O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 191

54

a) Ao registo de nomes de TLD, que solicite ao titular de um registo de um nome de domínio a adoção de

medidas adequadas, dentro de um prazo determinado, para reprimir uma ciberameaça ou responder a um

ciberataque ou a um incidente;

b) Ao registo de nomes de TLD ou aos prestadores de serviços de DNS, o bloqueio ou redireccionamento

de nomes de domínio para um servidor seguro do CNCS, quando estes estejam manifestamente dedicados a

ou envolvidos em ciberataques ou incidentes e não estejam disponíveis outros meios eficazes para fazer cessar

o ciberataque ou incidente.

4 – Na medida do estritamente necessário para cessar a utilização abusiva de endereços de protocolo IP,

o CNCS pode ordenar às empresas que oferecem redes e serviços de comunicações eletrónicas o bloqueio ou

redireccionamento de endereço de protocolo IP, dinâmico ou estático, para um servidor seguro do CNCS,

quando estes endereços estejam manifestamente dedicados ou envolvidos nos tipos de ciberataques ou

incidentes previstos nas alíneas a) a d) do n.º 2.

5 – As medidas referidas nos n.os 3 e 4 não podem exceder o período de 60 dias, podendo este ser renovado

por igual período quando haja forte probabilidade, aferida mediante uma avaliação fundamentada, de os

ciberataques ou incidentes com origem nos mesmos endereços persistirem ou serem retomados.

6 – O disposto no presente artigo aplica-se igualmente aos prestadores de serviços de registo de nomes de

domínio.

Artigo 58.º

Garantias procedimentais

1 – A autoridade de cibersegurança competente apresenta uma fundamentação adequada das suas

decisões de aplicação das medidas de execução, devendo também, nos termos gerais, proceder à audiência

prévia da entidade em causa dentro de um prazo razoável, não inferior a 10 dias.

2 – Dispensa-se a audiência prévia referida no número anterior sempre que houver necessidade,

devidamente fundamentada, de aplicação de medidas imediatas para prevenir ou responder a incidentes ou

ciberameaças significativas.

3 – Ao aplicar qualquer uma das medidas de execução referidas nos números anteriores, a autoridade de

cibersegurança competente deve respeitar as garantias procedimentais da entidade, atendendo às

circunstâncias do caso concreto, e ponderar, designadamente:

a) A gravidade da infração e a importância das disposições violadas;

b) A duração da infração;

c) Quaisquer anteriores infrações relevantes cometidas pela entidade em causa:

d) Quaisquer danos materiais ou imateriais causados, incluindo quaisquer prejuízos financeiros ou

económicos, os efeitos noutros serviços e o número de utilizadores afetados;

e) Quaisquer medidas tomadas pela entidade para prevenir ou atenuar os danos materais ou imaterais;

f) A culpa do agente;

g) O nível de cooperação das pessoas singulares ou coletivas responsáveis com a autoridade de

cibersegurança competente.

4 – Para efeitos da alínea a) do número anterior, presumem-se graves:

a) Violações repetidas da presente lei;

b) Incumprimento do dever de notificação de incidentes nos termos dos artigos 40.º e seguintes;

c) Incumprimento do dever de correção de incidentes significativos;

d) Incumprimento do dever de correção de deficiências na sequência de instruções vinculativas da

autoridade de cibersegurança competente;

e) Obstrução de auditorias ou atividades de acompanhamento ordenadas pela autoridade de cibersegurança

competente, na sequência da verificação de uma infração à presente lei;

f) Prestação de informações falsas ou grosseiramente inexatas em relação às medidas de cibersegurança