O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

28 DE FEVEREIRO DE 2025

41

seguintes elementos em relação ao ano civil a que se reportam:

a) Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos

serviços de informação;

b) Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes;

c) Análise agregada dos incidentes com impacto significativo, com informação sobre:

i) Número de utilizadores afetados pela perturbação serviço;

ii) Duração dos incidentes;

iii) Distribuição geográfica, no que se refere à zona afetada pelos incidentes, incluindo a indicação de

impacto transfronteiriço;

d) Recomendações de atividades, de medidas ou de práticas que promovam a melhoria da segurança das

redes e dos sistemas de informação;

e) Problemas identificados e medidas implementadas na sequência dos incidentes;

f) Qualquer outra informação que se considere relevante.

2 – As entidades essenciais remetem o relatório anual à autoridade de cibersegurança competente,

devidamente assinado pelo responsável de cibersegurança, nos seguintes termos:

a) O primeiro relatório anual é submetido:

i) Até ao último dia útil do mês de janeiro do ano civil seguinte ao primeiro ano civil de atividade, quando

esta tenha tido início no primeiro semestre;

ii) Até ao último dia útil do mês de janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade,

quando esta tenha tido início no segundo semestre.

b) Os relatórios anuais subsequentes são submetidos até ao último dia útil do mês de janeiro do ano civil

seguinte aos quais os mesmos se reportam.

3 – Para efeitos do disposto na subalínea ii) da alínea a) do número anterior, o relatório anual deve abranger

também o período entre a data de início de atividade e o final do ano civil anterior ao que se reporta.

4 – As entidades importantes devem comunicar o relatório anual ao CNCS sempre que solicitado.

5 – O CNCS, ouvidas as autoridades nacionais setoriais de cibersegurança, pode adotar modelos para a

apresentação do relatório referido nos números anteriores.

Artigo 31.º

Responsável de cibersegurança

1 – As entidades essenciais e importantes designam um responsável de cibersegurança para a gestão da

cibersegurança e da segurança da informação, que seja titular dos órgãos de gestão, direção ou administração

ou lhes responda organicamente e de forma direta.

2 – O responsável de cibersegurança tem, pelo menos, as seguintes funções:

a) Propor as medidas de gestão dos riscos de cibersegurança, incluindo ao nível da cadeia de

abastecimento, que devem ser aprovadas nos termos da alínea a) do n.º 1 do artigo 25.º;

b) Prestar informações relativas às medidas de gestão dos riscos de cibersegurança aos órgãos da entidade

responsável pela sua supervisão nos termos da alínea b) do n.º 1 do artigo 25.º;

c) Auxiliar os órgãos da entidade no cumprimento das medidas de supervisão e de execução nos termos da

alínea c) do n.º 1 do artigo 25.º;

d) Contribuir para a promoção de uma cultura de cibersegurança na entidade, propondo, nomeadamente,

as ações de formação em cibersegurança previstas na alínea d) do n.º 1 do artigo 25.º;