Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ASSEMBLEIA DA REPÚBLICA -General das Forças Armadas e dos ramos das Forças
Armadas;
Lei n.º 46/2018 b) Às redes e sistemas de informação que processem
informação classificada.
de 13 de agosto
7 — O disposto na presente lei não prejudica o cumpri-
Estabelece o regime jurídico da segurança do ciberespaço, trans- mento da legislação aplicável em matéria:
pondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do
Conselho, de 6 de julho de 2016, relativa a medidas destinadas
a) De proteção de dados pessoais, designadamente o
a garantir um elevado nível comum de segurança das redes e disposto no Regulamento (UE) n.º 2016/679, do Parla-
da informação em toda a União. mento Europeu e do Conselho, de 27 de abril de 2016
(Regulamento Geral sobre a Proteção de Dados), e na Lei
A Assembleia da República decreta, nos termos da n.º 26/2016, de 22 de agosto;
alínea c) do artigo 161.º da Constituição, o seguinte: b) De identificação e designação de infraestruturas críti-
cas nacionais e europeias, designadamente do Decreto-Lei
CAPÍTULO I n.º 62/2011, de 9 de maio;
c) De luta contra o abuso sexual e a exploração sexual
Disposições gerais de crianças e a pornografia infantil, designadamente da
Lei n.º 103/2015, de 24 de agosto;
Artigo 1.º d) De proteção do utente de serviços públicos essenciais,
designadamente da Lei n.º 23/96, de 26 de julho;
Objeto
e) De segurança e de emergência no setor das comuni-
A presente lei estabelece o regime jurídico da segurança cações eletrónicas, designadamente da Lei n.º 5/2004, de
do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do 10 de fevereiro.
Parlamento Europeu e do Conselho, de 6 de julho de 2016,
relativa a medidas destinadas a garantir um elevado nível 8 — A presente lei não prejudica as medidas destinadas
comum de segurança das redes e dos sistemas de informa- a salvaguardar as funções essenciais do Estado, incluindo
ção em toda a União. medidas de proteção da informação cuja divulgação seja
Artigo 2.º contrária aos interesses de segurança nacional, à manu-
tenção de ordem pública ou a permitir a investigação, a
Âmbito deteção e a repressão de infrações penais.
1 — A presente lei aplica-se:
Artigo 3.º
a) À Administração Pública;
b) Aos operadores de infraestruturas críticas; Definições
c) Aos operadores de serviços essenciais; Para efeitos da presente lei, entende-se por:
d) Aos prestadores de serviços digitais;
e) A quaisquer outras entidades que utilizem redes e a) «Equipa de resposta a incidentes de segurança infor-
sistemas de informação. mática», a equipa que atua por referência a uma comuni-
dade de utilizadores definida, em representação de uma
2 — Para efeitos do disposto na presente lei, integram entidade, prestando um conjunto de serviços de segurança
a Administração Pública: que inclua, designadamente, o serviço de tratamento e
resposta a incidentes de segurança das redes e dos sistemas
a) O Estado; de informação;
b) As regiões autónomas; b) «Especificação técnica», um documento que define
c) As autarquias locais; os requisitos técnicos que um produto, processo, serviço
d) As entidades administrativas independentes; ou sistema devem cumprir;
e) Os institutos públicos; c) «Incidente», um evento com um efeito adverso real
f) As empresas públicas; na segurança das redes e dos sistemas de informação;
g) As associações públicas. d) «Infraestrutura crítica», a componente, sistema ou
parte deste situado em território nacional que é essencial
3 — A presente lei aplica-se aos prestadores de serviços para a manutenção de funções vitais para a sociedade, a
digitais que tenham o seu estabelecimento principal em saúde, a segurança e o bem-estar económico ou social, e
território nacional ou, não o tendo, designem um repre- cuja perturbação ou destruição teria um impacto signifi-
sentante estabelecido em território nacional, desde que aí cativo, dada a impossibilidade de continuar a assegurar
prestem serviços digitais. essas funções;
4 — Para efeitos do número anterior, considera-se que e) «Norma», uma especificação técnica, aprovada por
um prestador de serviços digitais tem o seu estabelecimento um organismo de normalização reconhecido, para aplica-
principal em território nacional quando aí tiver a sua sede. ção repetida ou continuada, cuja observância não é obri-
5 — Caso uma entidade se enquadre simultaneamente gatória;
em mais do que uma das alíneas a) a c) do n.º 1, aplica-se
f) «Operador de infraestrutura crítica», uma entidade
o regime que resultar mais exigente para a segurança das
pública ou privada que opera uma infraestrutura crítica;
redes e dos sistemas de informação.
g) «Operador de serviços essenciais», uma entidade
6 — A presente lei não se aplica:
pública ou privada que presta um serviço essencial;
a) Às redes e sistemas de informação diretamente re- h) «Ponto de troca de tráfego», uma estrutura de rede
lacionados com o comando e controlo do Estado-Maior- que permite a interligação de mais de dois sistemas autó-
4032 Diário da República, 1.ª série — N.º 155 — 13 de agosto de 2018
g) Promover a adoção e a utilização de práticas comuns cas, aprovada pela Lei n.º 5/2004, de 10 de fevereiro, na
ou normalizadas; sua redação atual;
h) Participar nos fora nacionais de cooperação de equi- b) Aos prestadores de serviços de confiança previstos
pas de resposta a incidentes de segurança informática; no artigo 19.º do Regulamento (UE) n.º 910/2014, de 23
i) Assegurar a representação nacional nos fora interna- de julho, do Parlamento Europeu e do Conselho, relativo
cionais de cooperação de equipas de resposta a incidentes à identificação eletrónica e aos serviços de confiança para
de segurança informática; as transações eletrónicas no mercado interno.
j) Participar em eventos de treino nacionais e interna-
cionais. Artigo 14.º
Requisitos de segurança para a Administração Pública
Artigo 10.º e operadores de infraestruturas críticas
Operadores de serviços essenciais 1 — A Administração Pública e os operadores de in-
Os operadores de serviços essenciais enquadram-se fraestruturas críticas devem cumprir as medidas técnicas
num dos tipos de entidades que atuam nos setores e sub- e organizativas adequadas e proporcionais para gerir os
setores constantes do anexo à presente lei, da qual faz riscos que se colocam à segurança das redes e dos sistemas
parte integrante. de informação que utilizam.
2 — As medidas previstas no número anterior devem
Artigo 11.º garantir um nível de segurança adequado ao risco em causa,
Prestadores de serviços digitais tendo em conta os progressos técnicos mais recentes.
3 — A Administração Pública e os operadores de in-
Os prestadores de serviços digitais prestam os seguintes fraestruturas críticas tomam as medidas adequadas para
serviços: evitar os incidentes que afetem a segurança das redes e dos
a) Serviço de mercado em linha; sistemas de informação utilizados e para reduzir ao mínimo
b) Serviço de motor de pesquisa em linha; o seu impacto.
c) Serviço de computação em nuvem. Artigo 15.º
Notificação de incidentes para a Administração Pública
CAPÍTULO III e operadores de infraestruturas críticas
Segurança das redes e dos sistemas de informação 1 — A Administração Pública e os operadores de infra-
estruturas críticas notificam o Centro Nacional de Ciber-
segurança dos incidentes com um impacto relevante na
Artigo 12.º
segurança das redes e dos sistemas de informação, no prazo
Definição de requisitos de segurança e normalização definido na legislação própria referida no artigo 13.º
1 — Os requisitos de segurança são definidos nos ter- 2 — A notificação dos operadores de infraestruturas
mos previstos em legislação própria, sem prejuízo do dis- críticas inclui informação que permita ao Centro Nacional
posto no artigo 18.º de Cibersegurança determinar o impacto transfronteiriço
2 — Os requisitos de segurança não se aplicam: dos incidentes.
3 — A notificação não acarreta responsabilidades acres-
a) Às empresas sujeitas aos requisitos previstos nos cidas para a parte notificante.
artigos 54.º-A a 54.º-G da lei das comunicações eletróni- 4 — A fim de determinar a relevância do impacto de um
cas, aprovada pela Lei n.º 5/2004, de 10 de fevereiro, na incidente são tidos em conta, designadamente, os seguintes
sua redação atual; parâmetros:
b) Aos prestadores de serviços de confiança previstos
no artigo 19.º do Regulamento (UE) n.º 910/2014, de 23 a) O número de utilizadores afetados;
de julho, do Parlamento Europeu e do Conselho, relativo b) A duração do incidente;
à identificação eletrónica e aos serviços de confiança para c) A distribuição geográfica, no que se refere à zona
as transações eletrónicas no mercado interno. afetada pelo incidente.
3 — Os requisitos de segurança são definidos de forma 5 — Sempre que as circunstâncias o permitam, o Cen-
a permitir a utilização de normas e especificações técni- tro Nacional de Cibersegurança presta ao notificante as
cas internacionalmente aceites aplicáveis à segurança das informações relevantes relativas ao seguimento da sua
redes e dos sistemas de informação, sem imposição ou notificação, nomeadamente informações que possam con-
discriminação em favor da utilização de um determinado tribuir para o tratamento eficaz do incidente.
6 — O Centro Nacional de Cibersegurança, após con-
tipo de tecnologia.
sultar o notificante, pode divulgar incidentes específicos
Artigo 13.º de acordo com o interesse público, salvaguardando a se-
Definição de requisitos de notificação de incidentes gurança e os interesses dos operadores de infraestruturas
críticas.
1 — Os requisitos de notificação de incidentes são de-
finidos nos termos previstos em legislação própria, sem Artigo 16.º
prejuízo do disposto no artigo 19.º Requisitos de segurança para os operadores de serviços essenciais
2 — Os requisitos de notificação de incidentes não se
1 — Os operadores de serviços essenciais devem cum-
aplicam:
prir as medidas técnicas e organizativas adequadas e pro-
a) Às empresas sujeitas aos requisitos previstos nos porcionais para gerir os riscos que se colocam à segurança
artigos 54.º-A a 54.º-G da lei das comunicações eletróni- das redes e dos sistemas de informação que utilizam.
Diário da República, 1.ª série — N.º 155 — 13 de agosto de 2018 4035
2 — As medidas previstas no número anterior devem proporcionais para gerir os riscos que se colocam à segu-
garantir um nível de segurança adequado ao risco em causa, rança das redes e dos sistemas de informação que utilizam
tendo em conta os progressos técnicos mais recentes. no contexto da oferta dos serviços digitais.
3 — Os operadores de serviços essenciais tomam as 2 — As medidas referidas no número anterior devem
medidas adequadas para evitar os incidentes que afetem garantir um nível de segurança das redes e dos sistemas de
a segurança das redes e dos sistemas de informação utili- informação adequado ao risco em causa, tendo em conta os
zados para a prestação dos seus serviços essenciais e para progressos técnicos mais recentes, e devem ter em conta
reduzir ao mínimo o seu impacto, a fim de assegurar a os seguintes fatores:
continuidade desses serviços.
a) A segurança dos sistemas e das instalações;
b) O tratamento dos incidentes;
Artigo 17.º c) A gestão da continuidade das atividades;
Notificação de incidentes para os operadores de serviços essenciais d) O acompanhamento, a auditoria e os testes realiza-
dos;
1 — Os operadores de serviços essenciais notificam o
e) A conformidade com as normas internacionais.
Centro Nacional de Cibersegurança dos incidentes com um
impacto relevante na continuidade dos serviços essenciais 3 — Os prestadores de serviços digitais tomam medidas
por si prestados, no prazo definido na legislação própria para evitar os incidentes que afetem a segurança das suas
referida no artigo 13.º redes e sistemas de informação e para reduzir ao mínimo
2 — A notificação inclui informação que permita ao o seu impacto nos serviços digitais, a fim de assegurar a
Centro Nacional de Cibersegurança determinar o impacto continuidade desses serviços.
transfronteiriço dos incidentes. 4 — O presente artigo não se aplica às microempre-
3 — A notificação não acarreta responsabilidades acres- sas nem às pequenas empresas, tal como definidas pelo
cidas para a parte notificante. Decreto-Lei n.º 372/2007, de 6 de novembro, na sua re-
4 — A fim de determinar a relevância do impacto de um dação atual.
incidente são tidos em conta, designadamente, os seguintes 5 — Os elementos constantes dos n.os 1 a 3 são objeto
parâmetros: de Regulamento de Execução da Comissão Europeia.
a) O número de utilizadores afetados pela perturbação
do serviço essencial; Artigo 19.º
b) A duração do incidente; Notificação de incidentes para os prestadores de serviços digitais
c) A distribuição geográfica, no que se refere à zona
afetada pelo incidente. 1 — Os prestadores de serviços digitais notificam o
Centro Nacional de Cibersegurança dos incidentes com
5 — Com base na informação prestada na notificação, impacto substancial na prestação dos serviços digitais,
o Centro Nacional de Cibersegurança informa os pontos no prazo definido na legislação própria referida no ar-
de contacto únicos dos outros Estados-Membros afetados, tigo 13.º
caso o incidente tenha um impacto importante na conti- 2 — A notificação referida no número anterior inclui
nuidade dos serviços essenciais nesses Estados-Membros. informação que permita ao Centro Nacional de Ciber-
6 — No caso referido no número anterior, o Centro segurança determinar a importância dos impactos trans-
Nacional de Cibersegurança salvaguarda a segurança e os fronteiriços.
interesses do operador de serviços essenciais, bem como 3 — A notificação não acarreta responsabilidades acres-
a confidencialidade da informação prestada na sua noti- cidas para a parte notificante.
ficação. 4 — A fim de determinar se o impacto de um incidente
7 — Sempre que as circunstâncias o permitam, o Centro é substancial, são tidos em conta os seguintes parâmetros:
Nacional de Cibersegurança presta ao operador de serviços a) O número de utilizadores afetados pelo incidente,
essenciais notificante as informações relevantes relativas nomeadamente de utilizadores que dependem do serviço
ao seguimento da sua notificação, nomeadamente infor- para prestarem os seus próprios serviços;
mações que possam contribuir para o tratamento eficaz b) A duração do incidente;
do incidente. c) A distribuição geográfica, no que se refere à zona
8 — O Centro Nacional de Cibersegurança transmite afetada pelo incidente;
as notificações referidas no n.º 1 aos pontos de contacto d) O nível de gravidade da perturbação do funciona-
únicos dos outros Estados-Membros afetados. mento do serviço;
9 — O Centro Nacional de Cibersegurança, após consul- e) A extensão do impacto nas atividades económicas
tar o notificante, pode divulgar informação relativa a inci- e societais.
dentes específicos de acordo com o interesse público.
10 — Se um operador de serviços essenciais depender 5 — A obrigação de notificar um incidente só se aplica
de um terceiro prestador de serviços digitais para a pres- se o prestador de serviços digitais tiver acesso a informa-
tação de um serviço essencial, notifica todos os impactos ção necessária para avaliar o impacto de um incidente em
importantes na continuidade dos seus serviços, decor- função dos fatores a que se refere o n.º 2 do artigo anterior.
rentes dos incidentes que afetem o prestador de serviços 6 — Se os incidentes referidos no n.º 1 disserem respeito
digitais. a dois ou mais Estados-Membros, o Centro Nacional de
Artigo 18.º Cibersegurança informa os pontos de contacto únicos dos
Requisitos de segurança para os prestadores de serviços digitais
outros Estados-Membros afetados.
7 — No caso referido no número anterior, o Centro
1 — Os prestadores de serviços digitais identificam e Nacional de Cibersegurança salvaguarda a segurança e os
tomam as medidas técnicas e organizativas adequadas e interesses do prestador de serviços digitais.
4036 Diário da República, 1.ª série — N.º 155 — 13 de agosto de 2018
ANEXO
111575121