II SÉRIE-A — NÚMERO 182

6

c) O agente comunicar imediatamente as eventuais vulnerabilidades identificadas, ao proprietário ou pessoa

por ele designada para gerir o sistema de informação, produto ou serviço de tecnologias de informação e

comunicação, ao titular de quaisquer dados obtidos e que se encontrem protegidos ao abrigo da legislação

aplicável em matéria de proteção de dados pessoais;

d) A atuação do agente ser proporcional aos seus propósitos e estritamente limitada pelos mesmos;

e) A atuação do agente não violar dados pessoais protegidos ao abrigo da legislação aplicável em matéria

de proteção de dados pessoais.

Artigo 6.º

Duração

A autorização concedida pela presente lei tem a duração de 180 dias.

Visto e aprovado em Conselho de Ministros de 6 de fevereiro de 2025.

O Primeiro-Ministro, Luís Filipe Montenegro Cardoso de Morais Esteves — O Ministro da Presidência, António

Egrejas Leitão Amaro — O Ministro dos Assuntos Parlamentares, Pedro Miguel de Azeredo Duarte.

Decreto-Lei autorizado

O presente decreto-lei aprova o regime jurídico da cibersegurança, transpondo a Diretiva (UE) 2022/2555,

do Parlamento Europeu e do Conselho, de 14 de dezembro, destinada a garantir um elevado nível comum de

cibersegurança em toda a União.

A preservação da cibersegurança desempenha um papel crucial em matéria de segurança nacional e

internacional, no funcionamento do Estado e dos agentes económicos, bem como na construção da confiança

dos cidadãos no processo de modernização digital da Administração Pública.

A transposição para o ambiente digital de funções essenciais das atividades institucionais e da vivência

pessoal e profissional dos cidadãos justifica o reforço do quadro regulamentar e organizacional de

cibersegurança, executado em harmonia com todo o espaço e em defesa contra ciberameaças comuns.

Esta iniciativa legislativa ocorre perante a consciência, não só da gravidade premente colocada pelas

múltiplas ciberameaças, como do elevado potencial disruptivo das suas ações hostis contra ativos digitais, sendo

imperioso um reforço da capacitação nacional para a prevenção de atos que possam condicionar a segurança

e o interesse nacional, bem como as múltiplas dinâmicas funcionais e produtivas da sociedade portuguesa.

De facto, perante o aumento assinalável da quantidade e da sofisticação das ameaças, bem como a

crescente utilização e dependência do uso das tecnologias de informação e comunicação por toda a sociedade,

afigura-se indispensável assegurar a generalização da cibersegurança na cultura organizacional do tecido

empresarial português e nas entidades, órgãos e serviços que constituem a Administração Pública.

Com efeito, o aumento da ocorrência de incidentes de cibersegurança pode comprometer a segurança e o

interesse nacional, acarretar perigo para a vida humana, perdas de natureza financeira, bem como comprometer

a confidencialidade, a integridade e a disponibilidade da informação, das redes e dos sistemas de informação

da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços essenciais e

dos prestadores de serviços digitais. Em face destas ameaças e considerando o disposto na Diretiva a transpor,

o regime aprovado pelo presente decreto-lei expande significativamente o conjunto de entidades abrangidas

pelo regime, priorizando, por um lado, a generalização da prevenção dos riscos de cibersegurança, mas

graduando a exigência regulatória em função da dimensão da entidade e da importância da sua atividade, bem

como privilegiando a proporcionalidade das medidas aplicáveis. O seu âmbito de aplicação abrange uma parte

significativa da Administração Pública, adaptando o regime à dimensão e tipologia da entidade pública em causa.

É ainda de assinalar que, tal como admitido pela Diretiva a transpor, o regime aprovado pelo presente decreto-

lei exclui do seu âmbito de aplicação as entidades públicas nos domínios da segurança nacional, da segurança

pública, da defesa e dos serviços de informações.