O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 191

46

SECÇÃO II

Notificação de incidentes

Artigo 40.º

Notificação obrigatória

1 – As entidades essenciais, importantes e públicas relevantes notificam qualquer incidente significativo à

autoridade de cibersegurança competente.

2 – O cumprimento da mera notificação não gera responsabilidade acrescida para a entidade notificante.

3 – A fim de determinar se um incidente tem impacto significativo nos termos do n.º 1, as entidades em

causa devem ter em consideração, designadamente, os seguintes parâmetros:

a) Número de utilizadores afetados pela perturbação do serviço;

b) A duração do incidente;

c) O nível da gravidade da perturbação do funcionamento do serviço;

d) A dimensão do impacto nas atividades económicas e sociais.

4 – As entidades devem ainda ter em consideração os parâmetros e limiares definidos, quando aplicável,

por instrução técnica do CNCS e pelos atos de execução da Comissão, previstos no n.º 11 do artigo 23.º da

Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro.

5 – O cumprimento do disposto na presente lei não dispensa o respeito pelas obrigações específicas de

notificação de incidentes nos termos definidos pelas autoridades com competência para o efeito, nomeadamente

o Ministério Público, a Polícia Judiciária, a Comissão Nacional de Proteção de Dados (CNPD), a Entidade

Fiscalizadora do Segredo de Estado e o GNS, de acordo com as disposições legais e regulamentares aplicáveis.

6 – As notificações devem ser submetidas na plataforma eletrónica referida no n.º 7 do artigo 8.º.

7 – Às entidades essenciais, importantes e públicas relevantes é assegurada a possibilidade de notificar um

incidente, simultaneamente, à autoridade de cibersegurança competente, às autoridades especiais de

cibersegurança, bem como às entidades previstas no n.º 5, através da plataforma prevista no n.º 7 do artigo 8.º,

nos termos a definir por protocolo outorgado entre as referidas autoridades.

Artigo 41.º

Tipos de notificações

1 – Por cada incidente sujeito a notificação obrigatória, as entidades essenciais, importantes e públicas

relevantes submetem:

a) Uma notificação inicial, nos termos do artigo 42.º;

b) Uma notificação de fim do impacto significativo, nos termos do artigo 43.º;

c) Um relatório final, nos termos do artigo 44.º.

2 – Nos casos em que o incidente é resolvido nas duas horas após a sua deteção, as entidades referidas

ficam apenas obrigadas ao envio da notificação do fim de impacto significativo.

3 – Sem prejuízo do disposto no número anterior, as entidades essenciais, importantes e públicas relevantes

poderão ainda ser notificadas para apresentar um relatório intercalar, nos termos do artigo 44.º.

4 – O formato e procedimento de notificação de incidentes e a taxonomia dos incidentes, incluindo as

categorias de causas dos incidentes e os seus efeitos, são definidos por instrução técnica do CNCS, sem

prejuízo dos atos de execução adotados pela Comissão previstos no n.º 11 do artigo 23.º da Diretiva (UE)

2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro.

Artigo 42.º

Notificação inicial

1 – A notificação inicial deve ser enviada à autoridade de cibersegurança competente, assim que a entidade