|
DL n.º 20/2022, de 28 de Janeiro RESILIÊNCIA DAS INFRAESTRUTURAS CRÍTICAS NACIONAIS E EUROPEIAS(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Aprova os procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias _____________________ |
|
Artigo 13.º
Planos de segurança das infraestruturas críticas nacionais |
1 - Cada infraestrutura crítica nacional deve dispor de um plano de segurança, o qual inclui:
a) A identificação dos elementos críticos;
b) A delimitação das áreas de segurança;
c) Uma análise do risco baseada em cenários de ameaça grave, na vulnerabilidade de cada elemento e nos impactos potenciais;
d) A identificação, seleção e prioridade de contramedidas e procedimentos de segurança permanentes;
e) A identificação, seleção e prioridade de contramedidas e procedimentos de segurança progressivos a ativar consoante o grau de ameaça aplicável ou o estado de segurança decretado.
2 - As contramedidas e procedimentos de segurança permanentes previstos na alínea d) do número anterior incluem:
a) A instalação de equipamentos de deteção, controlo de acesso, proteção e prevenção, sem prejuízo do cumprimento das normas relativas à segurança física e digital da informação classificada;
b) Procedimentos de alerta e gestão de crises;
c) Normas de controlo de acesso e de verificação de segurança;
d) Ações de comunicação, sensibilização e formação;
e) Soluções em matéria de cibersegurança, nos termos previstos nos artigos 9.º e 10.º do Decreto-Lei n.º 65/2021, de 30 de julho;
f) Medidas de minimização dos danos e impactos e de reposição da normalidade.
3 - O Secretário-Geral do SSI elabora e divulga orientações para a elaboração dos planos de segurança, mediante parecer das entidades setoriais, das forças e serviços de segurança, da Autoridade Nacional de Emergência e Proteção Civil (ANEPC) e do Centro Nacional de Cibersegurança. |
| |
|
|
|
|
Artigo 14.º
Elaboração, aprovação e revisão dos planos de segurança |
1 - Os operadores das infraestruturas críticas nacionais elaboram o respetivo plano de segurança e submetem-no à aprovação do Secretário-Geral do SSI.
2 - A aprovação do plano de segurança carece dos pareceres, emitidos a pedido do Secretário-Geral do SSI, das forças de segurança territorialmente competentes, da ANEPC, da respectiva entidade setorial e do Centro Nacional de Cibersegurança, bem como de outras entidades com competência em razão da matéria.
3 - As entidades referidas no número anterior podem solicitar a colaboração de outras entidades públicas, bem como efetuar visitas técnicas à infraestrutura crítica para análise das medidas previstas no plano de segurança.
4 - A pedido do operador e mediante parecer das forças de segurança territorialmente competentes, da ANEPC, da respetiva entidade setorial e do Centro Nacional de Cibersegurança, o Secretário-Geral do SSI pode dispensar a elaboração do plano de segurança ou de algum dos seus componentes, caso o respetivo conteúdo se encontre previsto em instrumentos setoriais específicos.
5 - O plano de segurança é elaborado e submetido a aprovação no prazo de um ano após a designação da infraestrutura crítica nacional.
6 - O plano de segurança é revisto no prazo máximo de cinco anos a contar da sua aprovação, ou sempre que se justifique, nomeadamente em caso de:
a) Perturbação grave do normal funcionamento da infraestrutura crítica;
b) Alterações significativas na infraestrutura crítica;
c) Existência de novos conhecimentos, resultantes de simulacros e exercícios ou decorrentes da evolução da ciência e da técnica.
7 - Face a circunstâncias excecionais devidamente fundamentadas, o operador pode solicitar ao Secretário-Geral do SSI a prorrogação do prazo de entrega do plano de segurança, sendo o deferimento notificado ao requerente e ao CNPCE. |
| |
|
|
|
|
Artigo 15.º
Planos de segurança das infraestruturas críticas europeias |
1 - Cada infraestrutura crítica europeia situada em território nacional deve dispor de um plano de segurança.
2 - O plano de segurança das infraestruturas críticas europeias é elaborado e submetido à aprovação do Secretário-Geral do SSI no prazo de um ano após a designação da infraestrutura crítica europeia e revisto no prazo máximo de cinco anos, ou sempre que se justifique.
3 - Face a circunstâncias excecionais devidamente fundamentadas, o operador pode solicitar ao Secretário-Geral do SSI a prorrogação do prazo de entrega do plano de segurança, sendo o deferimento notificado ao requerente, ao CNPCE e à Comissão Europeia.
4 - O disposto no artigo 13.º e nos n.os 1 a 4 do artigo anterior é aplicável aos planos de segurança das infraestruturas críticas europeias. |
| |
|
|
|
|
Artigo 16.º
Articulação do plano de segurança |
| O plano de segurança da infraestrutura crítica articula-se com o plano de proteção e intervenção elaborado pelas forças de segurança territorialmente competentes, com o plano de emergência de proteção civil elaborado pela autoridade de proteção civil territorialmente competente e, quando apropriado, com instrumentos setoriais específicos. |
| |
|
|
|
|
Artigo 17.º
Agentes de ligação de segurança |
1 - Os operadores de infraestruturas críticas nacionais ou europeias designam como agente de ligação de segurança uma pessoa responsável pela articulação institucional, ao nível da segurança, entre o operador de uma infraestrutura crítica e as entidades previstas no presente decreto-lei, e comunicam-no ao Secretário-Geral do SSI, à ANEPC, ao Gabinete Nacional de Segurança e à respetiva entidade setorial, no prazo de 10 dias após a designação da infraestrutura crítica nacional.
2 - Ao agente de ligação de segurança compete:
a) Assegurar a ligação com o Secretário-Geral do SSI e com as forças de segurança territorialmente competentes para obtenção de informações sobre níveis de ameaça e para comunicação de informações provenientes das infraestruturas críticas do respetivo operador, nomeadamente sobre as situações anómalas que ocorram nas respetivas instalações e que possam ter impacto na segurança das infraestruturas críticas e dos seus trabalhadores;
b) Assegurar a ligação com a ANEPC para obtenção de informações sobre os estados de alerta especial no âmbito do Sistema Integrado de Operações de Proteção e Socorro;
c) Definir e efetuar a gestão da política de segurança da informação classificada, em articulação com o Gabinete Nacional de Segurança.
3 - O Secretário-Geral do SSI deve promover, diretamente ou através dos demais órgãos e entidades que integram o Sistema de Segurança Interna, a troca de informações pertinentes relativas às ameaças e riscos para as infraestruturas críticas com os respetivos agentes de ligação de segurança, sem prejuízo dos regimes do segredo de Estado e do segredo de justiça.
4 - As entidades referidas no número anterior devem facultar aos agentes de ligação de segurança o acesso às melhores práticas e metodologias disponíveis, bem como partilhar informação sobre os avanços científicos e técnicos relacionados com a proteção, segurança e aumento da resiliência das infraestruturas críticas. |
| |
|
|
|
|
Artigo 18.º
Elementos de contacto da infraestrutura |
1 - Os operadores de infraestruturas críticas designam como elemento de contacto da infraestrutura uma pessoa que, relativamente a cada infraestrutura crítica, é responsável pela comunicação com as forças de segurança e os serviços de proteção civil territorialmente competentes, e comunicam-no ao Secretário-Geral do SSI, à ANEPC e às forças de segurança e aos serviços de proteção civil territorialmente competentes, no prazo de 10 dias após a designação da infraestrutura crítica nacional.
2 - Ao elemento de contacto da infraestrutura compete:
a) Verificar as condições de proteção e segurança da respetiva infraestrutura crítica e a eficácia dos dispositivos de segurança instalados;
b) Implementar medidas e ações de acordo com o previsto no plano de segurança;
c) Agilizar os contactos e a articulação com as estruturas locais das forças de segurança territorialmente competentes e com os serviços municipais de proteção civil;
d) Comunicar e acompanhar situações de risco que envolvam os trabalhadores ou pessoas com acesso a elementos sensíveis ou críticos da infraestrutura, de acordo com indícios técnicos previamente fixados pelas entidades competentes;
e) Comunicar as situações anómalas registadas nas infraestruturas críticas ou em que estejam envolvidos os seus trabalhadores.
3 - Pode ser designado o mesmo elemento de contacto da infraestrutura para várias infraestruturas críticas, desde que fiquem asseguradas as funções previstas no número anterior, bem como a disponibilidade de contacto em caso de incidente.
4 - Em casos devidamente fundamentados, o agente de ligação de segurança pode constituir-se simultaneamente como elemento de contacto da infraestrutura de uma ou várias infraestruturas críticas, nomeadamente quando a elevada complexidade e dimensão das infraestruturas o recomende ou as funções referidas no n.º 2 requeiram especiais competências e conhecimentos técnicos das infraestruturas e do seu funcionamento. |
| |
|
|
|
|
Artigo 19.º
Avaliação de ameaça |
1 - O Secretário-Geral do SSI, em articulação com as forças e serviços de segurança competentes, procede à avaliação das ameaças que, a cada momento, impendem sobre as infraestruturas críticas e os respetivos setores.
2 - O Secretário-Geral do SSI transmite à Comissão Europeia um resumo bienal de dados gerais sobre os tipos de riscos, ameaças e vulnerabilidades com que se depara cada um dos setores das infraestruturas críticas europeias situadas em território nacional.
3 - Os relatórios referidos no número anterior são classificados com o grau de segurança considerado adequado, nos termos do artigo 5.º |
| |
|
|
|
|
Artigo 20.º
Verificações de segurança |
1 - O Secretário-Geral do SSI pode proceder à avaliação da execução do plano de segurança da infraestrutura crítica.
2 - A identificação de medidas e ações a suprir ou a corrigir é notificada ao operador da infraestrutura crítica, assim como do prazo para a sua implementação.
3 - O Secretário-Geral do SSI pode promover, através da Autoridade Nacional de Segurança, realização de verificações de segurança a qualquer pessoa que deva ter acesso às áreas sensíveis e críticas da infraestrutura, até ao grau de reservado, ou a sua credenciação de segurança no grau necessário de confidencial ou superior, exceto quando a mesma já possua uma credenciação de segurança válida no grau igual ou superior ao necessário.
4 - À verificação prevista no número anterior são aplicáveis os critérios constantes do anexo i da Decisão n.º 2013/488/UE, do Conselho, de 23 de setembro de 2003, relativa às regras de segurança aplicáveis à proteção das informações classificadas da União Europeia.
5 - Para os efeitos previstos no n.º 3, os operadores fornecem os dados e informações solicitados pelo Secretário-Geral do SSI.
6 - Caso o Secretário-Geral do SSI conclua pela falta de idoneidade da pessoa sobre a qual recaiu a verificação de segurança, comunica o facto ao agente de ligação de segurança, o qual assegura o não acesso da pessoa a áreas sensíveis ou críticas. |
| |
|
|
|
|
Artigo 21.º
Simulacros e exercícios |
1 - O operador deve realizar simulacros de segurança em cada infraestrutura crítica, no mínimo de dois em dois anos, com o envolvimento das forças de segurança e do serviço municipal de proteção civil territorialmente competente, bem como de outras entidades consideradas relevantes para o efeito, visando testar a adequação das medidas e ações constantes dos planos de segurança, assim como dos seus aspetos procedimentais.
2 - O Secretário-Geral do SSI e o CNPCE podem promover a realização de exercícios estratégicos de tomada de decisão, envolvendo os respetivos operadores, as entidades setoriais e outras entidades relevantes em razão da matéria, assim como, quando pertinente, as entidades de outros Estados-Membros da União Europeia. |
| |
|
|
|
|
Artigo 22.º
Plataforma de Registo de Informação de Infraestruturas Críticas |
1 - O Secretário-Geral do SSI deve criar e manter atualizada uma Plataforma de Registo de Informação de Infraestruturas Críticas (Plataforma de Registo), acreditada pela Autoridade Nacional de Segurança.
2 - A Plataforma de Registo compreende:
a) A catalogação das infraestruturas críticas nacionais ou europeias localizadas em território nacional, incluindo a sua georreferenciação;
b) Os contactos dos agentes de ligação de segurança e dos elementos de contacto da infraestrutura, relativos a cada infraestrutura crítica, nacional ou europeia.
3 - A Plataforma visa facilitar:
a) A disponibilização e troca de informação relativas a avaliações de ameaça e de risco;
b) A promoção de medidas, recomendações e boas práticas, destinadas a aumentar a resiliência das infraestruturas críticas;
c) A disponibilização de dados que permitam decidir sobre o planeamento e a priorização das intervenções de reforço da segurança;
d) A monitorização, o registo e a gestão de acidentes e incidentes que sejam considerados relevantes para efeitos do presente decreto-lei.
4 - Os operadores e as entidades que compõem o CNPCE comunicam ao Secretário-Geral do SSI quaisquer informações relevantes para os objetivos da Plataforma de Registo.
5 - Sem prejuízo do disposto no número anterior, é obrigatória a comunicação ao Secretário-Geral do SSI de incidentes de segurança registados nas infraestruturas críticas, nacionais ou europeias.
6 - A Plataforma de Registo operacionaliza o registo central previsto no ponto vi) da alínea c) do n.º 4 da Estratégia Nacional de Combate ao Terrorismo, aprovada pela Resolução do Conselho de Ministros n.º 7-A/2015, de 20 de fevereiro.
7 - O acesso à Plataforma de Registo é realizado preferencialmente mediante autenticação eletrónica através do Cartão de Cidadão ou da Chave Móvel Digital, com recurso ao Sistema de Certificação de Atributos Profissionais. |
| |
|
|
|
|
| A fiscalização do cumprimento do presente decreto-lei compete ao Secretário-Geral do SSI. |
| |
|
|
|
|
|