II SÉRIE-A — NÚMERO 191

16

Artigo 6.º

Aditamento à Lei n.º 53/2008, de 29 de agosto

É aditado o artigo 25.º-A à Lei de Segurança Interna, aprovada pela Lei n.º 53/2008, de 29 de agosto, na sua

redação atual, com a seguinte redação:

«Artigo 25.º-A

Gabinete de crise

1 – O gabinete de crise referido no n.º 4 do artigo 16.º é composto por representantes da Polícia Judiciária,

do Serviço de Informações de Segurança, do Serviço de Informações Estratégicas de Defesa, do Centro

Nacional de Cibersegurança e do Comando de Operações de Ciberdefesa, ou de outras entidades com

relevância em razão da matéria.

2 – O gabinete de crise referido no número anterior visa assegurar, de forma coordenada e sem prejuízo

das competências legalmente atribuídas a cada entidade, a condução de crises de cibersegurança com impacto

na segurança interna e, em situações de ocorrências com impacto transnacional, garantir a interoperabilidade

funcional com entidades congéneres da União Europeia.»

Artigo 7.º

Aditamento à Lei n.º 109/2009, de 15 de setembro

É aditado o artigo 8.º-A à Lei do Cibercrime, aprovada pela Lei n.º 109/2009, de 15 de setembro, na sua

redação atual, com a seguinte redação:

«Artigo 8.º-A

Atos não puníveis por interesse público de cibersegurança

1 – Não são puníveis factos suscetíveis de consubstanciar os crimes de acesso ilegítimo e de interceção

ilegítima previstos, respetivamente, nos artigos 6.º e 7.º, se verificadas, cumulativamente, as seguintes

circunstâncias:

a) O agente atue com a intenção única de identificar a existência de vulnerabilidades em sistema de

informação, produtos e serviços de tecnologias de informação e comunicação, que não tenham sido criadas por

si ou por terceiro de quem dependa, e com propósito de, através da sua divulgação, contribuir para a segurança

do ciberespaço;

b) O agente não atue com o propósito de obter vantagem económica ou promessa de vantagem económica

decorrente da sua ação, sem prejuízo da remuneração que aquele obtenha como contrapartida da sua atividade

profissional;

c) O agente comunique, imediatamente após a sua ação, as eventuais vulnerabilidades identificadas, ao

proprietário ou pessoa por ele designada para gerir o sistema de informação, produto ou serviço de tecnologias

de informação e comunicação, ao titular de quaisquer dados obtidos e que se encontrem protegidos ao abrigo

da legislação aplicável em matéria de proteção de dados pessoais, designadamente, o Regulamento Geral de

Proteção de Dados (RGPD), aprovado pelo Regulamento (UE) 2016/679, do Parlamento Europeu e do

Conselho, de 27 de abril de 2016, a Lei n.º 26/2016, de 22 de agosto, na sua redação atual, a Lei n.º 58/2019,

de 8 de agosto e a Lei n.º 59/2019, de 8 de agosto;

d) A atuação do agente seja proporcional aos seus propósitos e estritamente limitada pelos mesmos,

bastando-se com as ações necessárias à identificação das vulnerabilidades e não provocando:

i) Uma perturbação ou interrupção do funcionamento do sistema ou serviço em causa;

ii) A eliminação ou deterioração de dados informáticos ou a sua cópia não autorizada;

iii) Qualquer efeito prejudicial, danoso ou nocivo sobre a pessoa ou entidade afetada, direta ou

indiretamente, ou sobre quaisquer terceiros, excluindo os efeitos correspondentes ao próprio acesso