Debates Parlamentares - Diário 191, p. 35 (2025-02-28)

O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.

Não foi possivel carregar a página pretendida. Reportar Erro

28 DE FEVEREIRO DE 2025

aos emitentes de declarações de conformidade, as informações de que necessite para o exercício das suas

competências;

b) Tomar as medidas adequadas a garantir que os organismos de avaliação da conformidade, os titulares

de certificados nacionais ou europeus de cibersegurança, e os emitentes de declarações de conformidade

cumprem o disposto na legislação aplicável em matéria de certificação da cibersegurança;

c) Exercer as demais competências legalmente estabelecidas para as autoridades de certificação da

cibersegurança, designadamente as decorrentes do Regulamento (UE) 2019/881, do Parlamento Europeu e do

Conselho, de 17 de abril, sem prejuízo das competências do GNS no que diz respeito à certificação e acreditação

dos sistemas de informação e comunicação que tratam informação classificada, nos termos do Decreto-Lei

n.º 3/2012, de 16 de janeiro, na sua redação atual;

d) Implementar um quadro nacional de certificação da cibersegurança, estabelecendo as disposições

necessárias à elaboração, implementação e execução dos esquemas de certificação, aos quais são aplicáveis,

com as necessárias adaptações, as disposições constantes do Título III do Regulamento (UE) 2019/881, do

Parlamento Europeu e do Conselho, de 17 de abril;

e) Avaliar os esquemas de certificação específicos, designadamente sobre a respetiva adequação,

articulação com o Instituto Português de Acreditação, IP, na qualidade de organismo nacional de acreditação,

bem como com o Instituto Português da Qualidade, IP, na qualidade de organismo nacional de normalização, e

com as demais entidades públicas com competências no âmbito da matéria abrangida pela certificação;

f) Desenvolver e implementar esquemas específicos de certificação da cibersegurança relativos a

entidades, produtos, serviços e processos de tecnologias de informação e comunicação que não sejam ainda

abrangidos por um esquema europeu, sempre que a especificidade do objeto da certificação o justifique;

g) Promover a formação de auditores no âmbito da cibersegurança, em colaboração com o Instituto

Português de Acreditação, IP.

3 – Qualquer disposição regulamentar de cibersegurança emitida pelas autoridades nacionais setoriais ou

especiais de cibersegurança é precedida de parecer do CNCS.

4 – As entidades públicas e privadas prestam a sua colaboração ao CNCS para o exercício das respetivas

atribuições e competências ao abrigo da presente lei, no respeito pelo princípio da proporcionalidade.

5 – O dever de cooperação previsto no número anterior pode incluir o acesso físico às instalações das

entidades para a realização de diligências integradas em ações de supervisão ou de resposta a incidentes, sem

prejuízo do cumprimento de requisitos de acesso previstos noutros regimes especiais de segurança da

informação e respeitadas as exigências previstas no Código do Procedimento Administrativo.

6 – O CNCS atua em estreita cooperação com as estruturas nacionais responsáveis pela ciberespionagem,

ciberdefesa, cibercrime e ciberterrorismo.

Artigo 21.º

Autoridade de gestão de crises de cibersegurança

1 – O Secretário-Geral do Sistema de Segurança Interna é a autoridade nacional de gestão de crises e

incidentes de cibersegurança em grande escala, também designada por autoridade de gestão de crises de

cibersegurança.

2 – A declaração de crises e incidentes de cibersegurança em grande escala, depende da atribuição de um

grau de ameaça elevado pelo Serviço de Informações de Segurança, nos termos previstos no plano de

coordenação, controlo e comando operacional das forças e serviços de segurança, aprovado pela Deliberação

do Conselho de Ministros n.º DB 14/2010, de 5 de março, ou da comunicação, pelo CNCS, da ocorrência de

uma crise ou incidente de cibersegurança em grande escala, nos termos da alínea g)do n.º 1 do artigo 20.º.

3 – O Secretário-Geral do Sistema de Segurança Interna convoca o gabinete de crise de cibersegurança,

nos termos do n.º 4 do artigo 16.º da Lei n.º 53/2008, de 29 de agosto, na sua redação atual.

Artigo 22.º

Equipa de resposta a incidentes de cibersegurança

1 – O «CERT.PT» é a equipa nacional de resposta a incidentes de cibersegurança.

28 DE FEVEREIRO DE 2025 35 aos emitentes de declarações de conformidade, as informações de que necessite para o exercício das suas competências; b) Tomar as medidas adequadas a garantir que os organismos de avaliação da conformidade, os titulares de certificados nacionais ou europeus de cibersegurança, e os emitentes de declarações de conformidade cumprem o disposto na legislação aplicável em matéria de certificação da cibersegurança; c) Exercer as demais competências legalmente estabelecidas para as autoridades de certificação da cibersegurança, designadamente as decorrentes do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril, sem prejuízo das competências do GNS no que diz respeito à certificação e acreditação dos sistemas de informação e comunicação que tratam informação classificada, nos termos do Decreto-Lei n.º 3/2012, de 16 de janeiro, na sua redação atual; d) Implementar um quadro nacional de certificação da cibersegurança, estabelecendo as disposições necessárias à elaboração, implementação e execução dos esquemas de certificação, aos quais são aplicáveis, com as necessárias adaptações, as disposições constantes do Título III do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril; e) Avaliar os esquemas de certificação específicos, designadamente sobre a respetiva adequação, articulação com o Instituto Português de Acreditação, IP, na qualidade de organismo nacional de acreditação, bem como com o Instituto Português da Qualidade, IP, na qualidade de organismo nacional de normalização, e com as demais entidades públicas com competências no âmbito da matéria abrangida pela certificação; f) Desenvolver e implementar esquemas específicos de certificação da cibersegurança relativos a entidades, produtos, serviços e processos de tecnologias de informação e comunicação que não sejam ainda abrangidos por um esquema europeu, sempre que a especificidade do objeto da certificação o justifique; g) Promover a formação de auditores no âmbito da cibersegurança, em colaboração com o Instituto Português de Acreditação, IP. 3 – Qualquer disposição regulamentar de cibersegurança emitida pelas autoridades nacionais setoriais ou especiais de cibersegurança é precedida de parecer do CNCS. 4 – As entidades públicas e privadas prestam a sua colaboração ao CNCS para o exercício das respetivas atribuições e competências ao abrigo da presente lei, no respeito pelo princípio da proporcionalidade. 5 – O dever de cooperação previsto no número anterior pode incluir o acesso físico às instalações das entidades para a realização de diligências integradas em ações de supervisão ou de resposta a incidentes, sem prejuízo do cumprimento de requisitos de acesso previstos noutros regimes especiais de segurança da informação e respeitadas as exigências previstas no Código do Procedimento Administrativo. 6 – O CNCS atua em estreita cooperação com as estruturas nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo. Artigo 21.º Autoridade de gestão de crises de cibersegurança 1 – O Secretário-Geral do Sistema de Segurança Interna é a autoridade nacional de gestão de crises e incidentes de cibersegurança em grande escala, também designada por autoridade de gestão de crises de cibersegurança. 2 – A declaração de crises e incidentes de cibersegurança em grande escala, depende da atribuição de um grau de ameaça elevado pelo Serviço de Informações de Segurança, nos termos previstos no plano de coordenação, controlo e comando operacional das forças e serviços de segurança, aprovado pela Deliberação do Conselho de Ministros n.º DB 14/2010, de 5 de março, ou da comunicação, pelo CNCS, da ocorrência de uma crise ou incidente de cibersegurança em grande escala, nos termos da alínea g)do n.º 1 do artigo 20.º. 3 – O Secretário-Geral do Sistema de Segurança Interna convoca o gabinete de crise de cibersegurança, nos termos do n.º 4 do artigo 16.º da Lei n.º 53/2008, de 29 de agosto, na sua redação atual. Artigo 22.º Equipa de resposta a incidentes de cibersegurança 1 – O «CERT.PT» é a equipa nacional de resposta a incidentes de cibersegurança.

Descarregar páginas