Artigos 47 a 56
Dez requisitos mínimos, obrigatórios para todos.
O artigo 48 define os requisitos mínimos de segurança e declara-os decumprimento obrigatório por todas as entidades abrangidas pela lei. Não é uma recomendação: o incumprimento é contravenção punível com multa de 90 a 160 salários mínimos art. 75 art. 76.
Política de segurança de informação
Documento aprovado pela gestão que define objectivos, âmbito, papéis e regras de segurança da informação da organização.
Template disponível →Metodologia de gestão do risco cibernético
Processo formal para identificar, avaliar, tratar e rever riscos cibernéticos, com responsáveis e periodicidade definidos.
Template disponível →Procedimentos de notificação de incidentes
Procedimento interno que garante a notificação ao CSIRT sectorial e nacional dentro do prazo definido pela autoridade.
Template disponível →Mecanismos de prevenção, correcção e mitigação
Controlos técnicos e organizacionais que previnem, corrigem ou reduzem o risco cibernético identificado na avaliação.
Infra-estrutura de cópias de segurança e reposição
Backups testados e um processo de reposição que garanta a recuperação rápida após um incidente.
Template disponível →Auditoria interna de segurança e supervisão
Mecanismos de auditoria interna e supervisão contínua da eficácia das medidas de segurança.
Conformidade com a legislação e normas do sector
Verificação regular do cumprimento da legislação e das normas técnicas aplicáveis ao sector de actividade.
Capacitação e consciencialização permanentes
Programa contínuo de formação e sensibilização dos colaboradores em segurança cibernética.
Responsável pela segurança de informação
Nomeação formal de um responsável com autoridade para garantir o cumprimento das medidas de segurança. O artigo 50 acrescenta a nomeação de um auditor interno.
Template disponível →Equipa de detecção e resposta a incidentes
Equipa especializada na detecção e resposta a incidentes: o CSIRT institucional exigido em vários artigos da lei.
Template disponível →
Requisitos reforçados por categoria
Além do artigo 48, os artigos 50 a 56 detalham requisitos por tipo de entidade: a administração pública e o sector privado devem nomear responsável e auditor interno e criar política institucional art. 50; os operadores de infra-estruturas críticas art. 51 e de serviços essenciais art. 52 devem gerir o risco segundo os progressos técnicos mais recentes; os provedores de serviços digitais e intermediários devem cobrir segurança de sistemas e instalações, tratamento de incidentes, continuidade, auditoria e conformidade com normas internacionais art. 53 art. 54; centros de dados e nuvem respondem pela integridade, confidencialidade e disponibilidade dos dados armazenados art. 55 art. 56.