O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

28 DE FEVEREIRO DE 2025

47

essencial, importante ou pública relevante concluir que existe, ou possa vir a existir, um incidente significativo,

sem demora injustificada e até 24 horas após essa verificação, salvo quando tal for incompatível com a mitigação

ou a resolução do incidente.

2 – A notificação inicial deve incluir, pelo menos, a seguinte informação:

a) Nome, número de telefone e endereço de correio eletrónico de um representante da entidade, quando

diferente do ponto de contacto permanente a que se refere o artigo 32.º, para efeito de um eventual contacto

pela autoridade de cibersegurança competente;

b) Data e hora do início ou, em caso de impossibilidade de o determinar, da deteção do incidente;

c) Breve descrição do incidente, incluindo a indicação da categoria da causa e dos efeitos produzidos, de

acordo com a taxonomia definida pelo CNCS, sempre que possível, o respetivo detalhe;

d) Estimativa possível do impacto, considerando:

i) Número de utilizadores afetados pela perturbação do serviço;

ii) Duração do incidente;

iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação do impacto

transfronteiriço;

iv) Outra informação que a entidade essencial e importante considere relevante.

3 – Quando necessário, a entidade essencial, importante ou pública relevante envia à autoridade de

cibersegurança competente uma atualização da notificação inicial até 72 horas após a verificação do incidente

significativo, revendo a informação referida no número anterior e fornecendo uma avaliação inicial do incidente

significativo, incluindo da sua gravidade e do seu impacto, bem como, se disponíveis, dos indicadores de

exposição a riscos.

Artigo 43.º

Notificação do fim de impacto significativo

1 – A notificação do fim de impacto significativo do incidente deve ser submetida à autoridade de

cibersegurança competente, sem demora injustificada e dentro do prazo de 24 horas após o fim do impacto.

2 – A notificação do fim de impacto significativo deve incluir a seguinte informação, pelo menos:

a) Atualização da informação transmitida na notificação inicial, caso exista;

b) Breve descrição das medidas adotadas para a resolução do incidente;

c) Descrição da situação de impacto existente no momento da perda de impacto significativo,

nomeadamente:

i) Número de utilizadores afetados pela perturbação do serviço;

ii) Duração do incidente;

iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto

transfronteiriço;

iv) Tempo estimado para a recuperação total dos serviços.

Artigo 44.º

Relatórios final e intercalar

1 – O relatório final deve ser submetido à autoridade de cibersegurança competente, no prazo de 30 dias

úteis a contar da data da notificação do fim de impacto significativo do incidente.

2 – O relatório final deve incluir a seguinte informação:

a) Data e hora em que o incidente assumiu o impacto significativo;

b) Data e hora em que o incidente perdeu o impacto significativo;