedida com o sentido e extensão de proceder

à despenalização de factos suscetíveis de consubstanciar os crimes de acesso ilegítimo e de interceção ilegítima

mediante a verificação cumulativa de um conjunto de circunstâncias, incluindo, designadamente:

a) O agente atuar com a intenção única de identificar a existência de vulnerabilidades em sistema de

informação, produtos e serviços de tecnologias de informação e comunicação, e com propósito de contribuir

para a segurança do ciberespaço;

b) O agente não atuar com o propósito de obter vantagem económica ou promessa de vantagem económica

decorrente da sua ação;