O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

28 DE FEVEREIRO DE 2025

39

3 – A responsabilidade e poderes necessários para o cumprimento das obrigações referidas no presente

artigo não podem ser delegados, exceto num dos titulares dos órgãos de gestão, direção e administração.

Artigo 26.º

Sistema de gestão de riscos de cibersegurança

1 – As entidades essenciais e importantes são responsáveis por garantir a segurança das redes e dos

sistemas de informação, tomando as medidas técnicas, operacionais e organizativas adequadas para gerir os

riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam nas suas operações e

para impedir ou minimizar o impacto de incidentes nos destinatários dos seus serviços e noutros serviços.

2 – As medidas de cibersegurança adotadas devem basear-se numa abordagem sistémica que abranja

todos os riscos para as entidades essenciais e importantes e que vise proteger todos os ativos que garantam a

continuidade do funcionamento das redes e os sistemas de informação que suportam os serviços essenciais,

incluindo o seu ambiente físico, contra incidentes.

3 – As medidas devem ainda:

a) Garantir um nível de segurança das redes e dos sistemas de informação adequado ao risco em causa,

tendo em conta os progressos técnicos mais recentes e, se aplicáveis, as normas europeias e internacionais

pertinentes, bem como os custos de execução e a viabilidade financeira destes; e

b) Ser proporcionais ao grau de exposição da entidade aos riscos, a dimensão da entidade e a probabilidade

de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto social e económico, segundo os critérios

técnicos que venham a ser definidos pelo CNCS.

4 – De forma a orientar a política de gestão de riscos de cibersegurança por parte das entidades essenciais

e importantes, o CNCS pode emitir instruções técnicas de harmonização e, sempre que necessário, elaborar e

atualizar a matriz de risco aplicável àquelas entidades.

5 – Considerando o setor de atividade e a dimensão da entidade e a matriz de risco definida, o CNCS,

através de regulamento a aprovar pelo CNCS, define medidas de cibersegurança mínimas e específicas e níveis

de conformidade a adotar pelas entidades essenciais e entidades importantes.

6 – As medidas de cibersegurança mínimas não prejudicam a adoção de outras medidas que sejam

necessárias e proporcionais, em resultado da análise e gestão dos riscos residuais de cibersegurança, nos

termos do artigo seguinte.

7 – As entidades públicas relevantes devem adotar as medidas técnicas, operacionais e organizativas

adequadas que sejam determinadas pelo CNCS, de acordo com o grupo a que pertençam, nos termos do artigo

33.º.

Artigo 27.º

Medidas de cibersegurança

1 – As medidas de cibersegurança a adotar pelas entidades essenciais e importantes, tendo em

consideração a matriz de risco em que estiverem inseridas nos termos do artigo anterior, abrangem,

designadamente, as seguintes áreas:

a) Tratamento de incidentes;

b) Continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e

gestão de crises;

c) Segurança da cadeia de abastecimento, incluindo aspetos de segurança respeitantes às relações entre

cada entidade e os respetivos fornecedores ou prestadores de serviços diretos;

d) Segurança na aquisição, desenvolvimento e manutenção das redes e sistemas de informação, incluindo

o tratamento e a divulgação de vulnerabilidades;

e) Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança;

f) Práticas básicas de ciber-higiene e formação em cibersegurança, incluindo os titulares de órgãos máximos