II SÉRIE-A — NÚMERO 191

32

2 – A Comissão de Avaliação de Segurança do Ciberespaço tem a seguinte composição:

a) O Diretor-Geral do Gabinete Nacional de Segurança, que preside;

b) O coordenador do CNCS;

c) Um representante da ANACOM;

d) Um representante do Sistema de Segurança Interna;

e) Um representante do Sistema de Informações da República Portuguesa;

f) O Embaixador para a ciberdiplomacia;

g) Um representante da Polícia Judiciária;

h) Um representante do Serviço de Informações de Segurança;

i) Um representante do Serviço de Informações Estratégicas de Defesa;

j) Um representante do Comando de Operações de Ciberdefesa;

k) Um representante da Direção-Geral de Política Externa;

l) Um representante da Direção-Geral da Política de Defesa Nacional;

m) Um representante da Autoridade da Concorrência.

3 – O membro do Governo responsável pela área da cibersegurança pode determinar a aplicação de

restrições provisórias à utilização, a cessação de utilização ou exclusão de equipamentos, componentes ou

serviços de tecnologias de informação e comunicação, utilizados em redes e sistemas de informação públicos

ou privados, considerados de elevado risco para a segurança do ciberespaço de interesse nacional, mediante

proposta da Comissão de Avaliação de Segurança do Ciberespaço, fundamentada em avaliação de segurança

realizada nos termos do disposto nos números seguintes.

4 – A avaliação de segurança deve ser devidamente fundamentada, tendo em conta os riscos técnicos dos

equipamentos, componentes ou serviços, o seu contexto de utilização e a exposição dos seus fabricantes ou

fornecedores à influência indevida de países estrangeiros, para tal considerando, designadamente, informação

relevante emitida pelas entidades competentes nacionais e da União Europeia ou constante das avaliações

nacionais ou europeias de risco para a segurança das redes e sistemas de informação, bem como outros riscos

securitários relevantes.

5 – Para avaliar o nível de exposição dos fabricantes ou fornecedores à influência indevida de um país

estrangeiro, podem ser considerados os seguintes elementos:

a) O fabricante ou fornecedor estar sujeito, direta ou indiretamente, à interferência do Governo ou

administração de um país estrangeiro;

b) O fabricante ou fornecedor estar domiciliado em, ou de qualquer forma relevantemente vinculado a países

reconhecidos por Portugal, pela União Europeia, pela Organização para a Cooperação e Desenvolvimento

Económico (OCDE) ou pela OTAN, como responsáveis ou envolvidos em ações hostis à segurança interna e

defesa nacional de Portugal ou dos seus aliados, designadamente atos de espionagem ou de sabotagem;

c) O fabricante ou fornecedor estar domiciliado em, ou de qualquer forma relevantemente vinculado a países

que não dispõem de legislação ou acordos diplomáticos com Portugal ou com a União Europeia em matéria de

proteção de dados, de cibersegurança e de proteção de propriedade intelectual.

d) O fabricante ou fornecedor estar associado a práticas de introdução de vulnerabilidades ou acessos

ocultos;

e) O fabricante ou fornecedor adotar modelos de governação corporativa que não esclareçam sobre o grau

de influência ou vinculação a países estrangeiros nas condições das alíneas anteriores;

f) As cadeias de produção e fornecimento do fabricante ou fornecedor evidenciarem falhas sistémicas de

controlo e segurança.

6 – As avaliações de segurança podem ser realizadas ou revistas a pedido do membro do Governo

responsável pela área da cibersegurança, bem como, em aplicação do mecanismo português de salvaguarda

de ativos estratégicos essenciais, a pedido do membro do Governo responsável pela área em que o ativo

estratégico em causa esteja integrado.

7 – A proposta da Comissão de Avaliação de Segurança do Ciberespaço realizada na sequência da