Perguntas mais frequentes (FAQ)

À Administração Pública, aos operadores de infraestruturas críticas, aos operadores de serviços essenciais, aos prestadores de serviços digitais, bem como a quaisquer outras entidades que utilizem redes e sistemas de informação, nomeadamente, no âmbito da notificação voluntária de incidentes.

O Estado, as regiões autónomas, as autarquias locais, as entidades administrativas independentes, os institutos públicos, as empresas públicas e as associações públicas.

Uma entidade pública ou privada que presta um serviço essencial, no âmbito dos seguintes setores: energia (subsetores: eletricidade, petróleo e gás) transportes (subsetores: transporte aéreo, transporte ferroviário, transporte marítimo e por vias navegáveis interiores, bem como, transporte rodoviário), bancário, infraestruturas do mercado financeiro, saúde (subsetor: instalações de prestação de cuidados de saúde), fornecimento e distribuição de água potável e infraestruturas digitais.

De acordo com o artigo 29.º da Lei 46/2018, de 13 de agosto, o CNCS constitui e atualiza anualmente a lista dos operadores de serviços essenciais. .

Uma pessoa coletiva que presta um serviço digital, a saber, serviço de mercado em linha, serviço de motor de pesquisa em linha ou serviço de computação em nuvem.

O Decreto-Lei n.º 65/2021, de 30 de julho, que regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019, aplica-se às entidades da Administração Pública, Operadores de Infraestruturas Críticas, Operadores de Serviços Essenciais e Prestadores de Serviços Digitais, de acordo com o n.º 1 do respetivo artigo 2.º.

O Decreto-Lei n.º 65/2021, de 30 de julho, prevê as obrigações de aplicação de requisitos de segurança e de notificação de incidentes para todas as entidades no seu âmbito de aplicação, nos termos do n.º 2 do artigo 1.º, com exceção dos prestadores de serviços digitais aos quais em matéria de requisitos de segurança e de limites para notificação de incidentes, se aplica o Regulamento de Execução (UE) 2018/151, da Comissão, de 30 de janeiro de 2018. Aplica-se ainda às referidas entidades as obrigações de:
- designar e comunicar ao CNCS o respetivo ponto de contacto permanente e o responsável de segurança;
- elaborar o inventário de ativos e apresentar ao CNCS uma lista de ativos elaborada com base no inventário;
- elaborar um plano de segurança; e
- elaborar e apresentar ao CNCS o relatório anual.
As referidas obrigações decorrem dos artigos n.ºs 4, 5, 6, 7 e 8 do referido Decreto-Lei n.º 65/2021, de 30 de julho. As obrigações de comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes encontram-se agora previstas no Regulamento n.º 183/2022, de 21 de fevereiro, quanto aos termos da comunicação de informação ao CNCS e formatação aplicável.

A obrigação de comunicação do exercício de atividade ao CNCS para os operadores de serviços essenciais no setor das infraestruturas digitais e para os prestadores de serviços digitais decorre do n.º 3 do artigo 29.º e do n.º 1 do artigo 30.º da Lei n.º 46/2018, de 13 de agosto.
A comunicação do exercício de atividade deve ser realizada por meios eletrónicos para o endereço de correio eletrónico sri@cncs.gov.pt.

O envio das notificações de incidentes e de informação adicional, de acordo com os termos dos artigos 11.º a 16.º do Decreto-Lei n.º 65/2021, de 30 de julho, deve ser realizado nos termos do artigo 6.º do Regulamento n.º 183/2022, de 21 de fevereiro, de acordo com o qual o envio das notificações de incidentes e de informação adicional, é realizado através do sítio na Internet do CNCS (https://www.cncs.gov.pt) na funcionalidade «Notificação de Incidentes», mediante o preenchimento do modelo de reporte estabelecido para o efeito, ou via API (application programming interface) disponibilizada pelo CNCS para o efeito. Nos casos em que a entidade em resultado do incidente ou por outro motivo de natureza eminentemente técnica devidamente justificado, não tem temporariamente capacidade operacional para assegurar a notificação no sítio na Internet do Centro Nacional de Cibersegurança, ou nos casos em que o mesmo esteja indisponível, a notificação poderá ser efetuada, a título excecional, através:
- De correio eletrónico remetido para o seguinte endereço: cert@cert.pt;
- Por telefone através do número (+351) 210 497 399;
- Por telefone através do número (+351) 910 599 284, em disponibilidade contínua (24 horas por dia e sete dias por semana).
Caso as entidades pretendam enviar a notificação protegida por método criptográfico, podem proteger a informação utilizando a chave pública de PGP, associada ao endereço de correio eletrónico referido na alínea a) do número anterior, publicada no sítio na Internet do CNCS.

A metodologia para realização de análise de riscos encontra-se prevista no artigo 10.º do Decreto-Lei n.º 65/2021, de 30 de julho. Assim, o n.º 1 do referido artigo 10.º determina que as entidades da Administração Pública e os operadores de infraestruturas críticas, bem como os operadores de serviços essenciais, devem realizar uma análise dos riscos em relação a todos os ativos que garantam a continuidade do funcionamento das redes e dos sistemas de informação que utilizam e, no caso dos operadores de serviços essenciais, também em relação aos ativos que garantam a prestação dos serviços essenciais.
Deve ainda ser considerado que o Quadro Nacional de Referência para a Cibersegurança tem um capítulo referente à gestão de risco, tendo por base as normas técnicas internacionais de referência para este efeito. A metodologia proposta pelo CNCS, é composta por várias fases – estabelecer o contexto, identificação, análise, avaliação, tratamento e aceitação do risco, em paralelo com as fases de comunicação e consulta do risco e monitorização e revisão do risco – que especificam orientações e processos para gestão do risco de segurança dos sistemas de informação de uma entidade. Além disso, o CNCS pode emitir instruções técnicas com vista a uma harmonização da matriz de risco a adotar pelas entidades.

As entidades no âmbito de aplicação do Decreto-Lei n.º 65/2021, de 30 de julho, relativamente ao Regime Jurídico de Segurança do Ciberespaço, devem, de acordo com os artigos n.ºs 4, 5, 6 e 8 do referido Decreto-Lei n.º 65/2021, de 30 de julho:
- designar e comunicar ao CNCS o respetivo ponto de contacto permanente e o responsável de segurança;
- elaborar o inventário de ativos e apresentar ao CNCS uma lista de ativos elaborada com base no inventário; e
- elaborar e apresentar ao CNCS o relatório anual.
A comunicação destes elementos deve ser realizada por meios eletrónicos para o endereço de correio eletrónico sri@cncs.gov.pt. Refira-se ainda que o plano de segurança deve ser elaborado e mantido atualizado nos termos do n.º 1 do artigo 7.º pelas entidades no âmbito de aplicação do Decreto-Lei n.º 65/2021, de 30 de julho, não sendo previsto o envio deste documento ao CNCS.
As obrigações de comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes encontram-se agora previstas no Regulamento n.º 183/2022, de 21 de fevereiro, quanto aos termos da comunicação de informação ao CNCS e formatação aplicável.

Nos termos do n.º 1 do artigo 6.º do Decreto-Lei n.º 65/2021, de 30 de julho, as entidades devem elaborar e manter atualizado um inventário de todos os ativos essenciais para a prestação dos respetivos serviços, devendo o mesmo ser assinado pelo responsável de segurança, e remeter ao CNCS uma lista de ativos, elaborada com base no inventário, por meios eletrónicos para o endereço de correio eletrónico sri@cncs.gov.pt.
Em referência a esta questão, encontra-se publicado no Diário da República, 2.ª série, n.º 36, de 21 de fevereiro de 2022, o Regulamento n.º 183/2022 que configura Instrução técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes, cujo procedimento de consulta pública encerrou em 30 de dezembro de 2021. Neste âmbito deverá ser verificado o disposto no artigo 4.º do Regulamento, referente à definição de ativo essencial, inventário de ativos e lista de ativos.

Nos termos do n.º 1 do artigo 4.º no Regulamento n.º 183/2022, de 21 de fevereiro, entende -se por «Ativo» todo o sistema de informação e comunicação, os equipamentos e os demais recursos físicos e lógicos considerados essenciais, geridos ou detidos pela entidade, que suportam, direta ou indiretamente, um ou mais serviços.
Para cada ativo identificado de acordo com o n.º 1 do artigo 6.º do Decreto-Lei n.º 65/2021, de 30 de julho, aplica-se o seguinte:
A entidade deve efetuar o inventário dos seus equipamentos de acordo com as seguintes regras:
a) Os dispositivos físicos e sistemas devem ser inventariados com a seguinte informação:
i) Número de inventário;
ii) Nome e modelo do equipamento;
iii) Número de série;
iv) Localização.
b) Os dispositivos ligados à rede devem ter a seguinte informação complementar:
i) Endereço IP;
ii) Endereço de hardware.
c) Os responsáveis dos dispositivos e sistemas devem ser identificados com, pelo menos, os seguintes elementos:
i) Nome;
ii) Contacto;
iii) Departamento.
d) Os dispositivos físicos e sistemas devem ser classificados de acordo com a sua criticidade para a entidade.
Assim, a entidade deve elaborar o inventário de todas as suas aplicações, identificando:
a) Informação necessária ao inventário de uma aplicação, nomeadamente:
i) Nome do software;
ii) Versão;
iii) Fabricante.
b) Os responsáveis pelas aplicações com, pelo menos, os seguintes elementos:
i) Nome;
ii) Contacto;
iii) Departamento.
c) A classificação em função da criticidade da aplicação para a entidade;
d) Quando aplicável, o tipo de contrato de suporte em vigor com o fornecedor da aplicação
ou plataforma de software.

Nos termos do n.º 3 do artigo 4.º do para efeitos do n.º 3 do artigo 6.º do Decreto-Lei n.º 65/2021, de 30 de julho, as entidades devem comunicar ao CNCS, com base no inventário de ativos a que se refere o n.º 1 do artigo 6.º do referido normativo, para todos os ativos diretamente acessíveis publicamente através da Internet, uma lista com a seguinte informação:
a) Serviço suportado;
b) Nome do equipamento/Nome do software;
c) Modelo/Versão;
d) Endereço IP, se aplicável;
e) Fully Qualified Domain Names (FQDNs), se aplicável;
f) Fabricante.

A lista a que se refere o número anterior deve ser remetida para o endereço de correio eletrónico indicado no n.º 1 do artigo 1.º do Regulamento n.º 183/2022, de 21 de fevereiro: sri@cncs.gov.pt, preenchendo e juntando o formulário, constante do anexo III ao referido Regulamento, e disponível no sítio na Internet do CNCS, ou via API.

As entidades devem elaborar um relatório anual que, em relação ao ano civil a que se reporta, contenha os elementos identificados no n.º 1 do artigo 8.º do Decreto-Lei n.º 65/2021, de 30 de julho. Este relatório deve ser assinado pelo responsável de segurança e remetido ao CNCS por meios eletrónicos para o endereço de correio eletrónico sri@cncs.gov.pt.
Em referência a esta questão, encontra-se publicado no Diário da República, 2.ª série, n.º 36, de 21 de fevereiro de 2022, o Regulamento n.º 183/2022 que configura Instrução técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes, cujo procedimento de consulta pública encerrou em 30 de dezembro de 2021. Neste âmbito deverá ser verificado o disposto no artigo 5.º do Regulamento n.º 183/2022, de 21 de fevereiro, referente ao relatório anual.

O relatório anual deve ser comunicado ao CNCS nos termos dos n.ºs 2 e 3 do artigo 8.º do Decreto-Lei n.º 65/2021, de 30 de julho, contendo a informação referida no n.º 1 do mesmo artigo.
O relatório anual deve ser remetido para o endereço de correio eletrónico indicado no n.º 1 do artigo 1.º do Regulamento n.º 183/2022, de 21 de fevereiro: sri@cncs.gov.pt, preenchendo e juntando um ficheiro PDF, o qual deverá respeitar a estrutura constante do anexo IV do referido Regulamento, e disponível no sítio na Internet do Centro Nacional de Cibersegurança, ou via API.

O plano de segurança é um documento estruturado e dinâmico que deve descrever como uma entidade aborda todas as suas necessidades de segurança de informação e cibersegurança. As entidades devem elaborar e manter atualizado um plano de segurança, devidamente documentado e assinado pelo responsável de segurança, que contenha os elementos identificados no n.º 1 do artigo 7.º do Decreto-Lei n.º 65/2021, de 30 de julho.
Refira-se ainda que o plano de segurança deve ser elaborado e mantido atualizado pelas entidades no âmbito de aplicação do Decreto-Lei n.º 65/2021, de 30 de julho, não sendo previsto o envio deste documento ao CNCS.

As entidades no âmbito de aplicação do Decreto-Lei n.º 65/2021, de 30 de julho, têm as obrigações de designar e comunicar ao CNCS o respetivo ponto de contacto permanente, nos termos do artigo 4.º do mesmo normativo, e o respetivo responsável de segurança, nos termos do artigo 5.º do referido normativo. As entidades devem indicar, pelo menos, um ponto de contacto permanente, de modo a assegurar os fluxos de informação de nível operacional e técnico com o CNCS, nomeadamente para os fluxos de informação previstos no n.º 1 do referido artigo 4.º.
O responsável de segurança designado pelas entidades tem como função a gestão do conjunto das medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes, nos termos do Regime Jurídico da Segurança do Ciberespaço e do Decreto-Lei n.º 65/2021, de 30 de julho.
Em referência a esta questão, encontra-se publicado no Diário da República, 2.ª série, n.º 36, de 21 de fevereiro de 2022, o Regulamento n.º 183/2022 que configura Instrução técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes, cujo procedimento de consulta pública encerrou em 30 de dezembro de 2021.

Desde que asseguradas as funções de responsável de segurança e de ponto de contacto permanente, fica no âmbito de decisão da entidade supervisionada a possibilidade de acumulação de funções e a respetiva designação.
Note-se que de acordo com o n.º 2 do artigo 4.º do Decreto-Lei n.º 65/2021, de 30 de julho, as entidades devem assegurar a função de ponto de contacto permanente com uma disponibilidade contínua de 24 horas por dia e de sete dias por semana, limitada a períodos de ativação, iniciados e terminados mediante comunicação do CNCS, podendo esta função ser exercida por uma pessoa ou por várias pessoas.

Nos termos do artigo 2.º do Regulamento n.º 183/2022, de 21 de fevereiro, e de acordo com o previsto nos n.ºs 3, 4 e 5, do artigo 4.º do Decreto-Lei n.º 65/2021, de 30 de julho, a informação a constar da comunicação a realizar ao CNCS sobre o ponto de contacto permanente deve conter o nome da pessoa ou pessoas responsáveis, ou serviço disponível ou equipa operacional, por assegurar as funções de ponto de contacto permanente, e indicação dos meios de contacto principais e alternativos, nomeadamente contendo, no mínimo, a seguinte informação:
- Nome da entidade;
- Endereço de correio eletrónico principal;
- Endereço de correio eletrónico alternativo;
- Número de telefone fixo principal, se aplicável;
- Número de telefone móvel principal;
- Número de telefone fixo alternativo, se aplicável;
- Número de telefone móvel alternativo;
- Outros contactos alternativos.
Esta comunicação deve ser realizada para o endereço de correio eletrónico indicado no n.º 1 do artigo 1.º do Regulamento n.º 183/2022, de 21 de fevereiro: sri@cncs.gov.pt, preenchendo e juntando o formulário, constante do anexo I ao referido Regulamento, e disponível no sítio na Internet do Centro Nacional de Cibersegurança, ou via API.

A indicação da pessoa designada para as funções de responsável de segurança deve ser comunicada ao CNCS nos termos dos n.ºs 2, 3 e 4 do artigo 5.º do Decreto-Lei n.º 65/2021, de 30 de julho, nos termos do artigo 3.º do Regulamento n.º 183/2022, de 21 de fevereiro.
Assim, a informação a constar da comunicação a realizar ao CNCS deve conter o nome da pessoa designada para assegurar as funções de responsável de segurança nomeadamente contendo, no mínimo, a seguinte informação:
- Nome da entidade;
- Nome do responsável de segurança;
- Cargo do responsável de segurança;
- Endereço de correio eletrónico;
- Número de telefone fixo, se aplicável;
- Número de telefone móvel.
Esta comunicação deve ser realizada para o endereço de correio eletrónico indicado no n.º 1 do artigo 1.º do Regulamento n.º 183/2022, de 21 de fevereiro: sri@cncs.gov.pt, preenchendo e juntando o formulário, constante do anexo II ao Regulamento, e disponível no sítio na Internet do Centro Nacional de Cibersegurança, ou via API.

Nos termos do n.º 1 do artigo 1.º do Regulamento n.º 183/2022, de 21 de fevereiro, o envio de informação ao CNCS no âmbito dos artigos 4.º, 5.º, 6.º e 8.º do Decreto-Lei n.º 65/2021, de 30 de julho, deve ser realizada por meios eletrónicos para o endereço de correio eletrónico sri@cncs.gov.pt, ou via API (application programming interface) disponibilizada pelo CNCS para o efeito.
Também nos termos do n.º 1 do artigo 6.º do Regulamento 183/2022, de 21 de fevereiro, o envio das notificações de incidentes e de informação adicional, de acordo com os termos dos artigos 11.º a 16.º do Decreto -Lei n.º 65/2021, de 30 de julho, deve ser realizado através do sítio na Internet do Centro Nacional de Cibersegurança (https://www.cncs.gov.pt) na funcionalidade «Notificação de Incidentes», mediante o preenchimento do modelo de reporte estabelecido para o efeito, ou via API (application programming interface) disponibilizada pelo CNCS para o efeito.
A API está em fase final de desenvolvimento, tendo já iniciado a fase de testes. Assim que possível serão tornadas públicas mais informações sobre a operacionalização da API.

Os formulários disponíveis para comunicação da informação referente ao ponto de contacto permanente, responsável de segurança, lista de ativos e relatório anual encontram-se disponíveis na página da Internet do Centro Nacional de Cibersegurança em https://www.cncs.gov.pt/pt/regime-juridico/envio-informacao/
Os formulários podem também ser consultados nos anexos do Regulamento n.º 183/2022, de 21 de fevereiro.

O CNCS encontra-se a desenvolver normativos complementares setoriais para efeito das obrigações de notificação de incidentes e de implementação de requisitos de segurança, nos termos previstos na alínea a), do n.º 6, do artigo 10.º do Decreto-Lei n.º 65/2021, de 30 de julho, e do n.º 1 do artigo 18.º do mesmo normativo, em colaboração com as entidades reguladoras e com poderes de supervisão nos setores previstos no Anexo à Lei n.º 46/2018, de 13 de agosto.
Os normativos complementares setoriais serão publicitados para procedimento de consulta pública na 2.ª série do Diário da República e no sítio na Internet do Centro Nacional de Cibersegurança (https://www.cncs.gov.pt).

Neste momento, não existe na UE ou em Portugal qualquer obrigatoriedade em matéria de certificação da cibersegurança. Não significa, porém, que a certificação da cibersegurança não venha a ser obrigatória para qualquer fim concreto, abrangendo categorias de entidades devidamente especificadas.
Caso tal venha a suceder (sendo certo que tal decisão implica um processo que não é imediato), as entidades relevantes serão devidamente notificadas e o CNCS terá o cuidado de providenciar informações e todo o tipo de conteúdos informativos que possam ajudar a esclarecer as eventuais dúvidas.

Não. Por norma, a certificação da cibersegurança é voluntária e facultativa, isto é, as entidades certificam-se se e sempre que assim o desejarem, salvo se as autoridades europeias ou nacionais estabelecerem a sua obrigatoriedade para fins relativos a determinado contexto específico.
Neste momento, não existe na UE ou em Portugal qualquer obrigatoriedade em matéria de certificação da cibersegurança.
Não significa porém que a certificação da cibersegurança não venha a ser obrigatória para qualquer fim concreto, abrangendo categorias de entidades devidamente especificadas.
Caso tal venha a suceder (sendo certo que tal decisão implica um processo que não é imediato), as entidades relevantes serão devidamente notificadas e o CNCS terá o cuidado de providenciar informações e todo o tipo de conteúdos informativos que possam ajudar a esclarecer as eventuais dúvidas.

No que diz respeito à área da certificação da cibersegurança, não existe ainda nenhum manual ou outro tipo de conteúdos informativos para esclarecer sobre este domínio de atividade.
No entanto, a certificação da cibersegurança é voluntária e facultativa por norma, isto é, as entidades certificam-se se e sempre que assim o desejarem, salvo se as autoridades europeias ou nacionais estabelecerem a sua obrigatoriedade para fins relativos a determinado contexto específico.
Neste momento, não existe na UE ou em Portugal qualquer obrigatoriedade em matéria de certificação da cibersegurança.
Não significa porém que a certificação da cibersegurança não venha ser obrigatória para qualquer fim concreto, abrangendo categorias de entidades devidamente especificadas.
Caso tal venha a suceder (sendo certo que tal decisão implica um processo que não é imediato), as entidades relevantes serão devidamente notificadas e o CNCS terá o cuidado de providenciar informações e todo o tipo de conteúdos informativos que possam ajudar a esclarecer as eventuais dúvidas.

As entidades da Administração Pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais, bem como, os prestadores de serviços digitais.

Para além das situações de notificação obrigatória de incidentes, a lei permite que quaisquer entidades podem notificar, a título voluntário, os incidentes com impacto importante na continuidade dos serviços por si prestados. Garante ainda que a notificação voluntária não pode dar origem à imposição à entidade notificante de obrigações às quais esta não teria sido sujeita se não tivesse procedido a essa notificação.

O Decreto-Lei n.º 65/2021, de 30 de julho, concretiza diversas disposições do regime jurídico da segurança do ciberespaço, relativas aos requisitos de segurança das redes e dos sistemas de informação e de notificação de incidentes de cibersegurança, que devem ser cumpridos pela Administração Pública, pelos operadores de infraestruturas críticas, pelos operadores de serviços essenciais e pelos prestadores de serviços digitais.
Deve ainda ser referido que quanto aos termos da comunicação de informação ao CNCS e formatação aplicável, as obrigações referentes a ponto de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes se encontram agora previstas no Regulamento n.º 183/2022, de 21 de fevereiro, devendo ser consultadas as disposições referentes.

O Conselho Superior de Segurança do Ciberespaço é o órgão específico de consulta do Primeiro-Ministro para os assuntos relativos à segurança do ciberespaço. Possuindo as seguintes competências: assegurar a coordenação político-estratégica para a segurança do ciberespaço, verificar a implementação da Estratégia Nacional de Segurança do Ciberespaço, pronunciar-se sobre a Estratégia Nacional de Segurança do Ciberespaço previamente à sua submissão para aprovação, elaborar anualmente, ou sempre que necessário, relatório de avaliação da execução da Estratégia Nacional de Segurança do Ciberespaço, propor ao Primeiro-Ministro, ou ao membro do Governo em quem este delegar, a aprovação de decisões de carácter programático relacionadas com a definição e execução da Estratégia Nacional de Segurança do Ciberespaço, emitir parecer sobre matérias relativas à segurança do ciberespaço, bem como, responder a solicitações por parte do Primeiro-Ministro, ou do membro do Governo em quem este delegar, no âmbito das suas competências.

O Centro Nacional de Cibersegurança é a Autoridade Nacional de Cibersegurança e é o ponto de contacto único nacional para efeitos de cooperação internacional, sem prejuízo das atribuições legais da Polícia Judiciária relativas a cooperação internacional em matéria penal.

O “CERT.PT” é a equipa de resposta a incidentes de segurança informática nacional e funciona no Centro Nacional de Cibersegurança.

A Estratégia Nacional de Segurança do Ciberespaço define o enquadramento, os objetivos e as linhas de ação do Estado nesta matéria, de acordo com o interesse nacional. A atual Estratégia Nacional de Segurança do Ciberespaço foi aprovada através da Resolução do Conselho de Ministros n.º 92/2019 de 5 de junho.

A Estratégia Nacional de Segurança do Ciberespaço é aprovada por resolução do Conselho de Ministros, sob proposta do Primeiro-Ministro, ouvido o Conselho Superior de Segurança do Ciberespaço. A atual Estratégia Nacional de Segurança do Ciberespaço foi aprovada através da Resolução do Conselho de Ministros n.º 92/2019 de 5 de junho .

O Centro Nacional de Cibersegurança identifica os operadores de serviços essenciais.

As entidades do setor das infraestruturas digitais devem comunicar de imediato ao Centro Nacional de Cibersegurança o exercício da respetiva atividade. Este dever de notificação não se aplica às micro nem às pequenas empresas, tal como definidas pelo Decreto-Lei n.º 372/2007, de 6 de novembro.

Regulamento de Execução (UE) 2018/151, da Comissão, de 30 de janeiro de 2018, que estabelece normas de execução da Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, no respeitante à especificação pormenorizada dos elementos a ter em conta pelos prestadores de serviços digitais na gestão dos riscos que se colocam à segurança das redes e dos sistemas de informação, bem como à especificação pormenorizada dos parâmetros para determinar se o impacto de um incidente é substancial.