O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

28 DE FEVEREIRO DE 2025

51

CAPÍTULO VI

Supervisão e execução

SECÇÃO I

Medidas de supervisão e execução

Artigo 53.º

Princípios

1 – A autoridade de cibersegurança competente, na qualidade de autoridade de supervisão e de execução,

fiscaliza e supervisiona o cumprimento da presente lei e adota as medidas necessárias para garantir esse

cumprimento.

2 – As atividades de supervisão e de execução são orientadas, designadamente, pelos princípios da

prossecução do interesse público, da legalidade, da eficiência, da eficácia e da proporcionalidade, devendo

minimizar, sempre que possível, o seu impacto nas atividades públicas, sociais e empresariais das entidades

supervisionadas.

3 – A atividade de supervisão assenta em metodologias de avaliação de risco e, com fundamento nessa

avaliação e nos princípios referidos no número anterior, pode determinar a afetação prioritária de recursos e as

medidas a adotar em função da matriz de risco aplicável à entidade em causa, nomeadamente no que respeita

à realização, frequência ou tipo de inspeções no local, às auditorias de segurança direcionadas ou verificações

de segurança e ao tipo de informações a solicitar.

4 – As atividades de supervisão e de execução são exercidas com autonomia operacional, incluindo as que

visam as entidades públicas relevantes.

5 – As atividades de supervisão e de execução respeitam as garantias dos particulares legal e

constitucionalmente previstas.

Artigo 54.º

Medidas de supervisão relativas a entidades essenciais

1 – A autoridade de cibersegurança competente dispõe, relativamente a entidades essenciais, de poderes

para as submeter às seguintes medidas:

a) Inspeções no local e a supervisão remota, incluindo controlos aleatórios efetuados por profissionais

qualificados;

b) Auditorias de segurança, regulares ou direcionadas, realizadas pela própria autoridade competente ou,

quando tal se justifique, por uma entidade devidamente qualificada para o efeito que ofereça garantias de

independência;

c) Auditorias ad hoc, designadamente com fundamento na verificação de incidente significativo,

incumprimento de ordens, instruções e orientações da autoridade de cibersegurança competente ou infração à

presente lei por parte da entidade em causa;

d) Verificações de segurança com base em critérios de avaliação dos riscos objetivos, não discriminatórios,

equitativos e transparentes, se necessário em cooperação com a entidade em causa;

e) Pedidos de informações necessários para avaliar o cumprimento das medidas de cibersegurança

referidas nos artigos 27.º e seguintes, adotadas pela entidade em causa;

f) Pedidos de acesso a dados, documentos e informações necessários ao desempenho das suas funções

de supervisão;

g) Pedidos de apresentação das provas demonstrativas da aplicação das políticas e procedimentos de

cibersegurança.

2 – As auditorias direcionadas referidas na alínea b) do n.º 1 baseiam-se na análise de risco realizada pela

autoridade de cibersegurança competente, na análise de risco realizada pela entidade auditada ou noutras

informações disponíveis relacionadas com os riscos, nomeadamente as constantes das instruções técnicas de