O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

28 DE FEVEREIRO DE 2025

17

ilegítimo ou interceção ilegítima, nos termos previstos nos artigos 6.º e 7.º, e ainda os que resultariam

já, com elevada probabilidade, da própria vulnerabilidade detetada ou da sua exploração.

e) A atuação do agente não consubstancie a violação de dados pessoais protegidos ao abrigo da legislação

aplicável em matéria de proteção de dados pessoais, designadamente, do Regulamento (UE) n.º 2016/679, do

Parlamento Europeu e do Conselho, de 27 de abril de 2016, da Lei n.º 58/2019, de 8 de agosto, e da Lei n.º

59/2019, de 8 de agosto.

2 – A comunicação prevista na alínea c) do número anterior, deve ser feita também à autoridade nacional

de cibersegurança, que a remete à Polícia Judiciária sempre que revista relevância criminal.

3 – Para efeitos de determinação da proporcionalidade da atuação do agente, tomar-se-á em conta se a

mesma era necessária à deteção da vulnerabilidade e se a extensão dos sistemas ou dados informáticos

acedidos, consultados e/ou copiados era imposta pelo interesse em contribuir para a segurança do ciberespaço,

sendo expressamente vedado o uso das seguintes práticas:

a) Mecanismos de negação de serviço (DoS) ou negação de serviço distribuída (DDoS);

b) Engenharia social, definido como facto de enganar de responsáveis ou utilizadores dos sistemas de

informação com vista à disponibilização de informação sensível ou sigilosa;

c) «Phishing» e variantes;

d) Roubo ou furto de palavras-passe ou outras informações sensíveis;

e) Eliminação ou alteração dolosa de dados informáticos;

f) Inflição dolosa de danos ao sistema de informação;

g) Instalação e distribuição de software malicioso.

4 – Sem prejuízo das regras aplicáveis em matéria de proteção de dados, os dados informáticos que sejam

comunicados ao proprietário ou pessoa encarregue da gestão do sistema de informação, produto e serviço de

tecnologias de informação e comunicação, ou à autoridade nacional de cibersegurança devem ser eliminados

no prazo de 10 dias contados a partir do momento em que a vulnerabilidade for corrigida, devendo garantir-se

a sua natureza secreta durante todo o procedimento.

5 – Não são igualmente puníveis os factos praticados com consentimento do proprietário ou administrador

de sistema de informação, produto ou serviço de tecnologias de informação e comunicação, sem prejuízo do

dever de notificação das vulnerabilidades eventualmente identificadas à autoridade nacional coordenadora

encarregada da resposta a incidentes de cibersegurança das vulnerabilidades eventualmente identificadas, nos

termos previstos no regime jurídico da cibersegurança.»

Artigo 8.º

Norma revogatória

São revogados:

a) O artigo 2.º-A do Decreto-Lei n.º 3/2012, de 16 de janeiro, na sua redação atual, que aprova a orgânica

do Gabinete Nacional de Segurança.

b) O regime jurídico da segurança do ciberespaço, aprovado pela Lei n.º 46/2018, de 13 de agosto;

c) A regulamentação do regime jurídico da segurança do ciberespaço, aprovada pelo Decreto-Lei n.º

65/2021, de 30 de julho;

d) Os artigos 59.º a 65.º e as alíneas m) a t) do n.º 3 do artigo 178.º da Lei das Comunicações Eletrónicas,

aprovada pela Lei n.º 16/2022, de 16 de agosto, na sua redação atual.

Artigo 9.º

Norma transitória

1 – A entrada em vigor da presente lei não prejudica a validade das decisões tomadas pela Comissão de