Página 1
Sexta-feira, 28 de fevereiro de 2025 II Série-A — Número 191
XVI LEGISLATURA 1.ª SESSÃO LEGISLATIVA (2024-2025)
S U M Á R I O
Projetos de Lei (n.os 581 a 586/XVI/1.ª): N.º 581/XVI/1.ª (PAN) — Criminaliza a esterilização de pessoas com deficiência e/ou incapazes e regula as condições para prática de métodos de esterilização irreversíveis, alterando a Lei n.º 3/84, de 24 de março, o Código Penal, e o Código Civil. N.º 582/XVI/1.ª (PAN) — Prevê o reforço dos direitos das crianças e jovens em acolhimento. N.º 583/XVI/1.ª (L) — Cria o Mecanismo Especial de Reparação a Vítimas de Esterilização Forçada. N.º 584/XVI/1.ª (PS) — Esclarece a criminalização da esterilização forçada, nomeadamente das pessoas com deficiência, e regula o recurso a meios de controlo de fertilidade relativamente a pessoas com deficiência ou em situação de incapacidade. N.º 585/XVI/1.ª (PS) — Aprova o regime jurídico da cibersegurança. N.º 586/XVI/1.ª (PCP) — Reforça as medidas de proteção do superior interesse da criança e cria a possibilidade de a família de acolhimento ser candidata à adoção (alteração ao
Código Civil, sexta alteração à Lei n.º 147/99, de 1 de setembro, segunda alteração ao Decreto-Lei n.º 139/2019, de 16 de setembro). Projetos de Resolução (n.os 763 a 773/XVI/1.ª): N.º 763/XVI/1.ª (CH) — Recomenda ao Governo que implemente medidas de apoio e preservação de profissões em vias de extinção. N.º 764/XVI/1.ª (PCP) — Construção de um novo viaduto em Santana-Cartaxo e requalificação da ponte Rainha Dona Amélia. N.º 765/XVI/1.ª (PCP) — Determina a criação do Instituto Nacional para a Computação Avançada. N.º 766/XVI/1.ª (PAN) — Pela criação de um órgão regulador para a monitorização do impacto ambiental das infraestruturas de inteligência artificial e a promoção de práticas sustentáveis no setor tecnológico. N.º 767/XVI/1.ª (PAN) — Por um reforço da investigação sobre violência contra pessoas com deficiência e pela criação de mecanismos de apoio às vítimas de esterilização forçada.
Página 2
II SÉRIE-A — NÚMERO 191
2
N.º 768/XVI/1.ª (PAN) — Prevê medidas de proteção do consumidor contra chamadas telefónicas e mensagens de texto fraudulentas. N.º 769/XVI/1.ª (L) — Recomenda o reforço do plano de adequação da rede de respostas de acolhimento de crianças e jovens. N.º 770/XVI/1.ª (PS) — Recomenda ao Governo a implementação de um mecanismo de monitorização e de um plano nacional de planeamento familiar para pessoas com
deficiência ou em situação de incapacidade. N.º 771/XVI/1.ª (CDS-PP) — Para uma estratégia nacional de inteligência artificial. N.º 772/XVI/1.ª (CDS-PP) — Recomenda ao Governo que promova a melhoria das condições de vida das crianças em acolhimento residencial. N.º 773/XVI/1.ª (PS e L) — Recomenda ao Governo que realize um debate público e alargado tendo em vista um plano de requalificação e fruição coletiva da Praça do Comércio.
Página 3
28 DE FEVEREIRO DE 2025
3
PROJETO DE LEI N.º 581/XVI/1.ª
CRIMINALIZA A ESTERILIZAÇÃO DE PESSOAS COM DEFICIÊNCIA E/OU INCAPAZES E REGULA AS
CONDIÇÕES PARA PRÁTICA DE MÉTODOS DE ESTERILIZAÇÃO IRREVERSÍVEIS, ALTERANDO A LEI
N.º 3/84, DE 24 DE MARÇO, O CÓDIGO PENAL, E O CÓDIGO CIVIL
Exposição de motivos
Em toda a União Europeia, as mulheres e meninas com deficiência continuam a correr um risco muito maior
de violência baseada no género e enfrentam discriminação e barreiras adicionais para denunciar os crimes a
que são sujeitas e aceder à justiça.
A esterilização forçada é uma das formas de violência em que as mulheres com deficiência são mais
afetadas. A esterilização forçada continua a afetar mulheres e raparigas na União Europeia, visto que de acordo
com o Fórum de Deficiência Europeu esta prática ainda é autorizada em pelo menos 13 Estados-Membros da
União Europeia para pessoas privadas de capacidade jurídica, e em pelo menos 3 Estados-Membros esta
prática é também autorizada em menores de idade.
Portugal surge, a par da Hungria e da Chéquia, como um dos países em que não só é possível a realização
da esterilização forçada, e irreversível, de pessoas com deficiência, como este procedimento pode ser realizado
em menores de idade, fruto do enquadramento legal constante do artigo 10.º, n.º 2, da Lei n.º 3/84, de 24 de
março, do artigo 74.º, n.º 4, do Regulamento de Deontologia Médica, aprovado pelo Regulamento n.º 707/2016,
de 21 de julho, na Norma n.º 15/2013, da Direção-Geral da Saúde, e indiretamente do artigo 147.º, n.º 1, do
Código Civil.
Este enquadramento legal ao permitir tais procedimentos é contrário ao disposto, entre outros, na Convenção
das Nações Unidas sobre os Direitos das Pessoas com Deficiência, na Convenção do Conselho da Europa, na
Convenção do Conselho da Europa para a Prevenção e o Combate à Violência contra as Mulheres e a Violência
Doméstica (Convenção de Istambul), e o Estatuto de Roma do Tribunal Penal internacional. Tal situação foi,
aliás, objeto de reparo pelo Comité dos Direitos das Pessoas com Deficiência, em 2016, que recomendou ao
nosso País que tomasse as medidas necessárias para garantir o consentimento pleno, livre e informado para o
tratamento médico, na sequência de relatos de situações em que pessoas com deficiência, especialmente as
que não têm capacidade jurídica, são sujeitas a interrupção da gravidez e esterilização contra a sua vontade.
Para o PAN a esterilização de pessoas com deficiência e/ou incapazes constitui uma violação grave dos
direitos fundamentais das pessoas com deficiência e uma ofensa à integridade física grave, que deverá ser
proibida e punida por lei penal.
Com a presente iniciativa o PAN pretende criminalizar a esterilização de pessoas com deficiência e/ou
incapazes e regular as condições para a prática de métodos de esterilização irreversíveis que afetem estas
pessoas, alterando a Lei n.º 3/84, de 24 de março, o Código Penal, e o Código Civil. Com a proposta do PAN
não só passa a ser proibida a prática de métodos de esterilização irreversíveis em menores de idade, salvo em
situações urgentes com risco de vida, mas também passa a prever que os métodos de esterilização irreversíveis
que afetam pessoas com deficiência e/ou incapazes só possam ocorrer após o seu consentimento livre,
informado e indelegável e com acompanhamento por uma equipa multidisciplinar – composta pelo menos por
uma pessoa indicada pela pessoa com deficiência e/ou incapaz, um médico e um psicólogo.
Pelo exposto, e ao abrigo das disposições constitucionais e regimentais aplicáveis, a abaixo assinada
Deputada do Pessoas-Animais-Natureza apresenta o seguinte projeto de lei:
Artigo 1.º
Objeto
A presente lei criminaliza a esterilização de pessoas com deficiência e/ou incapazes e regula as condições
para a prática de métodos de esterilização irreversíveis que afetem pessoas com deficiência e/ou incapazes,
procedendo para o efeito à alteração:
a) Da Lei n.º 3/84, de 24 de março;
Página 4
II SÉRIE-A — NÚMERO 191
4
b) Do Código Penal, aprovado pelo Decreto-Lei n.º 48/95, de 15 de março; e
c) Do Código Civil, aprovado pelo Decreto-Lei n.º 47 344/66, de 25 de novembro;
Artigo 2.º
Condições para a prática de métodos de esterilização irreversíveis que afetem pessoas com
deficiência e/ou incapazes
1 – A realização de métodos de esterilização irreversíveis que afetem pessoas com deficiência e/ou
incapazes só pode ocorrer após o seu consentimento livre, informado e indelegável.
2 – Para efeitos do número anterior, todo o processo clínico deve ser acompanhado por uma equipa
multidisciplinar capaz de providenciar todos os meios humanos, materiais, incluindo os tecnológicos, e em
formatos acessíveis, para que seja assegurado o envolvimento da pessoa na tomada de decisão.
3 – A equipa multidisciplinar deve ser composta pelo menos por uma pessoa indicada pela pessoa com
deficiência e/ou incapaz, um médico e um psicólogo.
4 – Nas situações em que a pessoa esteja impossibilitada de prestar o consentimento livre e informado, é
proibida a prática de métodos de esterilização irreversíveis por solicitação de terceiros ou na sequência de
decisão judicial, e devem ser obrigatoriamente utilizados outros métodos terapêuticos.
5 – É proibida a prática de métodos de esterilização irreversíveis em menores de idade, salvo em situações
urgentes com risco de vida.
Artigo 3.º
Alteração à Lei n.º 3/84, de 24 de março
O artigo 10.º da Lei n.º 3/84, de 24 de março, passa a ter a seguinte redação:
«Artigo 10.º
[…]
1 – […]
2 – A esterilização voluntária de pessoas com deficiência só pode ser realizada após o seu consentimento
livre, informado e indelegável.
3 – Na situação descrita no número anterior, as pessoas com deficiência devem ser acompanhadas por uma
equipa multidisciplinar capaz de providenciar todos meios humanos, materiais, incluindo os tecnológicos, em
formatos acessíveis, para que a decisão seja pessoal, livre e informada.
4 – Nas situações em que a pessoa esteja impossibilitada de prestar o consentimento livre e informado, é
proibida a prática de métodos de esterilização irreversíveis por solicitação de terceiros ou por decisão judicial e
devem ser utilizados outros métodos terapêuticos.
5 – É proibida a prática de métodos de esterilização irreversíveis em menores de idade, salvo em situações
urgentes com risco de vida.
6 – A exigência do limite de idade previsto no n.º 1 só é dispensada em situações urgentes com risco de
vida.»
Artigo 4.º
Alteração ao Código Penal
Os artigos 149.º e 150.º do Código Penal, aprovado pelo Decreto-Lei n.º 48/95, de 15 de março, passam a
ter a seguinte redação:
«Artigo 149.º
[…]
1 – […]
Página 5
28 DE FEVEREIRO DE 2025
5
2 – […]
3 – O consentimento da vítima do crime, previsto nos artigos 144.º-A e 150.º, n.º 3, quando as intervenções
e tratamentos médico-cirúrgicos resultem na esterilização irreversível de menor de idade sem que exista
situação urgente com risco de vida, não exclui em caso algum a ilicitude do facto.
Artigo 150.º
[…]
1 – […]
2 – […]
3 – Sem prejuízo do disposto nos números anteriores, as intervenções e tratamentos médico-cirúrgicos que
resultem na esterilização irreversível de menor de idade ou pessoa com deficiência e/ou incapaz, fora das
situações permitidas por lei, é considerado ofensa à integridade grave nos termos do artigo 144.º, alínea b).».
Artigo 5.º
Alteração ao Código Civil
O artigo 147.º do Código Civil, aprovado pelo Decreto-Lei n.º 47 344/66, de 25 de novembro, passa a ter a
seguinte redação:
«Artigo 147.º
[…]
1 – […]
2 – Sem prejuízo do disposto no número anterior, a prática de métodos de esterilização irreversível só pode
ser realizada após o consentimento pessoal, livre e informado do acompanhado que em nenhuma circunstância
pode ser substituído por terceiros ou por decisão judicial.
3 – (Anterior n.º 2.)»
Artigo 6.º
Norma transitória
1 – Todos os procedimentos com vista à prática de métodos de esterilização irreversível que estejam
pendentes à data da entrada em vigor da presente lei ficam sem efeito.
2 – Nos casos referidos no número anterior, deve ser dado cumprimento ao disposto na presente lei para
garantia de um consentimento livre, informado e transmissível da pessoa com deficiência e/ou incapaz.
Artigo 7.º
Entrada em vigor
A presente lei entra em vigor no dia seguinte à sua publicação.
Assembleia da República, 26 de fevereiro de 2025.
A Deputada do PAN, Inês de Sousa Real.
–——–
Página 6
II SÉRIE-A — NÚMERO 191
6
PROJETO DE LEI N.º 582/XVI/1.ª
PREVÊ O REFORÇO DOS DIREITOS DAS CRIANÇAS E JOVENS EM ACOLHIMENTO
Exposição de motivos
A Constituição da República Portuguesa, no seu artigo 69.º, prevê que «as crianças têm direito à proteção
da sociedade e do Estado, com vista ao seu desenvolvimento integral, especialmente contra todas as formas de
abandono, de discriminação e de opressão e contra o exercício abusivo da autoridade na família e nas demais
instituições» e que cabe ao Estado assegurar «especial proteção às crianças órfãs, abandonadas ou por
qualquer forma privadas de um ambiente familiar normal».
A Convenção dos Direitos da Criança reconhece como um dos seus principais direitos o direito a ter uma
família.
Em junho de 2023, as Bases para a Qualificação do Sistema de Acolhimento de Crianças e Jovens definiram
como principais objetivos a manutenção das crianças e jovens em ambientes familiares sempre que possível, a
promoção de medidas que favoreçam a sua autonomia e a qualificação das respostas de acolhimento
residencial, tendo sido estabelecidas metas concretas para a redução do número de crianças e jovens em
acolhimento residencial, prevendo-se uma taxa de desinstitucionalização de 80 % até 2030.
O acolhimento familiar assume um papel fundamental na proteção de crianças e jovens em situação de
vulnerabilidade, proporcionando-lhes um ambiente estável. Contudo, a legislação vigente impõe limitações que
dificultam este acolhimento, comprometendo o superior interesse das crianças.
O PAN apresentou recentemente uma iniciativa que visava eliminar o impedimento legal que proíbe as
famílias de acolhimento de se candidatarem à adoção, uma vez que a restrição imposta pela lei se baseia
essencialmente na prevenção de eventuais abusos do sistema. No entanto, tal argumento ignora o direito das
crianças à estabilidade e ao vínculo afetivo. Quando uma criança e uma família de acolhimento desenvolvem
laços profundos e recíprocos, a proibição da adoção por essa família vai contra o superior interesse da criança,
pois impede a continuidade de um ambiente seguro e afetivo. Assim como eliminou, na referida iniciativa, a
impossibilidade de uma família de acolhimento ter laços de parentesco com a criança, na medida em que impede
que uma criança seja acolhida por familiares alargados que reúnam condições para o fazer.
Assim, com a presente iniciativa o PAN pretende reforçar os direitos das crianças e jovens no acolhimento,
começando, por um lado, por proceder à equiparação das famílias de acolhimento a outras figuras previstas na
lei, como a confiança a pessoa idónea ou a um familiar próximo. Atualmente, estas pessoas podem ter
disponibilidade para acolher uma criança, mas são impedidos de o fazer por razões económicas. Dado que as
responsabilidades e encargos dessas famílias são equivalentes aos das famílias de acolhimento, é justo que
beneficiem do mesmo apoio financeiro e das mesmas condições.
Para além destas medidas, a presente iniciativa propõe o reforço dos direitos das crianças e jovens em
acolhimento, como seja o direito a um ambiente livre de discriminação, maus-tratos, violência ou exploração,
prevendo canais acessíveis e eficazes para denúncias e acompanhamento; o acesso garantido a creche e
escola próximas da residência de acolhimento; a garantia de acompanhamento médico regular e especializado,
incluindo apoio psicológico; a atribuição de uma bolsa mensal aos jovens que frequentem o ensino superior e
secundário, abrangendo propinas, quando aplicável, materiais, transporte e alojamento, bem como garantia de
suporte financeiro para subsistência por parte da casa de acolhimento; e a garantia de que terão o direito a uma
diferenciação positiva em todas as medidas públicas aplicáveis.
Com estas alterações, pretende-se promover um acolhimento mais justo, equitativo e centrado no superior
interesse das crianças, garantindo-lhes estabilidade, apoio e melhores perspetivas para o futuro.
Pelo exposto, e ao abrigo das disposições constitucionais e regimentais aplicáveis, a Deputada única
representante do partido Pessoas-Animais-Natureza apresenta o seguinte projeto de lei:
Artigo 1.º
Objeto
A presente lei reforça os direitos das crianças e jovens em acolhimento, procedendo, para o efeito, à
alteração:
Página 7
28 DE FEVEREIRO DE 2025
7
a) À Lei de proteção de crianças e jovens em perigo, aprovada pela Lei n.º 147/99, de 1 de setembro, na
sua redação atual;
b) Ao Decreto-Lei n.º 139/2019, de 16 de setembro, que estabelece o regime de execução do acolhimento
familiar, medida de promoção dos direitos e de proteção das crianças e jovens em perigo, na sua redação atual.
Artigo 2.º
Alteração à Lei n.º 147/99, de 1 de setembro
São alterados os artigos 40.º, 43.º e 58.º da Lei n.º 147/99, de 1 de setembro, que passam a ter a seguinte
redação:
«Artigo 40.º
[…]
A medida de apoio junto de outro familiar consiste na colocação da criança ou do jovem sob a guarda de um
familiar com quem resida ou a quem seja entregue, acompanhada de apoio de natureza psicopedagógica e
social e, quando necessário, ajuda económica, prevista no artigo 30.º do Decreto-Lei n.º 139/2019, de 16 de
setembro.
Artigo 43.º
[…]
1 – […]
2 – A medida pode ser acompanhada de apoio de natureza psicopedagógica e social e, quando necessário,
de ajuda económica, prevista no artigo 30.º do Decreto-Lei n.º 139/2019, de 16 de setembro.
Artigo 58.º
[…]
1 – […]
a) […]
b) […]
c) […]
d) […]
e) […]
f) […]
g) […]
h) […]
i) […]
j) […]
k) […]
l) Ter assegurado um ambiente livre de discriminação, maus-tratos, violência ou qualquer tipo de exploração,
com a garantia de canais acessíveis, independentes e eficazes para denúncias e acompanhamento;
m) Acesso garantido da frequência da creche e da escola mais próxima da residência de acolhimento;
n) Garantia de acompanhamento médico regular e especializado, incluindo apoio psicológico;
o) No caso dos jovens que frequentem o ensino superior, o direito a uma bolsa mensal, atribuída pelo ISS,
IP, no valor correspondente à propina, aos valores e gastos com materiais e equipamentos imprescindíveis à
frequência do curso e transporte, bem como alojamento, caso necessário, devendo a casa de acolhimento
garantir as despesas devidas à sua subsistência.
Página 8
II SÉRIE-A — NÚMERO 191
8
2 – Aplica-se o disposto na alínea o) do número anterior, com as necessárias adaptações, caso o jovem
frequente o ensino secundário ou vias profissionalizantes.
3– Para além do disposto nos números anteriores, as crianças e jovens em acolhimento gozam de
diferenciação positiva em todas as medidas públicas aplicáveis.
4 – (Anterior n.º 2.)».
Artigo 5.º
Entrada em vigor
A presente lei entra em vigor no dia seguinte à sua publicação.
Assembleia da República, 28 de fevereiro de 2025.
A Deputada do PAN, Inês de Sousa Real.
–——–
PROJETO DE LEI N.º 583/XVI/1.ª
CRIA O MECANISMO ESPECIAL DE REPARAÇÃO A VÍTIMAS DE ESTERILIZAÇÃO FORÇADA
Exposição de motivos
Apesar do enquadramento da esterilização forçada no ordenamento jurídico português, várias organizações
não governamentais têm vindo a alertar para o facto de a prática continuar a realizar-se, afetando
designadamente raparigas e mulheres com deficiência.
Neste sentido, alertaram, através de uma carta aberta de janeiro de 2024, para a necessidade de (1)
promover a criminalização clara da prática; (2) recolher dados e promover a investigação; e (3) estabelecer
mecanismos especiais de indemnização e de reparação1.
A Convenção do Conselho da Europa para a Prevenção e o Combate à Violência contra as Mulheres e à
Violência Doméstica (Convenção de Istambul) prevê expressamente a necessidade de os Estados-parte
assegurarem a criminalização da esterilização forçada, definindo-a como «uma cirurgia que tenha como
finalidade ou efeito pôr fim à capacidade de reprodução natural de uma mulher, sem o seu consentimento prévio
e esclarecido ou sem que ela compreenda o procedimento»2.
A este respeito, o Comentário-Geral n.º 6 do Comité das Nações Unidas para os Direitos das Pessoas com
Deficiência (CRPD) estatui que, ao longo da história, a integridade, a igualdade e a dignidade têm sido negadas
às pessoas com deficiência e que a discriminação pode assumir formas especialmente brutais, entre as quais
se contam as esterilizações em massa não consensuais e/ou forçada3.
No mesmo comentário, é clarificado que os Estados-parte da Convenção sobre os Direitos das Pessoas com
Deficiência têm a obrigação de respeitar, proteger e cumprir o direito de todas as pessoas com deficiência à não
discriminação e à igualdade, nomeadamente modificando ou abolindo leis, regulamentos ou práticas atentatórias
destes direitos, incluindo as que legitimem esterilizações não consensuais a meninas e mulheres com
deficiência4.
Esta matéria é uma preocupação reiterada do Livre, ecoada, por exemplo, na apresentação de sucessivas
propostas com ela relacionadas, quer em contexto de Orçamento do Estado, quer em contexto de iniciativa
1 Carta aberta de apelo à criminalização da esterilização forçada em Portugal e na proposta de diretiva da UE relativa ao combate à violência contra as mulheres e à violência doméstica, janeiro de 2024, disponível em: https://tinyurl.com/3nbhsh6e. 2 Artigo 39.º da Convenção. 3 CRPD/C/GC/6, de 26 de abril de 2018, §8, disponível em: https://tinyurl.com/ycxpf6ek. 4 Ibid. §32.
Página 9
28 DE FEVEREIRO DE 2025
9
legislativa5.
Destaca-se, desde logo, a aprovação da realização de um estudo específico com o levantamento sobre
práticas de esterilização forçada em Portugal e a formação para profissionais de saúde, forças de segurança ou
associações. Lamentavelmente, o referido estudo nunca foi elaborado.
É hoje reconhecido que a esterilização forçada, em particular visando pessoas com deficiência, suscita
questões complexas de acesso à justiça e à reparação por uma prática que, conforme exposto, é reconhecida
como violação dos direitos humanos6.
A reparação deste tipo de práticas é um imperativo ético e jurídico, que vai além das vias comuns de
ressarcimento. Há, por exemplo, necessidades de referenciação para cuidados e acompanhamentos técnicos
específicos e de reabilitação. É igualmente necessário assegurar a acessibilidade de informação e de meios de
apresentação de queixa simplificados que promovam a capacidade de reação das vítimas.
Por tudo isto, têm sido criados em diversos países, mecanismos e programas específicos de reparação por
esterilizações forçadas7.
O Livre entende que é urgente e indispensável responder às preocupações expressas pela sociedade civil e
que parte dessa resposta passa pela criação de um mecanismo não judicial de reparação que, não substituindo
ou ultrapassando as vias judiciais, permita reconhecer a violação dos direitos fundamentais das vítimas e
promover o seu acesso a informação, a serviços de cuidado e reabilitação e, quando aplicável, a compensação
pecuniária. Uma tal resposta é igualmente parte essencial do reconhecimento por parte das autoridades
nacionais de que a subsistência da prática decorre também da insuficiência da ação do Estado para a prevenção
da esterilização forçada e sinaliza um compromisso para o futuro.
Assim, ao abrigo das disposições constitucionais e regimentais aplicáveis, o Grupo Parlamentar do Livre
apresenta o seguinte projeto de lei:
Artigo 1.º
Objeto
A presente lei cria o Mecanismo Especial de Reparação a Vítimas de Esterilização Forçada (Mecanismo
Especial).
Artigo 2.º
Definições
Para efeitos do disposto na presente lei entende-se por:
a) Esterilização forçada, a intervenção cirúrgica, reversível ou não, que tenha como finalidade ou efeito pôr
fim à capacidade de reprodução natural, sem o consentimento prévio, livre e informado da pessoa ou sem que
ela tenha compreendido o procedimento e as suas consequências;
b) Vítima de esterilização forçada, qualquer pessoa sujeita a esterilização forçada;
c) Reparação, qualquer forma, de natureza pecuniária ou não pecuniária, de reconhecimento, compensação,
reabilitação ou ressarcimento pela sujeição a esterilização forçada.
Artigo 3.º
Âmbito e natureza jurídica
1 – O Mecanismo Especial de Reparação a Vítimas de Esterilização Forçada (Mecanismo Especial) é um
5 Proposta de aditamento à Lei do Orçamento do Estado para 2023, que deu origem ao artigo 123.º da Lei n.º 24-D/2022, disponível em: https://tinyurl.com/3u7ab9s4; Projeto de Resolução n.º 245/XV/1.ª que recomenda ao Governo o envolvimento de entidades na recolha de dados sobre práticas de esterilização forçada de raparigas e mulheres com deficiência, que deu origem à Resolução da Assembleia da República n.º 56/2023, disponível em: https://tinyurl.com/mr2pbyzz; proposta de Aditamento à Lei do Orçamento do Estado para 2024, que origem ao artigo 160.º da Lei n.º 82/2023, disponível em: https://tinyurl.com/y4n9aa69; proposta de Aditamento à Lei do OE para 2025 (rejeitada), disponível em: https://tinyurl.com/yza4anmh. 6 Ver, por exemplo, European Disability Forum, Forced sterilisation of persons with disabilities in the European Union, setembro de 2022, disponível em: https://tinyurl.com/yxc8uek8. 7 Ver, por exemplo: https://tinyurl.com/yc67sr4s; https://tinyurl.com/438u3kcm.
Página 10
II SÉRIE-A — NÚMERO 191
10
programa temporário com o desígnio de assegurar a compensação de qualquer pessoa que, em Portugal, tenha
sido sujeita a esterilização forçada.
2 – O Mecanismo Especial de Reparação a Vítimas de Esterilização Forçada funciona na dependência do
membro do Governo responsável pela área da igualdade e não discriminação.
3 – O Mecanismo Especial de Reparação a Vítimas de Esterilização Forçada não tem personalidade jurídica,
gozando de autonomia administrativa, financeira e patrimonial e personalidade judiciária.
4 – A atividade do Mecanismo Especial de Reparação a Vítimas de Esterilização Forçada não prejudica o
direito à tutela jurisdicional efetiva, nem quaisquer outras normas legais aplicáveis, designadamente as
disposições de Direito Penal correspondentes.
5 – O Mecanismo Especial de Reparação a Vítimas de Esterilização Forçada é estabelecido pelo prazo de 5
anos a partir da data do seu início de funções.
Artigo 4.º
Missão e competências
1 – O Mecanismo Especial de Reparação a Vítimas de Esterilização Forçada tem por missão promover o
reconhecimento da esterilização forçada em casos individuais e a reparação a vítimas, através,
designadamente, da atribuição de quantia pecuniária a título indemnizatório e da referenciação para serviços e
cuidados de saúde, acompanhamento psicossocial ou outro.
2 – São competências do Mecanismo Especial:
a) Receber e apreciar queixas individuais de sujeição a esterilização forçada;
b) Reconhecer a ocorrência de situações individuais de esterilização forçada nos casos apreciados em que
tal se verifique e definir formas de reparação;
c) Promover o acesso das vítimas ao procedimento de reconhecimento e compensação, designadamente
em articulação com organizações da sociedade civil;
d) Articular com as autoridades judiciais competentes, bem como com entidades públicas ou privadas que
desenvolvam atividades com relevância para o reconhecimento de e para a reparação a vítimas de esterilização
forçada.
3 – O Mecanismo Especial de Reparação a Vítimas de Esterilização Forçada elabora e publica um relatório
anual que inclui, designadamente, informação sobre a sua atividade e recomendações relativas à prevenção e
combate à esterilização forçada.
4 – O relatório referido no número anterior é apresentado à Assembleia da República.
Artigo 5.º
Princípios orientadores
A atuação do Mecanismo Especial de Reparação a Vítimas de Esterilização Forçada está subordinada aos
seguintes princípios:
a) Acessibilidade, que implica a divulgação de informação acerca da esterilização forçada e do procedimento
de queixa;
b) Colaboração e participação, que determina a articulação com as organizações da sociedade civil e com
as vítimas;
c) Complementaridade, na medida em que não substitui os mecanismos judiciais existentes;
d) Confidencialidade, determinando a proteção de informações e documentos relativos aos casos analisados;
e) Igualdade e da não-discriminação, da dignidade humana e os direitos fundamentais das pessoas, sendo
sensíveis às necessidades específicas de pessoas particularmente vulneráveis ou expostas.
Página 11
28 DE FEVEREIRO DE 2025
11
Artigo 6.º
Composição
1 – O Mecanismo Especial de Reparação a Vítimas de Esterilização Forçada é composto por:
a) Um presidente, eleito pela Assembleia da República;
b) Dois cidadãos de reconhecido mérito ou conhecimento nas áreas da igualdade e não discriminação,
designados pelo membro do Governo responsável pela área da igualdade e da não discriminação;
c) Dois cidadãos de reconhecido mérito ou conhecimento na área da saúde, designados pelo membro do
Governo responsável pela área da saúde;
d) Dois cidadãos de reconhecido mérito ou conhecimento na área da justiça, designados pelo membro do
Governo responsável pela área da justiça;
e) Dois representantes de organizações da sociedade civil com ação reconhecida na área da igualdade e da
não discriminação;
f) O Provedor de Justiça;
g) O Presidente da Comissão para a Cidadania e a Igualdade de Género.
2 – A atividade do Mecanismo Especial é apoiada por um secretariado.
Artigo 7.º
Regulamentação
1 – O Governo procede à regulamentação da presente lei por portaria do membro responsável pela área da
igualdade e não discriminação no prazo de 180 dias contados a partir da data da publicação da presente lei.
2 – O Mecanismo Especial de Reparação a Vítimas de Esterilização Forçada define as regras relativas à
apresentação de queixas e ao procedimento de apreciação, no prazo de 180 dias contados a partir da data do
seu início de funções.
Artigo 8.º
Entrada em vigor
A presente lei entra em vigor na data de entrada em vigor do Orçamento do Estado subsequente à sua
publicação.
Assembleia da República, 28 de fevereiro de 2025.
Os Deputados do L: Isabel Mendes Lopes — Jorge Pinto — Paulo Muacho — Rui Tavares.
–——–
PROJETO DE LEI N.º 584/XVI/1.ª
ESCLARECE A CRIMINALIZAÇÃO DA ESTERILIZAÇÃO FORÇADA, NOMEADAMENTE DAS PESSOAS
COM DEFICIÊNCIA, E REGULA O RECURSO A MEIOS DE CONTROLO DE FERTILIDADE
RELATIVAMENTE A PESSOAS COM DEFICIÊNCIA OU EM SITUAÇÃO DE INCAPACIDADE
Exposição de motivos
A Lei n.º 3/84, de 24 de março, prevê expressamente os requisitos para a esterilização voluntária de pessoas
com mais de 25 anos, mas não consagra nenhum regime jurídico para a esterilização de pessoas deficiência ou
Página 12
II SÉRIE-A — NÚMERO 191
12
em situação de incapacidade. Nela também não se afirmam as consequências associadas a qualquer
esterilização forçada (de pessoa capaz ou incapaz de decidir), urgindo, portanto, o esclarecimento de que
qualquer esterilização forçada implica a responsabilidade criminal do seu autor, na medida em que preencha o
tipo legal de crime de ofensa à integridade física grave ao retirar ou afetar de maneira grave a capacidade de
procriação. Ademais, no que respeita a pessoas com deficiência ou em situação de incapacidade, há que regular
o recurso a meios de controlo de fertilidade assentes no respeito pelo princípio da igualdade e na opção pela
alternativa menos restritiva de direitos, à luz de um princípio da proporcionalidade.
Se é inequívoco que a Constituição da República Portuguesa consagra de forma genérica o princípio da
igualdade no seu artigo 13.º, também é certo que a Convenção das Nações Unidas sobre os Direitos das
Pessoas com Deficiência, a que Portugal está vinculado, proíbe a discriminação com fundamento na deficiência,
logo no seu artigo 1.º, no artigo 3.º, alíneas b), e) e g), e ainda no seu artigo 5.º. Por outro lado, e não com menor
relevância, o princípio da proporcionalidade é acolhido quer pelo artigo 18.º da Constituição quer pelo artigo
12.º, n.º 4, da Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência, daqui resultando
um imperativo de intervenção mínima. As compressões de direitos fundamentais de qualquer pessoa, também
das pessoas com deficiência, devem ser as menores possíveis, sempre exclusivamente conformadas pela tutela
de outros interesses seus legalmente protegidos e apenas decididas após a sua audição prévia, sempre que ela
seja possível e recorrendo a todos os meios disponíveis para a concretizar. O recurso a critérios objetivos
distintos da manifestação de vontade da pessoa só deve considerar-se admissível nas hipóteses de comprovada
impossibilidade da pessoa para manifestar a sua vontade.
Pretende-se, nestes termos, garantir que os meios de controlo de fertilidade relativamente a pessoas com
deficiência ou em situação de incapacidade sejam proporcionais, adaptados às concretas circunstâncias das
pessoas, temporalmente limitados e, nas hipóteses mais graves e restritivas do direito à autodeterminação,
sujeitas a controlo judicial.
Assim, nos termos constitucionais e regimentais aplicáveis, as Deputadas e os Deputados abaixo assinados
do Grupo Parlamentar do Partido Socialista apresentam o seguinte projeto de lei:
Artigo 1.º
Objeto
A presente lei esclarece o regime de criminalização da esterilização forçada, nomeadamente das pessoas
com deficiência, e regula o recurso a meios de controlo de fertilidade relativamente a pessoas com deficiência
ou em situação de incapacidade, procedendo à primeira alteração à Lei n.º 3/84, de 24 de março.
Artigo 2.º
Alterações à Lei n.º 3/84, de 24 de março
É alterado o artigo 10.º da Lei n.º 3/84, de 24 de março, que passa a ter a seguinte redação:
«Artigo 10.º
(Esterilização voluntária)
1 – […]
2 – […]
3 – A esterilização não voluntária determina a responsabilidade criminal do seu autor nos termos do artigo
144.º do Código Penal.»
Artigo 3.º
Aditamentos à Lei n.º 3/84, de 24 de março
É aditado o artigo 10.º-A à Lei n.º 3/84, de 24 de março, com a seguinte redação:
Página 13
28 DE FEVEREIRO DE 2025
13
«Artigo 10.º-A
(Meios de controlo de fertilidade relativamente a pessoas com deficiência ou em situação de incapacidade)
1 – A esterilização de pessoas em situação de incapacidade, nomeadamente de pessoas com deficiência,
que não seja motivada por razões de natureza médica, é proibida e determina a responsabilidade criminal do
seu autor nos termos do artigo 144.º do Código Penal.
2 – O recurso a meios de controlo da fertilidade que não impliquem a esterilização é decidido pelo responsável
legal no âmbito das suas atribuições, auscultada sempre que possível a pessoa com deficiência ou em situação
de incapacidade.
3 – É admitida a esterilização por razões de natureza médica, mediante decisão do responsável legal, sujeita
a autorização judicial e se possível auscultada a pessoa com deficiência ou em situação de incapacidade,
sempre que se verifiquem cumulativamente os seguintes requisitos:
a) Se preveja que a falta de capacidade de entender e querer da pessoa com deficiência ou em situação de
incapacidade seja irreversível;
b) A esterilização seja o meio adequado e necessário para evitar a gravidez;
c) A gravidez tenha implicações sérias e graves na saúde física ou psíquica da pessoa com deficiência ou
em situação de incapacidade; e
d) O método de esterilização a adotar seja o menos invasivo e, se possível, reversível.»
Artigo 4.º
Entrada em vigor
A presente lei entra em vigor no primeiro dia do mês seguinte ao da sua publicação.
Palácio de São Bento, 28 de fevereiro de 2025.
Os Deputados do PS: Lia Ferreira — Alexandra Leitão — Ana Sofia Antunes — Isabel Alves Moreira — Pedro
Delgado Alves — Cláudia Santos — Elza Pais — André Rijo — Patrícia Faro — Eurídice Pereira — Pedro Vaz
— Miguel Matos.
–——–
PROJETO DE LEI N.º 585/XVI/1.ª
APROVA O REGIME JURÍDICO DA CIBERSEGURANÇA
Exposição de motivos
O XXIV Governo Constitucional desencadeou, através de consulta pública, o procedimento tendente à
transposição da Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro, relativa
a medidas destinadas a garantir um elevado nível comum de cibersegurança na União, aprovando um novo
regime jurídico da cibersegurança.
Todavia, o Governo optou pela solicitação à Assembleia da República de uma autorização legislativa (através
da Proposta de Lei n.º 50/XVI), ao invés de submeter ao debate parlamentar, e às suas características de maior
pluralismo e de possibilidade de envolvimento transparente dos cidadãos, a totalidade do regime jurídico
substantivo. Atenta a centralidade da matéria, o Grupo Parlamentar do Partido Socialista deu nota pública da
sua disponibilidade para esse debate construtivo, sublinhando, porém, que considerava indispensável que a
discussão se fizesse, à semelhança do passado, em sede parlamentar.
Tendo o Governo optado, no final da discussão pública, por recorrer à opção da autorização legislativa, vem
Página 14
II SÉRIE-A — NÚMERO 191
14
o Grupo Parlamentar do PS apresentar a presente iniciativa que, à data em que é submetida, corresponde ao
que o próprio Governo submeteu como anteprojeto de decreto-lei autorizado ao Parlamento. Pretende-se por
esta via garantir que o debate substantivo tenha lugar na Assembleia, para que os grupos parlamentares possam
formular propostas de alteração e as comissões parlamentares competentes debater e votar na especialidade,
realizar audições e receber contributos dos cidadãos, numa matéria complexa, mas central para a nossa vida
em comunidade.
Concomitantemente, será solicitada ao Governo a remessa de todos os contributos já recebidos no quadro
da discussão pública, e que não se encontram ao dispor do Parlamento e da comunidade à data, de forma a
enformar futuras propostas de alteração a apresentar, reservando-se mesmo o Grupo Parlamentar do Partido
Socialista a possibilidade de as fazer refletir em nova versão da presente iniciativa, a apresentar ainda antes da
discussão na generalidade.
Assim, nos termos constitucionais e regimentais aplicáveis, as Deputadas e os Deputados abaixo assinados
do Grupo Parlamentar do Partido Socialista apresentam o seguinte projeto de lei:
Artigo 1.º
Objeto
1 – A presente lei aprova o regime jurídico da cibersegurança, transpondo, para a ordem jurídica interna, a
Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro, relativa a medidas
destinadas a garantir um elevado nível comum de cibersegurança na União, que altera o Regulamento (UE) n.º
910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 1).
2 – A presente lei procede ainda à:
a) Execução, na ordem jurídica interna, das obrigações decorrentes do Regulamento (UE) 2019/881, do
Parlamento Europeu e do Conselho, de 17 de abril, relativo à ENISA (Agência da União Europeia para a
Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga
o Regulamento (UE) n.º 526/2013 (Regulamento Cibersegurança), implementando um quadro nacional de
certificação da cibersegurança;
b) Nona alteração à Lei de Segurança Interna, aprovada pela Lei n.º 53/2008, de 29 de agosto, na sua
redação atual;
c) Segunda alteração à Lei do Cibercrime, aprovada pela Lei n.º 109/2009, 15 de setembro, alterada pela
Lei n.º 79/2021, de 24 de novembro;
d) Segunda alteração à Lei das Comunicações Eletrónicas, aprovada pela Lei n.º 16/2022, de 16 de agosto,
alterada pelo Decreto-Lei n.º 114/2024, de 20 de dezembro.
3 – O disposto na presente lei não prejudica as medidas e o quadro legal vigente destinados a salvaguardar
as funções essenciais do Estado, nomeadamente as medidas e disposições referentes à preservação da
segurança e do interesse nacional, à produção de informações para a segurança interna e externa do Estado
português, à proteção do segredo de Estado e da informação classificada, e ainda a salvaguardar a manutenção
da ordem pública e a permitir a investigação, a deteção e a repressão de infrações criminais, sem prejuízo do
previsto nos artigos 7.º e 8.º.
Artigo 2.º
Regime jurídico da cibersegurança
É aprovado em anexo à presente lei, e da qual faz parte integrante, o regime jurídico da cibersegurança.
Artigo 3.º
Alteração à Lei n.º 53/2008, de 29 de agosto
É alterado o artigo 16.º da Lei de Segurança Interna, aprovada pela Lei n.º 53/2008, de 29 de agosto, que
passa ter a seguinte redação:
Página 15
28 DE FEVEREIRO DE 2025
15
«Artigo 16.º
[…]
1 – […]
2 – […]
3 – […]
4 – Ao Secretário-Geral do Sistema de Segurança Interna compete convocar, nos termos do artigo 25.º-A,
um gabinete de crise na sequência da atribuição de um grau de ameaça elevado pelo Serviço de Informações
de Segurança, ou equivalente nível de alerta nacional para Cibersegurança, ou quando for informado pelo
Centro Nacional de Cibersegurança ou por qualquer entidade competente, designadamente forças e serviços
de segurança, sobre a ocorrência de uma ciberameaça significativa ou de crise ou incidente suscetível de ser
considerado em grande escala.»
Artigo 4.º
Alteração à Lei n.º 109/2009, de 15 de setembro
O artigo 2.º da Lei do Cibercrime, aprovada pela Lei n.º 109/2009, de 15 de setembro, na sua redação atual,
passa a ter a seguinte redação:
«Artigo 2.º
[…]
[…]
a) […]
b) […]
c) […]
d) […]
e) […]
f) […]
g) […]
h) «Vulnerabilidade», uma fragilidade, suscetibilidade ou falha, que afeta redes e sistemas de informação,
produtos ou serviços de tecnologias da informação ou comunicação, passível de ser explorada por uma
ciberameaça, definida na aceção do artigo 2.º, ponto n.º 8, do Regulamento (UE) 2019/881, do Parlamento
Europeu e do Conselho de 17 de abril.»
Artigo 5.º
Alteração à Lei n.º 16/2022, de 16 de agosto
O artigo 13.º da Lei das Comunicações Eletrónicas, aprovada pela Lei n.º 16/2022, de 16 de agosto, na sua
redação atual, passa a ter a seguinte redação:
«Artigo 13.º
[…]
1 – […]
2 – Não obstante o disposto no número anterior, o artigo 177.º, a alínea q) do n.º 3 do artigo 178.º, o artigo
179.º, o artigo 180.º, o artigo 181.º, o artigo 182.º e o artigo 183.º da Lei das Comunicações Eletrónicas, aprovada
em anexo à presente lei, entram em vigor no dia seguinte ao da sua publicação.»
Página 16
II SÉRIE-A — NÚMERO 191
16
Artigo 6.º
Aditamento à Lei n.º 53/2008, de 29 de agosto
É aditado o artigo 25.º-A à Lei de Segurança Interna, aprovada pela Lei n.º 53/2008, de 29 de agosto, na sua
redação atual, com a seguinte redação:
«Artigo 25.º-A
Gabinete de crise
1 – O gabinete de crise referido no n.º 4 do artigo 16.º é composto por representantes da Polícia Judiciária,
do Serviço de Informações de Segurança, do Serviço de Informações Estratégicas de Defesa, do Centro
Nacional de Cibersegurança e do Comando de Operações de Ciberdefesa, ou de outras entidades com
relevância em razão da matéria.
2 – O gabinete de crise referido no número anterior visa assegurar, de forma coordenada e sem prejuízo
das competências legalmente atribuídas a cada entidade, a condução de crises de cibersegurança com impacto
na segurança interna e, em situações de ocorrências com impacto transnacional, garantir a interoperabilidade
funcional com entidades congéneres da União Europeia.»
Artigo 7.º
Aditamento à Lei n.º 109/2009, de 15 de setembro
É aditado o artigo 8.º-A à Lei do Cibercrime, aprovada pela Lei n.º 109/2009, de 15 de setembro, na sua
redação atual, com a seguinte redação:
«Artigo 8.º-A
Atos não puníveis por interesse público de cibersegurança
1 – Não são puníveis factos suscetíveis de consubstanciar os crimes de acesso ilegítimo e de interceção
ilegítima previstos, respetivamente, nos artigos 6.º e 7.º, se verificadas, cumulativamente, as seguintes
circunstâncias:
a) O agente atue com a intenção única de identificar a existência de vulnerabilidades em sistema de
informação, produtos e serviços de tecnologias de informação e comunicação, que não tenham sido criadas por
si ou por terceiro de quem dependa, e com propósito de, através da sua divulgação, contribuir para a segurança
do ciberespaço;
b) O agente não atue com o propósito de obter vantagem económica ou promessa de vantagem económica
decorrente da sua ação, sem prejuízo da remuneração que aquele obtenha como contrapartida da sua atividade
profissional;
c) O agente comunique, imediatamente após a sua ação, as eventuais vulnerabilidades identificadas, ao
proprietário ou pessoa por ele designada para gerir o sistema de informação, produto ou serviço de tecnologias
de informação e comunicação, ao titular de quaisquer dados obtidos e que se encontrem protegidos ao abrigo
da legislação aplicável em matéria de proteção de dados pessoais, designadamente, o Regulamento Geral de
Proteção de Dados (RGPD), aprovado pelo Regulamento (UE) 2016/679, do Parlamento Europeu e do
Conselho, de 27 de abril de 2016, a Lei n.º 26/2016, de 22 de agosto, na sua redação atual, a Lei n.º 58/2019,
de 8 de agosto e a Lei n.º 59/2019, de 8 de agosto;
d) A atuação do agente seja proporcional aos seus propósitos e estritamente limitada pelos mesmos,
bastando-se com as ações necessárias à identificação das vulnerabilidades e não provocando:
i) Uma perturbação ou interrupção do funcionamento do sistema ou serviço em causa;
ii) A eliminação ou deterioração de dados informáticos ou a sua cópia não autorizada;
iii) Qualquer efeito prejudicial, danoso ou nocivo sobre a pessoa ou entidade afetada, direta ou
indiretamente, ou sobre quaisquer terceiros, excluindo os efeitos correspondentes ao próprio acesso
Página 17
28 DE FEVEREIRO DE 2025
17
ilegítimo ou interceção ilegítima, nos termos previstos nos artigos 6.º e 7.º, e ainda os que resultariam
já, com elevada probabilidade, da própria vulnerabilidade detetada ou da sua exploração.
e) A atuação do agente não consubstancie a violação de dados pessoais protegidos ao abrigo da legislação
aplicável em matéria de proteção de dados pessoais, designadamente, do Regulamento (UE) n.º 2016/679, do
Parlamento Europeu e do Conselho, de 27 de abril de 2016, da Lei n.º 58/2019, de 8 de agosto, e da Lei n.º
59/2019, de 8 de agosto.
2 – A comunicação prevista na alínea c) do número anterior, deve ser feita também à autoridade nacional
de cibersegurança, que a remete à Polícia Judiciária sempre que revista relevância criminal.
3 – Para efeitos de determinação da proporcionalidade da atuação do agente, tomar-se-á em conta se a
mesma era necessária à deteção da vulnerabilidade e se a extensão dos sistemas ou dados informáticos
acedidos, consultados e/ou copiados era imposta pelo interesse em contribuir para a segurança do ciberespaço,
sendo expressamente vedado o uso das seguintes práticas:
a) Mecanismos de negação de serviço (DoS) ou negação de serviço distribuída (DDoS);
b) Engenharia social, definido como facto de enganar de responsáveis ou utilizadores dos sistemas de
informação com vista à disponibilização de informação sensível ou sigilosa;
c) «Phishing» e variantes;
d) Roubo ou furto de palavras-passe ou outras informações sensíveis;
e) Eliminação ou alteração dolosa de dados informáticos;
f) Inflição dolosa de danos ao sistema de informação;
g) Instalação e distribuição de software malicioso.
4 – Sem prejuízo das regras aplicáveis em matéria de proteção de dados, os dados informáticos que sejam
comunicados ao proprietário ou pessoa encarregue da gestão do sistema de informação, produto e serviço de
tecnologias de informação e comunicação, ou à autoridade nacional de cibersegurança devem ser eliminados
no prazo de 10 dias contados a partir do momento em que a vulnerabilidade for corrigida, devendo garantir-se
a sua natureza secreta durante todo o procedimento.
5 – Não são igualmente puníveis os factos praticados com consentimento do proprietário ou administrador
de sistema de informação, produto ou serviço de tecnologias de informação e comunicação, sem prejuízo do
dever de notificação das vulnerabilidades eventualmente identificadas à autoridade nacional coordenadora
encarregada da resposta a incidentes de cibersegurança das vulnerabilidades eventualmente identificadas, nos
termos previstos no regime jurídico da cibersegurança.»
Artigo 8.º
Norma revogatória
São revogados:
a) O artigo 2.º-A do Decreto-Lei n.º 3/2012, de 16 de janeiro, na sua redação atual, que aprova a orgânica
do Gabinete Nacional de Segurança.
b) O regime jurídico da segurança do ciberespaço, aprovado pela Lei n.º 46/2018, de 13 de agosto;
c) A regulamentação do regime jurídico da segurança do ciberespaço, aprovada pelo Decreto-Lei n.º
65/2021, de 30 de julho;
d) Os artigos 59.º a 65.º e as alíneas m) a t) do n.º 3 do artigo 178.º da Lei das Comunicações Eletrónicas,
aprovada pela Lei n.º 16/2022, de 16 de agosto, na sua redação atual.
Artigo 9.º
Norma transitória
1 – A entrada em vigor da presente lei não prejudica a validade das decisões tomadas pela Comissão de
Página 18
II SÉRIE-A — NÚMERO 191
18
Avaliação de Segurança ao abrigo do regime anterior, que continuam a produzir efeitos pelo período de 180 dias
após a data da entrada em vigor da presente lei, durante o qual deve ser realizada nova avaliação de segurança.
2 – Com base na nova avaliação de segurança referida no número anterior, e ao abrigo do regime aprovado
em anexo à presente lei, o membro do Governo responsável pela área da cibersegurança pode decidir pela
renovação, modificação ou substituição das decisões adotadas pela Comissão de Avaliação de Segurança no
âmbito do regime anterior.
Artigo 10.º
Produção de efeitos
O disposto nos n.os 1 e 2 do artigo 27.º, nos artigos 28.º a 30.º, 33.º e nas alíneas b), c) e f) do n.º 1 do artigo
61.º do regime jurídico da cibersegurança, aprovado em anexo à presente lei, produz efeitos 24 meses após a
publicação da regulamentação referida nos artigos 8.º, 14.º, 26.º, 31.º, 32.º e 83.º do referido regime.
Artigo 11.º
Entrada em vigor
A presente lei entra em vigor 120 dias após a sua publicação.
Palácio de São Bento, 28 de fevereiro de 2025.
Os Deputados do PS: Pedro Delgado Alves — Alexandra Leitão — Miguel Matos.
ANEXO
(a que se refere o artigo 2.º)
Regime jurídico da cibersegurança
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto
1 – A presente lei estabelece o regime jurídico da cibersegurança, transpondo, para a ordem jurídica interna,
a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro, relativa a medidas
destinadas a garantir um elevado nível comum de cibersegurança na União, que altera o Regulamento (UE) n.º
910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 1).
2 – O disposto na presente lei não prejudica o cumprimento do disposto na legislação aplicável em matéria
de:
a) Processos de investigação criminal pelas autoridades judiciais e pelos órgãos de polícia criminal
competentes, nomeadamente pelo Ministério Público e pela Polícia Judiciária;
b) Processos das respetivas competências exclusivas do Serviço de Informações de Segurança e do Serviço
de Informações Estratégicas de Defesa em matéria de produção de informações referentes à salvaguarda da
independência nacional, dos interesses nacionais, da segurança externa e interna do Estado português, e da
prevenção da sabotagem, do terrorismo, da espionagem e da prática de atos que, pela sua natureza, possam
alterar ou destruir o Estado de direito constitucionalmente estabelecido;
c) Proteção de dados pessoais, designadamente no âmbito do RGPD, da Lei n.º 26/2016, de 22 de agosto,
Página 19
28 DE FEVEREIRO DE 2025
19
na sua redação atual, da Lei n.º 58/2019, de 8 de agosto, e da Lei n.º 59/2019, de 8 de agosto;
d) Tratamento de dados pessoais e proteção da privacidade no setor das comunicações eletrónicas,
designadamente no âmbito do disposto na Lei n.º 41/2004, de 18 de agosto na sua redação atual.
e) Identificação e designação de infraestruturas críticas nacionais e europeias, designadamente no âmbito
do Decreto-Lei n.º 20/2022, de 28 de janeiro;
f) Luta contra o abuso sexual e a exploração sexual de crianças e a pornografia infantil, designadamente no
âmbito da Lei n.º 103/2015, de 24 de agosto;
g) Proteção do utente de serviços públicos essenciais, designadamente no âmbito da Lei n.º 23/96, de 26
de julho, na sua redação atual;
h) Segurança e emergência no setor das comunicações eletrónicas, designadamente no âmbito do disposto
na Lei das Comunicações Eletrónicas, aprovada pela Lei n.º 16/2022, de 16 de agosto, na sua redação atual;
i) Segredo de Estado e Informação Classificada, designadamente no âmbito do disposto na Lei Orgânica
n.º 2/2014, de 6 de agosto, alterada pela Lei n.º 1/2015, de 8 de janeiro.
Artigo 2.º
Definições
Para efeitos da presente lei, entende-se por:
a) «Ativo», todo o sistema de informação e comunicação, os equipamentos e os demais recursos físicos e
lógicos geridos ou detidos pela entidade, que suportam, direta ou indiretamente, um ou mais serviços;
b) «Autoridade de cibersegurança competente», o Centro Nacional de Cibersegurança (CNCS), ou, quando
aplicável, a autoridade nacional setorial de cibersegurança competente, nos termos da alínea a) do n.º 2 do
artigo 15.º, sem prejuízo das reservas de competência exclusiva de entidades públicas com responsabilidades
em matéria de investigação criminal, de produção de informações e de ciberdefesa;
c) «Ciberameaça», uma ciberameaça nos termos do ponto 8 do artigo 2.º do Regulamento (UE) 2019/881,
do Parlamento Europeu e do Conselho, de 17 de abril;
d) «Ciberameaça significativa», uma ciberameaça que, com base nas suas características técnicas, possa
ser considerada suscetível de ter um impacto grave nas redes e sistemas de informação de uma entidade ou
dos utilizadores dos serviços das entidades, causando danos materiais ou imateriais consideráveis;
e) «Cibersegurança», cibersegurança nos termos do ponto 1 do artigo 2.º do Regulamento (UE) 2019/881,
do Parlamento Europeu e do Conselho, de 17 de abril;
f) «Entidade», uma pessoa coletiva criada e reconhecida como tal pelo direito nacional do seu local de
estabelecimento, que, atuando em seu próprio nome, pode exercer direitos e estar sujeita a obrigações;
g) «Entidades competentes no âmbito da segurança do ciberespaço», o Comando de Operações de
Ciberdefesa do Estado-Maior-General das Forças Armadas, a Polícia Judiciária, o Serviço de Informações de
Segurança e o Serviço de Informações Estratégicas de Defesa»;
h) «Entidade que presta serviços de registo de nomes de domínio», um agente de registo ou um agente que
atua em nome de agentes de registo, tal como um prestador ou revendedor de serviços de proteção da
privacidade ou de registo de servidores intermediários;
i) «Especificação técnica», uma especificação técnica nos termos do ponto 4 do artigo 2.º do Regulamento
(UE) n.º 1025/2012, do Parlamento Europeu e do Conselho, de 25 de outubro;
j) «Incidente», um evento que ponha em causa a disponibilidade, a autenticidade, a integridade ou a
confidencialidade de dados armazenados, transmitidos ou tratados ou dos serviços oferecidos por redes e
sistemas de informação ou acessíveis por intermédio destas;
k) «Crise ou incidente de cibersegurança em grande escala», um incidente que cause um nível de
perturbação superior à capacidade de resposta do Estado português, que tenha um impacto significativo em,
pelo menos, dois Estados-Membros da União Europeia, ou que, pelo seu alcance e impacto sistémico, reclame
coordenação intersectorial urgente;
l) «Incidente significativo», um incidente que:
i) Cause, ou seja suscetível de causar, graves perturbações operacionais dos serviços ou perdas
Página 20
II SÉRIE-A — NÚMERO 191
20
financeiras à entidade em causa;
ii) Afete, ou seja, suscetível de afetar, outras pessoas singulares ou coletivas, causando danos materiais
ou imateriais consideráveis;
m) «Matriz de risco», o quadro referencial que estabelece os valores de risco para o conjunto de cenários de
risco que recai sobre um setor e subsetor de atividade, considerando os ativos comuns, as principais ameaças
e vulnerabilidades;
n) «Medidas de gestão dos riscos de cibersegurança ou medidas de cibersegurança», medidas de âmbito
técnico, operacional e organizacional, visando gerir os riscos que se colocam à segurança das redes e dos
sistemas de informação que utilizam nas suas operações ou na prestação dos seus serviços, bem como impedir
ou minimizar o impacto de incidentes nos destinatários dos seus serviços e noutros serviços;
o) «Mercado em linha», um mercado em linha nos termos da alínea n) do artigo 3.º do Decreto-Lei
n.º 57/2008, de 26 de março, na redação atual, que estabelece o regime aplicável às práticas comerciais
desleais;
p) «Motor de pesquisa em linha», um motor de pesquisa em linha nos termos conjugados do disposto no
ponto 5) do artigo 2.º do Regulamento (UE) 2019/1150, do Parlamento Europeu e do Conselho, de 20 de junho,
e da alínea j) do artigo 3.º do Regulamento (UE) 2022/2065, do Parlamento e do Conselho, de 19 de outubro;
q) «Norma», uma norma nos termos do ponto 1 do artigo 2.o do Regulamento (UE) n.º 1025/2012, do
Parlamento Europeu e do Conselho, de 25 de outubro;
r) «Operações de cibersegurança», ações de operacionalização das medidas de gestão dos riscos de
cibersegurança;
s) «Organismo de investigação», uma entidade cujo objetivo principal é realizar investigação aplicada ou
desenvolvimento experimental com vista à exploração dos resultados dessa investigação para fins comerciais
ou científicos;
t) «Plataforma de serviços de redes sociais», uma plataforma em linha, definida de acordo com a alínea i)
do artigo 3.º do Regulamento (UE) 2022/2065, do Parlamento Europeu e do Conselho, de 19 de outubro, que
permite que utilizadores finais se conectem, partilhem, descubram e comuniquem entre si em vários dispositivos,
especialmente por intermédio de conversas, publicações, vídeos e recomendações;
u) «Ponto de troca de tráfego», uma estrutura de rede que:
i) Permita a interligação de mais de duas redes independentes (sistemas autónomos), sobretudo a fim de
facilitar a troca de tráfego na internet;
ii) Só interligue sistemas autónomos;
iii) Não implique que o tráfego na internet entre um par de sistemas autónomos participantes passe através
de um terceiro sistema autónomo, não altere esse tráfego nem interfira nele de qualquer outra forma.
v) «Prestador de serviços de DNS», uma entidade que presta serviços de resolução recursiva de nomes de
domínio acessíveis ao público para os utilizadores finais de internet ou serviços de resolução com autoridade
para nomes de domínio para utilização por terceiros, com exceção dos servidores de nomes raiz;
w) «Prestador de serviços de confiança», um prestador de serviços de confiança nos termos do ponto 19 do
artigo 3.º do Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho, conforme
alterado pela Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro, e pelo
Regulamento (UE) 2024/1183, do Parlamento Europeu e do Conselho, de 11 de abril;
x) «Prestador de serviços de segurança geridos», um prestador de serviços geridos que realize ou preste
assistência a atividades relacionadas com a gestão dos riscos de cibersegurança;
y) «Prestador de serviços geridos», uma entidade que preste serviços relacionados com a instalação,
gestão, operação ou manutenção de produtos de TIC, redes, infraestruturas, aplicações ou quaisquer outras
redes e sistemas de informação, através de assistência ou administração ativa efetuadas nas instalações dos
clientes ou à distância;
z) «Prestador qualificado de serviços de confiança», um prestador qualificado de serviços de confiança nos
termos do ponto 20 do artigo 3.º Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23
de julho, conforme alterado pela Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de
Página 21
28 DE FEVEREIRO DE 2025
21
dezembro, e pelo Regulamento (UE) 2024/1183, do Parlamento Europeu e do Conselho, de 11 de abril;
aa) «Processo de TIC», um processo de TIC nos termos do ponto 14 do artigo 2.º do Regulamento (UE)
2019/881, do Parlamento Europeu e do Conselho, de 17 de abril;
bb) «Produto de TIC», um produto de TIC nos termos do ponto 12 do artigo 2.º do Regulamento (UE)
2019/881, do Parlamento Europeu e do Conselho, de 17 de abril;
cc) «Quase incidente», um evento que poderia ter posto em causa a disponibilidade, a autenticidade, a
integridade ou a confidencialidade de dados armazenados, transmitidos ou tratados ou de serviços oferecidos
por redes e sistemas de informação ou acessíveis por intermédio destas, que, no entanto, foi possível evitar ou
não se materializou;
dd) «Rede de distribuição de conteúdos», uma rede de servidores distribuídos geograficamente para o efeito
de assegurar uma elevada disponibilidade, acessibilidade ou rápida distribuição de serviços e conteúdos digitais
a utilizadores da internet por conta de fornecedores de conteúdos e serviços;
ee) «Registo de nomes de domínio de topo» ou «Registo de nomes de TLD (top level domain, na expressão
e sigla de língua inglesa)», uma entidade a quem foi delegado um TLD específico e que é responsável pela sua
administração, incluindo o registo de nomes de domínio sob o TLD e a operação técnica desse TLD, incluindo
a operação dos seus servidores de nomes, a manutenção das suas bases de dados e a distribuição de ficheiros
da zona de TLD pelos servidores de nomes, independentemente de qualquer uma destas operações ser
executada pela própria entidade ou ser externalizada, mas excluindo situações em que os nomes do TLD sejam
utilizados por um registo apenas para uso próprio;
ff) «Rede pública de comunicações eletrónicas», uma rede pública de comunicações eletrónicas nos termos
da alínea oo) do n.º 1 do artigo 3.º da Lei das Comunicações Eletrónicas, aprovada pela Lei n.º 16/2022, de 16
de agosto, na sua redação atual;
gg) «Redes e sistemas de informação»:
i) Uma rede de comunicações eletrónicas, nos termos da alínea mm) do n.º 1 do artigo 3.º da Lei das
Comunicações Eletrónicas, aprovada pela Lei n.º 16/2022, de 16 de agosto, na sua redação atual;
ii) Um dispositivo ou um grupo de dispositivos interligados ou associados, dos quais um ou vários efetuam
o tratamento automático de dados digitais com base num programa; ou
iii) Os dados digitais armazenados, tratados, obtidos ou transmitidos por elementos indicados nas alíneas
i) e ii), tendo em vista a sua exploração, utilização, proteção e manutenção;
hh) «Representante», qualquer pessoa singular ou coletiva, estabelecida na União Europeia,
expressamente designada para atuar por conta de um prestador de serviços de DNS, um Registo de nomes de
domínio de topo, uma entidade que presta serviços de registo de nomes de domínio, um prestador de serviços
de computação em nuvem, um prestador de serviços de centro de dados, um fornecedor de redes de distribuição
de conteúdos, um prestador de serviços geridos, um prestador de serviços de segurança geridos, um prestador
de serviços de mercados em linha, de motores de pesquisa em linha ou de plataformas de serviços de redes
sociais que não se encontre estabelecido na União Europeia, que possa ser contactada pelas entidades
competentes, em vez da entidade representada, quanto às obrigações que incumbem a esta última por força da
presente lei;
ii) «Risco», a medida da possibilidade de uma perda ou perturbação causada por um incidente, resultante
da combinação da magnitude de tal perda ou perturbação e da probabilidade de ocorrência do incidente;
jj) «Risco residual», medida de risco existente após a adoção das medidas de cibersegurança mínimas;
kk) «Segurança das redes e sistemas de informação», a capacidade das redes e sistemas de informação
para resistir, com um dado nível de confiança, a eventos suscetíveis de pôr em causa a disponibilidade, a
autenticidade, a integridade ou a confidencialidade dos dados armazenados, transmitidos ou tratados, ou dos
serviços oferecidos por essas redes e sistemas de informação, ou acessíveis por intermédio destes;
ll) «Serviço de centro de dados», um serviço que engloba estruturas ou grupos de estruturas dedicados ao
alojamento, à interligação e à operação centralizadas de equipamento de redes e TI que preste serviços de
armazenamento, tratamento e transmissão de dados, juntamente com todas as instalações e infraestruturas de
distribuição de energia e controlo ambiental;
mm) «Serviço de computação em nuvem», um serviço digital que permite a administração a pedido e um
Página 22
II SÉRIE-A — NÚMERO 191
22
amplo acesso remoto a um conjunto modulável e adaptável de recursos de computação partilháveis, inclusive
quando esses recursos estão distribuídos por várias localizações;
nn) «Serviço de comunicações eletrónicas», um serviço de comunicações eletrónicas nos termos da alínea
ss) do n.º 1 do artigo 3.º da Lei das Comunicações Eletrónicas, aprovada pela Lei n.º 16/2022, de 16 de agosto,
na sua redação atual;
oo) «Serviço de confiança», um serviço de confiança nos termos do ponto 16 do artigo 3.º Regulamento
(UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho, conforme alterado pela Diretiva (UE)
2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro, e pelo Regulamento (UE) 2024/1183,
do Parlamento Europeu e do Conselho, de 11 de abril;
pp) «Serviço de confiança qualificado», um serviço de confiança qualificado nos termos do ponto 17 do
artigo 3.º do Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho, conforme
alterado pela Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro, e pelo
Regulamento (UE) 2024/1183, do Parlamento Europeu e do Conselho, de 11 de abril;
qq) «Serviço de TIC», um serviço de TIC nos termos do ponto 13 do artigo 2.º do Regulamento (UE)
2019/881, do Parlamento Europeu e do Conselho, de 17 de abril;
rr) «Sistema de nomes de domínio» ou «DNS», um sistema de nomes distribuídos hierarquicamente que
possibilita a identificação de serviços e recursos na internet, permitindo que os dispositivos dos utilizadores finais
utilizem os serviços de encaminhamento e de conectividade da internet para aceder a esses serviços e recursos;
ss) «Serviço digital», um serviço nos termos da alínea g) do artigo 3.º do Decreto-Lei n.º 30/2020, de 29 de
junho, que estabelece as regras a que obedece o procedimento de informação no domínio das regras técnicas
relativas a produtos e das regras relativas aos serviços da sociedade da informação;
tt) «Tratamento de incidentes», todas as ações e procedimentos que visam a prevenção, a deteção, a
análise, a contenção ou a resposta a um incidente e a recuperação de um incidente;
uu) «Vulnerabilidade», uma fragilidade, suscetibilidade ou falha, que afeta redes e sistemas de informação,
produtos ou serviços de tecnologias da informação ou comunicação (TIC), passível de ser explorada por uma
ciberameaça.
Artigo 3.º
Âmbito de aplicação subjetivo
1 – A presente lei aplica-se às entidades privadas de um dos tipos que constam nos anexos I ou II à presente
lei e do qual fazem parte integrante, que, respeitados os critérios de âmbito territorial fixados no artigo seguinte:
a) Sejam qualificadas como médias empresas nos termos do artigo 2.º do anexo III à presente lei e do qual
faz parte integrante, correspondentes ao previsto na Recomendação 2003/361/CE, da Comissão, de 6 de maio,
ou que excedam os limiares relativos às médias empresas previstos no n.º 1 desse artigo; e
b) Prestem os seus serviços ou exerçam as suas atividades na União Europeia.
2 – A presente lei aplica-se igualmente às entidades de um dos tipos que constam nos anexos I ou II à
presente lei que, independentemente da sua natureza e dimensão e respeitados os critérios de âmbito territorial
fixados no artigo seguinte, preencham pelo menos um dos seguintes requisitos:
a) A entidade em causa seja:
i) Fornecedor de redes públicas de comunicações eletrónicas ou prestador de serviços de comunicações
eletrónicas acessíveis ao público;
ii) Prestador de serviços de confiança;
iii) Registo de nomes de domínio de topo, prestador de serviços de registo de nomes de domínio, e
prestador de serviços de sistemas de nomes de domínio.
b) A entidade em causa seja o único prestador de um serviço que é essencial para a manutenção de
atividades sociais ou económicas críticas, designadamente as atividades correspondentes aos setores,
Página 23
28 DE FEVEREIRO DE 2025
23
subsetores e tipos de entidades referidos nos anexos I e II à presente lei;
c) Uma perturbação do serviço por si prestado possa afetar consideravelmente a segurança pública, a
proteção pública ou a saúde pública;
d) Uma perturbação do serviço por si prestado possa gerar riscos sistémicos consideráveis, especialmente
para os setores relativamente aos quais tal perturbação possa ter um impacto transfronteiriço;
e) A entidade seja crítica devido à sua importância específica, a nível nacional ou regional, para o setor ou
tipo de serviço em causa, ou para outros setores interdependentes.
3 – A presente lei aplica-se à Administração Pública, abrangendo:
a) Os serviços da administração direta do Estado, central e periférica;
b) Os serviços da administração direta das regiões autónomas, central e periférica;
c) As entidades da administração indireta do Estado;
d) As entidades da administração indireta das regiões autónomas;
e) As entidades da administração autónoma;
f) Os organismos e as entidades administrativas independentes, com exceção do Banco de Portugal, da
Comissão do Mercado dos Valores Mobiliários e da Autoridade de Supervisão de Seguros e Fundos de Pensões.
4 – A presente lei aplica-se às seguintes entidades:
a) Provedoria de Justiça;
b) Conselho Económico e Social;
c) Serviços técnicos e administrativos da Presidência da República, da Assembleia da República, dos
tribunais e das secretarias com competência para a tramitação de procedimentos, do Conselho Superior da
Magistratura, do Conselho Superior dos Tribunais Administrativos e Fiscais e do Conselho Superior do Ministério
Público, sem prejuízo do disposto no n.º 6.
5 – A presente lei aplica-se às entidades que, independentemente da sua dimensão, sejam identificadas
como entidades críticas, nos termos do disposto na Diretiva (UE) 2022/2557, do Parlamento Europeu e do
Conselho, de 14 de dezembro, relativa à resiliência das entidades críticas, sem prejuízo da alínea f) do n.º 3.
6 – A presente lei aplica-se às instituições de ensino superior.
7 – A presente lei não é aplicável:
a) Ao Estado-Maior-General das Forças Armadas e dos ramos das Forças Armadas, no que respeita às
redes e sistemas de informação diretamente relacionados com o seu comando e controlo;
b) Às entidades públicas com responsabilidades de investigação criminal e aos órgãos de polícia criminal e
de segurança pública, no que respeita às redes e sistemas de informação diretamente relacionados com o seu
comando e controlo;
c) Às entidades públicas com responsabilidades exclusivas em matéria de produção de informações,
nomeadamente ao Sistema de Informações da República Portuguesa, ao Serviço de Informações Estratégicas
de Defesa e ao Serviço de Informações de Segurança, no que respeita às redes e sistemas de informação
diretamente relacionados com o seu comando e controlo;
d) Às entidades públicas cuja atividade incida sobre redes e sistemas de informação diretamente
relacionados com a produção e difusão de informação classificada, nomeadamente com as marcas nacionais,
da Organização do Tratado do Atlântico Norte (OTAN), e da União Europeia, ou catalogada como segredo de
Estado, no que respeita a essas redes e sistemas de informação;
e) Às demais entidades públicas que exercem a sua atividade nos domínios da segurança nacional,
da segurança pública, da defesa, e dos serviços de informações, no que respeita às redes e sistemas de
informação diretamente relacionados com as atividades de produção de informações e prevenção, investigação,
deteção e repressão de infrações penais;
f) Às entidades privadas que prestem serviços exclusivamente a uma ou mais entidades previstas nas
alíneas anteriores e no que respeita a estas atividades.
Página 24
II SÉRIE-A — NÚMERO 191
24
8 – Às entidades referidas na alínea b) do n.º 2 do artigo 15.º aplica-se a presente lei apenas no que respeita
ao exercício das suas competências na qualidade de autoridades nacionais especiais de cibersegurança.
9 – A presente lei não prejudica o disposto no Regulamento (UE) 2022/2554, do Parlamento Europeu e do
Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro.
Artigo 4.º
Delimitação territorial do âmbito de aplicação subjetivo
1 – A presente lei aplica-se às entidades referidas nos n.os 1 e 2 do artigo anterior que:
a) Tenham estabelecimento no território nacional;
b) Tratando-se de empresas que oferecem redes públicas de comunicações eletrónicas ou prestam serviços
de comunicações eletrónicas acessíveis ao público, disponibilizem os mesmos no território nacional;
c) Tratando-se de prestadores de serviços de sistemas de nomes de domínio, registo de nomes de domínio
de topo, entidades que prestam serviços de registo de nomes de domínio, prestadores de serviços de
computação em nuvem, prestadores de serviços de centro de dados, aos fornecedores de redes de distribuição
de conteúdos, prestadores de serviços geridos, aos prestadores de serviços de segurança geridos, bem como
prestadores de serviços de mercados em linha, de motores de pesquisa em linha ou de plataformas de serviços
de redes sociais:
i) Tenham o seu estabelecimento principal no território nacional;
ii) Não tendo estabelecimento na União Europeia, o seu representante tenha estabelecimento no território
nacional.
2 – Para efeitos da subalínea i) da alínea c) do número anterior, considera-se que a entidade tem
estabelecimento principal no território nacional quando:
a) As decisões relacionadas com as medidas de gestão dos riscos de cibersegurança são
predominantemente tomadas em território nacional;
b) As operações de cibersegurança são levadas a cabo em território nacional, se não for possível determinar
se as decisões relacionadas com as medidas de gestão de risco de cibersegurança foram nele tomadas de
forma predominante ou em outro Estado-Membro da União Europeia;
c) O estabelecimento da entidade com maior número de trabalhadores se situa no território nacional, se não
for possível determinar se as operações de cibersegurança são nele levadas a cabo.
3 – Nos termos do artigo 20.º, o CNCS, perante um pedido de assistência mútua proveniente de outro
Estado-Membro da União Europeia e em relação a uma entidade a que se refere a alínea c) do n.º 1, pode,
dentro dos limites desse pedido, tomar medidas de supervisão e execução adequadas em relação à entidade
em causa.
Artigo 5.º
Âmbito extraterritorial
1 – A fim de evitar ciberameaças significativas para a segurança das redes e sistemas de informação de um
grande número de utilizadores, o CNCS pode, ouvido o Conselho Superior de Segurança do Ciberespaço, adotar
medidas de execução corretivas ou restritivas, incluindo a ordem de suspensão do serviço no território nacional,
dirigidas a um prestador de serviços sem estabelecimento ou representação no território nacional que não
ofereça as medidas adequadas de cibersegurança.
2 – Salvo quando as medidas forem urgentes, o CNCS apresenta uma fundamentação preliminar das
decisões ao prestador de serviços, concedendo um prazo de resposta não inferior a 10 dias.
3 – Para efeitos da determinação e fundamentação das medidas de execução previstas nos números
Página 25
28 DE FEVEREIRO DE 2025
25
anteriores, o CNCS terá em consideração as ações e medidas, bem como a sua eficácia e extensão, tomadas
pelas autoridades de cibersegurança europeias e internacionais.
4 – A autoridade de cibersegurança competente, nos termos das suas competências e na medida do
necessário, pode, relativamente a uma entidade com conexão relevante com o território nacional, prestar
assistência às autoridades competentes dos Estados-Membros da União Europeia, a pedido fundamentado
destas, designadamente mediante:
a) Prestação de informações relativamente a uma medida de supervisão ou execução tomada em relação a
essa entidade, através do respetivo ponto de contacto único;
b) Aplicação de medidas de supervisão ou execução nos termos do disposto no Capítulo VI, se necessário
conjuntamente com a autoridade competente do respetivo Estado-Membro da União Europeia;
c) Prestação de apoio à autoridade competente do respetivo Estado-Membro da União Europeia quanto à
aplicação por esta de medidas de supervisão ou execução, podendo este apoio incluir as formas de assistência
referidas nas alíneas anteriores.
5 – A autoridade de cibersegurança competente apenas pode recusar a assistência pedida nos termos no
número anterior se esta exceder as suas competências, for desproporcional em relação às suas funções de
supervisão ou comprometer interesses essenciais do Estado português em matéria de segurança nacional,
segurança pública ou defesa.
Artigo 6.º
Entidades essenciais e entidades importantes
1 – Para efeitos da presente lei, consideram-se entidades essenciais:
a) As entidades de um dos tipos referidos no anexo I à presente lei que excedam os limiares para as médias
empresas previstos no artigo 2.º do anexo III à presente lei, correspondentes aos da Recomendação
2003/361/CE, da Comissão, de 6 de maio;
b) Os prestadores de serviços de confiança qualificados e registo de nomes de domínio de topo, e os
prestadores de serviços de sistemas de nomes de domínio, independentemente da sua dimensão;
c) As empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações
eletrónicas acessíveis ao público que sejam consideradas médias empresas nos termos do artigo 2.º do anexo
III à presente lei, correspondentes aos da Recomendação 2003/361/CE da Comissão, de 6 de maio;
d) As entidades da Administração Pública que tenham como atribuições a prestação de serviços nas áreas
do desenvolvimento, manutenção e gestão de infraestruturas de tecnologias de informação e comunicação ou
aquelas que apresentem um grau particularmente elevado de integração digital na prestação dos seus serviços,
e ainda a entidade pública responsável pela área da avaliação educativa;
e) As entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557 do Parlamento
Europeu e o Conselho, de 14 de dezembro, relativa à resiliência das entidades críticas e que revoga a Diretiva
2008/114/CE do Conselho, independentemente da sua dimensão;
f) Qualquer outra entidade de um dos tipos constantes dos anexos I ou II à presente lei, referida nas alíneas
b) a e) do n.º 2 do artigo 3.º, que seja qualificada como entidade essencial com base no respetivo grau de
exposição da entidade aos riscos, na dimensão da entidade e na probabilidade de ocorrência de incidentes e a
sua gravidade, incluindo o seu impacto social e económico.
2 – Para efeitos da presente lei, são entidades importantes as entidades dos tipos referidos nos anexos I e
II à presente lei que não sejam consideradas entidades essenciais ao abrigo do número anterior.
3 – Para efeitos da presente lei, são também entidades importantes as entidades de um dos tipos
constantes nos anexos I ou II à presente lei, referidas nas alíneas b) a e) do no n.º 2 do artigo 3.º, que justifiquem
tal qualificação com base no respetivo grau de exposição da entidade aos riscos, na dimensão da entidade e na
probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto social e económico.
4 – A atribuição das qualificações de entidades essenciais e entidades importantes previstas nos números
Página 26
II SÉRIE-A — NÚMERO 191
26
anteriores resulta dos mecanismos previstos no artigo 8.º.
Artigo 7.º
Entidades públicas relevantes
1 – As entidades públicas que não sejam qualificadas como entidades essenciais ou importantes nos termos
do artigo anterior, consideram-se entidades públicas relevantes, integrando-se em dois grupos para efeitos de
aplicação de regimes específicos nos termos da presente lei e restante regulamentação emitida pelo CNCS.
2 – São consideradas entidades públicas relevantes do Grupo A:
a) Os serviços da administração direta do Estado, central e periférica, com 250 ou mais trabalhadores no
seu quadro de pessoal;
b) Os serviços da administração direta das regiões autónomas, central e periférica, com 250 ou mais
trabalhadores no seu quadro de pessoal;
c) As entidades da administração indireta do Estado, com mais de 250 trabalhadores no seu quadro de
pessoal;
d) As entidades da administração indireta das regiões autónomas, com mais de 250 trabalhadores no seu
quadro de pessoal;
e) As entidades da administração autónoma, com mais de 250 trabalhadores no seu quadro de pessoal;
f) As entidades públicas empresariais que excedam os limiares previstos no artigo 2.º do anexo III à presente
lei, correspondentes aos da Recomendação 2003/361/CE, da Comissão, de 6 de maio;
g) As entidades administrativas independentes;
h) O Conselho Económico e Social, a Provedoria de Justiça, os serviços técnicos e administrativos da
Presidência da República, da Assembleia da República, dos tribunais e das secretarias com competência para
a tramitação de procedimentos, do Conselho Superior da Magistratura, do Conselho Superior dos Tribunais
Administrativos e Fiscais e do Conselho Superior do Ministério Público.
3 – São consideradas entidades públicas relevantes do Grupo B:
a) Os serviços da administração direta do Estado, central e periférica, que tenham entre 75 e 249
trabalhadores no seu quadro de pessoal;
b) Os serviços da administração direta das regiões autónomas, central e periférica, que tenham entre 75 e
249 trabalhadores no seu quadro de pessoal;
c) As entidades da administração indireta do Estado, que tenham entre 75 e 249 trabalhadores no seu
quadro de pessoal;
d) As entidades da administração indireta das regiões autónomas, que tenham entre 75 e 249 trabalhadores
no seu quadro de pessoal;
e) As entidades da administração autónoma, que tenham entre 75 e 249 trabalhadores no seu quadro de
pessoal;
f) As entidades públicas empresariais qualificadas como empresas médias nos termos do anexo III à
presente lei, correspondentes aos da Recomendação 2003/361/CE, da Comissão, de 6 de maio.
4 – A atribuição da qualificação de entidade pública relevante prevista nos números anteriores resulta dos
mecanismos de qualificação previstos no artigo seguinte.
Artigo 8.º
Procedimento de qualificação das entidades
1 – As entidades previstas no artigo 3.º identificam-se em plataforma eletrónica disponibilizada pelo CNCS,
no prazo de 30 dias após o início da sua atividade ou, caso a entidade já se encontre em atividade aquando da
entrada em vigor da presente lei, no prazo de 60 dias após a disponibilização da referida plataforma eletrónica,
sendo responsáveis por manter essa informação devidamente atualizada.
Página 27
28 DE FEVEREIRO DE 2025
27
2 – A qualificação das entidades pelo CNCS com base nos critérios previstos nas alíneas a) a c) e e) do
n.º 1, e no n.º 2 do artigo 6.º, e ainda no artigo 7.º, resulta do mecanismo previsto no número anterior.
3 – A qualificação das entidades pelo CNCS com base nos critérios previstos nas alíneas d) e f) do n.º 1, e
do n.º 3 do artigo 6.º, é comunicada com a antecedência mínima de 60 dias ao membro do Governo responsável
pela área da cibersegurança e revista pelo menos de dois em dois anos.
4 – A qualificação prevista no número anterior é devidamente fundamentada pelo CNCS, sendo precedida
de audiência prévia da entidade em causa e, quando aplicável, de parecer das autoridades nacionais setoriais
de cibersegurança referidas na alínea a) do n.º 2 do artigo 15.º.
5 – O CNCS, ou, quando aplicável, as autoridades nacionais setoriais de cibersegurança competentes nos
termos da alínea a) do n.º 2 do artigo 15.º, notifica a entidade da sua qualificação nos termos dos n.os 2 e 3, no
prazo máximo de 30 dias a contar da data da referida qualificação.
6 – Os prestadores de serviços de registos de nomes de domínio devem identificar-se e comunicar a
informação prevista no n.º 2 do artigo 35.º através da plataforma eletrónica disponibilizada pelo CNCS, no prazo
de 30 dias após o início da sua atividade.
7 – As regras de funcionamento da plataforma eletrónica referida no presente artigo são definidas através
de regulamento a aprovar pelo CNCS.
8 – O procedimento de qualificação referido no presente artigo não prejudica, para as entidades abrangidas,
o cumprimento do dever previsto no artigo 35.º.
Artigo 9.º
Concurso de qualificações e medidas de cibersegurança
1 – Caso uma entidade se enquadre simultaneamente em mais do que uma qualificação, aplica-se o regime
que resultar mais exigente para gerir os riscos que se colocam à segurança das redes e sistemas de informação,
de acordo com a seguinte ordem:
a) Entidades essenciais;
b) Entidades importantes;
c) Entidades públicas relevantes do Grupo A;
d) Entidades públicas relevantes do Grupo B.
2 – O CNCS pode associar à qualificação da entidade, nos termos do disposto no n.º 4 do artigo 26.º e no
artigo 33.º, medidas de cibersegurança e demais medidas técnicas e organizativas resultantes dos instrumentos
previstos da presente lei, cujo incumprimento pode determinar a aplicação das sanções correspondentes nos
termos do regime sancionatório previsto no Capítulo VII da presente lei.
Artigo 10.º
Tratamento de dados pessoais
1 – As entidades que integram o quadro institucional da segurança do ciberespaço, nos termos do artigo
15.º, tratam dados pessoais na medida do estritamente necessário para assegurar o cumprimento de obrigações
legais e a prossecução de missões de interesse público ou de autoridade pública em que estão investidos, nos
termos do disposto nas alíneas c) ou e) do n.º 1 e no n.º 3 do artigo 6.º do RGPD e em conformidade com a
presente lei e demais legislação nacional aplicável.
2 – As entidades que integram o quadro institucional da segurança do ciberespaço podem ainda tratar dados
pessoais para a prossecução de um interesse legítimo das entidades essenciais e importantes, tal como referido
na alínea f) do n.º 1 do artigo 6.º do RGPD.
3 – Sem prejuízo do disposto no artigo 29.º da Lei n.º 58/2019, de 8 de agosto, as entidades que integram
o quadro institucional da segurança do ciberespaço podem proceder ao tratamento de categorias especiais de
dados pessoais para, na medida do estritamente necessário:
a) Evitar a consumação de uma ciberameaça significativa para a segurança das redes e sistemas de
Página 28
II SÉRIE-A — NÚMERO 191
28
informação;
b) Responder eficazmente a um incidente de cibersegurança.
CAPÍTULO II
Instrumentos estruturantes
Artigo 11.º
Instrumentos estruturantes da segurança do ciberespaço
São instrumentos estruturantes da segurança do ciberespaço, observando as disposições legais e
regulamentares nacionais e internacionais aplicáveis:
a) Estratégia Nacional de Segurança do Ciberespaço (ENSC);
b) Plano nacional de resposta a crises e incidentes de cibersegurança em grande escala;
c) Quadro Nacional de Referência para a Cibersegurança (QNRCS);
d) Estratégia Nacional de Ciberdefesa;
e) Conceito Estratégico de Defesa Nacional.
Artigo 12.º
Estratégia Nacional de Segurança do Ciberespaço
1 – A ENSC define o enquadramento, as prioridades, os objetivos estratégicos nacionais e um quadro de
governação definidor das funções e responsabilidades das partes interessadas a nível nacional com relevância
para a execução da ENSC.
2 – A ENCS inclui, designadamente:
a) Os objetivos e prioridades da ENCS, abrangendo, designadamente, os setores nos anexos I e II à
presente lei;
b) Um quadro de governação para cumprir os objetivos e prioridades referidos na alínea anterior;
c) Um quadro de governação definidor das funções e responsabilidades das partes interessadas a nível
nacional com relevância para a execução da ENSC e que consolide a cooperação e coordenação institucional
ao abrigo da presente lei;
d) Um mecanismo para identificar ativos pertinentes e uma avaliação dos riscos em Portugal;
e) A identificação das medidas de preparação, de resposta e de recuperação em caso de incidentes,
incluindo a cooperação entre os setores público e privado;
f) Uma lista das diversas autoridades e partes interessadas envolvidas na execução da ENCS;
g) Um quadro político para o reforço da cooperação entre as autoridades competentes nos termos da
presente lei e as autoridades competentes que resultem da transposição da Diretiva (UE) 2022/2557, do
Parlamento Europeu e do Conselho, de 14 de dezembro, para efeitos de partilha de informações sobre riscos,
ciberameaças e incidentes, bem como riscos, ameaças e incidentes não cibernéticos, e do exercício de funções
de supervisão;
h) Um plano, incluindo as medidas necessárias, para reforçar o nível geral de educação, formação e
sensibilização dos cidadãos para a cibersegurança e ciber-higiene;
i) Um plano, incluindo as medidas necessárias, adequado às necessidades específicas em matéria de
cibersegurança das pequenas e médias empresas, qualificadas nos termos do artigo 2.º do anexo III à presente
lei, correspondentes aos da Recomendação 2003/361/CE, da Comissão, de 6 de maio;
j) A promoção do desenvolvimento, investigação e integração de tecnologias avançadas que visem a
aplicação de medidas, boas práticas e controlos inovadores, incluindo o recurso a inteligência artificial, em
matéria de gestão dos riscos de cibersegurança e da deteção e prevenção de ciberataques.
3 – A ENSC é aprovada por resolução do Conselho de Ministros, sob proposta do CNCS, ouvido o Conselho
Página 29
28 DE FEVEREIRO DE 2025
29
Superior de Segurança do Ciberespaço (CSSC) e decorrido um período de consulta pública não inferior a 30
dias.
4 – A aprovação referida no número anterior é precedida ainda de apreciação da ENSC pela Assembleia da
República.
5 – A ENCS é revista e atualizada a cada 5 anos, após um processo de avaliação baseado em indicadores-
chave de impacto e desempenho, podendo este período ser reduzido por decisão do membro do Governo
responsável pela área da cibersegurança mediante proposta fundamentada do CNCS.
6 – A ENSC não prejudica a aprovação pelas entidades competentes, quando necessário, de instrumentos
que estabeleçam estratégias setoriais de cibersegurança, que devem ser revistas e atualizadas nos mesmos
termos aplicáveis à ENCS.
Artigo 13.º
Plano nacional de resposta a crises e incidentes de cibersegurança em grande escala
1 – O plano nacional de resposta a crises e incidentes de cibersegurança em grande escala estabelece os
objetivos e modalidades de gestão deste tipo de crises e incidentes.
2 – O plano nacional de resposta a crises e incidentes de cibersegurança em grande escala é aprovado por
resolução do Conselho de Ministros, por proposta conjunta do Secretário-Geral do Sistema de Segurança
Interna, da Polícia Judiciária, do Serviço de Informações de Segurança, do Serviço de Informações Estratégicas
de Defesa, do Comando de Operações de Ciberdefesa e do CNCS, cabendo a este último a sua implementação,
acompanhamento e monitorização, em colaboração estreita com as entidades que compõe o gabinete de crise
previsto no n.º 4 do artigo 16.º da Lei n.º 53/2008, de 29 de agosto, na redação que lhe é atribuída pela presente
lei, e ouvido o CSSC.
3 – O plano nacional de resposta a crises e incidentes de cibersegurança em grande escala deve garantir a
coerência com os quadros existentes de gestão geral de crises a nível nacional.
Artigo 14.º
Quadro Nacional de Referência para a Cibersegurança
1 – O QNRCS é o instrumento nacional de referência para a identificação das normas, padrões e boas
práticas existentes em matéria de gestão da cibersegurança e da segurança da informação.
2 – O QNRCS é aprovado por regulamento do CNCS, ouvido o CSSC, devendo ser regularmente atualizado,
pelo menos de cinco em cinco anos.
3 – As entidades essenciais e importantes devem ter em conta o QNRCS no âmbito da adoção de medidas
de cibersegurança previstas nos artigos 27.º e seguintes.
4 – As autoridades nacionais setoriais de cibersegurança referidas na alínea a) do n.º 2 do artigo 15.º podem
adotar normas complementares ao QNRCS, através de regulamento próprio, em articulação com o CNCS.
5 – Sem prejuízo dos números anteriores, a aplicação do QNRCS pelas entidades essenciais, importantes
e públicas relevantes é objeto de regulamento a aprovar pelo CNCS, prevendo medidas de cibersegurança
específicas e níveis de conformidade.
CAPÍTULO III
Quadro institucional da segurança do ciberespaço
Artigo 15.º
Organização
1 – O quadro institucional da segurança do ciberespaço é composto pelas seguintes entidades:
a) O CSSC, na qualidade de órgão consultivo do Primeiro-Ministro no domínio da cibersegurança;
b) O CNCS, na qualidade de:
Página 30
II SÉRIE-A — NÚMERO 191
30
i) Autoridade nacional de cibersegurança;
ii) Ponto de contacto único para efeitos de cooperação no âmbito da União Europeia e ao nível
internacional, sem prejuízo das competências atribuídas a outras entidades em matéria de cooperação
internacional;
iii) Autoridade nacional de certificação de cibersegurança;
iv) Entidade que integra a equipa de resposta a incidentes de cibersegurança nacional;
c) O Secretário-Geral do Sistema de Segurança Interna, na qualidade de autoridade nacional de gestão de
crises e incidentes de cibersegurança em grande escala.
2 – Integram ainda o quadro institucional da segurança do ciberespaço:
a) Na qualidade de autoridades nacionais setoriais de cibersegurança:
i) O Gabinete Nacional de Segurança (GNS), no que respeita aos serviços de confiança nas transações
eletrónicas no mercado interno;
ii) A Autoridade Nacional de Comunicações (ANACOM), no que respeita à matéria das comunicações
eletrónicas e dos serviços postais.
b) Na qualidade de autoridades nacionais especiais de cibersegurança, no que respeita à matéria da
resiliência operacional digital do setor financeiro:
i) A Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF);
ii) A Comissão do Mercado de Valores Mobiliários (CMVM);
iii) O Banco de Portugal.
c) A Comissão de Avaliação de Segurança do Ciberespaço;
d) A Polícia Judiciária;
e) O Serviço de Informações de Segurança;
f) O Serviço de Informações Estratégicas de Defesa;
g) O Comando de Operações de Ciberdefesa.
3 – A organização do quadro institucional da segurança do ciberespaço não prejudica a articulação informal
das autoridades referidas no presente artigo, nomeadamente mediante a participação em instâncias multilaterais
de coordenação no que respeita à defesa da segurança do ciberespaço, como o Gabinete de Oficiais de Ligação
do Ciberespaço para a cooperação tático-operacional (G5).
Artigo 16.º
Conselho Superior de Segurança do Ciberespaço
1 – O CSSC é o órgão de coordenação estratégica que apoia o Primeiro-Ministro em matéria de segurança
do ciberespaço.
2 – O CSSC é composto por:
a) O Primeiro-Ministro, que preside, ou o membro do Governo responsável pela área da cibersegurança com
competência delegada;
b) Dois Deputados designados pela Assembleia da República através do método de Hondt;
c) O Secretário-Geral do Sistema de Segurança Interna;
d) O Secretário-Geral do Sistema de Informações da República Portuguesa;
e) O Diretor do Serviço de Informações de Segurança;
f) O Diretor do Serviço de Informações Estratégicas de Defesa;
g) O Diretor-Geral do Gabinete Nacional de Segurança;
Página 31
28 DE FEVEREIRO DE 2025
31
h) O Coordenador do CNCS;
i) O Embaixador para a ciberdiplomacia;
j) O Chefe do Centro de Comunicações e Informação, Ciberespaço e Espaço do Estado-Maior-General das
Forças Armadas;
k) O Diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Polícia
Judiciária;
l) Um representante do Ministério Público, designado pelo Procurador-Geral da República;
m) O Presidente do Conselho Nacional de Planeamento Civil de Emergência;
n) O Presidente do Conselho Diretivo da Agência para a Modernização Administrativa;
o) Um representante da Rede Nacional de Equipas de Resposta a Incidentes de Segurança Informática;
p) O dirigente máximo das autoridades nacionais setoriais e especiais de cibersegurança, referidas no n.º 2
do artigo 15.º, não constantes nas alíneas anteriores.
3 – O CSSC é ainda composto por um representante do Governo Regional dos Açores e um representante
do Governo Regional da Madeira.
4 – O presidente, por sua iniciativa ou a pedido de qualquer dos membros do CSSC, pode convocar outros
titulares de órgãos públicos ou convidar outras entidades e personalidades de reconhecido mérito para participar
em reuniões.
5 – O presidente é substituído nas suas ausências e impedimentos pelo membro do Governo que designar.
Artigo 17.º
Competências do Conselho Superior de Segurança do Ciberespaço
1 – São competências do CSSC:
a) Assegurar a coordenação estratégica para a segurança do ciberespaço;
b) Emitir parecer prévio sobre a ENSC, bem como acompanhar a sua execução e elaborar anualmente, ou
sempre que necessário, relatório de avaliação da mesma;
c) Emitir parecer prévio sobre o plano nacional de resposta a crises e incidentes de cibersegurança em
grande escala;
d) Emitir parecer sobre matérias relativas à segurança do ciberespaço, a pedido do Primeiro-Ministro, ou do
membro do Governo em quem este delegar, no âmbito das suas competências;
e) Responder a solicitações do Primeiro-Ministro, ou do membro do Governo em quem este delegar, no
âmbito das suas competências;
f) Propor ao membro do Governo responsável pela área de cibersegurança a realização de avaliações de
segurança, nos termos do disposto no artigo seguinte.
2 – O relatório anual de avaliação da execução da Estratégia Nacional da Segurança do Ciberespaço é
enviado à Assembleia da República até 30 de junho do ano posterior àquele a que se reporta.
3 – Os Serviços de Informações instruem o Conselho Superior de Segurança do Ciberespaço a respeito da
avaliação da ameaça vigente para o ciberespaço nacional e para o ciberespaço internacional, sempre que for
conveniente ou revisto o grau de ameaça atribuído pelo Serviço de Informações de Segurança.
Artigo 18.º
Comissão de Avaliação de Segurança do Ciberespaço
1 – A Comissão de Avaliação de Segurança do Ciberespaço funciona junto do CSSC e é responsável pela
realização de avaliações de segurança de equipamentos, componentes ou serviços de tecnologias de
informação e comunicação, utilizados em redes e sistemas de informação públicos ou privados, de fabricantes
ou fornecedores que possam ser considerados de elevado risco para a segurança do ciberespaço de interesse
nacional, designadamente nos contextos da segurança interna e externa, da defesa nacional, da integridade do
processo democrático e de outras funções de soberania, e ainda da operação de infraestruturas críticas e da
prestação de serviços essenciais.
Página 32
II SÉRIE-A — NÚMERO 191
32
2 – A Comissão de Avaliação de Segurança do Ciberespaço tem a seguinte composição:
a) O Diretor-Geral do Gabinete Nacional de Segurança, que preside;
b) O coordenador do CNCS;
c) Um representante da ANACOM;
d) Um representante do Sistema de Segurança Interna;
e) Um representante do Sistema de Informações da República Portuguesa;
f) O Embaixador para a ciberdiplomacia;
g) Um representante da Polícia Judiciária;
h) Um representante do Serviço de Informações de Segurança;
i) Um representante do Serviço de Informações Estratégicas de Defesa;
j) Um representante do Comando de Operações de Ciberdefesa;
k) Um representante da Direção-Geral de Política Externa;
l) Um representante da Direção-Geral da Política de Defesa Nacional;
m) Um representante da Autoridade da Concorrência.
3 – O membro do Governo responsável pela área da cibersegurança pode determinar a aplicação de
restrições provisórias à utilização, a cessação de utilização ou exclusão de equipamentos, componentes ou
serviços de tecnologias de informação e comunicação, utilizados em redes e sistemas de informação públicos
ou privados, considerados de elevado risco para a segurança do ciberespaço de interesse nacional, mediante
proposta da Comissão de Avaliação de Segurança do Ciberespaço, fundamentada em avaliação de segurança
realizada nos termos do disposto nos números seguintes.
4 – A avaliação de segurança deve ser devidamente fundamentada, tendo em conta os riscos técnicos dos
equipamentos, componentes ou serviços, o seu contexto de utilização e a exposição dos seus fabricantes ou
fornecedores à influência indevida de países estrangeiros, para tal considerando, designadamente, informação
relevante emitida pelas entidades competentes nacionais e da União Europeia ou constante das avaliações
nacionais ou europeias de risco para a segurança das redes e sistemas de informação, bem como outros riscos
securitários relevantes.
5 – Para avaliar o nível de exposição dos fabricantes ou fornecedores à influência indevida de um país
estrangeiro, podem ser considerados os seguintes elementos:
a) O fabricante ou fornecedor estar sujeito, direta ou indiretamente, à interferência do Governo ou
administração de um país estrangeiro;
b) O fabricante ou fornecedor estar domiciliado em, ou de qualquer forma relevantemente vinculado a países
reconhecidos por Portugal, pela União Europeia, pela Organização para a Cooperação e Desenvolvimento
Económico (OCDE) ou pela OTAN, como responsáveis ou envolvidos em ações hostis à segurança interna e
defesa nacional de Portugal ou dos seus aliados, designadamente atos de espionagem ou de sabotagem;
c) O fabricante ou fornecedor estar domiciliado em, ou de qualquer forma relevantemente vinculado a países
que não dispõem de legislação ou acordos diplomáticos com Portugal ou com a União Europeia em matéria de
proteção de dados, de cibersegurança e de proteção de propriedade intelectual.
d) O fabricante ou fornecedor estar associado a práticas de introdução de vulnerabilidades ou acessos
ocultos;
e) O fabricante ou fornecedor adotar modelos de governação corporativa que não esclareçam sobre o grau
de influência ou vinculação a países estrangeiros nas condições das alíneas anteriores;
f) As cadeias de produção e fornecimento do fabricante ou fornecedor evidenciarem falhas sistémicas de
controlo e segurança.
6 – As avaliações de segurança podem ser realizadas ou revistas a pedido do membro do Governo
responsável pela área da cibersegurança, bem como, em aplicação do mecanismo português de salvaguarda
de ativos estratégicos essenciais, a pedido do membro do Governo responsável pela área em que o ativo
estratégico em causa esteja integrado.
7 – A proposta da Comissão de Avaliação de Segurança do Ciberespaço realizada na sequência da
Página 33
28 DE FEVEREIRO DE 2025
33
avaliação de segurança deve, no seu teor, abrangência e intensidade, respeitar o princípio da proporcionalidade,
considerando, designadamente, o grau de risco apurado, o grau de incidência, global e específica, sobre cada
equipamento, componente ou serviço em causa, o prejuízo sofrido pelo fabricante e fornecedor afetado, e ainda
os prejuízos económicos e sociais potencialmente decorrentes da decisão.
8 – A Comissão de Avaliação de Segurança do Ciberespaço pode solicitar a qualquer entidade, pública ou
privada, a prestação de qualquer informação necessária à elaboração de avaliações de segurança.
9 – A decisão do membro do Governo responsável pela área da cibersegurança prevista no n.º 3 define os
prazos razoáveis e, quando aplicável, o âmbito geográfico da medida a aplicar, de forma que as entidades
públicas ou privadas em causa procedam à sua implementação.
10 – Os documentos ou informações produzidas no âmbito dos trabalhos da Comissão de Avaliação de
Segurança do Ciberespaço são considerados como informação classificada no grau de segurança reservado,
salvo se o presidente da Comissão considerar necessário atribuir um grau de classificação de segurança
superior, e sem prejuízo destes documentos ou informações poderem ser classificadas como segredo de Estado
nos termos da Lei Orgânica n.º 2/2014, de 6 de agosto, na sua redação atual.
11 – No exercício das suas competências, o CNCS ou, quando aplicável, a autoridade nacional setorial ou
nacional especial, procede à fiscalização do cumprimento das solicitações da Comissão de Avaliação de
Segurança do Ciberespaço e da decisão do membro do Governo responsável pela área da cibersegurança
previstas no presente artigo, sancionando o seu incumprimento nos termos da alínea d) do n.º 1 do artigo 63.º
e da alínea a) do n.º 1 do artigo 61.º, respetivamente.
12 – O apoio técnico, administrativo e logístico da Comissão de Avaliação de Segurança do Ciberespaço,
assim como os respetivos encargos associados, são prestados e suportados pelo GNS.
Artigo 19.º
Centro Nacional de Cibersegurança
1 – O CNCS é a autoridade nacional de cibersegurança, tendo por missão garantir que o País alcança e
mantém um nível elevado de cibersegurança, através da promoção da melhoria contínua da cibersegurança
nacional e da cooperação internacional, bem como da definição e implementação das medidas e instrumentos
necessários à antecipação, deteção, reação e recuperação de situações que, face à iminência ou ocorrência de
incidentes, ponham em causa o interesse nacional, o funcionamento das entidades essenciais, entidades
importantes e entidades públicas relevantes.
2 – O CNCS é ainda o ponto de contacto único para efeitos de cooperação ao nível da União Europeia, bem
como ao nível internacional em matéria de cibersegurança, sem prejuízo das competências atribuídas a outras
autoridades em matéria de cooperação em matéria penal, designadamente as competências da Polícia
Judiciária para a cooperação internacional que lhe são conferidas pelo disposto nos artigos 20.º a 26.º e no
artigo 29.º da Lei do Cibercrime, e em matéria de produção de informações referentes a segurança interna e
externa do Estado português e dos seus aliados.
3 – O CNCS integra o «CERT.PT», previsto no artigo 22.º, que atua como equipa de resposta a incidentes
de cibersegurança nacional.
4 – O CNCS é igualmente a autoridade nacional de certificação de cibersegurança, nomeadamente para
efeitos do disposto no artigo 58.º do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de
17 de abril, sem prejuízo das competências do GNS no que diz respeito à certificação e acreditação dos sistemas
de informação e comunicação que tratam informação classificada, nos termos do Decreto-Lei n.º 3/2012, de 16
de janeiro, na sua redação atual.
Artigo 20.º
Competências do CNCS
1 – O CNCS, no âmbito das responsabilidades atribuídas nos n.os 1 e 2 do artigo 19.º, prossegue as
atribuições e exerce as competências descritas nas alíneas seguintes:
a) Desenvolver as capacidades nacionais de prevenção, monitorização, deteção, reação, análise e correção
destinadas a fazer face a incidentes de cibersegurança, a ciberataques, e a ciberameaças;
Página 34
II SÉRIE-A — NÚMERO 191
34
b) Cooperar com as entidades competentes no âmbito da segurança do ciberespaço no âmbito das
respetivas atribuições;
c) Comunicar, no prazo de 24 horas, à Polícia Judiciária todos os factos com relevância criminal de que
tenha conhecimento no decurso da sua atividade;
d) Comunicar, no prazo de 24 horas, ao Serviço de Informações de Segurança todos os factos referentes a
ameaças à segurança interna, à ciberespionagem e à cibersabotagem, de que tenha conhecimento no decurso
da sua atividade;
e) Adotar os regulamentos e emitir as orientações, recomendações e instruções técnicas relativas à
cibersegurança;
f) Propor ao membro do Governo responsável pela área da cibersegurança a definição do nível nacional de
alerta de cibersegurança, desenvolvido através de regulamento próprio do CNCS e difundido em coordenação
com as entidades competentes no âmbito da segurança do ciberespaço, e emitir ordens e instruções adequadas
à gravidade da situação;
g) Informar o Secretário-Geral do Sistema de Segurança Interna sobre a verificação de uma ciberameaça
significativa ou sobre a ocorrência de uma crise ou incidente de cibersegurança em grande escala, nos termos
das alíneas d) e k) do artigo 2.º, respetivamente, e sem prejuízo do disposto no n.º 2 do artigo 21.º;
h) Emitir ordens, orientações, recomendações e instruções técnicas em matéria de divulgação coordenada
de vulnerabilidades;
i) Prevenir e minorar o impacto de incidentes de cibersegurança, designadamente pela deteção e divulgação
de vulnerabilidades em redes e sistemas de informação, em colaboração com entidades públicas e privadas,
pessoas singulares e coletivas;
j) Aplicar as medidas de supervisão e de execução nos termos do disposto no Capítulo VI;
k) Emitir avisos, designadamente sobre vulnerabilidades, relativos a malware ou outros riscos de
cibersegurança em produtos, componentes ou serviços TIC;
l) Assegurar a cooperação transfronteiriça com as autoridades competentes dos Estados-Membros da
União Europeia, com a Comissão Europeia, com a Agência da União Europeia para a Cibersegurança (ENISA)
e outras instituições, organismos e agências da União Europeia que desenvolvam atividades no âmbito da
cibersegurança e das competências que lhe são cometidas pelo presente artigo, nomeadamente a participação
e a representação nacional em fóruns multilaterais e bilaterais com as suas congéneres, sem prejuízo do
disposto nos artigos 20.º a 26.º e 29.º da Lei do Cibercrime, incluindo a participação e representação nacional:
i) No Grupo de Cooperação, previsto no artigo 14.º da Diretiva (UE) 2022/2555, do Parlamento Europeu e
do Conselho, de 14 de dezembro;
ii) Na Rede Europeia de CSIRTs (Computer Security Incident Response Team, na expressão e sigla de
língua inglesa), prevista no artigo 15.º da Diretiva (UE) 2022/2555, do Parlamento Europeu e do
Conselho, de 14 de dezembro; e
iii) Na Rede de Organizações de Coordenação de Cibercrises (UE-CyCLONe) prevista no artigo 16.º da
Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro;
m) Emitir parecer não vinculativo, quando solicitado, sobre qualquer medida legislativa relativa à
cibersegurança;
n) Promover a sensibilização, formação e qualificação de recursos humanos na área da cibersegurança,
com vista à formação de uma comunidade de conhecimento e de uma cultura nacional de cibersegurança e
ciber-higiene;
o) Apoiar o desenvolvimento das capacidades técnicas, científicas e industriais, promovendo projetos de
inovação e desenvolvimento na área da cibersegurança;
p) Publicar estudos e relatórios na área da cibersegurança;
q) Aprovar os formulários que se mostrem necessários adequados ao exercício das suas atribuições.
2 – O CNCS, no exercício das responsabilidades atribuídas pelo n.º 4 do artigo 19.º, prossegue as
atribuições e exerce as competências descritas nas alíneas seguintes:
a) Solicitar aos organismos de avaliação da conformidade, aos titulares de certificados de cibersegurança e
Página 35
28 DE FEVEREIRO DE 2025
35
aos emitentes de declarações de conformidade, as informações de que necessite para o exercício das suas
competências;
b) Tomar as medidas adequadas a garantir que os organismos de avaliação da conformidade, os titulares
de certificados nacionais ou europeus de cibersegurança, e os emitentes de declarações de conformidade
cumprem o disposto na legislação aplicável em matéria de certificação da cibersegurança;
c) Exercer as demais competências legalmente estabelecidas para as autoridades de certificação da
cibersegurança, designadamente as decorrentes do Regulamento (UE) 2019/881, do Parlamento Europeu e do
Conselho, de 17 de abril, sem prejuízo das competências do GNS no que diz respeito à certificação e acreditação
dos sistemas de informação e comunicação que tratam informação classificada, nos termos do Decreto-Lei
n.º 3/2012, de 16 de janeiro, na sua redação atual;
d) Implementar um quadro nacional de certificação da cibersegurança, estabelecendo as disposições
necessárias à elaboração, implementação e execução dos esquemas de certificação, aos quais são aplicáveis,
com as necessárias adaptações, as disposições constantes do Título III do Regulamento (UE) 2019/881, do
Parlamento Europeu e do Conselho, de 17 de abril;
e) Avaliar os esquemas de certificação específicos, designadamente sobre a respetiva adequação,
articulação com o Instituto Português de Acreditação, IP, na qualidade de organismo nacional de acreditação,
bem como com o Instituto Português da Qualidade, IP, na qualidade de organismo nacional de normalização, e
com as demais entidades públicas com competências no âmbito da matéria abrangida pela certificação;
f) Desenvolver e implementar esquemas específicos de certificação da cibersegurança relativos a
entidades, produtos, serviços e processos de tecnologias de informação e comunicação que não sejam ainda
abrangidos por um esquema europeu, sempre que a especificidade do objeto da certificação o justifique;
g) Promover a formação de auditores no âmbito da cibersegurança, em colaboração com o Instituto
Português de Acreditação, IP.
3 – Qualquer disposição regulamentar de cibersegurança emitida pelas autoridades nacionais setoriais ou
especiais de cibersegurança é precedida de parecer do CNCS.
4 – As entidades públicas e privadas prestam a sua colaboração ao CNCS para o exercício das respetivas
atribuições e competências ao abrigo da presente lei, no respeito pelo princípio da proporcionalidade.
5 – O dever de cooperação previsto no número anterior pode incluir o acesso físico às instalações das
entidades para a realização de diligências integradas em ações de supervisão ou de resposta a incidentes, sem
prejuízo do cumprimento de requisitos de acesso previstos noutros regimes especiais de segurança da
informação e respeitadas as exigências previstas no Código do Procedimento Administrativo.
6 – O CNCS atua em estreita cooperação com as estruturas nacionais responsáveis pela ciberespionagem,
ciberdefesa, cibercrime e ciberterrorismo.
Artigo 21.º
Autoridade de gestão de crises de cibersegurança
1 – O Secretário-Geral do Sistema de Segurança Interna é a autoridade nacional de gestão de crises e
incidentes de cibersegurança em grande escala, também designada por autoridade de gestão de crises de
cibersegurança.
2 – A declaração de crises e incidentes de cibersegurança em grande escala, depende da atribuição de um
grau de ameaça elevado pelo Serviço de Informações de Segurança, nos termos previstos no plano de
coordenação, controlo e comando operacional das forças e serviços de segurança, aprovado pela Deliberação
do Conselho de Ministros n.º DB 14/2010, de 5 de março, ou da comunicação, pelo CNCS, da ocorrência de
uma crise ou incidente de cibersegurança em grande escala, nos termos da alínea g)do n.º 1 do artigo 20.º.
3 – O Secretário-Geral do Sistema de Segurança Interna convoca o gabinete de crise de cibersegurança,
nos termos do n.º 4 do artigo 16.º da Lei n.º 53/2008, de 29 de agosto, na sua redação atual.
Artigo 22.º
Equipa de resposta a incidentes de cibersegurança
1 – O «CERT.PT» é a equipa nacional de resposta a incidentes de cibersegurança.
Página 36
II SÉRIE-A — NÚMERO 191
36
2 – O «CERT.PT» está integrado no CNCS e dispõe de autonomia técnica e operacional.
3 – O «CERT.PT» exerce as seguintes competências:
a) Garantir a resposta operacional a incidentes;
b) Monitorizar e analisar ciberameaças, vulnerabilidades e incidentes a nível nacional e, mediante pedido,
prestar assistência a entidades essenciais, importantes e públicas relevantes relativamente à monitorização em
tempo real ou quase real dos seus sistemas em rede e informação;
c) Ativar os mecanismos de alerta rápido, enviar mensagens de alerta, fazer comunicações e divulgar
informações às entidades essenciais, importantes e públicas relevantes, a autoridades competentes, e a outras
partes interessadas, sobre ciberameaças, vulnerabilidades e incidentes, incluindo em tempo real;
d) Intervir em caso de incidentes e prestar assistência às entidades essenciais, importantes e públicas
relevantes, nomeadamente, quando aplicável, propondo ao CNCS a emissão de ordens, instruções e
orientações operacionais quanto a medidas que devem ser adotadas para conter, mitigar e resolver os
incidentes, bem como os prazos adequados para a sua implementação;
e) Em situações de grave e comprovado risco, propor à autoridade de cibersegurança competente a adoção
de medidas de execução necessárias para uma resposta imediata à ciberameaça, incidente ou crise, nos termos
do n.º 3 do artigo 52.º, caso a entidade essencial, importante ou pública relevante em causa não o faça de forma
voluntária;
f) Recolher e analisar dados forenses, determinar a sua preservação e proceder à análise dinâmica dos
riscos e dos incidentes e desenvolver o conhecimento situacional em matéria de cibersegurança;
g) Realizar, a pedido de uma entidade essencial, importante ou pública relevante, uma análise proativa das
respetivas redes e sistemas de informação da entidade, a fim de detetar vulnerabilidades com um potencial
impacto significativo;
h) Implementar ferramentas e funcionalidades que permitam uma partilha segura de informação com as
entidades essenciais, importantes e públicas relevantes, bem como com outras partes interessadas;
i) Realizar, por sua iniciativa, análises proativas e não intrusivas de redes e sistemas de informação
acessíveis ao público de entidades essenciais, importantes e públicas relevantes, com o objetivo de detetar
redes e sistemas de informação vulneráveis ou inseguros e informar as entidades em causa, na medida em que
não tenham qualquer impacto negativo no funcionamento dos serviços destas;
j) Promover a adoção e a utilização de práticas comuns ou normalizadas;
k) Assegurar a representação nacional na rede de equipas de resposta a incidentes de cibersegurança
nacionais nos termos da subalínea ii), da alínea l) do n.º 1 do artigo 20.º e restantes fóruns internacionais de
cooperação de equipas de resposta a incidentes de cibersegurança;
l) Participar nos fóruns nacionais de cooperação de equipas de resposta a incidentes de segurança
informática;
m) Participar em eventos e ações de formação nacionais e internacionais;
n) Colaborar e articular a sua atuação com as redes de CSIRT setoriais, nacionais e europeias, sempre que
necessário ou conveniente;
o) Cooperar com as entidades competentes no âmbito da segurança do ciberespaço.
4 – No exercício das suas competências, o «CERT.PT» pode determinar a priorização de certas tarefas
através de uma abordagem baseada no risco, considerando, designadamente, a avaliação de ameaça vigente
e produzida pelo Serviço de Informações de Segurança.
5 – As entidades públicas e privadas prestam a sua colaboração ao «CERT.PT» para o exercício das
respetivas atribuições e competências ao abrigo da presente lei.
6 – A colaboração referida no número anterior pode incluir o acesso físico às instalações e a partilha de
informação entre as entidades que prestam serviços de resposta a incidentes a terceiros e o «CERT.PT», e
ações conjuntas, por iniciativa deste, para efeitos da alínea e) do n.º 3.
Artigo 23.º
Cooperação entre autoridades nacionais
1 – O CNCS, o Secretário-Geral do Sistema de Segurança Interna e as autoridades nacionais setoriais de
Página 37
28 DE FEVEREIRO DE 2025
37
cibersegurança, no exercício das suas atribuições e competências ao abrigo da presente lei, atuam em
cooperação estreita com:
a) A Comissão Nacional de Proteção de Dados, sempre que estejam em causa incidentes que tenham dado
origem à violação de dados pessoais, nos termos do artigo 79.º;
b) O Ministério Público, os tribunais e a Polícia Judiciária, sempre que estejam em causa incidentes que
possam ter dado origem à prática de cibercrimes, nomeadamente através:
i) Da comunicação, logo que possível, de factos relativos à preparação e execução de cibercrimes de que
tenham tido conhecimento no exercício das suas funções, sem prejuízo do disposto no artigo 38.º;
ii) Da prática dos atos cautelares necessários e urgentes para assegurar a conservação de provas e da
partilha, nos termos legais, de outros elementos probatórios necessários para o estrito exercício das
competências previstas nas alíneas a) a e) do n.º 3 do artigo anterior;
iii) Do desempenho da função de perito prevista no artigo 153.º do Código de Processo Penal;
c) O Comando de Operações de Ciberdefesa, nomeadamente quando estejam em causa prevenção de
incidentes, monitorização, deteção, reação, análise e correção no âmbito da ciberdefesa e da cibersegurança
das Forças Armadas;
d) O Serviço de Informações de Segurança, nomeadamente na partilha de informações necessárias à
preservação da segurança do ciberespaço de interesse nacional, designadamente no que respeita à
espionagem, à sabotagem, ao terrorismo e à criminalidade organizada.
2 – A obtenção de informação ao abrigo da cooperação prevista no número anterior deve respeitar a
legislação aplicável em matéria de proteção de dados pessoais, designadamente, o RGPD, a Lei n.º 26/2016,
de 22 de agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto, e a Lei n.º 59/2019, de 8 de agosto.
3 – A cooperação prevista na alínea b) do n.º 1 não põe em causa o segredo de justiça.
4 – O acesso a informação nos termos da cooperação prevista, designadamente, nas subalíneas i) e ii) da
alínea b) do n.º 1, relativa a processos que estejam a ser objeto de investigação, pode ser recusado com os
fundamentos previstos no n.º 1 do artigo 89.º do Código de Processo Penal.
5 – A Polícia Judiciária e o Serviço de Informações de Segurança designam um elemento de ligação
permanente junto do CNCS.
6 – Os termos da cooperação técnica e operacional entre o CNCS, o Comando de Operações de
Ciberdefesa, a Polícia Judiciária, o Serviço de Informações de Segurança e o Serviço de Informações
Estratégicas de Defesa, são definidos por mútuo acordo no âmbito do G5.
7 – As autoridades referidas no presente artigo devem responder aos pedidos de informação no prazo de 5
dias após a data em que as informações tiverem sido solicitadas, salvo motivo devidamente justificado.
Artigo 24.º
Cooperação com o setor privado
1 – As entidades que integrem o quadro institucional da segurança do ciberespaço, nos termos do artigo
15.º, devem estabelecer relações de cooperação com as entidades abrangidas pela presente lei e, quando
pertinente, com outras entidades interessadas do setor privado, com vista a alcançar os objetivos do regime
jurídico da cibersegurança.
2 – As relações de cooperação devem abranger, pelo menos, os seguintes aspetos relativos à partilha de
informação, adoção de boas práticas, desenvolvimento ou melhoria de sistemas de classificação e de
taxonomias comuns ou normalizadas quanto a:
a) Medidas de gestão dos riscos de cibersegurança;
b) Indicadores de exposição a riscos ou ciberameaças;
c) Procedimentos de tratamento de incidentes;
d) Gestão de crises; e
Página 38
II SÉRIE-A — NÚMERO 191
38
e) Divulgação coordenada de vulnerabilidades, nos termos do artigo 38.º.
3 – A fim de promover a troca de conhecimento, a partilha de boas práticas e a mobilização de
conhecimentos especializados de entidades do setor privado no apoio à autoridade de cibersegurança
competente, podem ser adotadas parcerias público-privadas para a cibersegurança, definindo o âmbito e as
partes envolvidas, o modelo de governação, as opções de financiamento disponíveis e a interação entre as
partes participantes.
4 – Podem ser celebrados, entre as entidades referidas no n.º 1, bem como, quando pertinente, com os
seus fornecedores ou prestadores de serviços, acordos de partilha de informações sobre cibersegurança, para
os seguintes fins:
a) Evitar, detetar, responder e recuperar de incidentes ou atenuar o seu impacto;
b) Reforçar o nível de cibersegurança, em especial ao sensibilizar para as ciberameaças, limitar ou impedir
a sua capacidade de disseminação, apoiar um leque de capacidades defensivas, a correção e divulgação de
vulnerabilidades, as técnicas de deteção, contenção e prevenção de ameaças, as estratégias de atenuação ou
as fases de resposta e recuperação, ou promover a investigação colaborativa de ciberameaças entre entidades
públicas e privadas.
5 – As partes signatárias dos acordos de partilha de informação, quando necessário, tomam medidas para
proteger a natureza sensível das informações partilhadas e limitar a sua distribuição, em conformidade com o
designado TLP (Traffic Light Protocol, na expressão e sigla de língua inglesa).
6 – As entidades essenciais e importantes são obrigadas a notificar a autoridade de cibersegurança
competente da sua participação nos acordos referidos no n.º 4, aquando da sua celebração, ou, quando
aplicável, da sua retirada de tais acordos, assim que esta produza efeitos.
7 – Os acordos referidos no n.º 4, quando celebrados por entidades essenciais e importantes abrangidas
pelo Regulamento (UE) 2022/2554, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo
à resiliência operacional digital do setor financeiro, são comunicados às respetivas autoridades nacionais
especiais de cibersegurança.
8 – O CNCS assegura e gere uma plataforma em linha para a partilha de informações.
CAPÍTULO IV
Gestão dos riscos de cibersegurança e outros deveres
SECÇÃO I
Gestão da cibersegurança e da segurança da informação
Artigo 25.º
Obrigações dos órgãos de gestão, direção e administração
1 – Os órgãos de gestão, direção e administração das entidades essenciais e importantes:
a) Aprovam as medidas de gestão dos riscos de cibersegurança, adotadas em conformidade com o artigo
27.º;
b) Supervisionam a aplicação das medidas de gestão dos riscos de cibersegurança;
c) Asseguram o cumprimento das medidas de supervisão e de execução, a que se refere o Capítulo VI da
presente lei;
d) Asseguram a realização, com uma periodicidade regular, de ações de formação em cibersegurança, de
forma a promover uma cultura de gestão interna sobre práticas de gestão dos riscos de cibersegurança.
2 – Os titulares dos órgãos de gestão, direção e administração podem responder por ação ou omissão, com
dolo ou culpa grave, nos termos da legislação aplicável, pelas infrações previstas na presente lei.
Página 39
28 DE FEVEREIRO DE 2025
39
3 – A responsabilidade e poderes necessários para o cumprimento das obrigações referidas no presente
artigo não podem ser delegados, exceto num dos titulares dos órgãos de gestão, direção e administração.
Artigo 26.º
Sistema de gestão de riscos de cibersegurança
1 – As entidades essenciais e importantes são responsáveis por garantir a segurança das redes e dos
sistemas de informação, tomando as medidas técnicas, operacionais e organizativas adequadas para gerir os
riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam nas suas operações e
para impedir ou minimizar o impacto de incidentes nos destinatários dos seus serviços e noutros serviços.
2 – As medidas de cibersegurança adotadas devem basear-se numa abordagem sistémica que abranja
todos os riscos para as entidades essenciais e importantes e que vise proteger todos os ativos que garantam a
continuidade do funcionamento das redes e os sistemas de informação que suportam os serviços essenciais,
incluindo o seu ambiente físico, contra incidentes.
3 – As medidas devem ainda:
a) Garantir um nível de segurança das redes e dos sistemas de informação adequado ao risco em causa,
tendo em conta os progressos técnicos mais recentes e, se aplicáveis, as normas europeias e internacionais
pertinentes, bem como os custos de execução e a viabilidade financeira destes; e
b) Ser proporcionais ao grau de exposição da entidade aos riscos, a dimensão da entidade e a probabilidade
de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto social e económico, segundo os critérios
técnicos que venham a ser definidos pelo CNCS.
4 – De forma a orientar a política de gestão de riscos de cibersegurança por parte das entidades essenciais
e importantes, o CNCS pode emitir instruções técnicas de harmonização e, sempre que necessário, elaborar e
atualizar a matriz de risco aplicável àquelas entidades.
5 – Considerando o setor de atividade e a dimensão da entidade e a matriz de risco definida, o CNCS,
através de regulamento a aprovar pelo CNCS, define medidas de cibersegurança mínimas e específicas e níveis
de conformidade a adotar pelas entidades essenciais e entidades importantes.
6 – As medidas de cibersegurança mínimas não prejudicam a adoção de outras medidas que sejam
necessárias e proporcionais, em resultado da análise e gestão dos riscos residuais de cibersegurança, nos
termos do artigo seguinte.
7 – As entidades públicas relevantes devem adotar as medidas técnicas, operacionais e organizativas
adequadas que sejam determinadas pelo CNCS, de acordo com o grupo a que pertençam, nos termos do artigo
33.º.
Artigo 27.º
Medidas de cibersegurança
1 – As medidas de cibersegurança a adotar pelas entidades essenciais e importantes, tendo em
consideração a matriz de risco em que estiverem inseridas nos termos do artigo anterior, abrangem,
designadamente, as seguintes áreas:
a) Tratamento de incidentes;
b) Continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e
gestão de crises;
c) Segurança da cadeia de abastecimento, incluindo aspetos de segurança respeitantes às relações entre
cada entidade e os respetivos fornecedores ou prestadores de serviços diretos;
d) Segurança na aquisição, desenvolvimento e manutenção das redes e sistemas de informação, incluindo
o tratamento e a divulgação de vulnerabilidades;
e) Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança;
f) Práticas básicas de ciber-higiene e formação em cibersegurança, incluindo os titulares de órgãos máximos
Página 40
II SÉRIE-A — NÚMERO 191
40
de gestão e trabalhadores;
g) Políticas e procedimentos relativos à utilização de criptografia e, se for caso disso, de cifragem, sem
prejuízo das competências conferidas a outras entidades em matéria de criptografia no âmbito nacional ou
perante outras organizações internacionais de que Portugal seja membro;
h) Segurança dos recursos humanos, políticas seguidas em matéria de controlo do acesso e gestão de
ativos;
i) Utilização de autenticação multifator ou de autenticação contínua, comunicações seguras e sistemas
seguros de comunicações de emergência no seio da entidade.
2 – As entidades essenciais e importantes devem adotar ainda, sem demora injustificada, todas as medidas
de cibersegurança corretivas necessárias, adequadas e proporcionais, que sejam indispensáveis ao suprimento
de falhas ou omissões no cumprimento das medidas previstas no número anterior.
3 – As autoridades nacionais setoriais de cibersegurança podem emitir disposições regulamentares para
adoção de medidas de cibersegurança específicas do sector, sem prejuízo do disposto no n.º 3 do artigo 20.º.
Artigo 28.º
Cadeiadeabastecimento
As medidas de cibersegurança relativas à segurança da cadeia de abastecimento, incluindo aspetos de
segurança respeitantes às relações entre cada entidade e os respetivos fornecedores ou prestadores de
serviços diretos, devem considerar, designadamente:
a) As vulnerabilidades específicas de cada fornecedor direto e cada prestador de serviços;
b) A qualidade global dos produtos na componente de cibersegurança;
c) As práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os respetivos
procedimentos de desenvolvimento seguro;
d) As avaliações coordenadas dos riscos de segurança de cadeias de abastecimento de produtos de TIC,
sistemas de TIC ou serviços de TIC críticos que sejam realizadas nos termos do artigo 22.º da Diretiva (UE)
2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro;
e) As decisões relativas à aplicação de restrições à utilização, a cessação de utilização ou exclusão de
equipamentos, componentes ou serviços de tecnologias de informação e comunicação, ao abrigo do disposto
no n.º 3 do artigo 18.º.
Artigo 29.º
Gestão do risco residual
1 – As entidades essenciais e importantes devem realizar uma análise e gestão de riscos em relação a
todos os ativos que garantam a continuidade do funcionamento das redes e sistemas de informação que utilizam,
incluindo aos ativos que garantam a prestação dos serviços essenciais, com a periodicidade e os elementos
técnicos e documentais a definir por regulamento da autoridade de cibersegurança competente, para além do
cumprimento das medidas de cibersegurança mínimas nos termos do n.º 5 do artigo 26.º.
2 – Com base na análise e gestão de riscos referida no número anterior, as entidades essenciais e
importantes devem adotar as medidas de cibersegurança adequadas e proporcionais de forma a gerir os riscos
que se colocam à segurança das redes e dos sistemas de informação que utilizam, incluindo os riscos residuais,
tendo em conta o QNRCS, os progressos técnicos mais recentes e, se aplicáveis, as normas europeias e
internacionais pertinentes.
3 – As entidades essenciais e importantes devem documentar a preparação, a execução e a apresentação
dos resultados da análise dos riscos.
Artigo 30.º
Relatório anual
1 – As entidades essenciais e importantes devem elaborar e manter um relatório anual que contenha os
Página 41
28 DE FEVEREIRO DE 2025
41
seguintes elementos em relação ao ano civil a que se reportam:
a) Descrição sumária das principais atividades desenvolvidas em matéria de segurança das redes e dos
serviços de informação;
b) Estatística trimestral de todos os incidentes, com indicação do número e do tipo dos incidentes;
c) Análise agregada dos incidentes com impacto significativo, com informação sobre:
i) Número de utilizadores afetados pela perturbação serviço;
ii) Duração dos incidentes;
iii) Distribuição geográfica, no que se refere à zona afetada pelos incidentes, incluindo a indicação de
impacto transfronteiriço;
d) Recomendações de atividades, de medidas ou de práticas que promovam a melhoria da segurança das
redes e dos sistemas de informação;
e) Problemas identificados e medidas implementadas na sequência dos incidentes;
f) Qualquer outra informação que se considere relevante.
2 – As entidades essenciais remetem o relatório anual à autoridade de cibersegurança competente,
devidamente assinado pelo responsável de cibersegurança, nos seguintes termos:
a) O primeiro relatório anual é submetido:
i) Até ao último dia útil do mês de janeiro do ano civil seguinte ao primeiro ano civil de atividade, quando
esta tenha tido início no primeiro semestre;
ii) Até ao último dia útil do mês de janeiro do segundo ano civil seguinte ao primeiro ano civil de atividade,
quando esta tenha tido início no segundo semestre.
b) Os relatórios anuais subsequentes são submetidos até ao último dia útil do mês de janeiro do ano civil
seguinte aos quais os mesmos se reportam.
3 – Para efeitos do disposto na subalínea ii) da alínea a) do número anterior, o relatório anual deve abranger
também o período entre a data de início de atividade e o final do ano civil anterior ao que se reporta.
4 – As entidades importantes devem comunicar o relatório anual ao CNCS sempre que solicitado.
5 – O CNCS, ouvidas as autoridades nacionais setoriais de cibersegurança, pode adotar modelos para a
apresentação do relatório referido nos números anteriores.
Artigo 31.º
Responsável de cibersegurança
1 – As entidades essenciais e importantes designam um responsável de cibersegurança para a gestão da
cibersegurança e da segurança da informação, que seja titular dos órgãos de gestão, direção ou administração
ou lhes responda organicamente e de forma direta.
2 – O responsável de cibersegurança tem, pelo menos, as seguintes funções:
a) Propor as medidas de gestão dos riscos de cibersegurança, incluindo ao nível da cadeia de
abastecimento, que devem ser aprovadas nos termos da alínea a) do n.º 1 do artigo 25.º;
b) Prestar informações relativas às medidas de gestão dos riscos de cibersegurança aos órgãos da entidade
responsável pela sua supervisão nos termos da alínea b) do n.º 1 do artigo 25.º;
c) Auxiliar os órgãos da entidade no cumprimento das medidas de supervisão e de execução nos termos da
alínea c) do n.º 1 do artigo 25.º;
d) Contribuir para a promoção de uma cultura de cibersegurança na entidade, propondo, nomeadamente,
as ações de formação em cibersegurança previstas na alínea d) do n.º 1 do artigo 25.º;
Página 42
II SÉRIE-A — NÚMERO 191
42
e) Assegurar a gestão de riscos prevista no artigo 29.º;
f) Assegurar o cumprimento das obrigações referentes à elaboração do relatório anual nos termos do artigo
30.º;
g) Coordenar as ações do ponto de contacto permanente, previstas no artigo 32.º, quando esta função não
seja assegurada por si;
3 – As entidades essenciais e importantes comunicam à autoridade de cibersegurança competente, no
prazo de 20 dias úteis a contar do início de funções, a pessoa designada para exercer as funções de responsável
de cibersegurança, incluindo a informação referida em regulamento a aprovar pelo CNCS.
4 – As entidades essenciais e importantes que tenham iniciado atividade antes da data de entrada em vigor
da presente lei, efetuam a comunicação prevista no número anterior no prazo de 20 dias úteis, a contar desta
data.
5 – As entidades essenciais e importantes comunicam, sem demora injustificada, às autoridades de
cibersegurança competentes, a substituição do responsável de cibersegurança.
6 – Relativamente às entidades essenciais e importantes que pertençam à administração direta, pode ser
designado o mesmo responsável de cibersegurança para vários ministérios, áreas governativas ou secretarias
regionais.
7 – Relativamente às entidades essenciais e importantes inseridas no mesmo grupo empresarial, pode cada
empresa estabelecer um elemento que funcione como ponto de contacto para a cibersegurança sob
coordenação de um responsável de segurança comum ao grupo.
8 – O exercício das funções de responsável de cibersegurança é compatível com a acumulações de outras
funções dentro da mesma entidade, sem prejuízo do disposto no presente artigo.
Artigo 32.º
Ponto de contacto permanente
1 – As entidades essenciais e importantes asseguram a função do ponto de contacto permanente com uma
disponibilidade contínua de 24 horas por dia e de sete dias por semana, limitada a períodos de ativação, iniciados
e terminados mediante comunicação da autoridade de cibersegurança competentes.
2 – As entidades essenciais e importantes comunicam ao CNCS, pelo menos, um ponto de contacto
permanente, que pode ser assegurado por um elemento ou uma equipa, de modo a assegurar:
a) Os fluxos de informação de nível operacional e técnico com a autoridade de cibersegurança competente,
nomeadamente:
i) A articulação intersectorial, incluindo a eficácia da resposta a incidentes de segurança com impacto a
nível dos setores;
ii) A obtenção de informação operacional e técnica, na sequência de notificação de incidentes com impacto
significativo submetida pela mesma ou por outra entidade;
iii) A obtenção e atualização de informação de situação integrada no contexto de um incidente significativo.
b) A partilha de informação com a autoridade de cibersegurança competente, quando estejam ativados
planos de emergência de proteção civil diretamente relacionados ou com impacto ao nível da cibersegurança
bem como de planos no âmbito do planeamento civil de emergência da cibersegurança, dos planos de
segurança das infraestruturas críticas nacionais ou europeias, ou dos planos de resiliência das entidades críticas
nacionais ou europeias;
c) A operacionalização dos procedimentos fixados no âmbito de um plano de emergência de proteção civil
quando tenham impacto no funcionamento das redes e sistemas de informação, ou do planeamento civil de
emergência da cibersegurança;
d) A receção das orientações, recomendações, instruções técnicas e ordens emitidas pela autoridade de
cibersegurança competente.
Página 43
28 DE FEVEREIRO DE 2025
43
3 – As entidades essenciais e importantes devem indicar à autoridade de cibersegurança competente, no
prazo de 20 dias úteis a contar do início de funções, a pessoa ou pessoas que compõem a equipa que
asseguram as funções de ponto de contacto permanente, bem como os respetivos meios de contacto principal
e alternativos contendo a informação referida em regulamento a aprovar pelo CNCS.
4 – As entidades essenciais e importantes que tenham iniciado atividade antes da data de entrada em vigor
da presente lei devem efetuar a comunicação prevista no número anterior no prazo de 20 dias úteis a contar
desta data.
5 – As entidades essenciais e importantes devem comunicar imediatamente à autoridade de cibersegurança
competente, qualquer alteração à informação prevista no n.º 3.
6 – As entidades essenciais e importantes devem assegurar que o ponto de contacto permanente dispõe
de meios de contacto principais e alternativos para a comunicação com a autoridade de cibersegurança
competente.
Artigo 33.º
Medidas de cibersegurança aplicáveis às entidades públicas relevantes
1 – As entidades públicas relevantes devem cumprir com as medidas de cibersegurança estabelecidas pelo
CNCS nos termos do número seguinte.
2 – O CNCS estabelece, através de regulamento, as medidas de cibersegurança que devem ser cumpridas
por parte das entidades públicas relevantes, considerando os critérios previstos no disposto nos n.os 2 e 3 do
artigo 26.º e em termos proporcionais e adequados ao grupo a que pertencem, de acordo com o disposto no
artigo 7.º.
3 – As entidades públicas relevantes estão sujeitas às medidas de supervisão e de execução previstas nos
artigos 55.º e 56.º, respetivamente.
Artigo 34.º
Certificação da cibersegurança
1 – O CNCS pode exigir às entidades essenciais, importantes e públicas relevantes, a obtenção de
certificação, nacional, europeia ou internacional, que ateste o cumprimento das medidas de cibersegurança da
presente lei, nomeadamente em conformidade com esquemas de certificação elaborados a partir do Documento
Normativo Português – Especificação Técnica (DNP TS) 4577-1, Maturidade Digital – Selo Digital e do Quadro
Nacional de Referência para a Cibersegurança, assegurando, em todo caso, uma matriz de equivalência com
esquemas de certificação de referência existentes.
2 – O CNCS pode ainda exigir às entidades essenciais, importantes e públicas relevantes, nos termos do
n.º 1 do artigo 24.º da Diretiva (UE) 2022/2555, do Parlamento e do Conselho, de 14 de dezembro, a utilização
de produtos, serviços e processos, todos de TIC, desenvolvidos pela entidade ou fornecidos por terceiros,
certificados no âmbito de sistemas nacionais e europeus de certificação da cibersegurança, adotados nos termos
do artigo 49.º do Regulamento (UE) 2019/881, do Parlamento Europeu e do Conselho, de 17 de abril de 2019.
SECÇÃO II
Outros deveres
Artigo 35.º
Dever de registo
1 – Para efeitos de registo, as entidades essenciais, importantes e públicas relevantes têm o dever de
inscrever na plataforma eletrónica referida no n.º 7 do artigo 8.º os elementos que permitam a sua identificação
completa, designadamente:
a) Nome da entidade em causa;
b) Número de identificação fiscal;
Página 44
II SÉRIE-A — NÚMERO 191
44
c) Endereço e dados de contacto atualizados, incluindo os endereços de correio eletrónico, as gamas de
endereços IP e os números de telefone;
d) Se aplicável, o setor e subsetor pertinentes referidos nos anexos I ou II à presente lei, que dela fazem
parte integrante; e
e) Se aplicável, uma lista dos Estados-Membros da União Europeia em que prestam serviços abrangidos
pelo âmbito de aplicação da presente lei.
2 – Além dos dados referidos no número anterior, o registo de nomes de domínio de topo, bem como as
entidades que sejam prestadores de serviços de DNS, prestadores serviços de registo de nomes de domínio,
prestadores de serviços de computação em nuvem, prestadores de serviços de centro de dados, fornecedores
de redes de distribuição de conteúdos, prestadores de serviços geridos, prestadores de serviços de segurança
geridos, bem como dos prestadores de serviços de mercados em linha, de motores de pesquisa em linha e de
plataformas de serviços de redes sociais, têm o dever de inscrever na plataforma eletrónica referida no n.º 7 do
artigo 8.º os seguintes elementos:
a) O endereço do respetivo estabelecimento principal e dos outros estabelecimentos legais que possui na
União Europeia ou, caso não esteja estabelecida na União, do representante designado;
b) Contactos atualizados, incluindo endereços de correio eletrónico e números de telefone da entidade e, se
aplicável, do seu representante designado;
c) Os Estados-Membros onde presta serviços; e
d) As gamas de endereços IP.
3 – As entidades essenciais, importantes, públicas relevantes e os prestadores de serviços de registos de
nomes de domínio notificam o CNCS de qualquer alteração aos dados referidos nos números anteriores, no
prazo de 30 dias úteis a contar da alteração.
4 – No caso do registo de nomes de TLD, bem como as entidades que sejam prestadores de serviços de
DNS, prestadores serviços de registo de nomes de domínio, prestadores de serviços de computação em nuvem,
prestadores de serviços de centro de dados, fornecedores de redes de distribuição de conteúdos, prestadores
de serviços geridos, prestadores de serviços de segurança geridos, bem como dos prestadores de serviços de
mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais, a alteração
aos dados referidos nos n.os 1 e 2 é notificada no prazo de 3 meses a contar da alteração.
Artigo 36.º
Base de dados relativos ao registo de nomes de domínio
1 – O registo de nomes de domínio de topo e as entidades que prestam serviços de registo de nomes de
domínio devem recolher e manter os dados exatos e completos relativos ao registo de nomes de domínio em
bases de dados criadas especificamente para o efeito.
2 – A recolha e manutenção dos dados referidos no número anterior constitui uma obrigação jurídica nos
termos e para os efeitos do artigo 6.º, n.º 1, alínea c), do RGPD.
3 – A base de dados referida no n.º 1 contém a seguinte informação:
a) O nome de domínio;
b) A data de registo;
c) O nome, o endereço de correio eletrónico de contato e o número de telefone do titular de registo;
d) O endereço de contacto e o número de telefone de contacto que administra o nome de domínio, caso
sejam diferentes do titular de registo.
4 – O registo de nomes de domínio de topo e as entidades que prestam serviços de domínio adotam políticas
e procedimentos, incluindo de verificação, para assegurar que as respetivas bases de dados, nos termos do
n.º 1, contêm informações exatas e completas.
5 – Os dados relativos ao registo de nomes de domínio e as políticas e procedimentos referidos nos números
Página 45
28 DE FEVEREIRO DE 2025
45
anteriores devem ser acessíveis ao público, quando não sejam dados pessoais e não se encontrem protegidos
ao abrigo da legislação aplicável em matéria de proteção de dados pessoais, designadamente, o RGPD, a Lei
n.º 26/2016, de 22 de agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto, e a Lei n.º 59/2019, de 8
de agosto.
Artigo 37.º
Acesso ao registo de nomes de domínio
1 – O registo de nomes de domínio de topo e as entidades que prestam serviços de registo de nomes de
domínio garantem o acesso a dados específicos relativos ao registo de nomes de domínio a quem apresente
um pedido de acesso lícito e devidamente fundamentado, em conformidade com a legislação aplicável em
matéria de proteção de dados pessoais, designadamente, o RGPD, a Lei n.º 26/2016, de 22 de agosto, na sua
redação atual, a Lei n.º 58/2019, de 8 de agosto, e a Lei n.º 59/2019, de 8 de agosto.
2 – Os pedidos de acesso referidos no número anterior são concedidos no prazo de 72 horas a contar da
receção do mesmo.
CAPÍTULO V
Prevenção e tratamento de incidentes
SECÇÃO I
Prevenção e acompanhamento de vulnerabilidades
Artigo 38.º
Vulnerabilidades em sistemas de informação
1 – O «CERT.PT» é a entidade coordenadora nacional para efeitos da divulgação coordenada de
vulnerabilidades que afetem redes e sistemas de informação, produtos, componentes e serviços de tecnologias
de informação e comunicação.
2 – O «CERT.PT» desempenha o papel de intermediário de confiança, facilitando a interação entre a pessoa
singular ou coletiva notificadora e o fabricante ou fornecedor de produtos de TIC ou prestador de serviços de
TIC que sejam potencialmente vulneráveis, a pedido de qualquer uma das partes.
3 – As funções da «CERT.PT» incluem, designadamente:
a) A identificação e o contacto das entidades referidas no número anterior;
b) A prestação de apoio às pessoas singulares ou coletivas que notifiquem vulnerabilidades;
c) A negociação do calendário de divulgação e a gestão das vulnerabilidades que afetem várias entidades.
4 – O «CERT.PT» preserva o anonimato de qualquer pessoa singular ou coletiva que comunique uma
vulnerabilidade, caso esta lho solicite, sem prejuízo do disposto na Lei do Cibercrime, aprovada pela Lei
n.º 109/2009, de 15 de setembro, na redação introduzida pela presente lei.
5 – Os dados incluídos nas comunicações realizadas ao abrigo do presente artigo devem ser eliminados no
prazo de 10 dias, contados a partir do momento em que a vulnerabilidade seja corrigida, devendo garantir-se a
confidencialidade dos mesmos durante todo o procedimento.
Artigo 39.º
Comunicação de vulnerabilidades
Quando a vulnerabilidade possa ter impacto importante sobre entidades em mais do que um Estado-Membro
da União Europeia, o «CERT.PT» coopera com as suas congéneres, quer no âmbito da Rede Europeia de
CSIRT, quer no âmbito da UE-CyCLONe.
Página 46
II SÉRIE-A — NÚMERO 191
46
SECÇÃO II
Notificação de incidentes
Artigo 40.º
Notificação obrigatória
1 – As entidades essenciais, importantes e públicas relevantes notificam qualquer incidente significativo à
autoridade de cibersegurança competente.
2 – O cumprimento da mera notificação não gera responsabilidade acrescida para a entidade notificante.
3 – A fim de determinar se um incidente tem impacto significativo nos termos do n.º 1, as entidades em
causa devem ter em consideração, designadamente, os seguintes parâmetros:
a) Número de utilizadores afetados pela perturbação do serviço;
b) A duração do incidente;
c) O nível da gravidade da perturbação do funcionamento do serviço;
d) A dimensão do impacto nas atividades económicas e sociais.
4 – As entidades devem ainda ter em consideração os parâmetros e limiares definidos, quando aplicável,
por instrução técnica do CNCS e pelos atos de execução da Comissão, previstos no n.º 11 do artigo 23.º da
Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro.
5 – O cumprimento do disposto na presente lei não dispensa o respeito pelas obrigações específicas de
notificação de incidentes nos termos definidos pelas autoridades com competência para o efeito, nomeadamente
o Ministério Público, a Polícia Judiciária, a Comissão Nacional de Proteção de Dados (CNPD), a Entidade
Fiscalizadora do Segredo de Estado e o GNS, de acordo com as disposições legais e regulamentares aplicáveis.
6 – As notificações devem ser submetidas na plataforma eletrónica referida no n.º 7 do artigo 8.º.
7 – Às entidades essenciais, importantes e públicas relevantes é assegurada a possibilidade de notificar um
incidente, simultaneamente, à autoridade de cibersegurança competente, às autoridades especiais de
cibersegurança, bem como às entidades previstas no n.º 5, através da plataforma prevista no n.º 7 do artigo 8.º,
nos termos a definir por protocolo outorgado entre as referidas autoridades.
Artigo 41.º
Tipos de notificações
1 – Por cada incidente sujeito a notificação obrigatória, as entidades essenciais, importantes e públicas
relevantes submetem:
a) Uma notificação inicial, nos termos do artigo 42.º;
b) Uma notificação de fim do impacto significativo, nos termos do artigo 43.º;
c) Um relatório final, nos termos do artigo 44.º.
2 – Nos casos em que o incidente é resolvido nas duas horas após a sua deteção, as entidades referidas
ficam apenas obrigadas ao envio da notificação do fim de impacto significativo.
3 – Sem prejuízo do disposto no número anterior, as entidades essenciais, importantes e públicas relevantes
poderão ainda ser notificadas para apresentar um relatório intercalar, nos termos do artigo 44.º.
4 – O formato e procedimento de notificação de incidentes e a taxonomia dos incidentes, incluindo as
categorias de causas dos incidentes e os seus efeitos, são definidos por instrução técnica do CNCS, sem
prejuízo dos atos de execução adotados pela Comissão previstos no n.º 11 do artigo 23.º da Diretiva (UE)
2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro.
Artigo 42.º
Notificação inicial
1 – A notificação inicial deve ser enviada à autoridade de cibersegurança competente, assim que a entidade
Página 47
28 DE FEVEREIRO DE 2025
47
essencial, importante ou pública relevante concluir que existe, ou possa vir a existir, um incidente significativo,
sem demora injustificada e até 24 horas após essa verificação, salvo quando tal for incompatível com a mitigação
ou a resolução do incidente.
2 – A notificação inicial deve incluir, pelo menos, a seguinte informação:
a) Nome, número de telefone e endereço de correio eletrónico de um representante da entidade, quando
diferente do ponto de contacto permanente a que se refere o artigo 32.º, para efeito de um eventual contacto
pela autoridade de cibersegurança competente;
b) Data e hora do início ou, em caso de impossibilidade de o determinar, da deteção do incidente;
c) Breve descrição do incidente, incluindo a indicação da categoria da causa e dos efeitos produzidos, de
acordo com a taxonomia definida pelo CNCS, sempre que possível, o respetivo detalhe;
d) Estimativa possível do impacto, considerando:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração do incidente;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação do impacto
transfronteiriço;
iv) Outra informação que a entidade essencial e importante considere relevante.
3 – Quando necessário, a entidade essencial, importante ou pública relevante envia à autoridade de
cibersegurança competente uma atualização da notificação inicial até 72 horas após a verificação do incidente
significativo, revendo a informação referida no número anterior e fornecendo uma avaliação inicial do incidente
significativo, incluindo da sua gravidade e do seu impacto, bem como, se disponíveis, dos indicadores de
exposição a riscos.
Artigo 43.º
Notificação do fim de impacto significativo
1 – A notificação do fim de impacto significativo do incidente deve ser submetida à autoridade de
cibersegurança competente, sem demora injustificada e dentro do prazo de 24 horas após o fim do impacto.
2 – A notificação do fim de impacto significativo deve incluir a seguinte informação, pelo menos:
a) Atualização da informação transmitida na notificação inicial, caso exista;
b) Breve descrição das medidas adotadas para a resolução do incidente;
c) Descrição da situação de impacto existente no momento da perda de impacto significativo,
nomeadamente:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração do incidente;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto
transfronteiriço;
iv) Tempo estimado para a recuperação total dos serviços.
Artigo 44.º
Relatórios final e intercalar
1 – O relatório final deve ser submetido à autoridade de cibersegurança competente, no prazo de 30 dias
úteis a contar da data da notificação do fim de impacto significativo do incidente.
2 – O relatório final deve incluir a seguinte informação:
a) Data e hora em que o incidente assumiu o impacto significativo;
b) Data e hora em que o incidente perdeu o impacto significativo;
Página 48
II SÉRIE-A — NÚMERO 191
48
c) Impacto do incidente, considerando:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração do incidente;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto
transfronteiriço;
iv) Descrição do incidente, com a indicação da categoria da causa e dos efeitos produzidos, de acordo com
a taxonomia definida pelo CNCS, e o respetivo detalhe;
d) Indicação das medidas adotadas para mitigar o incidente;
e) Descrição da situação residual do impacto existente à data da notificação final, nomeadamente:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto
transfronteiriço;
iii) Tempo estimado para a recuperação total dos serviços ainda afetados;
iv) Indicação, sempre que aplicável, da apresentação de notificação do incidente em causa às autoridades
competentes, nomeadamente ao Ministério Público ou à CNPD e a outras autoridades setoriais, nos
termos previstos nas disposições legais e regulamentares aplicáveis;
v) Outra informação que a entidade essencial e importante considere relevante.
3 – Na hipótese de, decorrido o prazo para apresentação do relatório final, o incidente ainda se encontrar
em curso, a entidade essencial, importante ou pública relevante em causa deve apresentar relatório intercalar a
autoridade de cibersegurança competente, a pedido destas entidades e com periodicidade semanal até ao
momento da apresentação do relatório final.
4 – O relatório intercalar deve incluir a seguinte informação:
a) Atualização da informação transmitida na notificação inicial, caso exista;
b) Breve descrição das medidas adotadas para a resolução do incidente;
c) Descrição da situação de impacto existente no momento da perda de impacto significativo,
nomeadamente:
i) Número de utilizadores afetados pela perturbação do serviço;
ii) Duração do incidente;
iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação de impacto
transfronteiriço;
iv) Tempo estimado para a recuperação total dos serviços.
Artigo 45.º
Notificações voluntárias de informações pertinentes
1 – Sem prejuízo da obrigação de notificação de incidentes prevista na presente lei, qualquer pessoa
singular ou coletiva pode notificar, a título voluntário, a ocorrência de incidentes, ciberameaças, quase incidentes
ou vulnerabilidades.
2 – As notificações voluntárias não geram obrigações adicionais para a entidade notificante.
3 – O disposto nos artigos 42.º a 44.º aplica-se, com as devidas adaptações, às notificações voluntárias,
sem prejuízo da prioridade a dar ao tratamento das notificações obrigatórias.
Artigo 46.º
Pedidos de informação
A autoridade de cibersegurança competente pode solicitar às entidades essenciais, importantes ou públicas
Página 49
28 DE FEVEREIRO DE 2025
49
relevantes, as informações relevantes ou determinar as ações necessárias, nos termos legalmente aplicáveis,
quando tenha conhecimento, por qualquer meio, de um potencial incidente, aplicando-se, com as devidas
adaptações, o disposto nos artigos 42.º a 44.º.
Artigo 47.º
Proteção da informação
1 – O envio de informações pelo CNCS ou, quando aplicável, pelas autoridades nacionais setoriais de
cibersegurança, ao abrigo da presente lei, para autoridades ou entidades competentes nacionais, da União
Europeia ou de outro Estado-Membro limita-se ao necessário e proporcional, em conformidade com a legislação
aplicável em matéria de proteção de dados pessoais, designadamente, o RGPD, a Lei n.º 26/2016, de 22 de
agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto, e a Lei n.º 59/2019, de 8 de agosto.
2 – A autoridade de cibersegurança competente garante a proteção adequada das informações e dados,
qualquer que seja a sua natureza, transmitidos pelas entidades essenciais, importantes e públicas relevantes
em matéria de confidencialidade e segredo comercial.
3 – O n.º 2 aplica-se, com as devidas adaptações, às informações fornecidas pelas pessoas singulares e
coletivas que procedam a uma notificação ao abrigo do artigo anterior.
Artigo 48.º
Comunicação aos destinatários dos serviços
1 – As entidades essenciais, importantes e públicas relevantes comunicam aos destinatários dos seus
serviços, sem demora injustificada, quaisquer incidentes com impacto significativo que sejam suscetíveis de os
afetar negativamente.
2 – As entidades essenciais, importantes e públicas relevantes comunicam aos destinatários dos seus
serviços potencialmente afetados por uma ciberameaça significativa, sem demora injustificada, as medidas ou
soluções que estes podem adotar para responder à ameaça e, quando apropriado, comunicam aos mesmos a
ciberameaça em causa.
3 – A comunicação referida no número anterior não dispensa as entidades em causa do dever de, a
expensas suas, adotarem as medidas adequadas e imediatas para prevenir ou remediar quaisquer ameaças e
restabelecer o nível normal de segurança do serviço que prestam.
4 – A informação referida nos números anteriores deve ser prestada de forma gratuita e em linguagem
facilmente compreensível.
SECÇÃO III
Comunicação de incidentes, informação ao público e resposta
Artigo 49.º
Comunicação entre autoridades
1 – As autoridades nacionais setoriais e especiais de cibersegurança comunicam ao CNCS todos os
incidentes de que são notificados nos termos do disposto no artigo 40.º, e informam aquela autoridade da
respetiva evolução.
2 – Para efeitos do artigo 21.º, o CNCS comunica ao Secretário-Geral do Sistema de Segurança Interna,
sem demora injustificada, os incidentes de que são notificados nos termos do disposto no artigo 40.º, que sejam
suscetíveis de ser qualificados como de grande escala.
3 – O CNCS informa, quando entenda ser necessário, as autoridades nacionais setoriais e especiais de
cibersegurança das notificações voluntárias nos termos do artigo 45.º.
4 – O disposto no presente artigo aplica-se, com as devidas adaptações, às notificações efetuadas nos
termos do artigo 42.º.
5 – As comunicações referidas nos números anteriores são feitas de forma imediata, através de meios
eletrónicos.
Página 50
II SÉRIE-A — NÚMERO 191
50
Artigo 50.º
Comunicação a entidades no âmbito da União Europeia ou dos seus Estados-Membros
1 – Sempre que se justificar, nomeadamente quando um incidente significativo envolver pelo menos outro
Estado-Membro da União Europeia, o CNCS deve informar os outros Estados-Membros afetados, designados
ao abrigo do artigo 8.º da Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro,
e a ENISA da ocorrência do mesmo, com envolvimento dos canais de cooperação em matéria de cooperação
policial e em matéria de serviços de informações.
2 – A comunicação referida no número anterior inclui as informações recebidas através das notificações
feitas nos termos dos artigos 42.º e seguintes.
3 – Compete ao CNCS, na qualidade de ponto de contacto único, apresentar trimestralmente à ENISA um
relatório de síntese que inclua dados anonimizados e agregados sobre os incidentes significativos, os incidentes,
as ciberameaças e os quase incidentes notificados nos termos dos artigos 40.º e 45.º.
Artigo 51.º
Informação ao público
1 – A autoridade de cibersegurança competente deve informar o público da ocorrência de um incidente
significativo, após consulta com a entidade em causa, quando:
a) For necessário esclarecer o público para evitar o incidente ou para responder a um incidente em curso;
b) A divulgação do incidente significativo seja de interesse público.
2 – A autoridade de cibersegurança competente deve também exigir que a entidade em causa proceda à
divulgação ao público do incidente significativo, quando estejam em causa as situações referidas no número
anterior.
3 – A autoridade de cibersegurança competente deve informar o público de um incidente significativo,
perante pedido de uma autoridade competente de outro Estado-Membro da União Europeia.
4 – A comunicação ao público prevista no presente artigo não prejudica a cooperação em sede de
investigações criminais em curso, ou que estejam abrangidas pelos regimes de segredo de justiça e de segredo
de Estado.
Artigo 52.º
Resposta a notificações
1 – A autoridade de cibersegurança competente responde à entidade notificante, sem demora injustificada
e, se possível, no prazo de 24 horas após a receção da notificação inicial prevista no artigo 42.º.
2 – A autoridade de cibersegurança competente fornece, na sua resposta, designadamente, as suas
observações iniciais sobre o incidente significativo e, a pedido da entidade, orientações ou aconselhamento
operacional sobre a aplicação de possíveis medidas de atenuação.
3 – Em situações de grave e comprovado risco do impacto do incidente notificado nos termos do artigo 40.º,
a autoridade de cibersegurança competente pode impor, como medida de execução imediata, a interrupção da
prestação de serviço à entidade essencial, importante ou pública relevante em causa, ou a cessação de uma
conduta que infringe a presente lei, caso esta não o faça de forma voluntária.
4 – Nos casos de suspeita fundada da natureza criminosa do incidente significativo, a autoridade de
cibersegurança competente deve fornecer igualmente orientações sobre a notificação do incidente significativo
às autoridades policiais.
5 – O disposto nos números anteriores aplica-se, com as necessárias adaptações, aos incidentes, quase
incidentes ou ciberameaças que tenham sido notificados, de forma voluntária, ao abrigo do artigo 45.º.
Página 51
28 DE FEVEREIRO DE 2025
51
CAPÍTULO VI
Supervisão e execução
SECÇÃO I
Medidas de supervisão e execução
Artigo 53.º
Princípios
1 – A autoridade de cibersegurança competente, na qualidade de autoridade de supervisão e de execução,
fiscaliza e supervisiona o cumprimento da presente lei e adota as medidas necessárias para garantir esse
cumprimento.
2 – As atividades de supervisão e de execução são orientadas, designadamente, pelos princípios da
prossecução do interesse público, da legalidade, da eficiência, da eficácia e da proporcionalidade, devendo
minimizar, sempre que possível, o seu impacto nas atividades públicas, sociais e empresariais das entidades
supervisionadas.
3 – A atividade de supervisão assenta em metodologias de avaliação de risco e, com fundamento nessa
avaliação e nos princípios referidos no número anterior, pode determinar a afetação prioritária de recursos e as
medidas a adotar em função da matriz de risco aplicável à entidade em causa, nomeadamente no que respeita
à realização, frequência ou tipo de inspeções no local, às auditorias de segurança direcionadas ou verificações
de segurança e ao tipo de informações a solicitar.
4 – As atividades de supervisão e de execução são exercidas com autonomia operacional, incluindo as que
visam as entidades públicas relevantes.
5 – As atividades de supervisão e de execução respeitam as garantias dos particulares legal e
constitucionalmente previstas.
Artigo 54.º
Medidas de supervisão relativas a entidades essenciais
1 – A autoridade de cibersegurança competente dispõe, relativamente a entidades essenciais, de poderes
para as submeter às seguintes medidas:
a) Inspeções no local e a supervisão remota, incluindo controlos aleatórios efetuados por profissionais
qualificados;
b) Auditorias de segurança, regulares ou direcionadas, realizadas pela própria autoridade competente ou,
quando tal se justifique, por uma entidade devidamente qualificada para o efeito que ofereça garantias de
independência;
c) Auditorias ad hoc, designadamente com fundamento na verificação de incidente significativo,
incumprimento de ordens, instruções e orientações da autoridade de cibersegurança competente ou infração à
presente lei por parte da entidade em causa;
d) Verificações de segurança com base em critérios de avaliação dos riscos objetivos, não discriminatórios,
equitativos e transparentes, se necessário em cooperação com a entidade em causa;
e) Pedidos de informações necessários para avaliar o cumprimento das medidas de cibersegurança
referidas nos artigos 27.º e seguintes, adotadas pela entidade em causa;
f) Pedidos de acesso a dados, documentos e informações necessários ao desempenho das suas funções
de supervisão;
g) Pedidos de apresentação das provas demonstrativas da aplicação das políticas e procedimentos de
cibersegurança.
2 – As auditorias direcionadas referidas na alínea b) do n.º 1 baseiam-se na análise de risco realizada pela
autoridade de cibersegurança competente, na análise de risco realizada pela entidade auditada ou noutras
informações disponíveis relacionadas com os riscos, nomeadamente as constantes das instruções técnicas de
Página 52
II SÉRIE-A — NÚMERO 191
52
harmonização e as matrizes de risco elaboradas pelo CNCS, nos termos do n.º 4 do artigo 26.º, bem como das
ordens, instruções e orientações da autoridade de cibersegurança competente.
3 – Os custos das auditorias direcionadas referidas nas alíneas b) do n.º 1, são suportados pela entidade
auditada, salvo decisão contrária fundamentada da autoridade de cibersegurança competente.
4 – Os pedidos de informação e de prova referidos nas alíneas e) a g) no n.º 1 devem indicar a respetiva
finalidade, especificar a informação solicitada e fixar um prazo adequado e razoável para a entidade essencial
lhes dar resposta.
Artigo 55.º
Medidas de supervisão relativas a entidades importantes e públicas relevantes
1 – Sempre que obtenha provas, indícios ou informações de que uma entidade importante ou pública
relevante não está a cumprir a presente lei, a autoridade de cibersegurança competente aplica as medidas de
supervisão ex post previstas nos números seguintes.
2 – A autoridade de cibersegurança competente dispõe, relativamente a entidades importantes, de poderes
para as submeter às seguintes medidas:
a) Inspeções no local e supervisão ex post remota efetuadas por profissionais qualificados;
b) Auditorias de segurança direcionadas realizadas pela própria autoridade competente ou, quando tal se
justifique, por uma entidade devidamente qualificada para o efeito que ofereça garantias de independência;
c) Auditorias ad hoc, designadamente com fundamento na verificação de incidente significativo,
incumprimento de ordens, instruções e orientações da autoridade de cibersegurança competente ou infração à
presente lei por parte da entidade em causa;
d) Verificações de segurança com base em critérios de avaliação dos riscos objetivos, não discriminatórios,
equitativos e transparentes, se necessário em cooperação com a entidade em causa;
e) Pedidos de informações necessários para avaliar o cumprimento das medidas de cibersegurança
referidas nos artigos 27.º e seguintes, adotadas pela entidade em causa;
f) Pedidos de acesso a dados, documentos e quaisquer informações necessárias para o desempenho das
suas funções de supervisão;
g) Pedidos de apresentação das provas demonstrativas da aplicação das políticas e procedimentos de
cibersegurança.
3 – As auditorias direcionadas referidas na alínea b) do n.º 2 baseiam-se na análise de risco realizada pela
autoridade de cibersegurança competente, na análise de risco realizada pela entidade auditada ou noutras
informações disponíveis relacionadas com os riscos, nomeadamente as constantes das instruções técnicas de
harmonização e as matrizes de risco elaboradas pelo CNCS, nos termos do n.º 4 do artigo 26.º, bem como das
ordens, instruções e orientações da autoridade de cibersegurança competente.
4 – Os custos das auditorias direcionadas referidas na alínea b) do n.º 2 são suportados pela entidade
auditada, salvo decisão contrária fundamentada da autoridade de cibersegurança competente.
5 – Os pedidos de informação e de prova referidos nas alíneas e) a g) do n.º 2 devem indicar a respetiva
finalidade, especificar a informação solicitada e fixar um prazo adequado e razoável para a entidade essencial
lhes dar resposta.
Artigo 56.º
Medidas de execução
1 – A autoridade de cibersegurança competente pode, relativamente a entidades essenciais, importantes e
públicas relevantes, adotar medidas que incluam o seguinte:
a) Advertências sobre infrações dos deveres decorrentes da presente lei e do respetivo regime regulamentar
aplicável;
b) Ordens ou instruções vinculativas com vista à adoção de medidas necessárias para prevenir, impedir ou
Página 53
28 DE FEVEREIRO DE 2025
53
corrigir um incidente, determinando os prazos para a sua execução e respetiva informação;
c) Ordens ou instruções vinculativas com vista à correção de deficiências ou infrações à presente lei;
d) Ordens ou instruções vinculativas com vista ao cumprimento do disposto no artigo 26.º e seguintes ou,
quando se trate de uma entidade pública relevante, do disposto no artigo 33.º, ou ainda com vista ao
cumprimento do disposto nos artigos 40.º e seguintes;
e) Ordens para que as entidades em causa informem as pessoas singulares ou coletivas a quem prestam
serviços ou que realizam atividades potencialmente afetadas por ciberameaça significativa da natureza desta,
bem como de quaisquer medidas de proteção ou corretivas que possam ser adotadas em resposta a essa
ciberameaça;
f) Ordens para que a entidade em causa aplique, num prazo razoável, as recomendações formuladas em
resultado de uma auditoria de segurança;
g) Designação de um supervisor com funções adequadamente circunscritas, durante um período limitado,
para supervisionar o cumprimento das obrigações previstas nos artigos 26.º e seguintes, e previstas nos artigos
40.º e seguintes, pela entidade em causa;
h) Ordens para que a entidade em causa publicite os aspetos das infrações à presente lei de uma forma
específica;
i) Aplicação de coimas nos termos do capítulo seguinte.
2 – Em caso de incumprimento, por qualquer entidade essencial, das medidas referidas nas alíneas a) a d)
e f) no prazo determinado pela autoridade de cibersegurança competente, esta pode, na medida do estritamente
necessário:
a) Suspender uma certificação, autorização ou licença relativa a uma parte ou à totalidade dos serviços
relevantes prestados ou das atividades realizadas pela entidade, ou ordenar a um organismo de certificação a
sua suspensão;
b) Solicitar ao órgão competente a suspensão da autorização ou da licença relativa a uma parte ou à
totalidade dos serviços relevantes prestados ou das atividades realizadas pela entidade;
3 – As suspensões ou inibições temporárias referidas no número anterior mantêm-se até ao momento em
que a entidade corrija as deficiências ou cumpra as medidas referidas no n.º 1.
4 – As medidas referidas no n.º 2 não se aplicam às entidades públicas abrangidas pela presente lei, sem
prejuízo do exercício dos poderes de direção e tutela, nos termos gerais.
Artigo 57.º
Medidas de bloqueio e redireccionamento
1 – A autoridade de cibersegurança competente pode emitir ordens ou instruções com vista a neutralizar
uma ciberameaça, ciberataque ou incidente para as redes e sistemas de informação das entidades essenciais,
importantes ou públicas relevantes que resulte da utilização abusiva de nomes de domínio ou endereço de
protocolo IP, nos termos dos números seguintes.
2 – Os tipos de abusos referidos no número anterior incluem, designadamente:
a) Ataques de negação de serviço distribuída (DDoS);
b) Servidores maliciosos (Comando e Controlo);
c) Equipamentos infetados (comunicação com Comando e Controlo);
d) Distribuição de código malicioso;
e) Utilização ilegítima de nome de terceiros;
f) Correio eletrónico não solicitado (SPAM).
3 – Na medida do estritamente necessário para cessar a utilização abusiva de nomes de domínio, a
autoridade de cibersegurança competente pode ordenar, de forma devidamente fundamentada:
Página 54
II SÉRIE-A — NÚMERO 191
54
a) Ao registo de nomes de TLD, que solicite ao titular de um registo de um nome de domínio a adoção de
medidas adequadas, dentro de um prazo determinado, para reprimir uma ciberameaça ou responder a um
ciberataque ou a um incidente;
b) Ao registo de nomes de TLD ou aos prestadores de serviços de DNS, o bloqueio ou redireccionamento
de nomes de domínio para um servidor seguro do CNCS, quando estes estejam manifestamente dedicados a
ou envolvidos em ciberataques ou incidentes e não estejam disponíveis outros meios eficazes para fazer cessar
o ciberataque ou incidente.
4 – Na medida do estritamente necessário para cessar a utilização abusiva de endereços de protocolo IP,
o CNCS pode ordenar às empresas que oferecem redes e serviços de comunicações eletrónicas o bloqueio ou
redireccionamento de endereço de protocolo IP, dinâmico ou estático, para um servidor seguro do CNCS,
quando estes endereços estejam manifestamente dedicados ou envolvidos nos tipos de ciberataques ou
incidentes previstos nas alíneas a) a d) do n.º 2.
5 – As medidas referidas nos n.os 3 e 4 não podem exceder o período de 60 dias, podendo este ser renovado
por igual período quando haja forte probabilidade, aferida mediante uma avaliação fundamentada, de os
ciberataques ou incidentes com origem nos mesmos endereços persistirem ou serem retomados.
6 – O disposto no presente artigo aplica-se igualmente aos prestadores de serviços de registo de nomes de
domínio.
Artigo 58.º
Garantias procedimentais
1 – A autoridade de cibersegurança competente apresenta uma fundamentação adequada das suas
decisões de aplicação das medidas de execução, devendo também, nos termos gerais, proceder à audiência
prévia da entidade em causa dentro de um prazo razoável, não inferior a 10 dias.
2 – Dispensa-se a audiência prévia referida no número anterior sempre que houver necessidade,
devidamente fundamentada, de aplicação de medidas imediatas para prevenir ou responder a incidentes ou
ciberameaças significativas.
3 – Ao aplicar qualquer uma das medidas de execução referidas nos números anteriores, a autoridade de
cibersegurança competente deve respeitar as garantias procedimentais da entidade, atendendo às
circunstâncias do caso concreto, e ponderar, designadamente:
a) A gravidade da infração e a importância das disposições violadas;
b) A duração da infração;
c) Quaisquer anteriores infrações relevantes cometidas pela entidade em causa:
d) Quaisquer danos materiais ou imateriais causados, incluindo quaisquer prejuízos financeiros ou
económicos, os efeitos noutros serviços e o número de utilizadores afetados;
e) Quaisquer medidas tomadas pela entidade para prevenir ou atenuar os danos materais ou imaterais;
f) A culpa do agente;
g) O nível de cooperação das pessoas singulares ou coletivas responsáveis com a autoridade de
cibersegurança competente.
4 – Para efeitos da alínea a) do número anterior, presumem-se graves:
a) Violações repetidas da presente lei;
b) Incumprimento do dever de notificação de incidentes nos termos dos artigos 40.º e seguintes;
c) Incumprimento do dever de correção de incidentes significativos;
d) Incumprimento do dever de correção de deficiências na sequência de instruções vinculativas da
autoridade de cibersegurança competente;
e) Obstrução de auditorias ou atividades de acompanhamento ordenadas pela autoridade de cibersegurança
competente, na sequência da verificação de uma infração à presente lei;
f) Prestação de informações falsas ou grosseiramente inexatas em relação às medidas de cibersegurança
Página 55
28 DE FEVEREIRO DE 2025
55
previstas nos artigos 26.º e seguintes, ou das obrigações de notificação, previstas nos artigos 40.º e seguintes.
SECÇÃO II
Cooperação entre autoridades com competências de supervisão
Artigo 59.º
Comunicação de incidentes e aplicação de medidas
1 – As autoridades nacionais setoriais de cibersegurança e as autoridades nacionais especiais de
cibersegurança informam o CNCS da ocorrência de incidentes ou ciberameaças significativas, bem como da
aplicação de medidas de supervisão e de execução em matéria de cibersegurança, nos termos do regime
aplicável.
2 – A aplicação das medidas de supervisão e de execução em matéria de cibersegurança, nos termos do
regime aplicável, pelas autoridades nacionais setoriais de cibersegurança e pelas autoridades nacionais
especiais de cibersegurança é precedida de parecer não vinculativo do CNCS, com exceção, para as
autoridades nacionais setoriais de cibersegurança, das medidas previstas na alínea i) do n.º 1 do artigo 56.º.
3 – As autoridades nacionais setoriais de cibersegurança e as autoridades nacionais especiais de
cibersegurança estão dispensadas de solicitar parecer ao CNCS nos termos do número anterior, quando esteja
em causa o cumprimento de medidas de execução num prazo inferior a 24 h, sem prejuízo de as medidas serem
imediatamente comunicadas ao CNCS.
4 – A autoridade de cibersegurança competente informa as autoridades nacionais especiais de
cibersegurança dos incidentes significativos ocorridos que possam afetar as entidades do setor financeiro.
5 – A transmissão da informação acima referida deve ser realizada através da plataforma mencionada no
n.º 7 do artigo 8.º.
Artigo 60.º
Cooperação no âmbito da segurança das infraestruturas críticas
1 – Sempre que o CNCS, as autoridades nacionais setoriais de cibersegurança ou as autoridades nacionais
especiais de cibersegurança, consoante o caso, exerçam os seus poderes de supervisão relativamente a uma
entidade referida no n.º 5 do artigo 3.º, devem informar as autoridades competentes que resultem da
transposição da Diretiva (UE) 2022/2557, do Parlamento Europeu e o Conselho, de 14 de dezembro.
2 – As autoridades competentes que resultem da transposição da Diretiva (UE) 2022/2557, do Parlamento
Europeu e o Conselho, de 14 de dezembro, podem, se for necessário, solicitar que o CNCS, as autoridades
nacionais setoriais de cibersegurança ou as autoridades nacionais especiais de cibersegurança, consoante o
caso, exerçam os seus poderes de supervisão, relativamente a uma entidade referida no n.º 5 do artigo 3.º.
CAPÍTULO VII
Regime sancionatório
Artigo 61.º
Contraordenações muito graves
1 – Constituem contraordenações muito graves ao abrigo da presente lei:
a) O incumprimento das decisões do membro do Governo responsável pela área da cibersegurança,
previstas no n.º 3 do artigo 18.º;
b) O incumprimento do dever de adoção das medidas de cibersegurança nos termos dos artigos 27.º a 29.º;
c) O incumprimento dos deveres previstos no artigo 30.º;
d) O incumprimento dos deveres previstos no artigo 31.º;
e) O incumprimento dos deveres previstos no artigo 32.º;
Página 56
II SÉRIE-A — NÚMERO 191
56
f) O incumprimento do dever de adoção das medidas de cibersegurança estabelecidas pelo CNCS nos
termos do artigo 33.º;
g) O incumprimento dos deveres previstos no artigo 34.º;
h) O incumprimento dos deveres previstos nos n.os 1 e 2 do artigo 36.º;
i) O incumprimento dos deveres previstos no artigo 37.º;
j) O incumprimento do dever de notificação nos termos dos artigos 40.º a 44.º;
k) O incumprimento do dever de comunicação nos termos do disposto no artigo 48.º.
2 – As contraordenações referidas no número anterior são punidas com as seguintes coimas:
a) Quando se trate de uma entidade essencial:
i) De € 2000,00 a € 10 000 000,00 ou a 2 % do volume de negócios anual a nível mundial, no exercício
financeiro anterior, da entidade essencial em causa, consoante o montante que for mais elevado, se
praticadas por uma pessoa coletiva;
ii) De € 350,00 a € 200 000,00, se praticadas por uma pessoa singular.
b) Quando se trate de uma entidade importante:
i) De € 1250,00 a € 7 000 000,00 ou num montante máximo não inferior a 1,4 % do volume de negócios
anual a nível mundial, no exercício financeiro anterior, da entidade importante em causa, consoante
o montante que for mais elevado, se praticada por pessoa coletiva;
ii) De € 350,00 a € 200 000,00, se praticadas por uma pessoa singular.
c) Quando se trate de uma entidade pública relevante integrada no Grupo A previsto no n.º 2 do artigo 7.º:
i) De € 16 000,00 a € 4 000 000,00, se praticadas por pessoa coletiva;
ii) De € 500,00 a € 16 000,00, se praticadas por pessoa singular.
d) Quando se trate de uma entidade pública relevante integrada no Grupo B previsto no n.º 3 do artigo 7.º:
i) De € 8000,00 a € 350 000,00, se praticadas por pessoa coletiva;
ii) De € 500,00 a € 16 000,00, se praticadas por pessoa singular.
Artigo 62.º
Contraordenações graves
1 – Constituem contraordenações graves ao abrigo da presente lei:
a) O incumprimento dos deveres previstos no artigo 8.º;
b) O incumprimento dos deveres previstos no artigo 35.º;
c) O incumprimento dos deveres previstos nos n.os 4 e 5 do artigo 36.º;
d) O incumprimento dos deveres previstos no artigo 46.º;
e) O incumprimento da obrigação prevista no n.º 2 do artigo 51.º;
f) O incumprimento da medida de execução imediata prevista no n.º 3 do artigo 52.º;
g) O incumprimento das advertências, ordens ou instruções vinculativas dadas pela autoridade de
cibersegurança competente, ao abrigo das alíneas a) a g) do n.º 1 do artigo 56.º;
h) A violação da suspensão determinada ao abrigo do disposto na alínea a) do n.º 2 do artigo 56.º;
i) A violação da suspensão determinada ao abrigo do disposto na alínea b) do n.º 2 do artigo 56.º;
j) O incumprimento das ordens ou instruções previstas no artigo 57.º.
2 – As contraordenações referidas no número anterior são punidas com as seguintes coimas:
Página 57
28 DE FEVEREIRO DE 2025
57
a) Quando se trate de uma entidade essencial:
i) De € 1250,00 a € 5 000 000,00 ou a 1 % do volume de negócios anual a nível mundial, no exercício
financeiro anterior, da entidade essencial em causa, consoante o montante que for mais elevado, se
praticadas por uma pessoa coletiva;
ii) De € 250,00 a € 125 000,00, se praticadas por uma pessoa singular.
b) Quando se trate de uma entidade importante:
i) De € 875,00 a € 3 500 000,00 ou num montante máximo não inferior a 0,7 % do volume de negócios
anual a nível mundial, no exercício financeiro anterior, da entidade importante em causa, consoante o
montante que for mais elevado, se praticada por pessoa coletiva;
ii) De € 250,00 a € 125 000,00, se praticadas por uma pessoa singular.
c) Quando se trate de uma entidade pública relevante integrada no «Grupo A» previsto no n.º 2 do artigo 7.º:
i) De € 10 000,00 a € 2 500 000,00, se praticadas por pessoa coletiva;
ii) De € 375,00 a € 10 000,00, se praticadas por pessoa singular.
d) Quando se trate de uma entidade pública relevante integrada no «Grupo B» previsto no n.º 3 do artigo
7.º:
i) De € 5000,00 a € 225 000,00, se praticadas por pessoa coletiva;
ii) De € 375,00 a € 10 000,00, se praticadas por pessoa singular.
Artigo 63.º
Contraordenações leves
1 – São contraordenações leves:
a) A utilização, pelas entidades, de marca de certificação da cibersegurança inválida, caducada ou revogada;
b) A utilização de expressão ou grafismo que expressa ou tacitamente sugira a certificação da
cibersegurança de produto, serviço ou processo que não seja certificado;
c) A omissão dolosa de informação ou a prestação de falsa informação que seja relevante para o processo
de certificação da cibersegurança que se encontre em curso, nos termos definidos em cada esquema de
certificação;
d) O incumprimento das solicitações da Comissão de Avaliação de Segurança do Ciberespaço, previstas no
n.º 8 do artigo 18.º;
2 – As contraordenações referidas no número anterior são punidas com as seguintes coimas:
a) De € 875,00 a € 45 000,00, se praticadas por uma pessoa coletiva;
b) De € 250,00 a € 3 750,00, se praticadas por uma pessoa singular.
Artigo 64.º
Negligência
As contraordenações referidas no n.º 1 do artigo 61.º, no n.º 1 do artigo 62.º e nas alíneas a) e b) do n.º 1 do
artigo 63.º são igualmente puníveis a título negligente, sendo os limites mínimos e máximos das coimas
reduzidos a metade.
Página 58
II SÉRIE-A — NÚMERO 191
58
Artigo 65.º
Dispensa de aplicação das coimas
Todas as entidades essenciais, importantes e públicas relevantes podem, mediante pedido devidamente
fundamentado, solicitar à autoridade de cibersegurança competente a dispensa da aplicação de coimas referidas
no n.º 2 do artigo 61.º e no n.º 2 do artigo 62.º, com fundamento na inexistência de um procedimento interno de
adaptação dessas entidades ao novo regime jurídico, durante 12 meses a contar da entrada em vigor da
presente lei.
Artigo 66.º
Determinação da medida da coima
1 – A determinação da coima concreta faz-se em função da gravidade da ilicitude concreta do facto, da
culpa do agente, da sua situação económica e do benefício económico que este retirou da prática da
contraordenação.
2 – Na determinação da ilicitude concreta do facto e da culpa do agente atende-se às seguintes
circunstâncias:
a) A gravidade da infração,
b) A duração da infração;
c) O caráter ocasional ou reiterado da infração;
d) Os danos causados, incluindo quaisquer prejuízos financeiros ou económicos, os efeitos noutros serviços
e o número de utilizadores afetados;
e) As medidas tomadas pela entidade para prevenir ou atenuar os danos referidos na alínea anterior;
f) O nível de cooperação das pessoas singulares ou coletivas responsáveis com a autoridade de
cibersegurança competente.
3 – Para efeitos da alínea a) do número anterior, presumem-se graves:
a) As violações repetidas da presente lei;
b) A ausência de notificação de incidentes nos termos dos artigos 40.º e seguintes;
c) A ausência de correção de incidentes significativos;
d) A ausência de correção de deficiências na sequência de instruções vinculativas das autoridades
competentes;
e) A obstrução de auditorias ou atividades de acompanhamento ordenadas pela autoridade de
cibersegurança competente, na sequência da verificação de uma infração à presente lei;
f) A prestação de informações falsas ou grosseiramente inexatas em relação às medidas de cibersegurança
e deveres relativos às medidas de cibersegurança, nos termos do disposto nos artigos 27.º e seguintes, ou das
obrigações de notificação, nos termos do disposto nos artigos 40.º e seguintes.
4 – O disposto na alínea f) do número anterior não prejudica a responsabilidade nos termos do Código
Penal.
5 – Exceto em caso de dolo, a instauração de processo de contraordenação depende de prévia advertência
do agente, por parte da autoridade de cibersegurança competente, para cumprimento da obrigação omitida ou
reintegração da proibição violada em prazo razoável.
Artigo 67.º
Sanções acessórias e outras determinações
Caso a gravidade da infração e a culpa do infrator o justifiquem, a autoridade de cibersegurança competente
pode determinar, em simultâneo com a coima:
Página 59
28 DE FEVEREIRO DE 2025
59
a) A publicação no Diário da República e num dos jornais de maior circulação nacional, regional ou local,
consoante o mercado geográfico relevante, a expensas do infrator, de extrato da decisão de condenação ou,
pelo menos, da parte decisória da decisão de condenação proferida no âmbito de um processo instaurado ao
abrigo da presente lei, após o trânsito em julgado;
b) A proibição de participação em procedimentos de contratação pública, quando aplicável;
c) A adoção e execução de um plano de formação em cibersegurança, a executar no prazo de 6 meses;
d) A adoção ou alteração de um plano de segurança, a executar no prazo de 6 meses;
e) A suspensão da prestação do serviço até ao cumprimento dos deveres omitidos;
f) A interdição temporária dos titulares dos órgãos de gestão, direção e administração, do exercício das
respetivas funções.
Artigo 68.º
Sanções compulsórias
1 – Os destinatários de uma decisão da autoridade de cibersegurança competente ficam sujeitos ao
pagamento de uma quantia pecuniária a pagar por cada dia de atraso no cumprimento, contado da data da
respetiva notificação.
2 – Para efeitos do disposto no número anterior, considera-se sanção pecuniária compulsória a imposição
ao agente do pagamento de uma quantia pecuniária por cada dia de incumprimento que se verifique para além
do prazo fixado para o cumprimento da obrigação.
3 – A sanção pecuniária compulsória é fixada segundo critérios de razoabilidade e proporcionalidade, sendo
o valor diário da sanção prevista no número anterior fixado em € 500,00, quando cometida por pessoa coletiva,
e em € 100,00, quando cometida por pessoa singular.
4 – Os montantes diários fixados podem aumentar para cada dia de incumprimento, não podendo, em caso
algum, ultrapassar a duração máxima de 30 dias.
Artigo 69.º
Prescrição do procedimento
1 – O procedimento pelas contraordenações graves e muito graves extingue-se por efeito da prescrição logo
que sobre a prática da contraordenação haja decorrido o prazo de cinco anos, sem prejuízo das causas de
interrupção e suspensão previstas nos termos gerais.
2 – O procedimento pelas contraordenações leves extingue-se por efeito da prescrição logo que sobre a
prática da contraordenação haja decorrido o prazo de três anos, sem prejuízo das causas de interrupção e
suspensão previstas nos termos gerais.
Artigo 70.º
Prescrição da coima e sanções acessórias
1 – O prazo de prescrição da coima e sanções acessórias é de:
a) Três anos, no caso das contraordenações graves e muito graves;
b) Dois anos, no caso de contraordenações leves.
2 – O prazo conta-se a partir do caráter definitivo ou do trânsito em julgado da decisão condenatória.
Artigo 71.º
Regra da competência das autoridades competentes
A instauração e instrução dos processos de contraordenação, bem como a aplicação das coimas, é da
competência da autoridade de cibersegurança competente.
Página 60
II SÉRIE-A — NÚMERO 191
60
Artigo 72.º
Notificações
1 – As notificações realizadas pelas autoridades de cibersegurança competentes são feitas por via
eletrónica, ou, a pedido fundamentado da entidade, por carta registada ou pessoalmente.
2 – A notificação por via eletrónica faz-se por meio de disponibilização da mesma em área digital de acesso
reservado ao destinatário, integrada na plataforma prevista no n.º 7 do artigo 8.º e associada ao endereço de
correio eletrónico nela registado pelo destinatário, e ainda, cumulativamente, através do serviço público de
notificações eletrónicas (SPNE), sempre que se verifique que o destinatário a ele tenha aderido, nos termos do
Decreto-Lei n.º 93/2017, de 1 de agosto, na sua redação atual.
3 – A disponibilização é acompanhada de envio de aviso ao destinatário para o endereço de correio
eletrónico registado na plataforma prevista no n.º 7 do artigo 8.º, indicando-se a autoridade remetente e a forma
de acesso à área reservada do destinatário.
4 – A notificação por via eletrónica considera-se feita na data da consulta eletrónica da área digital de acesso
reservado da plataforma prevista no n.º 7 do artigo 8.º ou, se esta não ocorrer nos primeiros três dias a contar
da receção, no termo desse prazo.
5 – A notificação postal presume-se feita no terceiro dia útil posterior ao do registo.
Artigo 73.º
Produto das coimas
O produto das coimas reverte em:
a) 60 % para o Estado;
b) 40 % para o CNCS ou para a autoridade nacional setorial de cibersegurança competente, consoante a
entidade que tenha instaurado e instruído o processo.
Artigo 74.º
Custas
1 – Pelos processos de contraordenação são, ainda, devidas custas relativas aos encargos com a sua
tramitação, arquivo e disponibilização.
2 – As decisões da autoridade de cibersegurança competente sobre a matéria do processo devem fixar o
montante das custas.
3 – As custas destinam-se a cobrir as despesas efetuadas no processo.
4 – O reembolso pelas despesas com notificações e comunicações, meios audiovisuais e materiais
utilizados no processo é calculado:
a) Sendo o processo tramitado, total ou parcialmente, em papel, à razão de metade de 0,5 UC nas primeiras
50 folhas ou fração do processado e de um décimo de UC por cada conjunto subsequente de 25 folhas ou fração
do processado, sem prejuízo do disposto nos números seguintes;
b) Sendo o processo tramitado, a título principal, de forma digital, até a um máximo de 5 UC, atendendo à
complexidade do processo e atos praticados.
5 – As custas compreendem, ainda, os seguintes encargos:
a) A remuneração de peritos, tradutores, intérpretes e consultores técnicos;
b) O pagamento devido por deslocações ou pagamentos a qualquer entidade pelo custo de serviços
técnicos, de certidões ou outros elementos de informação e de prova.
6 – Caso sejam facultadas cópias ou certidões do processo ou de partes deste, em suporte físico ou digital,
a pedido do arguido, acresce ao valor referido nos números anteriores uma quantia calculada nos termos
Página 61
28 DE FEVEREIRO DE 2025
61
previstos nos mesmos números.
7 – As custas são suportadas pelo arguido e corresponsáveis nos termos da presente lei, em caso de
aplicação de uma sanção de admoestação, de uma coima ou de uma sanção acessória.
8 – As custas revertem para o CNCS ou para a autoridade nacional setorial de cibersegurança, consoante
a competência para a tramitação do processo de contraordenação.
Artigo 75.º
Cumprimento de dever omitido
Sempre que a contraordenação resulte da omissão de um dever, a aplicação da sanção e o pagamento da
coima não dispensam o infrator do seu cumprimento se este ainda for possível.
Artigo 76.º
Suspensão da execução da coima
1 – A autoridade de cibersegurança competente suspende a execução da coima aplicada, atendendo à
natureza não reiterada da conduta ilícita do agente, às circunstâncias do cometimento da infração e à sua
conduta anterior e posterior ao crime, sempre que conclua que a simples censura do facto, a sujeição a sanções
acessórias e a ameaça de coima realizam de forma adequada e suficiente as finalidades preventivas e corretivas
da sanção.
2 – A autoridade de cibersegurança competente, se julgar conveniente à realização das finalidades da
punição, subordina a suspensão da execução da coima ao cumprimento das sanções e determinações previstas
no artigo 67.º, ou de outros deveres que considere relevantes.
3 – A decisão condenatória especifica sempre os fundamentos da suspensão e das suas condições,
incluindo o respetivo prazo de duração.
4 – O período de suspensão é fixado entre 1 e 3 anos a contar da notificação da decisão condenatória ou
da decisão judicial transitada em julgado que dela conhecer.
Artigo 77.º
Revogação da suspensão da execução da coima
1 – Se, durante o período da suspensão, o condenado deixar de cumprir qualquer das sanções ou
determinações previstas no artigo 67.º ou cometer uma contraordenação muito grave ou grave, a autoridade de
cibersegurança competente, após o devido procedimento, revoga a decisão de suspensão da execução da
coima.
2 – A revogação determina o dever de pagamento imediato da coima, sem que o arguido possa exigir a
reparação de quaisquer prestações efetuadas ou despesas suportadas, durante o cumprimento anterior das
sanções acessórias que lhe foram aplicadas.
Artigo 78.º
Extinção da coima
A coima é declarada extinta se, decorrido o período da sua suspensão, não houver motivos que possam
conduzir à sua revogação.
Artigo 79.º
Violação de dados pessoais
1 – Sempre que a autoridade de cibersegurança competente obtiver um grau razoável de certeza, no
decurso de uma ação de supervisão ou da imposição de medida de execução, de que a infração das obrigações
estabelecidas nos artigos 27.º a 29.º e dos artigos 40.º a 43.º por parte de uma entidade essencial ou importante
pode implicar uma violação de dados pessoais, nos termos do artigo 4.º, ponto 12, do RGPD, a qual deve ser
Página 62
II SÉRIE-A — NÚMERO 191
62
notificada nos termos do artigo 33.º do mesmo RGPD, aquela autoridade deve, sem demora injustificada,
informar a CNPD.
2 – No caso de a CNPD aplicar uma coima, nos termos do artigo 58.º, n.º 2, alínea i), do RGPD e restante
direito nacional aplicável, a autoridade de cibersegurança competente fica impedida de aplicar uma coima em
resultado da prática da mesma infração nos termos da presente lei, sem prejuízo do disposto no número
seguinte.
3 – A autoridade de cibersegurança competente pode impor as medidas de execução, previstas no artigo
56.º, n.º 1, alíneas a) a h), às entidades essenciais e importantes cuja violação das obrigações decorrentes da
presente lei resulte num incidente de violação de dados pessoais.
Artigo 80.º
Impugnação das decisões da autoridade de cibersegurança competente
1 – Sem prejuízo do disposto no n.º 3, impugnada a decisão proferida pela autoridade de cibersegurança
competente no âmbito de um processo de contraordenação, aquela remete os autos respetivos ao Ministério
Público, preferencialmente por via eletrónica, no prazo de 20 dias úteis, podendo juntar alegações, bem como
outros elementos ou informações que considere relevantes para a decisão da causa, e ainda oferecer meios de
prova.
2 – A remessa dos autos por via eletrónica dispensa o envio dos respetivos originais, sem prejuízo do dever
de exibição das peças processuais em suporte de papel e dos originais dos documentos dele constantes, quando
existentes, sempre que o Ministério Público ou o juiz o determine.
3 – As decisões ou quaisquer medidas adotadas e aplicadas pela autoridade de cibersegurança competente
no âmbito de processos de contraordenação são impugnáveis para os tribunais judiciais, devendo o recurso ser
apresentado à autoridade de cibersegurança competente.
4 – A impugnação de quaisquer decisões proferidas pela autoridade de cibersegurança competente que, no
âmbito de processos de contraordenação, determinem a aplicação de coimas, de sanções acessórias ou de
sanções pecuniárias compulsórias, tem efeito suspensivo.
5 – A impugnação das demais decisões ou medidas da autoridade de cibersegurança competente adotadas
no âmbito de processos de contraordenação tem efeito meramente devolutivo e obedece às regras previstas no
presente artigo.
6 – A autoridade de cibersegurança competente, o Ministério Público e os arguidos podem opor-se a que o
tribunal decida por despacho, sem audiência de julgamento.
7 – A autoridade de cibersegurança competente tem legitimidade para recorrer autonomamente de
quaisquer sentenças e despachos que não sejam de mero expediente, incluindo os que versem sobre nulidades
e outras questões prévias ou incidentais, ou sobre a aplicação de medidas cautelares, bem como para responder
a recursos interpostos.
8 – As decisões dos tribunais judiciais que admitam recurso, nos termos previstos no regime do ilícito de
mera ordenação social, aprovado pelo Decreto-Lei n.º 433/82, de 27 de outubro, na sua redação atual, são
impugnáveis junto do Tribunal da Relação de Lisboa.
9 – O Tribunal da Relação, no âmbito da competência prevista no número anterior, decide em última
instância, não cabendo recurso ordinário dos seus acórdãos.
Artigo 81.º
Direito subsidiário
Em matéria contraordenacional, em tudo que não estiver previsto da presente lei, aplica-se, subsidiariamente,
o disposto no regime do ilícito de mera ordenação social, aprovado pelo Decreto-Lei n.º 433/82, de 27 de outubro,
na sua redação atual.
Página 63
28 DE FEVEREIRO DE 2025
63
CAPÍTULO VIII
Disposições complementares
SECÇÃO I
Outras disposições
Artigo 82.º
Taxa de supervisão
1 – Pode ser cobrada às entidades essenciais e importantes uma taxa de supervisão por contrapartida dos
atos de supervisão praticados, a fixar em função dos custos necessários à prestação de serviços de supervisão.
2 – As taxas de supervisão obedecem ao princípio da proporcionalidade e são fixadas de acordo com
critérios objetivos e transparentes.
3 – O regime que regula as taxas referidas nos números anteriores é fixado por portaria dos membros do
Governo responsáveis pelas áreas das finanças e da cibersegurança.
Artigo 83.º
Comunicações
1 – As comunicações entre as entidades com o CNCS, ou com as autoridades nacionais setoriais de
cibersegurança referidas na alínea a) do n.º 2 do artigo 15.º, incluindo as notificações de incidentes nos termos
dos artigos 40.º e seguintes, devem seguir o formato e o procedimento definido pelo CNCS em regulamento a
aprovar pelo CNCS.
2 – Na ausência de disposição regulamentar aplicável, todas as comunicações dirigidas à autoridade de
cibersegurança competente, no âmbito da presente lei, bem como o envio de informação, devem ser realizadas
por meios eletrónicos.
3 – Nos casos em que a entidade não tenha temporariamente capacidade operacional para assegurar a
comunicação prevista nos números anteriores, ou nos casos em que o sítio na internet da autoridade de
cibersegurança competente, esteja indisponível, em resultado do incidente ou por outro motivo de natureza
eminentemente técnica devidamente justificado, a notificação pode ser efetuada, a título excecional, através de
correio eletrónico ou telefonicamente.
4 – O formato e procedimento referido no n.º 1 é adotado pelo CNCS, mediante prévia audição das
autoridades nacionais setoriais de cibersegurança competentes, que também podem adotar formatos e
procedimentos próprios, adaptados às suas especificidades, conforme referido no n.º 1.
5 – Os casos referidos no n.º 3 são objeto de instruções técnicas do CNCS, adotadas em articulação com
as autoridades nacionais setoriais de cibersegurança.
Artigo 84.º
Segurança e integridade da informação
1 – O CNCS e as autoridades nacionais setoriais de cibersegurança competentes nos termos do disposto
na alínea a) do n.º 2 no artigo 15.º mantêm e gerem a informação em matéria de segurança e integridade num
sistema de informação seguro, em conformidade com as disposições respeitantes à segurança de informação
classificada no âmbito nacional e no âmbito das organizações internacionais de que Portugal é parte.
2 – O acesso aos sistemas eletrónicos e sítios de internet para tratamento das notificações previstas na
presente lei deve ser efetuado preferencialmente com recurso a sistema de identificação eletrónico com nível
de garantia elevado, nos termos definidos pelos artigos 8.º e 9.º do Regulamento (UE) n.º 910/2014, do
Parlamento Europeu e do Conselho, de 23 de julho, relativo à identificação eletrónica e aos serviços de
confiança, designadamente através do Cartão de Cidadão e da Chave Móvel Digital, conforme alterado pela
Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro, e pelo Regulamento (UE)
2024/1183, do Parlamento Europeu e do Conselho, de 11 de abril.
Página 64
II SÉRIE-A — NÚMERO 191
64
CAPÍTULO IX
Disposições finais
Artigo 85.º
Aprovação do plano nacional de resposta a crises e incidentes de cibersegurança em grande escala
O plano referido no artigo 13.º é aprovado no prazo de 6 meses após a entrada em vigor da presente lei.
Artigo 86.º
Dotação de meios e independência operacional do CNCS
Por forma a prosseguir atribuições e a exercer as competências previstas na presente lei, o CNCS deverá
ser dotado dos meios necessários e beneficia de independência operacional em relação às entidades
supervisionadas.
Artigo 87.º
Interoperabilidade e acesso a informação
1 – O CNCS acede gratuitamente às bases de dados e registos nacionais relevantes para a concretização
das atribuições e exercício das competências previstas na presente lei e demais legislação em matéria de
cibersegurança, em especial para a atribuição ou confirmação da qualificação das entidades.
2 – As entidades públicas responsáveis pelas bases de dados e registos nacionais previstos no número
anterior disponibilizam o acesso às mesmas, mediante uma solução de interoperabilidade estipulada em
protocolo e adequada para o efeito.
3 – A falta de assinatura dos protocolos referidos no número anterior não obsta ao acesso às informações
relevantes pelo CNCS, devendo as entidades públicas responsáveis pelas bases de dados e registos nacionais
prestar todas as informações necessárias sempre que solicitadas pelo CNCS.
ANEXO I
(a que se referem os artigos 3.º, 6.º, 12.º e 35.º)
Setores de importância crítica
Setor Subsetor Tipo de entidade
1. Energia a) Eletricidade
Empresas de eletricidade na aceção do artigo 2.º, ponto 57, da Diretiva (UE) 2019/944 do Parlamento Europeu e do Conselho, que exercem a atividade de «comercialização» na aceção do artigo 2.º, ponto 12, da mesma diretiva
Operadores da rede de distribuição na aceção do artigo 2.º, ponto 29, da Diretiva (UE) 2019/944
Operadores da rede de transporte na aceção do artigo 2.º, ponto 35, da Diretiva (UE) 2019/944
Produtores na aceção do artigo 2.º, ponto 38 da Diretiva (UE) 2019/944
Operadores nomeados do mercado da eletricidade na aceção do ponto 8 do artigo 2.º do Regulamento (UE) 2019/943 do Parlamento Europeu e do Conselho
Página 65
28 DE FEVEREIRO DE 2025
65
Setor Subsetor Tipo de entidade
1. Energia
a) Eletricidade
Participantes no mercado na aceção do ponto 25 do artigo 2.º do Regulamento (UE) 2019/943, que prestam serviços de agregação, resposta da procura ou armazenamento de energia na aceção dos pontos 18, 20 e 59 do artigo 2.º da Diretiva (UE) 2019/944
Os operadores de um ponto de carregamento que são responsáveis pela gestão e operação de um ponto de carregamento que presta um serviço de carregamento aos utilizadores finais, incluindo em nome e por conta de um prestador de serviços de mobilidade
b) Sistemas de aquecimento e arrefecimento urbano
Operadores de sistemas de aquecimento urbano ou sistemas de arrefecimento urbano na aceção do ponto 19 do artigo 2.º da Diretiva (UE) 2018/2001, do Parlamento Europeu e do Conselho
c) Petróleo
Operadores de oleodutos de petróleo
Operadores de instalações de produção, refinamento e tratamento, armazenamento e transporte de petróleo
Entidades centrais de armazenagem na aceção do artigo 2.º, alínea f), da Diretiva 2009/119/CE do Conselho
c) Gás
Empresas de comercialização na aceção do artigo 2.º, ponto 8, da Diretiva 2009/73/CE do Parlamento Europeu e do Conselho
Operadores da rede de distribuição na aceção do artigo 2.º, ponto 6, da Diretiva 2009/73/CE
Operadores da rede de transporte na aceção do artigo 2.º, ponto 4, da Diretiva 2009/73/CE
Operadores do sistema de armazenamento na aceção do artigo 2.º, ponto 10, da Diretiva 2009/73/CE
Operadores da rede de GNL na aceção do artigo 2.º, ponto 12, da Diretiva 2009/73/CE
Empresas de gás natural na aceção do artigo 2.º, ponto 1, da Diretiva 2009/73/CE
e) Hidrogénio Operadores de instalações de refinamento e tratamento de gás natural
2. Transportes a) Transporte aéreo
Transportadoras aéreas na aceção do artigo 3.º, ponto 4, do Regulamento (CE) n.º 300/2008 utilizadas para fins comerciais
Entidades gestoras aeroportuárias na aceção do artigo 2.º, ponto 2, da Diretiva 2009/12/CE do Parlamento Europeu e do Conselho, aeroportos na aceção do artigo 2.º, ponto 1, da mesma diretiva, incluindo os aeroportos principais enumerados no anexo II, secção 2, do Regulamento (UE) n.º 1315/2013 do Parlamento Europeu e do Conselho, e as entidades que exploram instalações auxiliares existentes dentro dos aeroportos
Página 66
II SÉRIE-A — NÚMERO 191
66
Setor Subsetor Tipo de entidade
2. Transportes
a) Transporte aéreo
Operadores de controlo da gestão do tráfego aéreo que prestam serviços de controlo de tráfego aéreo (CTA) na aceção do artigo 2.º, ponto 1, do Regulamento (CE) n.º 549/2004 do Parlamento Europeu e do Conselho
b) Transporte ferroviário
Gestores de infraestrutura na aceção do artigo 3.º, ponto 2, da Diretiva 2012/34/UE do Parlamento Europeu e do Conselho
Empresas ferroviárias na aceção do artigo 3.º, ponto 1, da Diretiva 2012/34/UE, incluindo os operadores das instalações de serviço na aceção do artigo 3.º, ponto 12, dessa diretiva
c) Transporte aquático
Companhias de transporte por vias navegáveis interiores, marítimo e costeiro de passageiros e de mercadorias, tal como definidas para o transporte marítimo no anexo I do Regulamento (CE) n.º 725/2004 do Parlamento Europeu e do Conselho, não incluindo os navios explorados por essas companhias
Entidades gestoras dos portos na aceção do artigo 3.º, ponto 1, da Diretiva 2005/65/CE do Parlamento Europeu e do Conselho, incluindo as respetivas instalações portuárias na aceção do artigo 2.º, ponto 11, do Regulamento (CE) n.º 725/2004, e as entidades que gerem as obras e o equipamento existentes dentro dos portos
Operadores de serviços de tráfego marítimo (VTS, do inglês, vessel traffic services) na aceção do artigo 3.º, alínea o), da Diretiva 2002/59/CE do Parlamento Europeu e do Conselho
d) Transporte rodoviário
Autoridades rodoviárias na aceção do artigo 2.º, ponto 12, do Regulamento Delegado (UE) 2015/962 da Comissão, responsáveis pelo controlo da gestão do tráfego, com exceção das entidades públicas nas quais a gestão do tráfego ou a gestão de sistemas de transporte inteligentes constituem uma parte não essencial da sua atividade geral
Operadores de sistemas de transporte inteligentes na aceção do artigo 4.º, ponto 1, da Diretiva 2010/40/UE do Parlamento Europeu e do Conselho
3. Setor bancário
Instituições de crédito, tal como definidas no artigo 4.º, ponto 1, do Regulamento (UE) n.º 575/2013 do Parlamento Europeu e do Conselho
4. Infraestruturas do mercado financeiro
Operadores de plataformas de negociação na aceção do artigo 4.º, ponto 24, da Diretiva 2014/65/UE do Parlamento Europeu e do Conselho
Contrapartes centrais (CCP) na aceção do artigo 2.º, ponto 1, do Regulamento (UE) n.º 648/2012 do Parlamento Europeu e do Conselho
Página 67
28 DE FEVEREIRO DE 2025
67
Setor Subsetor Tipo de entidade
5. Saúde
Prestadores de cuidados de saúde na aceção do artigo 3.º, alínea g), da Diretiva 2011/24/EU do Parlamento Europeu e do Conselho
Laboratórios de referência da UE referidas no artigo 15.º do Regulamento (UE) 2022/2371, do Parlamento Europeu e do Conselho
Entidades que realizam atividades de investigação e desenvolvimento de medicamentos na aceção do ponto 2 do artigo 1.º da Diretiva 2001/83/CE, do Parlamento Europeu e do Conselho
6. Água potável
Fornecedores e distribuidores de água destinada ao consumo humano na aceção do artigo 2.º, ponto 1, alínea a), da Diretiva (UE) 2020/2184 do Parlamento Europeu e do Conselho, excluindo os distribuidores para os quais a distribuição de água para consumo humano constitui uma parte não essencial da sua atividade geral de distribuição de outros produtos de base e mercadorias
7. Águas residuais
Empresas que recolhem, eliminam ou tratam águas residuais urbanas, domésticas ou industriais na aceção do artigo 2.º, pontos 1, 2 e 3, da Diretiva 91/271/CEE do Conselho, excluindo as empresas para as quais a recolha, eliminação ou tratamento de águas residuais urbanas, domésticas ou industriais constitui uma parte não essencial da sua atividade geral
8. Infraestruturas digitais
Fornecedores de pontos de troca de tráfego
Prestadores de serviços de DNS, excluindo operadores de servidores de nomes raiz
Registos de nomes de TLD
Prestadores de serviços de computação em nuvem
Prestadores de serviços de centro de dados
Fornecedores de redes de distribuição de conteúdos
Prestadores de serviços de confiança
Fornecedores de redes públicas de comunicações eletrónicas
Prestadores de serviços de comunicações eletrónicas acessíveis ao público
9. Gestão de serviços TIC (entre empresas)
Prestadores de serviços geridos
Prestadores de serviços de segurança geridos
10. Espaço
Operadores de infraestruturas terrestres, detidas, geridas e operadas por Estados-Membros ou entidades privadas, que apoiam a prestação de serviços espaciais, excluindo os fornecedores de redes públicas de comunicações eletrónicas
Página 68
II SÉRIE-A — NÚMERO 191
68
ANEXO II
(a que se referem os artigos 3.º, 6.º, 12.º e 35.º)
Outros setores críticos
Setor Subsetor Tipo de entidade
1. Serviços postais e de estafeta
Prestadores de serviços postais na aceção da Lei n.º 17/2012, de 26 de abril, na sua redação atual, incluindo prestadores de serviços de estafeta
2. Gestão de resíduos
Empresas que realizam a gestão de resíduos na aceção do artigo 3.º, ponto 9, da Diretiva 2008/98/CE do Parlamento Europeu e do Conselho, mas excluindo as empresas para as quais a gestão de resíduos não constitui a atividade económica principal
3. Produção, fabrico e distribuição de produtos químicos
Empresas que realizam a produção de substâncias e a distribuição de substâncias ou misturas, referidas no artigo 3.º, pontos 9 e 14, do Regulamento (CE) n.º 1907/2006 do Parlamento Europeu e do Conselho e empresas que realizam a produção de «artigos» na aceção do artigo 3.º, ponto 3, do mesmo regulamento, de substâncias ou misturas
4. Produção, transformação e distribuição de produtos alimentares
Empresas do setor alimentar, na aceção do artigo 3.º, ponto 2, do Regulamento (CE) n.º 178/2002 do Parlamento Europeu e do Conselho, que se dedicam à distribuição por grosso e à produção e transformação industriais
5. Indústria transformadora
a) Fabrico de dispositivos médicos e dispositivos médicos para diagnóstico in vitro
Entidades que fabricam dispositivos médicos na aceção do artigo 2.º, ponto 1, do Regulamento (UE) 2017/745 do Parlamento Europeu e do Conselho, e entidades que fabricam dispositivos médicos para diagnóstico in vitro na aceção do artigo 2.º, ponto 2, do Regulamento (UE) 2017/746 do Parlamento Europeu e do Conselho, com exceção das entidades que fabricam dispositivos médicos referidas no anexo I, ponto 5, quinto travessão, da presente diretiva
b) Fabricação de equipamentos informáticos, equipamentos para comunicação, produtos eletrónicos e óticos
Empresas que exercem qualquer uma das atividades económicas referidas na secção C, divisão 26, da NACE Rev. 2
c) Fabricação de equipamento elétrico
Empresas que exercem qualquer uma das atividades económicas referidas na secção C, divisão 27, da NACE Rev. 2
d) Fabricação de máquinas e equipamentos (não especificados)
Empresas que exercem qualquer uma das atividades económicas referidas na secção C, divisão 28, da NACE Rev. 2
e) Fabricação de veículos automóveis, reboques e semirreboques
Empresas que exercem qualquer uma das atividades económicas referidas na secção C, divisão 29, da NACE Rev. 2
f) Fabricação de outro equipamento de transporte
Empresas que exercem qualquer uma das atividades económicas referidas na secção C, divisão 30, da NACE Rev. 2
Página 69
28 DE FEVEREIRO DE 2025
69
Setor Subsetor Tipo de entidade
6. Prestação de serviços digitais
Prestadores de serviço de mercados em linha
Prestadores de serviço de motores de pesquisa em linha
Prestadores de serviço de plataformas de serviços de redes sociais
7. Investigação Organismos de investigação
ANEXO III
(a que se referem os artigos 3.º, 6.º, 7.º e 12.º)
Artigo 1.º
Empresa
Entende-se por empresa qualquer entidade que, independentemente da sua forma jurídica, exerce uma
atividade económica. São, nomeadamente, consideradas como tal as entidades que exercem uma atividade
artesanal ou outras atividades a título individual ou familiar, as sociedades de pessoas ou as associações que
exercem regularmente uma atividade económica.
Artigo 2.º
Categorias
1 – A categoria das micro, pequenas e médias empresas (PME) é constituída por empresas que empregam
menos de 250 pessoas e cujo volume de negócios anual não excede 50 milhões de euros ou cujo balanço total
anual não excede 43 milhões de euros.
2 – Na categoria das PME, uma pequena empresa é definida como uma empresa que emprega menos de
50 pessoas e cujo volume de negócios anual ou balanço total anual não excede 10 milhões de euros.
3 – Na categoria das PME, uma microempresa é definida como uma empresa que emprega menos de 10
pessoas e cujo volume de negócios anual ou balanço total anual não excede 2 milhões de euros.
–——–
PROJETO DE LEI N.º 586/XVI/1.ª
REFORÇA AS MEDIDAS DE PROTEÇÃO DO SUPERIOR INTERESSE DA CRIANÇA E CRIA A
POSSIBILIDADE DE A FAMÍLIA DE ACOLHIMENTO SER CANDIDATA À ADOÇÃO (ALTERAÇÃO AO
CÓDIGO CIVIL, SEXTA ALTERAÇÃO À LEI N.º 147/99, DE 1 DE SETEMBRO, SEGUNDA ALTERAÇÃO
AO DECRETO-LEI N.º 139/2019, DE 16 DE SETEMBRO)
Exposição de motivos
O superior interesse da criança é um direito, um princípio e uma regra processual consagrados no direito
internacional. O Princípio 2.º da Declaração dos Direitos da Criança (1959) estipula que «A criança gozará de
proteção especial e deverão ser-lhe dadas oportunidades e facilidades através da lei e outros meios para o seu
desenvolvimento psíquico, mental, espiritual e social num ambiente saudável e normal e em condições de
liberdade e dignidade. Na elaboração das leis com este propósito, o superior interesse da criança constituirá a
preocupação fundamental».
Página 70
II SÉRIE-A — NÚMERO 191
70
Inúmeros instrumentos internacionais manifestam junto de todos os Estados a importância fundamental que
este princípio deve assumir nos diferentes sistemas jurídico, designadamente ao afirmar-se no artigo 3.º da
Convenção sobre os Direitos da Criança (1989), confirmando-se a criança como sujeito de direito e com direitos.
Portugal, no contexto internacional, tem boa legislação na defesa dos direitos da criança, todavia, muitas
vezes sem meios para a sua boa execução e com procedimentos que urgem acelerar e simplificar.
A promoção dos direitos das crianças, a capacidade para as instituições cumprirem as suas obrigações, a
plenitude de condições de vida e do pleno desenvolvimento, conduzem a que, não obstante a boa legislação
existente em Portugal, se ponderem melhorias perante as necessidades concretas e a aplicação por parte das
instituições.
É nesse sentido que o Grupo Parlamentar do PCP apresenta esta iniciativa legislativa que visa contribuir
para a garantia e reforço do princípio do superior interesse da criança, quando estamos perante crianças em
risco ou perigo.
O acolhimento familiar na lei portuguesa é uma medida de promoção e proteção de caráter temporário,
decidida pelos tribunais ou pelas comissões de proteção de crianças e jovens, que «consiste na atribuição da
confiança da criança ou do jovem a uma pessoa singular ou a uma família, visando a integração em meio familiar
e a prestação de cuidados adequados às suas necessidades e bem-estar e a educação necessária ao
desenvolvimento integral».
Assim, é aplicada a qualquer criança ou jovem a quem foi aplicada a medida de promoção e proteção de
acolhimento familiar, em consequência de se encontrar numa situação de perigo, de acordo com o n.º 2 do artigo
3.º da Lei de Proteção de Crianças e Jovens em Perigo.
Com o pressuposto de que a família de acolhimento tem um caráter transitório que possibilite tempo, espaço
e criação de condições de retorno à família de origem, a verdade é que em algumas situações a situação arrasta-
se demasiado no tempo e nem sempre com sucesso, o que conduz à necessidade de a criança ou jovem ser
institucionalizado e entrar num processo futuro de adoção.
É clarividente que estando já integrada no seio da família de acolhimento é manifestamente violento para
essa criança ser institucionalizada (por vezes não pela primeira vez) e ser futuramente adotada e vir a integrar
outra nova família, quando há vontade, disponibilidade e estão cumpridos os requisitos da família de acolhimento
para ser candidata à adoção dessa criança ou jovem, fazendo prevalecer o seu superior interesse.
Assim, adaptamos o Código Civil, aditando no artigo 1980.º a possibilidade de poderem ser adotadas
crianças que tenham sido confiadas ao adotante enquanto família de acolhimento.
Propomos a alteração da Lei n.º 147/99, de 1 de setembro, a Lei de proteção de crianças e jovens em perigo,
concedendo melhores condições de funcionamento das comissões de proteção, reforçando a composição e os
meios a atribuir à comissão alargada e à comissão restrita com apoios financeiros e apoios técnicos protocolados
pelos municípios e pela Comissão Nacional com as entidades representadas na comissão alargada.
Considera-se igualmente importante que as auditorias já previstas na lei se realizem por iniciativa da
Comissão Nacional a requerimento do Ministério Público e também das próprias comissões.
Constatando-se que as cessações de medidas de acolhimento se arrastam sem prazo e que muitas vezes é
longo demais na vida de uma criança ou jovem, define-se de forma indicativa uma temporalidade de dois anos.
Altera-se igualmente a Lei n.º 139/99, de 1 de setembro, que define o regime de execução de acolhimento
familiar, dando possibilidade à família de acolhimento de poder ser candidata a adoção e também ser possível
mesmo existindo uma relação de parentesco com a criança.
Finalmente, determina-se a compatibilização da Portaria n.º 278-A/2020, de 4 de dezembro, que define os
termos, condições e procedimentos do processo de candidatura, seleção, formação e avaliação das famílias de
acolhimento, bem como o respetivo reconhecimento, tendo em conta que passam a poder ser candidatas à
adoção dessas crianças e podem com elas ter um grau de parentesco.
Importante neste processo é garantir o superior interesse da criança e jovem e que a família de acolhimento
contribua para o regresso da criança ou jovem ao seu meio natural, mas que se tal não vier a ser possível possa
permanecer na família que com ela já criou laços.
Nestes termos, ao abrigo da alínea b) do artigo 156.º da Constituição e da alínea b) do n.º 1 do artigo 4.º do
Regimento, os Deputados do Grupo Parlamentar do PCP apresentam o seguinte projeto de lei:
Página 71
28 DE FEVEREIRO DE 2025
71
Artigo 1.º
Objeto
A presente lei tem por objeto o reforço das medidas de proteção do superior interesse da criança, procedendo
para o efeito às seguintes alterações:
a) Alteração do artigo 1980.º do Código Civil;
b) Sexta alteração à Lei n.º 147/99, de 1 de setembro, que aprova a Lei de proteção de crianças e jovens em
perigo;
c) Segunda alteração ao Decreto-Lei n.º 139/2019, de 16 de setembro.
Artigo 2.º
Alteração ao Código Civil
É alterado o artigo 1980.º do Código Civil, com a seguinte redação:
«Artigo 1980.º
Quem pode ser adotado
1– Podem ser adotadas as crianças:
a) […]
b) […]
c) Que tenham sido confiadas ao adotante enquanto família de acolhimento.
2 – […]
3 – […]»
Artigo 3.º
Alteração à Lei n.º 147/99, de 1 de setembro
São alterados os artigos 14.º, 17.º, 20.º, 20.º-A; 31.º, 33.º, 40.º, 43.º, 58.º, 63.º e 82.º-A da Lei n.º 147/99, de
1 de setembro, alterada pelas Leis n.os 31/2003, de 22 de agosto, 142/2015, de 8 de setembro, 23/2017, de 23
de maio, 26/2018, de 5 de julho e 23/2023, de 25 de maio, que aprova a Lei de proteção de crianças e jovens
em perigo, com a seguinte redação:
«Artigo 14.º
Apoio ao funcionamento
1 – […]
2 – […]
3 – […]
4 – […]
5 – […]
6 – Os horários de funcionamento das comissões são adequados considerando a sensibilidade da matéria
que acompanha, a realidade de cada comissão e o número e a exigência dos processos, com o correspondente
reforço de recursos humanos e a devida compensação financeira aos técnicos que nela trabalham.
7 – (Anterior n.º 6.)
8 – Para a concretização das suas competências, as comissões devem protocolar com o Ministério da
Administração Interna, a presença em permanência de um membro das forças de segurança sempre que se
verifique necessário.
Página 72
II SÉRIE-A — NÚMERO 191
72
Artigo 17.º
Composição da comissão alargada
1 – A comissão alargada é composta por:
a) Um representante do município, a indicar pela câmara municipal, dos municípios, a indicar pelas câmaras
municipais, no caso previsto na alínea b) do n.º 2 do artigo 15.º, e das freguesias, a indicar por estas, no caso
previsto na alínea a) do n.º 2 do artigo 15.º, de entre pessoas com especial interesse ou aptidão na área das
crianças e jovens em perigo;
b) […]
c) […]
d) […]
e) […]
f) […]
g) […]
h) […]
i) […]
j) […]
k) […]
l) […]
m) […]
2 – […]
3 – […]
4 – A Comissão Nacional elabora protocolos com as entidades representadas na comissão alargada para a
afetação de técnicos para apoio à atividade da comissão, designadamente as previstas na alínea g).
Artigo 20.º
Composição da comissão restrita
1 – […]
2 – […]
3 – […]
4 – Os membros da comissão restrita são escolhidos de forma que esta tenha uma composição
interdisciplinar e interinstitucional, incluindo sempre pessoas com formação nas áreas de serviço social,
psicologia e direito, educação e saúde.
5 – […]
6 – […]
Artigo 20.º-A
Apoio técnico
1 – A Comissão Nacional elabora protocolos com a as entidades representadas na comissão alargada a
afetação de técnicos para apoio à atividade da comissão restrita.
2 – A Comissão Nacional define a ratio de apoio técnico a atribuir a cada comissão tendo em conta o volume
de processos.
3 – O apoio técnico assume a coordenação de casos e emite parecer no âmbito dos processos em que
intervenha, o qual é tido em consideração nas deliberações da Comissão.
Artigo 31.º
Acompanhamento e apoio
O acompanhamento e apoio da Comissão Nacional consiste, nomeadamente, em:
Página 73
28 DE FEVEREIRO DE 2025
73
a) […]
b) […]
c) […]
d) […]
e) […]
f) Promover mecanismos de supervisão e auditar as comissões de proteção, produzindo relatórios
trimestrais dessa auditoria;
g) […]
Artigo 33.º
Auditoria e inspeção
1 – […]
2 – […]
3 – As auditorias realizam-se por iniciativa da Comissão Nacional, a requerimento do Ministério Público ou
das próprias comissões.
4 – […]
5 – […]
Artigo 40.º
Apoio junto de outro familiar
A medida de apoio junto de outro familiar consiste na colocação da criança ou do jovem sob a guarda de um
familiar com quem resida ou a quem seja entregue, acompanhada de apoio de natureza psicopedagógica e
social e, quando necessário, ajuda económica, através do subsídio pecuniário previsto no artigo 30.º do
Decreto-Lei n.º 139/2019, de 16 de setembro.
Artigo 43.º
Confiança a pessoa idónea
1 – […]
2 – A medida pode ser acompanhada de apoio de natureza psicopedagógica e social e, quando necessário,
de ajuda económica, através do subsídio pecuniário previsto no artigo 30.º do Decreto-Lei n.º 139/2019,
de 16 de setembro.
Artigo 58.º
Direitos da criança e do jovem em acolhimento
1 – […]
2 – […]
3 – São asseguradas as unidades para resposta a problemáticas específicas de crianças e jovens em
acolhimento previstas no artigo 8.º da Portaria n.º 450/2023, de 22 de dezembro, que estabelece o regime de
organização, funcionamento e instalação das casas de acolhimento para crianças e jovens.
Artigo 63.º
Cessação das medidas
1 – As medidas cessam quando:
a) […]
b) A decisão da revisão lhe ponha termo, num prazo indicativo de dois anos;
c) […]
Página 74
II SÉRIE-A — NÚMERO 191
74
d) […]
e) […]
2 – […]
3 – […]
Artigo 82.º-A
Gestor de processo
Para cada processo de promoção e proteção a comissão de proteção de crianças e jovens ou o tribunal
competentes designam uma equipa gestora de processo, ao qual compete mobilizar os intervenientes e os
recursos disponíveis para assegurar de forma global, coordenada e sistémica, todos os apoios, serviços e
acompanhamento de que a criança ou jovem e a sua família necessitam, prestando informação sobre o conjunto
da intervenção desenvolvida.»
Artigo 4.º
Alteração à Lei n.º 139/99, de 1 de setembro
São alterados os artigos 12.º e 14.º da Lei n.º 139/99, de 1 de setembro, alterada pela Lei n.º 13/2023, de 3
de abril, que estabelece o regime de acolhimento familiar, medida de promoção dos direitos de proteção das
crianças e jovens em perigo, com a seguinte redação:
«Artigo 12.º
Famílias de acolhimento
1 – […]
2 – […]
3 – (Revogado.)
Artigo 14.º
Candidatura a família de acolhimento
1 – Pode candidatar-se a responsável pelo acolhimento familiar quem, além dos requisitos referidos no artigo
12.º, reúna as seguintes condições:
a) […]
b) (Revogada.)
c) […]
d) […]
e) […]
f) […]
g) […]
2 – O disposto nas alíneas e) a g) do número anterior aplica-se, igualmente, a quem coabite com o
responsável pelo acolhimento familiar.»
Artigo 5.º
Alteração à Portaria n.º 278-A/2020, de 4 de dezembro
O Governo, no prazo de 30 dias após a publicação da presente lei, altera a Portaria n.º 278-A/2020, de 4 de
dezembro, definindo as condições e procedimentos de candidatura, seleção, formação e avaliação das famílias
Página 75
28 DE FEVEREIRO DE 2025
75
de acolhimento, bem como o respetivo reconhecimento, tendo em conta que, nos termos da presente lei, podem
ser pessoas ou famílias candidatas à adoção.
Artigo 6.º
Entrada em vigor
A presente lei entra em vigor no dia imediato ao da sua publicação.
Assembleia da República, 28 de fevereiro de 2025.
Os Deputados do PCP: Paula Santos — António Filipe — Paulo Raimundo — Alfredo Maia.
–——–
PROJETO DE RESOLUÇÃO N.º 763/XVI/1.ª
RECOMENDA AO GOVERNO QUE IMPLEMENTE MEDIDAS DE APOIO E PRESERVAÇÃO DE
PROFISSÕES EM VIAS DE EXTINÇÃO
Exposição de motivos
Portugal ao longo dos seus quase nove séculos de história, tem sido um País repleto de gente obstinada e
de trabalhadores dedicados a profissões que sustentaram comunidades inteiras e o próprio País, no que às suas
relações comerciais internas e externas diz respeito.
Desde que há memória, a população portuguesa, conviveu no seu dia a dia, com mestres ferreiros, latoeiros,
cesteiros, carpinteiros, tanoeiros, sapateiros, alfaiates, ou os resineiros.
Muitas destas profissões desempenharam um papel fundamental na economia e cultura do País. No entanto,
com a massificação industrial, a globalização e a aplicação de tecnologia moderna, muitas destas
artes/profissões encontram no seu horizonte a provável extinção.
Qualquer uma destas artes/profissões tornou-se aos dias de hoje uma preciosidade e em muitos dos casos
uma raridade. Contribuíram durante décadas para o setor primário (agricultura e exploração florestal), para o
setor secundário (construção civil, vestuário e calçado), de forma ímpar, sendo inegavelmente impulsionadores
da economia nacional. Ao longo da história foram geradores de milhares de empregos e impulsionaram a
economia local, regional e nacional.
O desaparecimento atual e futuro de algumas destas profissões não significa apenas a perda de empregos,
mas também o desgaste de uma identidade cultural variadíssima e rica. Muitas destas artes/profissões estão
profundamente ligadas às tradições regionais e ao património imaterial português. Felizmente, algumas
iniciativas de forma isolada e/ou algumas associações têm tentado revitalizar estas profissões através do
turismo, da formação e da valorização do artesanato, mas a sua continuidade depende da procura e do interesse
das gerações vindouras.
Mesmo com o avanço tecnológico e industrial, muitos desses ofícios ainda existem, especialmente em
setores voltados para produtos artesanais, de luxo ou sustentáveis, agregando valor à economia e ao turismo.
Além disso, alguns segmentos, como a exploração da resina, continuam relevantes para a indústria química e
do papel.
Neste sentido, a preservação destas artes/profissões requerem esforços conjuntos do Governo, de
instituições culturais e principalmente da sociedade atual, para garantir que o conhecimento acumulado ao longo
de séculos não se perca por completo.
Assim, e ao abrigo das disposições constitucionais e regimentalmente aplicáveis, os Deputados do Grupo
Parlamentar do Chega recomendam ao Governo que implemente medidas de apoio e preservação de profissões
em vias de extinção, nomeadamente:
Página 76
II SÉRIE-A — NÚMERO 191
76
a) Proceda a um levantamento de profissões em vias de extinção, que tenham interesse histórico e cultural
para o nosso País, nomeadamente ferreiros, latoeiros, cesteiros, carpinteiros, tanoeiros, sapateiros, alfaiates ou
resineiros;
b) Promova a criação e frequência de programas de formação e ensino, dando a conhecer estas profissões
e apelando à transferência de conhecimentos dos mais velhos para os mais novos, para tanto fazendo parcerias
com escolas e universidades, mas também com associações culturais e mestres destas artes;
c) Promova incentivos financeiros e isenções fiscais, que possam ajudar artesãos e profissionais dessas
áreas a manter os seus negócios viáveis.
Palácio de São Bento, 28 de fevereiro de 2025.
Os Deputados do CH: Pedro Pinto — Felicidade Vital — João Ribeiro — Vanessa Barata — Armando Grave.
–——–
PROJETO DE RESOLUÇÃO N.º 764/XVI/1.ª
CONSTRUÇÃO DE UM NOVO VIADUTO EM SANTANA-CARTAXO E REQUALIFICAÇÃO DA PONTE
RAINHA DONA AMÉLIA
Exposição de motivos
O tema da construção de um viaduto que propõe a supressão da passagem de nível junto ao apeadeiro de
Santana-Cartaxo e que se construa uma alternativa à velha Ponte de Santana, agora encerrada ao trânsito, tem
mais de 15 anos, tendo sido elaborado um projeto para o efeito em meados de 2010.
Passados 15 anos, ainda se pergunta, quando irá esse projeto sair do papel?
Esta situação que atinge diretamente as populações naquela região é extensível a todo o País, em que,
estradas, pontes, viadutos e outras infraestruturas passaram para os cuidados dos municípios, sem que lhes
sejam assegurados os meios para neles intervirem com manutenção que leve à sua eficaz conservação.
Este é o problema que origina outros problemas, como o verificado na EN3-3, na ligação entre o Cartaxo e
Porto de Muge, como podem vir a verificar-se na Ponte Rainha Dona Amélia e em outras tantas por esse País
fora, caso não se altere a forma de compensação aos municípios, que lhes garanta os meios adequados para a
sua manutenção.
Sobre esta situação, em concreto, em junho de 2024, foi celebrado um acordo entre o Município do Cartaxo
e a Infraestruturas de Portugal, S.A. (IP), assumindo a IP os encargos da construção do viaduto e seus acessos.
Em contrapartida, o Município do Cartaxo adquire e disponibiliza os terrenos necessários à implementação da
obra.
É necessário acompanhar e dar andamento a todo o processo, que se sabe ser demorado.
Tendo em conta o impacto negativo da interdição total da circulação naquela estrada, dada a inexistência de
vias alternativas na proximidade, dado o interesse social e económico, é de considerar a implementação de uma
estrutura provisória que vise mitigar as necessidades das populações, dos agricultores e empresários e reduzir
os tempos de resposta de socorro em caso de emergência, estruturas essas utilizadas em situações
semelhantes e com sucesso.
Entroncado no mesmo problema está a Ponte Rainha Dona Amélia, com a sua manutenção também
transferida para a responsabilidade dos municípios, neste caso, do Cartaxo e de Salvaterra de Magos e sem
qualquer contrapartida para suprimir os custos associados às intervenções necessárias.
O resultado está à vista e cabe-nos questionar: será para seguir o exemplo da Ponte de Santana?
A IP investiu cerca de 1,5 milhões de euros na requalificação e consolidação dos pilares da ponte, cumprindo
com a parte da sua responsabilidade, no entanto, a estrutura metálica e o tabuleiro, com responsabilidades a
Página 77
28 DE FEVEREIRO DE 2025
77
cargo dos municípios, estão cada vez mais degradados e não se perspetiva qualquer intervenção por falta de
meios, sendo públicas afirmações nesse sentido.
Cabe ao Governo intervir para que sejam realizados os trabalhos necessários de requalificação da ponte e
munir os municípios com os meios necessários para os concretizar.
Na Assembleia Municipal do Cartaxo foram aprovadas duas moções propostas pela CDU:
• Em relação à construção da nova ponte em Santana e a eliminação da passagem de nível na Linha do
Norte, aprovada por maioria, apenas com uma abstenção de um movimento independente, a reafirmar a
urgência da construção da nova ponte em Santana-Cartaxo e a eliminação da passagem de nível da Linha do
Norte, exigindo às entidades competentes maior celeridade na sua concretização.
• Pela requalificação da Ponte Rainha Dona Amélia, aprovada por unanimidade, exigindo um estudo
exaustivo e concreto das obras necessárias para a requalificação da estrutura da Ponte Rainha Dona Amélia e
que seja dada a atenção necessária a esta estrutura, com a realização de obras de manutenção mais pequenas,
mas tão necessárias, nomeadamente dos corrimãos, dos rails de proteção nos acessos, da sinalização e dos
elementares meios de segurança da estrutura da ponte e dos seus utentes.
A intervenção do Governo é crucial para garantir a segurança e a mobilidade das populações afetadas, bem
como para minimizar o impacto negativo na economia local. A resolução destas questões exige uma ação
coordenada e eficiente das entidades competentes, com o apoio e a supervisão do Governo.
Assim, nos termos da alínea b) do artigo 156.º da Constituição e da alínea b) do n.º 1 do artigo 4.º do
Regimento, os Deputados do Grupo Parlamentar do PCP propõem que a Assembleia da República adote a
seguinte resolução:
Resolução
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição da República,
recomendar ao Governo que:
Relativamente ao viaduto em Santana-Cartaxo:
• Providencie o mais célere início das obras da construção do novo viaduto em Santana-Cartaxo, através
da Infraestruturas de Portugal (IP);
• Solicite à IP um cronograma detalhado e transparente para a execução das obras, com marcos de
progresso definidos e fiscalização rigorosa;
• Avalie a viabilidade da instalação de uma estrutura provisória (tipo ponte militar) para mitigar o impacto
do encerramento da ponte rodoviária da EN3-3, até à conclusão do novo viaduto.
Relativamente à requalificação da Ponte Rainha Dona Amélia:
• Estabeleça, através da IP, um plano de ação para a manutenção e requalificação da ponte;
• Garanta o financiamento adequado para as obras de reparação e conservação da estrutura metálica;
• Garanta que a IP apoie a realização de obras de manutenção mais pequenas, mas necessárias,
nomeadamente dos corrimãos, dos rails de proteção nos acessos, da sinalização e dos elementares meios de
segurança da estrutura da ponte e dos seus utentes;
• Solicite à IP que realize um estudo exaustivo e concreto das obras necessárias para a requalificação e
ampliação da estrutura da Ponte Rainha Dona Amélia;
• Garanta a realização de inspeções regulares e rigorosas da ponte para garantir a segurança dos
utilizadores.
Relativamente à coordenação e planeamento:
Página 78
II SÉRIE-A — NÚMERO 191
78
• Implemente um sistema de monitorização contínua das condições das infraestruturas, permitindo a
identificação e resolução de problemas de forma proativa.
Assembleia da República, 28 de fevereiro de 2025.
Os Deputados do PCP: Paulo Raimundo — Paula Santos — António Filipe — Alfredo Maia.
–——–
PROJETO DE RESOLUÇÃO N.º 765/XVI/1.ª
DETERMINA A CRIAÇÃO DO INSTITUTO NACIONAL PARA A COMPUTAÇÃO AVANÇADA
Exposição de motivos
O advento de uma infraestrutura computacional de elevada capacidade e de modelos que fazem uso dessa
nova capacidade, elevando a computação a patamares que mimetizam a linguagem e o processo de decisão
humanos e revelam potencialidades antes apenas colocadas no patamar da ficção científica, vem colocar
inúmeros desafios aos Estados, às sociedades e às economias.
Com domínios de aplicação quase ilimitados – na indústria, nos serviços, na educação, na arte, na justiça,
na medicina, no comércio, na comunicação social, etc. – é hoje difícil de prever todas as alterações qualitativas
que estas tecnologias podem trazer num futuro próximo à vida de cada cidadão e à coesão e ao bom
funcionamento da sociedade em geral, incluindo a fragilização dos procedimentos democráticos.
O Partido Comunista Português tem vindo a acompanhar e debater estas novas potencialidades e riscos.
O PCP reconhece a evidente necessidade de regulamentação dos usos, formatos e conteúdos das
aplicações com recurso a tecnologias de inteligência artificial (IA) e isso deve motivar, sem alinhamentos tácitos
com regulamentações impostas pela União Europeia ou pelos grupos económicos, uma reflexão e ação por
parte da Assembleia da República e do Governo no sentido de salvaguardar direitos, liberdades e garantias, de
impedir usos ilícitos ou criminais e de subordinar os usos destas tecnologias ao interesse nacional e ao interesse
das populações.
Todavia, mais do que regulamentar a forma como estas tecnologias são integradas na sociedade e na
economia, coloca-se a necessidade urgente de garantir domínio nacional e soberano sobre essas tecnologias,
sem prejuízo da incorporação nacional de componentes estrangeiras, também devidamente avaliadas e
regulamentadas.
Não se pode ignorar o vasto património científico e técnico nacional, realizado no quadro das instituições
nacionais na sua natural articulação com o contexto internacional. Antes, a constituição de um instituto público
destinado a capacitar o País para uma soberania digital deve funcionar como elemento valorizador de todo esse
trabalho e recursos, promovendo as já existentes e novas sinergias.
Os centros de investigação, os laboratórios associados, as universidades e politécnicos devem retirar de um
instituto público tanta mais-valia quanto a que lhe podem entregar.
Numa área tão multivalente e com potencialidades tão diversas, Portugal não pode abdicar de realizar
investigação e desenvolvimento próprios e subordinados a uma política nacional, devidamente integrados no
Sistema Científico e Tecnológico Nacional (SCTN) e de criar condições para dedicar a sua capacidade científica
à produção de recursos próprios e orientados para dar respostas às suas próprias necessidades sociais e
económicas.
Nos últimos anos, a implementação de ferramentas de decisão (ou apoio à decisão) com recurso a algoritmos
computacionais, isto é, apoiada em sistemas e técnicas de computação avançada e IA, tem sido marcada por
sucessivos episódios de violações de direitos fundamentais. Da sistemática devassa da privacidade decorrente
da recolha e uso não consentido de dados pessoais, passando por múltiplas formas de discriminação no acesso
ao emprego e a apoios sociais ou em decisões do foro judicial, sem esquecer a tomada de decisões de forma
Página 79
28 DE FEVEREIRO DE 2025
79
opaca e inexplicável aos seus visados e o desprezo pelos direitos de autor de trabalhos nos mais diversos
campos, não faltam pelo mundo fora exemplos dos perigos reais que a adoção destas novas ferramentas pode
comportar.
Para lá das fantasiosas narrativas que colocam o desenvolvimento da IA como um perigo existencial para a
humanidade, cujo propósito é afastar o debate dos problemas realmente existentes, o grande desafio do tempo
presente é impedir que a lista de tais exemplos seja expandida por novos episódios da mesma natureza em
Portugal. Este é um desafio do qual o País não deve nem pode fugir, de forma a garantir a conciliação de três
eixos fundamentais do desenvolvimento: o tecnológico, o económico e, acima de todos, o humano.
Não existindo hoje um centro – mas várias componentes dispersas do SCTN, universidades, politécnicos e
centros de investigação –, o PCP considera da maior importância a criação de um instituto público, integrante
da rede de laboratórios do Estado e em coordenação com as supramencionadas componentes, que assuma a
promoção, condução, regulação, fiscalização e monitorização do desenvolvimento e aplicação da computação
avançada e redes neuronais, da IA, incluindo linhas próprias de investigação e desenvolvimento, mas também
orientado para a transferência de resultados académicos para o aparelho produtivo e para uma crescente
incorporação tecnológica com vista ao aumento do valor acrescentado da produção nacional.
Além da necessidade de realizar e dinamizar linhas de I&D e de prestação de outras atividades de ciência e
tecnologia no âmbito das tecnologias da computação e informação, da IA, este instituto constitui-se como um
repositório e um viveiro pluridisciplinares de ciência e conhecimento ligado ao tecido social e económico, o que
lhe permite reunir o saber que melhor pode prestar ao País serviços de avaliação de ciência em diversos
âmbitos, incluindo o regulatório, a par de uma intervenção nas áreas da educação e da cooperação internacional,
incluindo um trabalho no âmbito da Comunidade dos Países de Língua Portuguesa (CPLP) envolvendo a língua
portuguesa e a IA.
A contrário, a inexistência de um instituto com essas características, como aquele que o PCP agora propõe,
implicará uma maior fragilidade do País perante a avalanche de aplicações de computação avançada e IA e
suas implicações e ramificações, e relegado para o plano de mero utilizador de produtos informáticos, muitas
vezes de código fechado e proprietário. A não existência de uma estrutura pública com estes objetivos e missão,
com estas valências e capacidades, significa não apenas o atraso num campo científico e tecnológico
determinante para as economias atuais e seu futuro, como a dependência e a subordinação do interesse público
a interesses estrangeiros ou privados.
Assim, nos termos da alínea b) do artigo 156.º da Constituição e da alínea b) do n.º 1 do artigo 4.º do
Regimento, os Deputados do Grupo Parlamentar do PCP propõem que a Assembleia da República adote a
seguinte:
Resolução
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição da República,
recomendar ao Governo que:
1 – Constitua uma comissão instaladora para o Instituto Nacional para a Computação Avançada, Laboratório
do Estado, sob formato de instituto público, com as seguintes funções e valências:
a) Atuar como autoridade nacional para a segurança digital e cibernética, fiscalizando, monitorizando e
avaliando o software e hardware produzidos, distribuídos ou utilizados e criando respostas para os desafios à
segurança, as limitações a liberdades, direitos e garantias, impactos sociais e económicos que possam surgir,
atento o princípio da precaução;
b) Colaborar com a Comissão Nacional para a Proteção de Dados e os órgãos de investigação criminal, com
as restantes componentes do Sistema Científico e Tecnológico Nacional e participar nas respetivas redes
nacionais e internacionais;
c) Contribuir para a promoção e difusão da cultura científica da população em geral na área da inteligência
artificial (IA), contribuindo para uma informação clara e atualizada sobre os sistemas de computação avançada
e suas implicações;
Página 80
II SÉRIE-A — NÚMERO 191
80
d) Prestar apoio, de âmbito pluridisciplinar, na área da avaliação científica ao Governo, Assembleia da
República e outras entidades públicas sobre sistemas computacionais avançados, nomeadamente no âmbito da
IA e suas aplicações, nomeadamente em aprendizagem de máquinas e modelos de linguagem de grande escala;
e) Realizar investigação e desenvolvimento no âmbito da informática, serviços digitais, automação, sistemas
computacionais avançados e inteligência artificial, seus impactos económicos, sociais e pessoais, contribuindo
para a soberania e independência nacional nesses domínios, promovendo a soberania digital e combatendo a
dependência de equipamentos e soluções tecnológicas fornecidas pelas grandes corporações estrangeiras;
f) Assegurar a existência de um centro nacional de computação avançada, em constante atualização e
potente, assegurando a soberania e o apoio aos atores nacionais neste domínio, evitando o recurso a clouds
privados, com o perigo de fugas de dados;
g) Servir de plataforma de transferência de conhecimento entre a investigação e desenvolvimento e suas
aplicações económicas e industriais, assegurando o fortalecimento da capacidade produtiva instalada e a
incorporação tecnológica;
h) Contribuir para a educação sobre a IA, numa ótica de promoção da igualdade no acesso a estas
tecnologias;
i) Desenvolver atividade na área da cooperação internacional, incluindo o trabalho específico no âmbito da
Comunidade dos Países de Língua Portuguesa (CPLP) envolvendo a língua portuguesa e a IA;
j) Realizar outras atividades de ciência e tecnologia, no âmbito da prestação de serviços, metrologia,
certificação ou outros apoios técnicos.
2 – A comissão instaladora do Instituto Nacional para a Computação Avançada deve ser apoiada por um
conselho consultivo e científico integrando representantes de:
a) Fórum dos Conselhos Científicos dos Laboratórios do Estado;
b) Conselho dos Laboratórios Associados;
c) Conselho de Reitores das Universidades Portuguesas;
d) Conselho Coordenador das Instituições de Ensino Politécnico,
e) Associação de Bolseiros de Investigação Científica;
f) Associações nacionais do setor;
g) CGTP-IN;
h) Organização dos Trabalhadores Científicos;
i) Entidades de gestão coletiva de direitos;
j) Ministérios das tutelas, consoante a lei orgânica do Governo em funções;
k) Procuradoria-Geral da República.
3 – Solicite à comissão instaladora a apresentação, no prazo de um ano, de uma proposta de missão
enquadrada pela resolução da Assembleia da República, uma proposta de quadro de pessoal, localização da
sede e outras instalações e de orçamento inicial, assegurando a implantação em território nacional e com
recursos nacionais, sempre que possível, dos servidores e redes necessários ao seu funcionamento.
4 – Que, após esse período, seja constituído o Instituto Nacional para a Computação Avançada, dotado do
respetivo corpo técnico: técnicos superiores, investigadores e técnicos operacionais.
Assembleia da República, 28 de fevereiro de 2025.
Os Deputados do PCP: Paulo Raimundo — Paula Santos — António Filipe — Alfredo Maia.
–——–
Página 81
28 DE FEVEREIRO DE 2025
81
PROJETO DE RESOLUÇÃO N.º 766/XVI/1.ª
PELA CRIAÇÃO DE UM ÓRGÃO REGULADOR PARA A MONITORIZAÇÃO DO IMPACTO AMBIENTAL
DAS INFRAESTRUTURAS DE INTELIGÊNCIA ARTIFICIAL E A PROMOÇÃO DE PRÁTICAS
SUSTENTÁVEIS NO SETOR TECNOLÓGICO
Exposição de motivos
A carta aberta Joint Statement from Civil Society for the AI Action Summit, assinada por mais de 130
organizações da sociedade civil, incluindo a Associação ZERO, inclui um conjunto de exigências detalhadas
relativamente à limitação do impacto ambiental da inteligência artificial (doravante IA). A carta, entregue aos
responsáveis da Cimeira de Ação sobre Inteligência Artificial (AI Action Summit), alerta para os impactos
ambientais graves causados pela IA e exige que esta tecnologia seja desenvolvida dentro dos limites planetários.
Conforme apontado na referida carta: «To meet the challenge of climate change, environmental degradation,
pollution, and biodiversity loss, we urge policymakers, industry leaders, and all stakeholders to acknowledge the
true environmental costs of AI.»1
As organizações pedem que a IA contribua para um futuro sustentável, alertando para a necessidade da
adoção de medidas rigorosas que minimizem o seu impacto ambiental, em particular no que diz respeito à
utilização de recursos energéticos, água e matérias-primas. Assim, com a presente iniciativa, o PAN pretende
dar resposta às recomendações das organizações subscritoras nas cinco áreas essenciais de ação.
As organizações começam por solicitar a eliminação gradual dos combustíveis fósseis, uma vez que a
infraestrutura de IA, especialmente os centros de dados, consomem enormes quantidades de eletricidade,
muitas vezes alimentada por combustíveis fósseis. Este aumento na procura de energia prolonga e intensifica a
dependência global dos combustíveis fósseis, em oposição ao que é necessário para limitar o aquecimento
global. A carta alerta que: «AI infrastructure including data centres must be fossil-free. Burning more fossil fuels
to power these data centres would worsen climate impacts and violate international commitments to limit global
warming.»
Dessa forma, exigem:
● A substituição urgente dos combustíveis fósseis por fontes de energia renovável em toda a cadeia de
abastecimento da IA;
● O investimento em energia renovável adicional por parte das empresas tecnológicas, garantindo que a
energia usada para alimentar centros de dados seja nova e não proveniente de fontes destinadas a outros
setores; e
● A proibição de contratos de IA com a indústria de petróleo e gás, conforme descrito na carta: «Tech
companies must immediately disclose and end contracts that provide AI to the oil and gas industry especially for
exploration and drilling.»
● Por outro lado, a expansão da infraestrutura de IA e o aumento da capacidade de processamento
exacerbam a crise climática, pois requerem vastos recursos energéticos e materiais. Segundo a carta, «AI
infrastructure places immense demands on our power grids, water supplies, and land, threatening critical
environmental and social systems.» O crescimento descontrolado da computação de IA compromete setores
essenciais e prolonga a dependência de combustíveis fósseis.
Portanto, é necessário estabelecer:
● A limitação da expansão de centros de dados quando os seus impactos ambientais são incompatíveis
com as metas climáticas. Os Governos devem estabelecer moratórias ou tetos de consumo energético para
centros de dados em áreas com recursos limitados, conforme a carta: «Governments should place moratoria or
caps on the energy demand of data centres.»
● Prioridade de recursos para setores essenciais, como educação, saúde e transportes, ao invés da
expansão de infraestruturas de IA.
1 Joint statement from civil society for the AI Action Summit | Association for Progressive Communications
Página 82
II SÉRIE-A — NÚMERO 191
82
● Implementação de práticas de «computação consciente da rede», que programem operações de IA
quando a procura de energia for baixa e a oferta de renováveis for alta.
Por outro lado, a IA depende de cadeias de abastecimento globais que são altamente intensivas em recursos
e muitas vezes resultam em impactos negativos sobre o meio ambiente e as comunidades locais. A carta
denuncia que o processo de fabricação de semicondutores e a mineração de matérias-primas intensificam os
danos ambientais e as violações de direitos humanos. «Tech companies must reduce emissions in their supply
chains in alignment with the best available science, rejecting carbon offsets and false solutions.»
Propondo a:
● Descarbonização das cadeias de abastecimento, com o compromisso de utilizar 100 % de energia
renovável até 2030 em toda a cadeia, com especial atenção à produção de semicondutores, um processo
altamente intensivo em energia e recursos;
● Redução de danos ambientais e sociais causados pela extração de matérias-primas;
● Promoção de circularidade e longevidade dos equipamentos de IA, combatendo a obsolescência
programada e promovendo o direito à reparação, conforme recomendado: «Governments must prohibit planned
obsolescence and champion the right to repair.»
A carta sublinha a importância da participação pública nas decisões sobre a expansão da infraestrutura de
IA, afirmando que «communities impacted across the supply chain must be included in decision-making.» A falta
de consultas públicas e a exclusão das comunidades afetadas tem sido uma prática recorrente no
desenvolvimento de infraestruturas tecnológicas.
Para garantir uma participação equitativa, seria necessário:
● Consultas públicas obrigatórias antes da construção de novos centros de dados, envolvendo as
comunidades afetadas de forma significativa e contínua.
● Proteção do ativismo ambiental pede que Governos cessem a criminalização dos movimentos de justiça
ambiental e garantam o direito de protesto pacífico, como reforçado pela carta: «Governments must stop
criminalising climate action.»
● Por fim, a falta de transparência nas operações da infraestrutura de IA impede uma avaliação clara dos
seus impactos ambientais. A carta salienta: «Transparency must be meaningful, and publicly accessible
information about the social and environmental implications of proposed AI infrastructure should be provided
before it is built or scaled.»
Solicitam assim as organizações:
● Relatórios públicos e acessíveis sobre o impacto ambiental das infraestruturas de IA, incluindo o consumo
de água, energia e uso de combustíveis fósseis.
● Divulgação detalhada das operações dos centros de dados, incluindo o uso de terra, água e energia, e o
impacto nas comunidades locais.
● Monitorização do ciclo de vida completo da IA, desde o fabrico de hardware até à sua eliminação, para
garantir uma avaliação completa dos seus impactos.
Pelo exposto, com a presente iniciativa, o PAN pretende dar resposta às exigências das mais de 130
organizações ambientais estabelecidas na carta aberta entregue na Cimeira de Ação sobre IA. A implementação
destas medidas é crucial para alinhar o desenvolvimento da IA com os limites planetários e garantir que a
tecnologia não seja um fator de degradação ambiental. Tal como declarado pelas organizações: «These
demands represent the bare minimum required to mitigate the ongoing harm to our economies, societies, and
shared planet.[…] We must act now to ensure AI does not exacerbate the climate crisis and environmental
degradation, but instead contributes to a healthier, more equitable future.»
O objetivo final é garantir que a IA seja desenvolvida de forma a respeitar os limites planetários, promovendo
uma economia de baixo carbono e minimizando a exploração desnecessária dos recursos naturais.
Nestes termos, a abaixo assinada Deputada do Pessoas-Animais-Natureza, ao abrigo das disposições
Página 83
28 DE FEVEREIRO DE 2025
83
constitucionais e regimentais aplicáveis, propõe que a Assembleia da República adote a seguinte resolução:
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição da República
Portuguesa, recomendar ao Governo que, em articulação com a sua representação na União Europeia:
I. Adote e implemente regulamentações específicas para as infraestruturas de inteligência artificial (IA), que
incluam:
a) Medidas para a redução da pegada de carbono das infraestruturas de IA, promovendo o uso de
energias renováveis em data centers e locais de processamento de IA;
b) Diretrizes para o uso responsável de matérias-primas e a adoção de práticas de economia circular na
produção de hardware para IA, incluindo a reciclagem e reutilização de componentes;
c) A promoção de tecnologias e práticas que reduzam o consumo de energia durante o desenvolvimento
e aplicação de modelos de IA, incluindo técnicas de compressão de modelos e otimização energética.
II. Estabeleça um limite de consumo energético para centros de dados em áreas com recursos limitados;
III. Crie incentivos para a utilização de data centers com certificação de neutralidade em carbono e para a
pesquisa e desenvolvimento de tecnologias de IA com eficiência energética.
IV. Crie um órgão regulador, para a monitorização do impacto ambiental das infraestruturas de IA, com as
seguintes atribuições:
a) Avaliar o cumprimento dos compromissos ambientais por parte das empresas de tecnologia e
infraestruturas de IA;
b) Publicar relatórios anuais com métricas detalhadas sobre o impacto ambiental da IA, incluindo o
consumo energético, emissões de carbono e uso de recursos naturais;
c) Estabelecer um sistema de classificações e certificações ambientais para infraestruturas de IA com base
no cumprimento das metas de sustentabilidade.
V. Promova consultas públicas obrigatórias antes da construção de novos centros de dados, envolvendo
as comunidades afetadas de forma significativa e contínua.
VI. Reforce os compromissos globais com a ação climática e garanta que as inovações em IA contribuam
para a mitigação da crise climática, tendo em consideração em todas as etapas do desenvolvimento de
tecnologias de IA o impacto ambiental.
Assembleia da República, 17 de fevereiro de 2025.
A Deputada do PAN, Inês de Sousa Real.
–——–
PROJETO DE RESOLUÇÃO N.º 767/XVI/1.ª
POR UM REFORÇO DA INVESTIGAÇÃO SOBRE VIOLÊNCIA CONTRA PESSOAS COM DEFICIÊNCIA
E PELA CRIAÇÃO DE MECANISMOS DE APOIO ÀS VÍTIMAS DE ESTERILIZAÇÃO FORÇADA
Exposição de motivos
Em toda a União Europeia, as mulheres e meninas com deficiência continuam a correr um risco muito maior
de violência baseada no género e enfrentam discriminação e barreiras adicionais para denunciar os crimes a
que são sujeitas e aceder à justiça.
A esterilização forçada é uma das formas de violência de que as mulheres com deficiência são mais afetadas.
Página 84
II SÉRIE-A — NÚMERO 191
84
A esterilização forçada continua a afetar mulheres e raparigas na União Europeia, visto que de acordo com o
Fórum de Deficiência Europeu esta prática ainda é autorizada em pelo menos 13 Estados-Membros da União
Europeia para pessoas privadas de capacidade jurídica, e em Portugal, na Chéquia e na Hungria esta prática é
também autorizada em menores de idade.
Para o PAN, a esterilização de pessoas com deficiência e/ou incapazes constitui uma violação grave dos
direitos fundamentais das pessoas com deficiência e uma ofensa à integridade física grave, que deverá ser
proibida e punida. Estes procedimentos são contrários ao disposto, entre outros, na Convenção das Nações
Unidas sobre os Direitos das Pessoas com Deficiência, na Convenção do Conselho da Europa, na Convenção
do Conselho da Europa para a Prevenção e o Combate à Violência contra as Mulheres e à Violência Doméstica
(Convenção de Istambul), e o Estatuto de Roma do Tribunal Penal internacional.
Quer em Portugal, quer na União Europeia, a esterilização forçada continua a ser um tabu e ocorre
frequentemente à porta fechada e em pessoas institucionalizadas. Os dados nacionais e internacionais relativos
à esterilização forçada são inexistentes, desatualizados ou não estão desagregados, daí que com a presente
iniciativa o PAN pretenda garantir um reforço da investigação sobre violência contra pessoas com deficiência e
assegurar a criação de mecanismos de apoio às vítimas de esterilização forçada.
Em primeiro lugar, pretende-se que o Governo concretize o estudo nacional sobre violência contra raparigas
e mulheres com deficiência, nomeadamente sobre a realidade de práticas de esterilização forçada. Embora a
elaboração deste estudo estivesse prevista na alínea b) do artigo 123.º da Lei n.º 24-D/2022, de 30 de dezembro,
que aprovou o Orçamento do Estado para 2023, a verdade é que volvidos mais de dois anos este estudo não
foi sequer elaborado.
Em segundo lugar, pretende-se que o Governo estude a criação de mecanismos para processar os pedidos
de indemnização, informação e apoio a vítimas de esterilização forçada. Esta medida é importante porque em
Portugal, para além de ser necessária uma alteração transversal para criminalizar as práticas de esterilização
forçada de pessoas com deficiência, existe uma lacuna no acesso à justiça e à reparação para as pessoas com
deficiência, especialmente mulheres e raparigas, que é especialmente grave quando muitas das pessoas
submetidas a estas práticas nem sequer tem conhecimento de que foi vítima.
Em terceiro e último lugar, propõe-se que o Governo, no âmbito das negociações relativas à revisão da
Diretiva Direitos das Vítimas (atualmente em negociações entre o Parlamento Europeu e pelo Conselho),
defenda a inclusão de incentivos à investigação europeia e recolha de dados sobre as vítimas com deficiência
e o seu acesso à justiça, incluindo as vítimas que vivem em contextos segregados, como instituições
residenciais.
Nestes termos, a abaixo assinada Deputada do Pessoas-Animais-Natureza, ao abrigo das disposições
constitucionais e regimentais aplicáveis, propõe que a Assembleia da República adote a seguinte resolução:
A Assembleia da República resolve, nos termos do n.º 5 do artigo 166.º da Constituição da República
Portuguesa, recomendar ao Governo que:
I. Elabore um estudo nacional sobre violência contra raparigas e mulheres com deficiência, nomeadamente
sobre a realidade de práticas de esterilização forçada, em cumprimento do disposto na alínea b) do artigo 123.º
da Lei n.º 24-D/2022, de 30 de dezembro;
II. Estude a criação de mecanismos para processar os pedidos de indemnização, informação e apoio a
vítimas de esterilização forçada; e
III. No âmbito das negociações relativas à revisão da Diretiva Direitos das Vítimas, defenda a inclusão de
incentivos à investigação europeia e recolha de dados sobre as vítimas com deficiência e o seu acesso à justiça,
incluindo as vítimas que vivem em contextos segregados, como instituições residenciais.
Assembleia da República, 27 de fevereiro de 2025.
A Deputada do PAN, Inês de Sousa Real.
–——–
Página 85
28 DE FEVEREIRO DE 2025
85
PROJETO DE RESOLUÇÃO N.º 768/XVI/1.ª
PREVÊ MEDIDAS DE PROTEÇÃO DO CONSUMIDOR CONTRA CHAMADAS TELEFÓNICAS E
MENSAGENS DE TEXTO FRAUDULENTAS
Nos últimos anos, as fraudes telefónicas têm vindo a crescer exponencialmente, o que coloca em risco a
segurança e a privacidade dos cidadãos. Estas fraudes, muitas vezes realizadas através de chamadas
telefónicas ou mensagens de texto (SMS), exploram a confiança dos consumidores para obter informações
pessoais e financeiras, com o intuito de realizar atividades ilícitas, como roubo de identidade, transferências
bancárias fraudulentas ou contratação de serviços não solicitados.
O uso de comunicações telefónicas para a prática de fraudes tem-se tornado uma ferramenta preferencial.
A facilidade com que os agentes podem mascarar números de telefone, bem como a relativa confiança que os
consumidores depositam em chamadas e mensagens recebidas, faz com que este método seja amplamente
utilizado para obter dados confidenciais ou induzir o cidadão a realizar ações que lhe são prejudiciais, tais como:
- O fornecimento de dados pessoais e bancários, onde os consumidores são frequentemente enganados a
fornecer informações como números de identificação, passwords ou dados de cartões bancários;
- O acesso a websites fraudulentos, sendo que muitas destas fraudes envolvem o envio de links para
websites maliciosos, desenhados para roubar informações ou instalar software malicioso nos dispositivos dos
utilizadores;
- A realização de transferências bancárias ou contratação de serviços fraudulentos, como resultado de
falsas promessas ou ameaças transmitidas por telefone ou mensagem.
A prática de fraudes através de telecomunicações aproveita-se do facto de estas comunicações alcançarem
um grande número de pessoas a baixo custo, sendo um meio eficaz de cometer crimes com um elevado grau
de impunidade. Além disso, muitas destas fraudes são organizadas por redes internacionais, o que dificulta a
responsabilização e a atuação das autoridades nacionais.
Recentemente, o Governo de Espanha, consciente do impacto negativo destas práticas, aprovou a Orden
Ministerial TDF/149/2025, de 12 de fevereiro1, estabelecendo um conjunto de medidas rigorosas para combater
as fraudes telefónicas, em especial as que envolvem o roubo de identidade. Entre as principais medidas
adotadas por esta legislação, destacam-se:
- O bloqueio de chamadas e SMS com números não atribuídos ou sem um titular registado, impedindo que
os agentes utilizem números falsos ou manipulados para contactar potenciais vítimas;
- A obrigação de utilização de números comerciais específicos (séries 800 e 900) para a realização de
chamadas comerciais não solicitadas, facilitando a identificação destas chamadas pelos consumidores;
- A proibição de chamadas comerciais a partir de números móveis, que têm sido um dos principais meios
utilizados para enganar os consumidores, dado que muitas vezes os cidadãos respondem a chamadas de
números móveis desconhecidos por assumirem que são de particulares;
- O bloqueio de chamadas internacionais que simulam ser originadas em números espanhóis, um método
comum utilizado por redes internacionais para se passarem por empresas locais e ganhar a confiança das
vítimas.
Esta legislação também estabelece sanções para as operadoras de telecomunicações que não implementem
medidas adequadas para bloquear chamadas e mensagens fraudulentas, com multas que podem atingir até
2 milhões de euros, garantindo que as empresas de telecomunicações assumem uma posição ativa na proteção
dos seus clientes.
Os resultados obtidos em outros países europeus que já implementaram medidas semelhantes, como
Finlândia, França, Alemanha e Bélgica, demonstram a eficácia deste tipo de regulamentação. Nestes países,
verificou-se uma redução de até 90 % nas fraudes telefónicas por roubo de identidade, um impacto considerável
na segurança das comunicações eletrónicas e na confiança dos consumidores.
1 Orden TDF/149/2025, de 12 de febrero, por la que se establecen
Página 86
II SÉRIE-A — NÚMERO 191
86
Em Portugal, o cenário é igualmente preocupante. O número de fraudes através de comunicações eletrónicas
tem vindo a aumentar, e o País enfrenta desafios semelhantes na proteção dos seus cidadãos contra este tipo
de práticas. Apesar de existir legislação que regula as telecomunicações, não há ainda medidas específicas que
tratem de forma eficaz a questão das fraudes telefónicas, o que deixa os consumidores vulneráveis a ataques.
Perante este contexto, é urgente que Portugal siga o exemplo de Espanha e de outros países europeus,
adotando um conjunto de medidas específicas que visem combater as fraudes telefónicas e proteger os cidadãos
de práticas fraudulentas.
Nestes termos, a abaixo assinada Deputada do Pessoas-Animais-Natureza, ao abrigo das disposições
constitucionais e regimentais aplicáveis, propõe que a Assembleia da República recomende ao Governo que:
1 – Proceda à implementação de bloqueios de chamadas e mensagens de texto fraudulentas, proibindo a
realização de chamadas e envio de mensagens de texto que utilizem números inexistentes ou não atribuídos a
qualquer cliente final, devendo as operadoras de telecomunicações bloquear este tipo de comunicações;
2 – Imponha às operadoras de telecomunicações a obrigação de bloquear chamadas e mensagens
provenientes do estrangeiro que utilizem números portugueses, exceto em casos de roaming internacional
legítimo;
3 – Preveja que todas as chamadas comerciais não solicitadas, realizadas por empresas para fins de vendas
ou atendimento ao cliente, sejam realizadas através de números especificamente atribuídos para este efeito,
garantindo a fácil identificação das chamadas por parte dos consumidores;
4 – Crie um registo de identificadores substitutos de números de telefone ou endereços (aliases) comerciais,
gerido pela Autoridade Nacional de Comunicações (ANACOM), onde todas as empresas que utilizem estes
identificadores para o envio de mensagens comerciais devem inscrever-se previamente;
5 – Assegure que as operadoras bloqueiem todas as mensagens provenientes de aliases não registados ou
enviados por entidades não habilitadas;
6 – Promova campanhas de sensibilização dirigidas aos consumidores, alertando-os para os riscos
associados a fraudes telefónicas, ensinando-os a identificar potenciais fraudes e a reportá-las de forma eficaz.
Assembleia da República, 28 de janeiro de 2025.
A Deputada do PAN, Inês de Sousa Real.
–——–
PROJETO DE RESOLUÇÃO N.º 769/XVI/1.ª
RECOMENDA O REFORÇO DO PLANO DE ADEQUAÇÃO DA REDE DE RESPOSTAS DE
ACOLHIMENTO DE CRIANÇAS E JOVENS
Exposição de motivos
A aprovação, em 2023, das Bases para a Qualificação do Sistema de Acolhimento de Crianças e Jovens1
espoletou um processo de mudança de paradigma do acolhimento de crianças e jovens em Portugal, procurando
«promover o desenvolvimento pleno de crianças e jovens, evitar a sua institucionalização, promover um
acolhimento qualificado e individualizado e assegurar uma transição apoiada do acolhimento.»
Neste sentido, o Livre apresentou na Legislatura passada o Projeto de Lei n.º 786/XV/1.ª que recomendava
ao Governo a criação de um grupo de trabalho interministerial e multidisciplinar para uma política de zero
1 Apresentadas as Bases para a Qualificação do Sistema de Acolhimento de Crianças e Jovens – XXIII Governo – República Portuguesa
Página 87
28 DE FEVEREIRO DE 2025
87
institucionalização de crianças e jovens até 20302, reconhecendo não só que é preciso adequar o sistema de
proteção das crianças e jovens, como que é importante avaliar necessidades para operacionalização de medidas
que promovam a desinstitucionalização, garantindo a segurança, bem-estar e estabilidade destas crianças e
jovens.
Considerando que, e de acordo com os dados do relatório CASA 2023 – Relatório de Caracterização Anual
da Situação de Acolhimento das Crianças e Jovens –, existem 6446 crianças e jovens no sistema de acolhimento
em Portugal, das quais 5409 (83,9 %) encontram-se em casas de acolhimento – que inclui centros de
acolhimento temporário, lares de infância e juventude e acolhimento de emergência –, 88 (1,4 %) em casas de
acolhimento especializado, 41 (0,6 %) em casas de acolhimento especializado para crianças e jovens
estrangeiros não acompanhados, 200 (3,1 %) em apartamentos de autonomização, 263 (4,1 %) em acolhimento
familiar, e 445 (6,9 %) em outras respostas de acolhimento, como por exemplo centros de apoio à vida, colégios
de ensino especial, lar residencial, lar de apoio ou comunidade terapêutica.
Assim, e apesar de a implementação do plano de adequação da rede de respostas de acolhimento de
crianças e jovens se afigurar como um processo desafiante e complexo, é verdadeiramente importante que haja
um investimento na rede para que esta possa dar resposta às necessidades e problemáticas atuais das crianças
e dos jovens em acolhimento, promovendo a sua desinstitucionalização e autonomização e garantindo o seu
bem-estar, integração social e empoderamento.
Assim, ao abrigo das disposições constitucionais e regimentais aplicáveis, o Grupo Parlamentar do Livre
propõe à Assembleia da República que, através do presente projeto de resolução, delibere recomendar ao
Governo que:
1. Reforce os meios financeiros e humanos para implementação do plano de adequação da rede de
respostas de acolhimento de crianças e jovens.
2. Priorize a adequação das infraestruturas de acolhimento que deverão configurar-se como respostas de
cariz familiar e o aumento do número de respostas promotoras de autonomização dos jovens.
3. Invista na formação e constituição das equipas técnicas, educativas e de apoio que fazem intervenção
com crianças e jovens em acolhimento.
4. Envolva o Conselho Nacional Consultivo de Crianças e Jovens Acolhidos nos processos de tomada de
decisão e na implementação do plano de adequação da rede de respostas de acolhimento de crianças e jovens.
Assembleia da República, 28 de fevereiro de 2025.
Os Deputados do L: Isabel Mendes Lopes — Jorge Pinto — Paulo Muacho — Rui Tavares.
–——–
PROJETO DE RESOLUÇÃO N.º 770/XVI/1.
RECOMENDA AO GOVERNO A IMPLEMENTAÇÃO DE UM MECANISMO DE MONITORIZAÇÃO E DE
UM PLANO NACIONAL DE PLANEAMENTO FAMILIAR PARA PESSOAS COM DEFICIÊNCIA OU EM
SITUAÇÃO DE INCAPACIDADE
O direito a constituir família e o direito ao planeamento familiar e à proteção da parentalidade encontram-se
expressamente consagrados nos artigos 36.º e 67.º da Constituição da República Portuguesa. Ainda nos termos
do artigo 13.º da Lei Fundamental, que consagra o princípio da igualdade, todos os cidadãos têm a mesma
dignidade social e são iguais perante a lei, estando vedado qualquer tipo de discriminação, designadamente em
razão de incapacidade ou deficiência.
Foi precisamente nesta senda que Lei n.º 46/2006, de 28 de agosto, veio estabelecer um quadro normativo
2 DetalheIniciativa
Página 88
II SÉRIE-A — NÚMERO 191
88
com vista a prevenir, proibir e sancionar a discriminação, direta ou indireta, em razão da deficiência.
Também a Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência, a que Portugal
está vinculado, proíbe a discriminação com fundamento na deficiência, designadamente nos termos das alíneas
a), b), c), d) e e) do artigo 3.º e dos artigos 4.º e 5.ºda referida Convenção.
Neste sentido, no seu artigo 23.º, a Convenção estabelece que todas as pessoas com deficiência ou em
situação de incapacidade têm a liberdade de decisão sobre o matrimónio, a constituição de família e a
parentalidade. Ainda nos termos do artigo 25.º, cuja epígrafe é «Saúde», a Convenção determina que os Estados
Partes devem reconhecer que «as pessoas com deficiência têm direito ao gozo do melhor estado de saúde
possível sem discriminação com base na deficiência», devendo ser tomadas «todas as medidas apropriadas
para garantir o acesso às pessoas com deficiência aos serviços de saúde», designadamente, exigindo aos
profissionais de saúde «a prestação de cuidados às pessoas com deficiência com a mesma qualidade dos
dispensados às demais, com base no consentimento livre e informado, inter alia, da sensibilização para os
direitos humanos, dignidade, autonomia e necessidades das pessoas com deficiência através da formação e
promulgação de normas deontológicas para o sector público e privado da saúde».
Em conformidade com o que antecede, é dever dos Estados Partes reconhecerem que as pessoas com
deficiência têm o direito de decidir livre e responsavelmente sobre o número de filhos, o espaçamento entre
nascimentos e o acesso a informação e meios de planeamento familiar. Os Estados estão obrigados a proteger
as pessoas contra a esterilização forçada, assegurando que a fertilidade das pessoas com deficiência é
respeitada em condições de igualdade.
Não obstante o referido quadro normativo nacional e internacional, persistem ainda barreiras estruturais e
sociais que limitam o exercício pleno destes direitos pelas pessoas com deficiência, em especial no que diz
respeito aos direitos sexuais e reprodutivos e à proteção da parentalidade.
A desinformação, o preconceito e a falta de acessibilidade aos serviços de saúde sexual e reprodutiva têm
resultado numa exclusão que compromete a autonomia e a autodeterminação destas pessoas. Muitas enfrentam
dificuldades acrescidas no acesso a consultas de ginecologia, andrologia, obstetrícia e aconselhamento familiar,
seja por ausência de adaptação das infraestruturas e equipamentos, seja por falta de formação dos profissionais
de saúde.
A participação das pessoas com deficiência nos programas de educação sexual e reprodutiva também se
revela insuficiente, o que as coloca em maior vulnerabilidade face a práticas discriminatórias, abusos e violação
dos seus direitos reprodutivos.
É, portanto, imperativo que o Estado português reforce a sua ação na promoção da igualdade no acesso ao
planeamento familiar e na garantia da autonomia reprodutiva das pessoas com deficiência, alinhando-se com
os princípios da dignidade da pessoa, igualdade, não discriminação e autodeterminação.
O planeamento familiar requer adequação e ajuste, com o devido acompanhamento e acomodação das
condições e capacidades da pessoa, respeitada nas suas características designadamente de deficiência ou em
situação de incapacidade.
Por outro lado, a esterilização forçada de pessoas com deficiência ou em situação de incapacidade tem sido
um tema muito debatido, verificando-se existir uma lacuna de sistemas de monitorização que permitam
compreender, com exatidão e objetividade, a dimensão real desta prática. É, assim, essencial que o Estado
português adote medidas de prevenção e estabeleça políticas públicas adequadas, com mecanismos de
monitorização que, desde logo, permitam identificar, sempre sem referência ao caso concreto, as razões que
consubstanciam a realização dos atos clínicos, num enquadramento quanto às regiões, idades, tipologias de
deficiências ou situações de incapacidade e fundamentações que sustentam as decisões.
A adoção das medidas propostas visa remover obstáculos à igualdade que persistem nas esferas das
relações íntimas, parentalidade, vida familiar, sexualidade e proteção contra a violência e abusos, assim como
assegurar que os meios de controlo de fertilidade relativamente a pessoas com deficiência ou em situação de
incapacidade são proporcionais, adaptados às concretas circunstâncias das pessoas, temporalmente limitados
e ajustados aos seus contextos e projetos de vida, de acordo com as suas capacidades.
Estas medidas representam assim um avanço crucial na efetivação de direitos e na promoção da inclusão
social, e consubstanciam um passo relevante para consolidar o compromisso do Estado com uma sociedade
mais justa e inclusiva. Pretende-se, assim, garantir a monitorização das práticas de esterilização e evitar que
Página 89
28 DE FEVEREIRO DE 2025
89
ocorram fora do enquadramento legal, adequar o planeamento familiar às especificidades e características das
pessoas com deficiência ou em situação de incapacidade e reforçar o seu envolvimento no processo decisório.
Ante tudo quanto ficou exposto, e com base nos fundamentos aduzidos, a presente iniciativa visa contribuir
para que as pessoas com deficiência acedam de forma igualitária aos direitos fundamentais de planeamento
familiar e parentalidade, garantindo a sua autodeterminação, em conformidade com os princípios constitucionais
e de direito internacional a que Portugal se encontra vinculado.
Assim, nos termos constitucionais e regimentais aplicáveis, as Deputadas e os Deputados do Grupo
Parlamentar do Partido Socialista abaixo assinados apresentam o seguinte projeto de resolução:
A Assembleia da República resolve, nos termos do disposto do n.º 5 do artigo 166.º da Constituição da
República Portuguesa, recomendar ao Governo que:
1. Crie o Plano Nacional de Planeamento Familiar para Pessoas com Deficiência ou em Situação de
Incapacidade, ajustado às necessidades específicas das diferentes tipologias de deficiência ou incapacidade,
nos termos do qual:
a) Assegure as condições de acessibilidade nos centros de saúde e unidades hospitalares, garantindo a
adaptação dos equipamentos, infraestruturas e materiais informativos com vista a permitir um atendimento
digno, autónomo e inclusivo das pessoas com deficiência ou em situação de incapacidade;
b) Garanta o direito de acesso a consultas de planeamento familiar, fertilidade e parentalidade, assegurando
formação contínua aos profissionais de saúde para um atendimento não discriminatório, baseado na autonomia
e autodeterminação das pessoas com deficiência ou em situação de incapacidade;
c) Assegure a criação de equipas multidisciplinares, garantindo a formação adequada das mesmas, a fim de
proporcionar o adequado acompanhamento das pessoas com deficiência ou em situação de incapacidade;
d) Crie programas específicos de educação para a saúde sexual e reprodutiva para as pessoas com
deficiência ou em situação de incapacidade, assegurando a difusão de conteúdos relativos ao planeamento
familiar devidamente adaptados, incluindo a adequação de materiais e conteúdos de comunicação;
e) Crie campanhas de sensibilização e capacitação dirigidas às pessoas com deficiência ou em situação de
incapacidade e respetivos cuidadores, com vista a promover a importância do planeamento familiar e da
participação ativa das pessoas com deficiência ou em situação de incapacidade nos processos decisórios
relativos aos seus direitos sexuais ou reprodutivos;
f) Promova a participação ativa das pessoas com deficiência ou em situação de incapacidade na definição
das políticas públicas de saúde sexual e reprodutiva, garantindo que as suas perspetivas e necessidades sejam
integradas no planeamento e execução de medidas concretas nesta área.
2. Implemente um mecanismo de monitorização e comunicação dos procedimentos de monitorização sobre
a esterilização de pessoas com deficiência ou em situação de incapacidade, estabelecendo que:
a) Sempre que realizados, os procedimentos de esterilização de pessoas com deficiência ou em situação de
incapacidade são registados e comunicados, anualmente, à Direção-Geral da Saúde (DGS) e ao Instituto
Nacional para a Reabilitação (INR, IP), com informação respeitante à natureza da intervenção, aos fundamentos
que lhe estão subjacentes, à existência de autorização judicial prévia, e a dados não nominais relativos a área
geográfica, idade, sexo e tipologia de incapacidade, para efeitos de elaboração de relatório conjunto de
monitorização a publicar nos respetivos sítios da internet;
b) Estão obrigadas ao dever de comunicação previsto na alínea anterior as unidades que prestam cuidados
de saúde no setor público, privado e social;
c) No tratamento dos dados relativos aos procedimentos de esterilização são tomadas as providências
adequadas à proteção da confidencialidade dos dados pessoais, sendo o relatório conjunto de monitorização
devidamente anonimizado.
Palácio de São Bento, 28 de fevereiro de 2025.
Página 90
II SÉRIE-A — NÚMERO 191
90
Os Deputados do PS: Lia Ferreira — Alexandra Leitão — Ana Sofia Antunes — Isabel Alves Moreira — Pedro
Delgado Alves — Cláudia Santos — Elza Pais — André Rijo — Patrícia Faro — Eurídice Pereira — Pedro Vaz
— Miguel Matos.
–——–
PROJETO DE RESOLUÇÃO N.º 771/XVI/1.ª
PARA UMA ESTRATÉGIA NACIONAL DE INTELIGÊNCIA ARTIFICIAL
Exposição de motivos
Considerando o avanço exponencial da inteligência artificial e o seu impacto transversal na sociedade, torna-
se cada vez mais urgente estabelecer diretrizes estratégicas para a sua implementação, regulamentação e
aplicação prática. O atual Governo pretende implementar uma Estratégia Digital Nacional, e um dos principais
temas que deve constar dessa estratégia é precisamente a inteligência artificial. Este objetivo não é novo,
estando já plasmado no programa de Governo da Aliança Democrática.
Este projeto de resolução visa lançar as bases e contribuir para a construção de um modelo de estratégia
governativa de inteligência artificial, assente em três pilares fundamentais: um pilar político, um pilar jurídico e
um pilar relativo aos usos práticos.
No plano político, considera-se essencial que Portugal defina uma estratégia nacional de inteligência artificial
autónoma da Estratégia Digital Nacional. A inteligência artificial assume um papel central no desenvolvimento
tecnológico e económico e, como tal, deve ser alvo de uma abordagem coordenada e específica, garantindo
que a sua implementação seja estruturada e devidamente regulada. A estratégia a definir deve estar alinhada
com os objetivos europeus, promovendo a criação de um órgão consultivo especializado, responsável pela
monitorização e aconselhamento das políticas públicas nesta matéria.
Além disso, importa fomentar a pesquisa e inovação através de parcerias estratégicas entre universidades,
centros de investigação e o setor privado, promovendo a criação de mecanismos de financiamento para startups
e projetos inovadores. Paralelamente, deve ser implementado um programa nacional de formação e qualificação
de funcionários do setor público, de forma a capacitá-los para os desafios e oportunidades proporcionados pela
inteligência artificial.
No domínio jurídico, é imperativo assegurar a aplicação e conformidade com o regulamento europeu
recentemente aprovado, conhecido como «IA Act». Este regulamento estabelece um quadro normativo
harmonizado para a utilização da inteligência artificial na União Europeia, classificando os sistemas de IA de
acordo com o nível de risco que apresentam – baixo, médio, alto e inaceitável – e impondo regras mais rigorosas
para aqueles que comportam riscos elevados, nomeadamente nas áreas da segurança, da saúde e da justiça.
Portugal deve garantir que a sua legislação interna está em consonância com este regulamento e com outros
enquadramentos normativos europeus e internacionais, como o Regulamento Geral da Proteção de Dados
(RGPD) e a Lei dos Serviços Digitais. Neste contexto, torna-se necessária a criação de uma entidade reguladora
independente, nos moldes da Comissão Nacional de Proteção de Dados (CNPD), com competências específicas
para supervisionar a utilização da inteligência artificial em setores críticos, como a banca, os seguros, a saúde
e as plataformas digitais, articulando-se com organismos já existentes, como o Banco de Portugal e a Autoridade
da Concorrência.
Para garantir transparência e segurança, deve ainda ser estabelecido um quadro jurídico claro que defina as
responsabilidades civil e penal no uso da inteligência artificial, assegurando a criação de mecanismos que
permitam a transparência algorítmica e a compreensão das decisões tomadas por sistemas de IA. É igualmente
essencial prever sanções eficazes para violações das normas de proteção de dados e da ética na utilização da
inteligência artificial.
No que respeita aos usos práticos, é fundamental classificar corretamente os níveis de risco da inteligência
artificial, em conformidade com o «IA Act», distinguindo as aplicações de risco inaceitável, risco elevado e risco
Página 91
28 DE FEVEREIRO DE 2025
91
médio ou baixo. A implementação de sistemas inteligentes deve ser incentivada para otimizar serviços públicos
essenciais, como a saúde, a segurança e a educação para melhor servir os cidadãos, garantindo
simultaneamente transparência e supervisão ética na sua utilização.
No setor privado, deve ser promovida uma adoção responsável da inteligência artificial, através da criação
de boas práticas para a sua utilização segura em ambientes corporativos, bem como através da monitorização
do impacto da IA no emprego e no mercado de trabalho. No que diz respeito à sociedade civil, importa fomentar
a consciencialização sobre os impactos da inteligência artificial através de campanhas de informação e
sensibilização, permitindo que a população compreenda os desafios e as oportunidades que esta tecnologia
representa.
Este projeto de resolução propõe um equilíbrio entre o avanço tecnológico e a necessidade de uma
regulamentação e supervisão responsável. A implementação dos três pilares – político, jurídico e de usos
práticos – assegurará um uso seguro, ético e inovador da inteligência artificial, beneficiando tanto o setor público
como o privado e promovendo o bem-estar e o desenvolvimento social. Para além disso, reforça a necessidade
de uma entidade fiscalizadora independente que assegure a conformidade entre o ordenamento jurídico europeu
e nacional e garanta a proteção dos direitos fundamentais dos cidadãos.
Nestes termos, o Grupo Parlamentar do CDS-PP, ao abrigo das disposições constitucionais e regimentais
aplicáveis, propõe que a Assembleia da República recomende ao Governo que adote uma estratégia nacional
de inteligência artificial complementar à Estratégia Digital Nacional, assente designadamente em três pilares
essenciais – político, jurídico e de usos práticos.
Palácio de São Bento, 27 de fevereiro de 2025.
Os Deputados do CDS-PP: Paulo Núncio — João Pinho de Almeida.
–——–
PROJETO DE RESOLUÇÃO N.º 772/XVI/1.ª
RECOMENDA AO GOVERNO QUE PROMOVA A MELHORIA DAS CONDIÇÕES DE VIDA DAS
CRIANÇAS EM ACOLHIMENTO RESIDENCIAL
Portugal é o País europeu com a maior taxa de crianças em perigo a residir em instituições, havendo mais
de 6000 crianças carentes do cuidado e do amor de uma família.
Nesta Sessão Legislativa, o CDS-PP apresentou um projeto de resolução em que recomendou ao Governo
que promovesse as condições para que as famílias de acolhimento pudessem ser candidatas à adoção das
crianças que acolheram nos seus lares.
As famílias de acolhimento desempenham um papel ímpar na defesa dos interesses das nossas crianças,
oferecendo-lhes a possibilidade de crescerem num ambiente familiar saudável, ainda que por tempo
indeterminado.
Atualmente, as famílias que acolhem crianças institucionalizadas nas suas casas estão impedidas de serem
candidatas à sua adoção. Mesmo que o tribunal decrete que a criança em situação de acolhimento familiar deve
ir para adoção, a família de acolhimento não a pode adotar.
No nosso entender, este impedimento perpetua uma injustiça para as crianças e para as famílias que já
criaram laços afetivos e vínculos de confiança entre si. É crucial que possam ser adotadas por quem as acolheu
previamente e já provou ter a capacidade continuar a cuidar delas, de forma permanente.
Acreditamos que a limitação legal que impede as famílias de acolhimento de passarem a famílias de adoção
não faz qualquer sentido, e foi precisamente para apelar a essa mudança que apresentámos a iniciativa referida
anteriormente.
O Governo, através do Ministério do Trabalho, Solidariedade e Segurança Social, lançou recentemente uma
campanha de promoção do acolhimento familiar, que saudamos e acreditamos representar um passo
Página 92
II SÉRIE-A — NÚMERO 191
92
significativo na defesa dos interesses das crianças.
Nestes termos, o Grupo Parlamentar do CDS-PP, ao abrigo das disposições constitucionais e regimentais
aplicáveis, propõe que a Assembleia da República recomende ao Governo que:
i) Promova a melhoria das condições de vida das crianças em acolhimento residencial;
ii) Continue a incentivar o acolhimento familiar;
iii) Divulgue, a cada semestre, os resultados da campanha de acolhimento familiar;
iv) Agilize a possibilidade de as famílias de acolhimento serem candidatas à adoção das mesmas crianças.
Palácio de São Bento, 28 de fevereiro de 2025.
Os Deputados do CDS-PP: Paulo Núncio — João Pinho de Almeida.
–——–
PROJETO DE RESOLUÇÃO N.º 773/XVI/1.ª
RECOMENDA AO GOVERNO QUE REALIZE UM DEBATE PÚBLICO E ALARGADO TENDO EM VISTA
UM PLANO DE REQUALIFICAÇÃO E FRUIÇÃO COLETIVA DA PRAÇA DO COMÉRCIO
Exposição de motivos
A Praça do Comércio, situada no coração de Lisboa, constitui um dos espaços urbanos mais significativos
da história de Portugal. Construída após o terramoto de 1755 no local onde se implantara o Terreiro do Paço a
partir do Século XVI, tornou-se o expoente máximo da Lisboa pombalina, exprimindo a resiliência de uma cidade
que se ergueu das ruínas e se afirmou como centro político, económico e cultural.
Local privilegiado da vida da cidade desde a transferência do centro da vida política e administrativa para o
Paço da Ribeira, o então denominado Terreiro do Paço estrutura-se nos séculos seguintes em torno da
proximidade à sede do poder real e das novas instituições que ali também vão encontrando a sua sede a partir
do Século XVI, entre as quais avultam a Casa da Índia ou a Casa da Suplicação, beneficiando da proximidade
à Ribeira das Naus e da abertura ao rio Tejo.
A relevância do Terreiro do Paço e da Praça do Comércio advém não só da sua monumentalidade
arquitetónica, antes e depois de 1755, mas também do facto de ter acolhido, ao longo de séculos, organismos
de soberania e instituições-chave da Administração Pública, realçando o seu papel simbólico na representação
do poder do Estado. Paralelamente, este local tem sido cenário de acontecimentos marcantes para a história e
cultura nacionais, como a aclamação de D. João IV após a restauração da independência, em dezembro de
1640, o regicídio, em fevereiro de 1908, o desembarque dos Deputados eleitos pelo Porto que desencadeou a
Revolução de Setembro, em 1836, ou a presença marcante de Fernando Pessoa, e tantos outros, no Martinho
da Arcada, assumindo-se como espaço de reunião, manifestação e celebração popular, como demonstra o seu
papel simbólico no 25 de Abril.
É precisamente por encarnar este simbolismo histórico e cultural coletivo que se afigura indispensável
proteger a sua vocação de fruição pública, assegurando, desde logo, que não existirão cedências a tentações
de rentabilizações de curto prazo, que demasiadas vezes conduzem a processos de alienação ou oneração de
património que deve permanecer acessível a todos.
O atual momento, em particular o processo de reforma da Administração Pública, que prevê a saída dos
ministérios do edificado do Terreiro do Paço para o designado «Campus XXI», representa uma oportunidade
ímpar de pensar coletivamente o destino deste local.
Se, por um lado, esta transferência pode permitir uma reorganização mais eficiente dos serviços do Estado,
por outro, levanta questões sobre o futuro do património edificado que deixará de ter uso ministerial. Tal
Página 93
28 DE FEVEREIRO DE 2025
93
transição, se não for conduzida de forma planeada e participada, pode acarretar o risco de serem tomadas
decisões avulsas e sem a visão integrada que se exige.
Desta forma, o Grupo Parlamentar do Partido Socialista sublinha a necessidade de assegurar que a Praça
do Comércio permaneça e se desenvolva enquanto um local de fruição coletiva, acessível a toda a população e
potenciador de dinâmicas cívicas, culturais e artísticas. Num período em que Lisboa assiste a fenómenos de
gentrificação e massificação turística, urge combater a tendência para transformar lugares históricos em meras
montras destinadas a um consumo efémero.
A Baixa Lisboeta e a Praça do Comércio, em particular, devem constituir-se como polos vivos de cidadania,
possibilitando encontros intergeracionais e culturais que possam contribuir para o robustecimento do tecido
social.
O desafio reside, assim, em harmonizar a vocação cultural, patrimonial e turística da praça com a exigência
de garantir o interesse público e de salvaguardar o usufruto pela população que mora e trabalha em Lisboa.
Neste sentido, impõe-se o desenvolvimento de uma estratégia integrada, na qual o Governo, a Câmara
Municipal de Lisboa, as instituições académicas, culturais, associativas e a sociedade em geral trabalhem
conjuntamente.
O Grupo Parlamentar do Partido Socialista, atento a estes desafios, defende que a saída dos ministérios
deve ser acompanhada de um amplo debate público e de um plano de requalificação orientado para o interesse
coletivo, prevenindo riscos de comercialização excessiva e garantindo a relação entre o espaço público e a
comunidade.
Só assim, aliando preservação patrimonial, participação cidadã e desenvolvimento sustentável, se poderá
honrar a história secular desta praça e projetá-la como espaço onde se cruza o passado, o presente e o futuro.
Assim, nos termos das disposições constitucionais e regimentais aplicáveis, as Deputadas e os Deputados
do Grupo Parlamentar do Partido Socialista, abaixo assinados, apresentam o seguinte projeto de resolução:
A Assembleia da República resolve, nos termos do disposto do n.º 5 do artigo 166.º da Constituição da
República Portuguesa, recomendar ao Governo que:
1. Desenvolva, em articulação com a Câmara Municipal de Lisboa, um plano de requalificação para o
edificado do Terreiro do Paço, assegurando a manutenção do uso público dos edifícios, a valorização cultural e
histórica do espaço, e a promoção da participação cívica e de atividades de interesse coletivo.
2. Garanta a realização de um debate público alargado, envolvendo as populações locais, organizações
culturais, movimentos sociais, instituições académicas e outras entidades relevantes, de forma a recolher
contributos para o futuro da Praça do Comércio.
Palácio de São Bento, 28 de fevereiro de 2025.
Autores: Alexandra Leitão (PS) — Rui Tavares (L) — Edite Estrela (PS) — Maria Begonha (PS) — Pedro
Delgado Alves (PS) — Mara Lagriminha Coelho (PS) — Isabel Mendes Lopes (L) — Ana Bernardo (PS) — André
Rijo (PS) — Carlos Pereira (PS) — Clarisse Campos (PS) — Davide Amado (PS) — Pedro Sousa (PS) — Pedro
Vaz (PS) — Ricardo Lima (PS).
A DIVISÃO DE REDAÇÃO.