|
DL n.º 20/2022, de 28 de Janeiro RESILIÊNCIA DAS INFRAESTRUTURAS CRÍTICAS NACIONAIS E EUROPEIAS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Aprova os procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias _____________________ |
|
Artigo 9.º
Designação das infraestruturas críticas nacionais |
1 - O CNPCE procede à designação das infraestruturas críticas nacionais e notifica-a ao operador, dando conhecimento à respetiva entidade setorial, ao Secretário-Geral do Sistema de Segurança Interna (SSI) e ao presidente da Câmara Municipal territorialmente competente.
2 - A designação prevista no número anterior pode ser alterada ou revogada pelo CNPCE, na sequência de proposta fundamentada:
a) Da respetiva entidade setorial;
b) Do operador, com a concordância da respetiva entidade setorial.
3 - No caso previsto no número anterior, a alteração ou revogação são notificadas ao operador, sendo dado conhecimento à respetiva entidade setorial, ao Secretário-Geral do SSI e aos presidentes das Câmaras Municipais territorialmente competentes. |
| |
|
|
|
|
Artigo 10.º
Identificação de infraestruturas críticas europeias |
1 - As entidades setoriais selecionam, com base nos critérios previstos nos n.os 1 e 2 do artigo 8.º, as infraestruturas críticas nacionais com potencial para serem designadas como infraestruturas críticas europeias.
2 - As entidades setoriais submetem ao CNPCE uma proposta fundamentada quanto às infraestruturas críticas nacionais que devem também ser identificadas como infraestruturas críticas europeias.
3 - Sem prejuízo do disposto nos números anteriores, o CNPCE pode identificar infraestruturas críticas nacionais diferentes das propostas pelas entidades setoriais para serem designadas como infraestrutura crítica europeia quando verificar que aquelas apresentam as características e requisitos necessários ou quando sejam propostas pela Comissão Europeia ou por outro Estado-Membro da União Europeia.
4 - O CNPCE comunica a identificação de uma potencial infraestrutura crítica europeia ao respetivo operador, notificando-o para, querendo, se pronunciar sobre a referida identificação, fixando um prazo não inferior a 10 dias para o efeito.
5 - O CNPCE pode solicitar a colaboração da Comissão Europeia ou de outros Estados-Membros da União Europeia na identificação das infraestruturas críticas europeias ou na avaliação do impacto, nos respetivos territórios, da sua perturbação do funcionamento ou destruição. |
| |
|
|
|
|
Artigo 11.º
Designação de infraestruturas críticas europeias |
1 - O CNPCE informa a entidade congénere do Estado-Membro da União Europeia suscetível de ser afetado pela perturbação do funcionamento ou destruição da potencial infraestrutura crítica europeia, identificando a infraestrutura em causa e expondo os motivos para a sua eventual designação, solicitando o seu acordo.
2 - Para efeitos do disposto no número anterior, o CNPCE pode solicitar o apoio técnico ou diplomático de outras entidades nacionais.
3 - O CNPCE procede à designação da infraestrutura crítica europeia após ter obtido o acordo referido no n.º 1.
4 - A designação prevista no número anterior pode ser alterada ou revogada pelo CNPCE, oficiosamente ou mediante proposta fundamentada da respetiva entidade setorial ou do operador, com a concordância da respetiva entidade setorial, na sequência da:
a) Alteração ou revogação da designação da infraestrutura como infraestrutura crítica nacional;
b) Cessação dos pressupostos que conduziram à identificação da infraestrutura como infraestrutura crítica europeia;
c) Cessação do acordo referido no n.º 1.
5 - Para efeitos do disposto na alínea b) do número anterior, o CNPCE deve obter o acordo das entidades congéneres dos Estados-Membros da União Europeia que possam ser afetados de forma significativa pela infraestrutura crítica europeia em questão.
6 - O CNPCE:
a) Notifica o operador da infraestrutura, dando conhecimento à respetiva entidade setorial, ao Secretário-Geral do SSI e aos presidentes das Câmaras Municipais territorialmente competentes da designação da infraestrutura como infraestrutura crítica europeia, bem como da eventual alteração ou revogação dessa designação;
b) Informa anualmente a Comissão Europeia do número e identidade das infraestruturas críticas europeias designadas em cada sector e subsetor, bem como do número de Estados-Membros da União Europeia relacionados com cada infraestrutura crítica europeia.
7 - A identidade de uma infraestrutura crítica europeia apenas deve ser do conhecimento da Comissão Europeia e dos Estados-Membros da União Europeia que por ela possam ser afetados de forma significativa. |
| |
|
|
|
|
Artigo 12.º
Iniciativa de designação por outro Estado-Membro |
| O CNPCE pode informar a Comissão Europeia de que pretende iniciar debates bilaterais ou multilaterais sobre a designação de uma infraestrutura localizada noutro Estado-Membro da União Europeia como infraestrutura crítica europeia, caso considere que o Estado português pode por ela ser afetado de forma significativa e o Estado-Membro em cujo território se situe não a tenha designado como infraestrutura crítica europeia. |
| |
|
|
|
|
Artigo 13.º
Planos de segurança das infraestruturas críticas nacionais |
1 - Cada infraestrutura crítica nacional deve dispor de um plano de segurança, o qual inclui:
a) A identificação dos elementos críticos;
b) A delimitação das áreas de segurança;
c) Uma análise do risco baseada em cenários de ameaça grave, na vulnerabilidade de cada elemento e nos impactos potenciais;
d) A identificação, seleção e prioridade de contramedidas e procedimentos de segurança permanentes;
e) A identificação, seleção e prioridade de contramedidas e procedimentos de segurança progressivos a ativar consoante o grau de ameaça aplicável ou o estado de segurança decretado.
2 - As contramedidas e procedimentos de segurança permanentes previstos na alínea d) do número anterior incluem:
a) A instalação de equipamentos de deteção, controlo de acesso, proteção e prevenção, sem prejuízo do cumprimento das normas relativas à segurança física e digital da informação classificada;
b) Procedimentos de alerta e gestão de crises;
c) Normas de controlo de acesso e de verificação de segurança;
d) Ações de comunicação, sensibilização e formação;
e) Soluções em matéria de cibersegurança, nos termos previstos nos artigos 9.º e 10.º do Decreto-Lei n.º 65/2021, de 30 de julho;
f) Medidas de minimização dos danos e impactos e de reposição da normalidade.
3 - O Secretário-Geral do SSI elabora e divulga orientações para a elaboração dos planos de segurança, mediante parecer das entidades setoriais, das forças e serviços de segurança, da Autoridade Nacional de Emergência e Proteção Civil (ANEPC) e do Centro Nacional de Cibersegurança. |
| |
|
|
|
|
Artigo 14.º
Elaboração, aprovação e revisão dos planos de segurança |
1 - Os operadores das infraestruturas críticas nacionais elaboram o respetivo plano de segurança e submetem-no à aprovação do Secretário-Geral do SSI.
2 - A aprovação do plano de segurança carece dos pareceres, emitidos a pedido do Secretário-Geral do SSI, das forças de segurança territorialmente competentes, da ANEPC, da respectiva entidade setorial e do Centro Nacional de Cibersegurança, bem como de outras entidades com competência em razão da matéria.
3 - As entidades referidas no número anterior podem solicitar a colaboração de outras entidades públicas, bem como efetuar visitas técnicas à infraestrutura crítica para análise das medidas previstas no plano de segurança.
4 - A pedido do operador e mediante parecer das forças de segurança territorialmente competentes, da ANEPC, da respetiva entidade setorial e do Centro Nacional de Cibersegurança, o Secretário-Geral do SSI pode dispensar a elaboração do plano de segurança ou de algum dos seus componentes, caso o respetivo conteúdo se encontre previsto em instrumentos setoriais específicos.
5 - O plano de segurança é elaborado e submetido a aprovação no prazo de um ano após a designação da infraestrutura crítica nacional.
6 - O plano de segurança é revisto no prazo máximo de cinco anos a contar da sua aprovação, ou sempre que se justifique, nomeadamente em caso de:
a) Perturbação grave do normal funcionamento da infraestrutura crítica;
b) Alterações significativas na infraestrutura crítica;
c) Existência de novos conhecimentos, resultantes de simulacros e exercícios ou decorrentes da evolução da ciência e da técnica.
7 - Face a circunstâncias excecionais devidamente fundamentadas, o operador pode solicitar ao Secretário-Geral do SSI a prorrogação do prazo de entrega do plano de segurança, sendo o deferimento notificado ao requerente e ao CNPCE. |
| |
|
|
|
|
Artigo 15.º
Planos de segurança das infraestruturas críticas europeias |
1 - Cada infraestrutura crítica europeia situada em território nacional deve dispor de um plano de segurança.
2 - O plano de segurança das infraestruturas críticas europeias é elaborado e submetido à aprovação do Secretário-Geral do SSI no prazo de um ano após a designação da infraestrutura crítica europeia e revisto no prazo máximo de cinco anos, ou sempre que se justifique.
3 - Face a circunstâncias excecionais devidamente fundamentadas, o operador pode solicitar ao Secretário-Geral do SSI a prorrogação do prazo de entrega do plano de segurança, sendo o deferimento notificado ao requerente, ao CNPCE e à Comissão Europeia.
4 - O disposto no artigo 13.º e nos n.os 1 a 4 do artigo anterior é aplicável aos planos de segurança das infraestruturas críticas europeias. |
| |
|
|
|
|
Artigo 16.º
Articulação do plano de segurança |
| O plano de segurança da infraestrutura crítica articula-se com o plano de proteção e intervenção elaborado pelas forças de segurança territorialmente competentes, com o plano de emergência de proteção civil elaborado pela autoridade de proteção civil territorialmente competente e, quando apropriado, com instrumentos setoriais específicos. |
| |
|
|
|
|
Artigo 17.º
Agentes de ligação de segurança |
1 - Os operadores de infraestruturas críticas nacionais ou europeias designam como agente de ligação de segurança uma pessoa responsável pela articulação institucional, ao nível da segurança, entre o operador de uma infraestrutura crítica e as entidades previstas no presente decreto-lei, e comunicam-no ao Secretário-Geral do SSI, à ANEPC, ao Gabinete Nacional de Segurança e à respetiva entidade setorial, no prazo de 10 dias após a designação da infraestrutura crítica nacional.
2 - Ao agente de ligação de segurança compete:
a) Assegurar a ligação com o Secretário-Geral do SSI e com as forças de segurança territorialmente competentes para obtenção de informações sobre níveis de ameaça e para comunicação de informações provenientes das infraestruturas críticas do respetivo operador, nomeadamente sobre as situações anómalas que ocorram nas respetivas instalações e que possam ter impacto na segurança das infraestruturas críticas e dos seus trabalhadores;
b) Assegurar a ligação com a ANEPC para obtenção de informações sobre os estados de alerta especial no âmbito do Sistema Integrado de Operações de Proteção e Socorro;
c) Definir e efetuar a gestão da política de segurança da informação classificada, em articulação com o Gabinete Nacional de Segurança.
3 - O Secretário-Geral do SSI deve promover, diretamente ou através dos demais órgãos e entidades que integram o Sistema de Segurança Interna, a troca de informações pertinentes relativas às ameaças e riscos para as infraestruturas críticas com os respetivos agentes de ligação de segurança, sem prejuízo dos regimes do segredo de Estado e do segredo de justiça.
4 - As entidades referidas no número anterior devem facultar aos agentes de ligação de segurança o acesso às melhores práticas e metodologias disponíveis, bem como partilhar informação sobre os avanços científicos e técnicos relacionados com a proteção, segurança e aumento da resiliência das infraestruturas críticas. |
| |
|
|
|
|
Artigo 18.º
Elementos de contacto da infraestrutura |
1 - Os operadores de infraestruturas críticas designam como elemento de contacto da infraestrutura uma pessoa que, relativamente a cada infraestrutura crítica, é responsável pela comunicação com as forças de segurança e os serviços de proteção civil territorialmente competentes, e comunicam-no ao Secretário-Geral do SSI, à ANEPC e às forças de segurança e aos serviços de proteção civil territorialmente competentes, no prazo de 10 dias após a designação da infraestrutura crítica nacional.
2 - Ao elemento de contacto da infraestrutura compete:
a) Verificar as condições de proteção e segurança da respetiva infraestrutura crítica e a eficácia dos dispositivos de segurança instalados;
b) Implementar medidas e ações de acordo com o previsto no plano de segurança;
c) Agilizar os contactos e a articulação com as estruturas locais das forças de segurança territorialmente competentes e com os serviços municipais de proteção civil;
d) Comunicar e acompanhar situações de risco que envolvam os trabalhadores ou pessoas com acesso a elementos sensíveis ou críticos da infraestrutura, de acordo com indícios técnicos previamente fixados pelas entidades competentes;
e) Comunicar as situações anómalas registadas nas infraestruturas críticas ou em que estejam envolvidos os seus trabalhadores.
3 - Pode ser designado o mesmo elemento de contacto da infraestrutura para várias infraestruturas críticas, desde que fiquem asseguradas as funções previstas no número anterior, bem como a disponibilidade de contacto em caso de incidente.
4 - Em casos devidamente fundamentados, o agente de ligação de segurança pode constituir-se simultaneamente como elemento de contacto da infraestrutura de uma ou várias infraestruturas críticas, nomeadamente quando a elevada complexidade e dimensão das infraestruturas o recomende ou as funções referidas no n.º 2 requeiram especiais competências e conhecimentos técnicos das infraestruturas e do seu funcionamento. |
| |
|
|
|
|
Artigo 19.º
Avaliação de ameaça |
1 - O Secretário-Geral do SSI, em articulação com as forças e serviços de segurança competentes, procede à avaliação das ameaças que, a cada momento, impendem sobre as infraestruturas críticas e os respetivos setores.
2 - O Secretário-Geral do SSI transmite à Comissão Europeia um resumo bienal de dados gerais sobre os tipos de riscos, ameaças e vulnerabilidades com que se depara cada um dos setores das infraestruturas críticas europeias situadas em território nacional.
3 - Os relatórios referidos no número anterior são classificados com o grau de segurança considerado adequado, nos termos do artigo 5.º |
| |
|
|
|
|
|