O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 191

52

harmonização e as matrizes de risco elaboradas pelo CNCS, nos termos do n.º 4 do artigo 26.º, bem como das

ordens, instruções e orientações da autoridade de cibersegurança competente.

3 – Os custos das auditorias direcionadas referidas nas alíneas b) do n.º 1, são suportados pela entidade

auditada, salvo decisão contrária fundamentada da autoridade de cibersegurança competente.

4 – Os pedidos de informação e de prova referidos nas alíneas e) a g) no n.º 1 devem indicar a respetiva

finalidade, especificar a informação solicitada e fixar um prazo adequado e razoável para a entidade essencial

lhes dar resposta.

Artigo 55.º

Medidas de supervisão relativas a entidades importantes e públicas relevantes

1 – Sempre que obtenha provas, indícios ou informações de que uma entidade importante ou pública

relevante não está a cumprir a presente lei, a autoridade de cibersegurança competente aplica as medidas de

supervisão ex post previstas nos números seguintes.

2 – A autoridade de cibersegurança competente dispõe, relativamente a entidades importantes, de poderes

para as submeter às seguintes medidas:

a) Inspeções no local e supervisão ex post remota efetuadas por profissionais qualificados;

b) Auditorias de segurança direcionadas realizadas pela própria autoridade competente ou, quando tal se

justifique, por uma entidade devidamente qualificada para o efeito que ofereça garantias de independência;

c) Auditorias ad hoc, designadamente com fundamento na verificação de incidente significativo,

incumprimento de ordens, instruções e orientações da autoridade de cibersegurança competente ou infração à

presente lei por parte da entidade em causa;

d) Verificações de segurança com base em critérios de avaliação dos riscos objetivos, não discriminatórios,

equitativos e transparentes, se necessário em cooperação com a entidade em causa;

e) Pedidos de informações necessários para avaliar o cumprimento das medidas de cibersegurança

referidas nos artigos 27.º e seguintes, adotadas pela entidade em causa;

f) Pedidos de acesso a dados, documentos e quaisquer informações necessárias para o desempenho das

suas funções de supervisão;

g) Pedidos de apresentação das provas demonstrativas da aplicação das políticas e procedimentos de

cibersegurança.

3 – As auditorias direcionadas referidas na alínea b) do n.º 2 baseiam-se na análise de risco realizada pela

autoridade de cibersegurança competente, na análise de risco realizada pela entidade auditada ou noutras

informações disponíveis relacionadas com os riscos, nomeadamente as constantes das instruções técnicas de

harmonização e as matrizes de risco elaboradas pelo CNCS, nos termos do n.º 4 do artigo 26.º, bem como das

ordens, instruções e orientações da autoridade de cibersegurança competente.

4 – Os custos das auditorias direcionadas referidas na alínea b) do n.º 2 são suportados pela entidade

auditada, salvo decisão contrária fundamentada da autoridade de cibersegurança competente.

5 – Os pedidos de informação e de prova referidos nas alíneas e) a g) do n.º 2 devem indicar a respetiva

finalidade, especificar a informação solicitada e fixar um prazo adequado e razoável para a entidade essencial

lhes dar resposta.

Artigo 56.º

Medidas de execução

1 – A autoridade de cibersegurança competente pode, relativamente a entidades essenciais, importantes e

públicas relevantes, adotar medidas que incluam o seguinte:

a) Advertências sobre infrações dos deveres decorrentes da presente lei e do respetivo regime regulamentar

aplicável;

b) Ordens ou instruções vinculativas com vista à adoção de medidas necessárias para prevenir, impedir ou