O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 191

40

de gestão e trabalhadores;

g) Políticas e procedimentos relativos à utilização de criptografia e, se for caso disso, de cifragem, sem

prejuízo das competências conferidas a outras entidades em matéria de criptografia no âmbito nacional ou

perante outras organizações internacionais de que Portugal seja membro;

h) Segurança dos recursos humanos, políticas seguidas em matéria de controlo do acesso e gestão de

ativos;

i) Utilização de autenticação multifator ou de autenticação contínua, comunicações seguras e sistemas

seguros de comunicações de emergência no seio da entidade.

2 – As entidades essenciais e importantes devem adotar ainda, sem demora injustificada, todas as medidas

de cibersegurança corretivas necessárias, adequadas e proporcionais, que sejam indispensáveis ao suprimento

de falhas ou omissões no cumprimento das medidas previstas no número anterior.

3 – As autoridades nacionais setoriais de cibersegurança podem emitir disposições regulamentares para

adoção de medidas de cibersegurança específicas do sector, sem prejuízo do disposto no n.º 3 do artigo 20.º.

Artigo 28.º

Cadeiadeabastecimento

As medidas de cibersegurança relativas à segurança da cadeia de abastecimento, incluindo aspetos de

segurança respeitantes às relações entre cada entidade e os respetivos fornecedores ou prestadores de

serviços diretos, devem considerar, designadamente:

a) As vulnerabilidades específicas de cada fornecedor direto e cada prestador de serviços;

b) A qualidade global dos produtos na componente de cibersegurança;

c) As práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os respetivos

procedimentos de desenvolvimento seguro;

d) As avaliações coordenadas dos riscos de segurança de cadeias de abastecimento de produtos de TIC,

sistemas de TIC ou serviços de TIC críticos que sejam realizadas nos termos do artigo 22.º da Diretiva (UE)

2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro;

e) As decisões relativas à aplicação de restrições à utilização, a cessação de utilização ou exclusão de

equipamentos, componentes ou serviços de tecnologias de informação e comunicação, ao abrigo do disposto

no n.º 3 do artigo 18.º.

Artigo 29.º

Gestão do risco residual

1 – As entidades essenciais e importantes devem realizar uma análise e gestão de riscos em relação a

todos os ativos que garantam a continuidade do funcionamento das redes e sistemas de informação que utilizam,

incluindo aos ativos que garantam a prestação dos serviços essenciais, com a periodicidade e os elementos

técnicos e documentais a definir por regulamento da autoridade de cibersegurança competente, para além do

cumprimento das medidas de cibersegurança mínimas nos termos do n.º 5 do artigo 26.º.

2 – Com base na análise e gestão de riscos referida no número anterior, as entidades essenciais e

importantes devem adotar as medidas de cibersegurança adequadas e proporcionais de forma a gerir os riscos

que se colocam à segurança das redes e dos sistemas de informação que utilizam, incluindo os riscos residuais,

tendo em conta o QNRCS, os progressos técnicos mais recentes e, se aplicáveis, as normas europeias e

internacionais pertinentes.

3 – As entidades essenciais e importantes devem documentar a preparação, a execução e a apresentação

dos resultados da análise dos riscos.

Artigo 30.º

Relatório anual

1 – As entidades essenciais e importantes devem elaborar e manter um relatório anual que contenha os