O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 191

42

e) Assegurar a gestão de riscos prevista no artigo 29.º;

f) Assegurar o cumprimento das obrigações referentes à elaboração do relatório anual nos termos do artigo

30.º;

g) Coordenar as ações do ponto de contacto permanente, previstas no artigo 32.º, quando esta função não

seja assegurada por si;

3 – As entidades essenciais e importantes comunicam à autoridade de cibersegurança competente, no

prazo de 20 dias úteis a contar do início de funções, a pessoa designada para exercer as funções de responsável

de cibersegurança, incluindo a informação referida em regulamento a aprovar pelo CNCS.

4 – As entidades essenciais e importantes que tenham iniciado atividade antes da data de entrada em vigor

da presente lei, efetuam a comunicação prevista no número anterior no prazo de 20 dias úteis, a contar desta

data.

5 – As entidades essenciais e importantes comunicam, sem demora injustificada, às autoridades de

cibersegurança competentes, a substituição do responsável de cibersegurança.

6 – Relativamente às entidades essenciais e importantes que pertençam à administração direta, pode ser

designado o mesmo responsável de cibersegurança para vários ministérios, áreas governativas ou secretarias

regionais.

7 – Relativamente às entidades essenciais e importantes inseridas no mesmo grupo empresarial, pode cada

empresa estabelecer um elemento que funcione como ponto de contacto para a cibersegurança sob

coordenação de um responsável de segurança comum ao grupo.

8 – O exercício das funções de responsável de cibersegurança é compatível com a acumulações de outras

funções dentro da mesma entidade, sem prejuízo do disposto no presente artigo.

Artigo 32.º

Ponto de contacto permanente

1 – As entidades essenciais e importantes asseguram a função do ponto de contacto permanente com uma

disponibilidade contínua de 24 horas por dia e de sete dias por semana, limitada a períodos de ativação, iniciados

e terminados mediante comunicação da autoridade de cibersegurança competentes.

2 – As entidades essenciais e importantes comunicam ao CNCS, pelo menos, um ponto de contacto

permanente, que pode ser assegurado por um elemento ou uma equipa, de modo a assegurar:

a) Os fluxos de informação de nível operacional e técnico com a autoridade de cibersegurança competente,

nomeadamente:

i) A articulação intersectorial, incluindo a eficácia da resposta a incidentes de segurança com impacto a

nível dos setores;

ii) A obtenção de informação operacional e técnica, na sequência de notificação de incidentes com impacto

significativo submetida pela mesma ou por outra entidade;

iii) A obtenção e atualização de informação de situação integrada no contexto de um incidente significativo.

b) A partilha de informação com a autoridade de cibersegurança competente, quando estejam ativados

planos de emergência de proteção civil diretamente relacionados ou com impacto ao nível da cibersegurança

bem como de planos no âmbito do planeamento civil de emergência da cibersegurança, dos planos de

segurança das infraestruturas críticas nacionais ou europeias, ou dos planos de resiliência das entidades críticas

nacionais ou europeias;

c) A operacionalização dos procedimentos fixados no âmbito de um plano de emergência de proteção civil

quando tenham impacto no funcionamento das redes e sistemas de informação, ou do planeamento civil de

emergência da cibersegurança;

d) A receção das orientações, recomendações, instruções técnicas e ordens emitidas pela autoridade de

cibersegurança competente.