|
DL n.º 20/2022, de 28 de Janeiro RESILIÊNCIA DAS INFRAESTRUTURAS CRÍTICAS NACIONAIS E EUROPEIAS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Aprova os procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias _____________________ |
|
Artigo 7.º
Entidades sectoriais |
1 - As entidades setoriais são identificadas no anexo ao presente decreto-lei e do qual faz parte integrante.
2 - As entidades setoriais podem solicitar a colaboração de outras entidades consideradas relevantes, no âmbito das respetivas atribuições. |
| |
|
|
|
|
Artigo 8.º
Identificação das infraestruturas críticas nacionais |
1 - As entidades setoriais elaboram uma lista das infraestruturas do respetivo setor com potencial para serem designadas como infraestruturas críticas nacionais, efetuando uma apreciação qualitativa das consequências provocadas pela inoperacionalidade de cada infraestrutura, nomeadamente:
a) O impacto económico, estimado em termos de importância dos prejuízos económicos e da degradação de bens ou serviços, incluindo também os potenciais efeitos ambientais;
b) O impacto na sociedade, avaliado em termos de impacto na soberania nacional, na confiança das populações e na perturbação da vida quotidiana, incluindo a perda de serviços essenciais;
c) A possibilidade de ocorrência de acidentes, avaliada em termos de número potencial de feridos ou vítimas mortais.
2 - As entidades setoriais selecionam as infraestruturas que, constando da lista referida no número anterior, consideram dever ser designadas como críticas no respetivo setor, aplicando os critérios de identificação fixados pelo CNPCE, tendo em especial consideração:
a) O tipo de bens produzidos ou serviços prestados pela infraestrutura crítica;
b) As alternativas disponíveis no fornecimento dos bens produzidos ou serviços prestados pela infraestrutura crítica;
c) A população e área geográfica afetada por uma eventual perturbação do funcionamento ou destruição da infraestrutura crítica;
d) A duração de uma eventual perturbação do funcionamento da infraestrutura crítica e o tempo previsível para a sua recuperação.
3 - Com base na seleção referida no número anterior, as entidades setoriais ordenam as infraestruturas críticas do respetivo setor e submetem ao CNPCE uma proposta fundamentada quanto às que devem ser identificadas como infraestruturas críticas nacionais.
4 - O CNPCE avalia a proposta das entidades setoriais e aprova a identificação das infraestruturas críticas nacionais em cada setor.
5 - O CNPCE pode identificar infraestruturas críticas diferentes das propostas pelas entidades setoriais quando:
a) Seja detentor de indicadores distintos dos aplicados pelas entidades setoriais;
b) Sejam conexas com outras infraestruturas críticas nacionais, do mesmo ou de outro setor, nomeadamente por as poderem afetar em caso de perturbação do funcionamento ou destruição.
6 - O CNPCE comunica a identificação de uma infraestrutura crítica nacional ao respetivo operador, notificando-o para, querendo, se pronunciar sobre a referida identificação, fixando um prazo não inferior a dez dias para o efeito. |
| |
|
|
|
|
Artigo 9.º
Designação das infraestruturas críticas nacionais |
1 - O CNPCE procede à designação das infraestruturas críticas nacionais e notifica-a ao operador, dando conhecimento à respetiva entidade setorial, ao Secretário-Geral do Sistema de Segurança Interna (SSI) e ao presidente da Câmara Municipal territorialmente competente.
2 - A designação prevista no número anterior pode ser alterada ou revogada pelo CNPCE, na sequência de proposta fundamentada:
a) Da respetiva entidade setorial;
b) Do operador, com a concordância da respetiva entidade setorial.
3 - No caso previsto no número anterior, a alteração ou revogação são notificadas ao operador, sendo dado conhecimento à respetiva entidade setorial, ao Secretário-Geral do SSI e aos presidentes das Câmaras Municipais territorialmente competentes. |
| |
|
|
|
|
Artigo 10.º
Identificação de infraestruturas críticas europeias |
1 - As entidades setoriais selecionam, com base nos critérios previstos nos n.os 1 e 2 do artigo 8.º, as infraestruturas críticas nacionais com potencial para serem designadas como infraestruturas críticas europeias.
2 - As entidades setoriais submetem ao CNPCE uma proposta fundamentada quanto às infraestruturas críticas nacionais que devem também ser identificadas como infraestruturas críticas europeias.
3 - Sem prejuízo do disposto nos números anteriores, o CNPCE pode identificar infraestruturas críticas nacionais diferentes das propostas pelas entidades setoriais para serem designadas como infraestrutura crítica europeia quando verificar que aquelas apresentam as características e requisitos necessários ou quando sejam propostas pela Comissão Europeia ou por outro Estado-Membro da União Europeia.
4 - O CNPCE comunica a identificação de uma potencial infraestrutura crítica europeia ao respetivo operador, notificando-o para, querendo, se pronunciar sobre a referida identificação, fixando um prazo não inferior a 10 dias para o efeito.
5 - O CNPCE pode solicitar a colaboração da Comissão Europeia ou de outros Estados-Membros da União Europeia na identificação das infraestruturas críticas europeias ou na avaliação do impacto, nos respetivos territórios, da sua perturbação do funcionamento ou destruição. |
| |
|
|
|
|
Artigo 11.º
Designação de infraestruturas críticas europeias |
1 - O CNPCE informa a entidade congénere do Estado-Membro da União Europeia suscetível de ser afetado pela perturbação do funcionamento ou destruição da potencial infraestrutura crítica europeia, identificando a infraestrutura em causa e expondo os motivos para a sua eventual designação, solicitando o seu acordo.
2 - Para efeitos do disposto no número anterior, o CNPCE pode solicitar o apoio técnico ou diplomático de outras entidades nacionais.
3 - O CNPCE procede à designação da infraestrutura crítica europeia após ter obtido o acordo referido no n.º 1.
4 - A designação prevista no número anterior pode ser alterada ou revogada pelo CNPCE, oficiosamente ou mediante proposta fundamentada da respetiva entidade setorial ou do operador, com a concordância da respetiva entidade setorial, na sequência da:
a) Alteração ou revogação da designação da infraestrutura como infraestrutura crítica nacional;
b) Cessação dos pressupostos que conduziram à identificação da infraestrutura como infraestrutura crítica europeia;
c) Cessação do acordo referido no n.º 1.
5 - Para efeitos do disposto na alínea b) do número anterior, o CNPCE deve obter o acordo das entidades congéneres dos Estados-Membros da União Europeia que possam ser afetados de forma significativa pela infraestrutura crítica europeia em questão.
6 - O CNPCE:
a) Notifica o operador da infraestrutura, dando conhecimento à respetiva entidade setorial, ao Secretário-Geral do SSI e aos presidentes das Câmaras Municipais territorialmente competentes da designação da infraestrutura como infraestrutura crítica europeia, bem como da eventual alteração ou revogação dessa designação;
b) Informa anualmente a Comissão Europeia do número e identidade das infraestruturas críticas europeias designadas em cada sector e subsetor, bem como do número de Estados-Membros da União Europeia relacionados com cada infraestrutura crítica europeia.
7 - A identidade de uma infraestrutura crítica europeia apenas deve ser do conhecimento da Comissão Europeia e dos Estados-Membros da União Europeia que por ela possam ser afetados de forma significativa. |
| |
|
|
|
|
Artigo 12.º
Iniciativa de designação por outro Estado-Membro |
| O CNPCE pode informar a Comissão Europeia de que pretende iniciar debates bilaterais ou multilaterais sobre a designação de uma infraestrutura localizada noutro Estado-Membro da União Europeia como infraestrutura crítica europeia, caso considere que o Estado português pode por ela ser afetado de forma significativa e o Estado-Membro em cujo território se situe não a tenha designado como infraestrutura crítica europeia. |
| |
|
|
|
|
Artigo 13.º
Planos de segurança das infraestruturas críticas nacionais |
1 - Cada infraestrutura crítica nacional deve dispor de um plano de segurança, o qual inclui:
a) A identificação dos elementos críticos;
b) A delimitação das áreas de segurança;
c) Uma análise do risco baseada em cenários de ameaça grave, na vulnerabilidade de cada elemento e nos impactos potenciais;
d) A identificação, seleção e prioridade de contramedidas e procedimentos de segurança permanentes;
e) A identificação, seleção e prioridade de contramedidas e procedimentos de segurança progressivos a ativar consoante o grau de ameaça aplicável ou o estado de segurança decretado.
2 - As contramedidas e procedimentos de segurança permanentes previstos na alínea d) do número anterior incluem:
a) A instalação de equipamentos de deteção, controlo de acesso, proteção e prevenção, sem prejuízo do cumprimento das normas relativas à segurança física e digital da informação classificada;
b) Procedimentos de alerta e gestão de crises;
c) Normas de controlo de acesso e de verificação de segurança;
d) Ações de comunicação, sensibilização e formação;
e) Soluções em matéria de cibersegurança, nos termos previstos nos artigos 9.º e 10.º do Decreto-Lei n.º 65/2021, de 30 de julho;
f) Medidas de minimização dos danos e impactos e de reposição da normalidade.
3 - O Secretário-Geral do SSI elabora e divulga orientações para a elaboração dos planos de segurança, mediante parecer das entidades setoriais, das forças e serviços de segurança, da Autoridade Nacional de Emergência e Proteção Civil (ANEPC) e do Centro Nacional de Cibersegurança. |
| |
|
|
|
|
Artigo 14.º
Elaboração, aprovação e revisão dos planos de segurança |
1 - Os operadores das infraestruturas críticas nacionais elaboram o respetivo plano de segurança e submetem-no à aprovação do Secretário-Geral do SSI.
2 - A aprovação do plano de segurança carece dos pareceres, emitidos a pedido do Secretário-Geral do SSI, das forças de segurança territorialmente competentes, da ANEPC, da respectiva entidade setorial e do Centro Nacional de Cibersegurança, bem como de outras entidades com competência em razão da matéria.
3 - As entidades referidas no número anterior podem solicitar a colaboração de outras entidades públicas, bem como efetuar visitas técnicas à infraestrutura crítica para análise das medidas previstas no plano de segurança.
4 - A pedido do operador e mediante parecer das forças de segurança territorialmente competentes, da ANEPC, da respetiva entidade setorial e do Centro Nacional de Cibersegurança, o Secretário-Geral do SSI pode dispensar a elaboração do plano de segurança ou de algum dos seus componentes, caso o respetivo conteúdo se encontre previsto em instrumentos setoriais específicos.
5 - O plano de segurança é elaborado e submetido a aprovação no prazo de um ano após a designação da infraestrutura crítica nacional.
6 - O plano de segurança é revisto no prazo máximo de cinco anos a contar da sua aprovação, ou sempre que se justifique, nomeadamente em caso de:
a) Perturbação grave do normal funcionamento da infraestrutura crítica;
b) Alterações significativas na infraestrutura crítica;
c) Existência de novos conhecimentos, resultantes de simulacros e exercícios ou decorrentes da evolução da ciência e da técnica.
7 - Face a circunstâncias excecionais devidamente fundamentadas, o operador pode solicitar ao Secretário-Geral do SSI a prorrogação do prazo de entrega do plano de segurança, sendo o deferimento notificado ao requerente e ao CNPCE. |
| |
|
|
|
|
Artigo 15.º
Planos de segurança das infraestruturas críticas europeias |
1 - Cada infraestrutura crítica europeia situada em território nacional deve dispor de um plano de segurança.
2 - O plano de segurança das infraestruturas críticas europeias é elaborado e submetido à aprovação do Secretário-Geral do SSI no prazo de um ano após a designação da infraestrutura crítica europeia e revisto no prazo máximo de cinco anos, ou sempre que se justifique.
3 - Face a circunstâncias excecionais devidamente fundamentadas, o operador pode solicitar ao Secretário-Geral do SSI a prorrogação do prazo de entrega do plano de segurança, sendo o deferimento notificado ao requerente, ao CNPCE e à Comissão Europeia.
4 - O disposto no artigo 13.º e nos n.os 1 a 4 do artigo anterior é aplicável aos planos de segurança das infraestruturas críticas europeias. |
| |
|
|
|
|
Artigo 16.º
Articulação do plano de segurança |
| O plano de segurança da infraestrutura crítica articula-se com o plano de proteção e intervenção elaborado pelas forças de segurança territorialmente competentes, com o plano de emergência de proteção civil elaborado pela autoridade de proteção civil territorialmente competente e, quando apropriado, com instrumentos setoriais específicos. |
| |
|
|
|
|
Artigo 17.º
Agentes de ligação de segurança |
1 - Os operadores de infraestruturas críticas nacionais ou europeias designam como agente de ligação de segurança uma pessoa responsável pela articulação institucional, ao nível da segurança, entre o operador de uma infraestrutura crítica e as entidades previstas no presente decreto-lei, e comunicam-no ao Secretário-Geral do SSI, à ANEPC, ao Gabinete Nacional de Segurança e à respetiva entidade setorial, no prazo de 10 dias após a designação da infraestrutura crítica nacional.
2 - Ao agente de ligação de segurança compete:
a) Assegurar a ligação com o Secretário-Geral do SSI e com as forças de segurança territorialmente competentes para obtenção de informações sobre níveis de ameaça e para comunicação de informações provenientes das infraestruturas críticas do respetivo operador, nomeadamente sobre as situações anómalas que ocorram nas respetivas instalações e que possam ter impacto na segurança das infraestruturas críticas e dos seus trabalhadores;
b) Assegurar a ligação com a ANEPC para obtenção de informações sobre os estados de alerta especial no âmbito do Sistema Integrado de Operações de Proteção e Socorro;
c) Definir e efetuar a gestão da política de segurança da informação classificada, em articulação com o Gabinete Nacional de Segurança.
3 - O Secretário-Geral do SSI deve promover, diretamente ou através dos demais órgãos e entidades que integram o Sistema de Segurança Interna, a troca de informações pertinentes relativas às ameaças e riscos para as infraestruturas críticas com os respetivos agentes de ligação de segurança, sem prejuízo dos regimes do segredo de Estado e do segredo de justiça.
4 - As entidades referidas no número anterior devem facultar aos agentes de ligação de segurança o acesso às melhores práticas e metodologias disponíveis, bem como partilhar informação sobre os avanços científicos e técnicos relacionados com a proteção, segurança e aumento da resiliência das infraestruturas críticas. |
| |
|
|
|
|
|