O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 191

48

c) Impacto do incidente, considerando:

i) Número de utilizadores afetados pela perturbação do serviço;

ii) Duração do incidente;

iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto

transfronteiriço;

iv) Descrição do incidente, com a indicação da categoria da causa e dos efeitos produzidos, de acordo com

a taxonomia definida pelo CNCS, e o respetivo detalhe;

d) Indicação das medidas adotadas para mitigar o incidente;

e) Descrição da situação residual do impacto existente à data da notificação final, nomeadamente:

i) Número de utilizadores afetados pela perturbação do serviço;

ii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto

transfronteiriço;

iii) Tempo estimado para a recuperação total dos serviços ainda afetados;

iv) Indicação, sempre que aplicável, da apresentação de notificação do incidente em causa às autoridades

competentes, nomeadamente ao Ministério Público ou à CNPD e a outras autoridades setoriais, nos

termos previstos nas disposições legais e regulamentares aplicáveis;

v) Outra informação que a entidade essencial e importante considere relevante.

3 – Na hipótese de, decorrido o prazo para apresentação do relatório final, o incidente ainda se encontrar

em curso, a entidade essencial, importante ou pública relevante em causa deve apresentar relatório intercalar a

autoridade de cibersegurança competente, a pedido destas entidades e com periodicidade semanal até ao

momento da apresentação do relatório final.

4 – O relatório intercalar deve incluir a seguinte informação:

a) Atualização da informação transmitida na notificação inicial, caso exista;

b) Breve descrição das medidas adotadas para a resolução do incidente;

c) Descrição da situação de impacto existente no momento da perda de impacto significativo,

nomeadamente:

i) Número de utilizadores afetados pela perturbação do serviço;

ii) Duração do incidente;

iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto

transfronteiriço;

iv) Tempo estimado para a recuperação total dos serviços.

Artigo 45.º

Notificações voluntárias de informações pertinentes

1 – Sem prejuízo da obrigação de notificação de incidentes prevista na presente lei, qualquer pessoa

singular ou coletiva pode notificar, a título voluntário, a ocorrência de incidentes, ciberameaças, quase incidentes

ou vulnerabilidades.

2 – As notificações voluntárias não geram obrigações adicionais para a entidade notificante.

3 – O disposto nos artigos 42.º a 44.º aplica-se, com as devidas adaptações, às notificações voluntárias,

sem prejuízo da prioridade a dar ao tratamento das notificações obrigatórias.

Artigo 46.º

Pedidos de informação

A autoridade de cibersegurança competente pode solicitar às entidades essenciais, importantes ou públicas