O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

28 DE FEVEREIRO DE 2025

49

relevantes, as informações relevantes ou determinar as ações necessárias, nos termos legalmente aplicáveis,

quando tenha conhecimento, por qualquer meio, de um potencial incidente, aplicando-se, com as devidas

adaptações, o disposto nos artigos 42.º a 44.º.

Artigo 47.º

Proteção da informação

1 – O envio de informações pelo CNCS ou, quando aplicável, pelas autoridades nacionais setoriais de

cibersegurança, ao abrigo da presente lei, para autoridades ou entidades competentes nacionais, da União

Europeia ou de outro Estado-Membro limita-se ao necessário e proporcional, em conformidade com a legislação

aplicável em matéria de proteção de dados pessoais, designadamente, o RGPD, a Lei n.º 26/2016, de 22 de

agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto, e a Lei n.º 59/2019, de 8 de agosto.

2 – A autoridade de cibersegurança competente garante a proteção adequada das informações e dados,

qualquer que seja a sua natureza, transmitidos pelas entidades essenciais, importantes e públicas relevantes

em matéria de confidencialidade e segredo comercial.

3 – O n.º 2 aplica-se, com as devidas adaptações, às informações fornecidas pelas pessoas singulares e

coletivas que procedam a uma notificação ao abrigo do artigo anterior.

Artigo 48.º

Comunicação aos destinatários dos serviços

1 – As entidades essenciais, importantes e públicas relevantes comunicam aos destinatários dos seus

serviços, sem demora injustificada, quaisquer incidentes com impacto significativo que sejam suscetíveis de os

afetar negativamente.

2 – As entidades essenciais, importantes e públicas relevantes comunicam aos destinatários dos seus

serviços potencialmente afetados por uma ciberameaça significativa, sem demora injustificada, as medidas ou

soluções que estes podem adotar para responder à ameaça e, quando apropriado, comunicam aos mesmos a

ciberameaça em causa.

3 – A comunicação referida no número anterior não dispensa as entidades em causa do dever de, a

expensas suas, adotarem as medidas adequadas e imediatas para prevenir ou remediar quaisquer ameaças e

restabelecer o nível normal de segurança do serviço que prestam.

4 – A informação referida nos números anteriores deve ser prestada de forma gratuita e em linguagem

facilmente compreensível.

SECÇÃO III

Comunicação de incidentes, informação ao público e resposta

Artigo 49.º

Comunicação entre autoridades

1 – As autoridades nacionais setoriais e especiais de cibersegurança comunicam ao CNCS todos os

incidentes de que são notificados nos termos do disposto no artigo 40.º, e informam aquela autoridade da

respetiva evolução.

2 – Para efeitos do artigo 21.º, o CNCS comunica ao Secretário-Geral do Sistema de Segurança Interna,

sem demora injustificada, os incidentes de que são notificados nos termos do disposto no artigo 40.º, que sejam

suscetíveis de ser qualificados como de grande escala.

3 – O CNCS informa, quando entenda ser necessário, as autoridades nacionais setoriais e especiais de

cibersegurança das notificações voluntárias nos termos do artigo 45.º.

4 – O disposto no presente artigo aplica-se, com as devidas adaptações, às notificações efetuadas nos

termos do artigo 42.º.

5 – As comunicações referidas nos números anteriores são feitas de forma imediata, através de meios

eletrónicos.