{"id":22175,"date":"2025-03-09T13:15:02","date_gmt":"2025-03-09T13:15:02","guid":{"rendered":"https:\/\/rgpd.com\/nis2-directive\/artigo-23-o-obrigacoes-de-notificacao\/"},"modified":"2025-03-09T20:15:20","modified_gmt":"2025-03-09T20:15:20","slug":"artigo-23-obrigacoes-de-notificacao","status":"publish","type":"page","link":"https:\/\/rgpd.com\/pt-pt\/nis2\/capitulo-4-medidas-de-gestao-dos-riscos-de-ciberseguranca-e-obrigacoes-de-notificacao\/artigo-23-obrigacoes-de-notificacao\/","title":{"rendered":"Artigo\u00a023.\u00ba: Obriga\u00e7\u00f5es de notifica\u00e7\u00e3o"},"content":{"rendered":"

1.\u00a0\u00a0\u00a0Os Estados-Membros devem assegurar que as entidades essenciais e importantes notificam a sua CSIRT ou, se aplic\u00e1vel, a sua autoridade competente, sem demora injustificada e nos termos do n.o<\/span>\u00a04, de qualquer incidente que tenha um impacto significativo na presta\u00e7\u00e3o dos seus servi\u00e7os, tal como referido no n.o<\/span>\u00a03 (incidente significativo). Se for caso disso, as entidades em causa devem notificar os destinat\u00e1rios dos seus servi\u00e7os, sem demora injustificada, de incidentes significativos suscet\u00edveis de afetar negativamente a presta\u00e7\u00e3o desses servi\u00e7os. Compete a cada Estado-Membro garantir que as referidas entidades comunicam, nomeadamente, quaisquer informa\u00e7\u00f5es que permitam \u00e0 CSIRT ou, se aplic\u00e1vel, \u00e0 autoridade competente determinar o eventual impacto transfronteiri\u00e7o do incidente. A mera notifica\u00e7\u00e3o n\u00e3o sujeita a entidade notificadora a responsabilidades acrescidas.<\/p>\n

Sempre que as entidades em causa notifiquem a autoridade competente de um incidente significativo nos termos do primeiro par\u00e1grafo, o Estado-Membro vela por que essa autoridade competente transmita a notifica\u00e7\u00e3o \u00e0 CSIRT ap\u00f3s a sua rece\u00e7\u00e3o.<\/p>\n

Em caso de incidente transfronteiri\u00e7o ou intersetorial significativo, os Estados-Membros devem assegurar que os seus pontos de contacto \u00fanicos recebam em tempo \u00fatil as informa\u00e7\u00f5es pertinentes notificadas em conformidade com o n.o<\/span>\u00a04.<\/p>\n

2.\u00a0\u00a0\u00a0Quando aplic\u00e1vel, os Estados-Membros devem assegurar que as entidades essenciais e importantes comuniquem, sem demora injustificada, aos destinat\u00e1rios dos seus servi\u00e7os potencialmente afetados por uma ciberamea\u00e7a significativa as medidas ou solu\u00e7\u00f5es que estes podem adotar para responder a essa amea\u00e7a. Se for caso disso, as entidades devem igualmente informar os referidos destinat\u00e1rios da pr\u00f3pria ciberamea\u00e7a significativa.<\/p>\n

3.\u00a0\u00a0\u00a0Considera-se que um incidente \u00e9 significativo se:<\/p>\n\n\n\n\n\n
\n

a)<\/p>\n<\/td>\n

\n

Tiver causado ou for suscet\u00edvel de causar graves perturba\u00e7\u00f5es operacionais dos servi\u00e7os ou perdas financeiras \u00e0 entidade em causa;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n\n
\n

b)<\/p>\n<\/td>\n

\n

Tiver afetado ou for suscet\u00edvel de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consider\u00e1veis.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

4.\u00a0\u00a0\u00a0Os Estados-Membros devem garantir que, para efeitos da notifica\u00e7\u00e3o prevista no n.o<\/span>\u00a01, as entidades em causa apresentam \u00e0 CSIRT ou, se aplic\u00e1vel, \u00e0 autoridade competente:<\/p>\n\n\n\n\n\n
\n

a)<\/p>\n<\/td>\n

\n

Sem demora injustificada e, em qualquer caso, no prazo de\u00a024\u00a0horas depois de terem tomado conhecimento do incidente significativo, um alerta r\u00e1pido, que, se aplic\u00e1vel, deve indicar se h\u00e1 suspeitas de que o incidente significativo foi causado por um ato il\u00edcito ou malicioso ou se pode ter um impacto transfronteiri\u00e7o;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n\n
\n

b)<\/p>\n<\/td>\n

\n

Sem demora injustificada e, em qualquer caso, no prazo de\u00a072\u00a0horas depois de terem tomado conhecimento do incidente significativo, uma notifica\u00e7\u00e3o de incidente, que, se aplic\u00e1vel, deve atualizar as informa\u00e7\u00f5es a que se refere a al\u00ednea\u00a0a) e fornecer uma avalia\u00e7\u00e3o inicial do incidente significativo, incluindo da sua gravidade e do seu impacto, bem como, se dispon\u00edveis, dos indicadores de exposi\u00e7\u00e3o a riscos;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n\n
\n

c)<\/p>\n<\/td>\n

\n

A pedido de uma CSIRT ou, se aplic\u00e1vel, da autoridade competente, um relat\u00f3rio intercalar com informa\u00e7\u00f5es atualizadas importantes sobre a situa\u00e7\u00e3o;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n\n
\n

d)<\/p>\n<\/td>\n

\n

O mais tardar um m\u00eas ap\u00f3s a apresenta\u00e7\u00e3o da notifica\u00e7\u00e3o de incidente mencionada na al\u00ednea\u00a0b), um relat\u00f3rio final que contenha os seguintes elementos:<\/p>\n\n\n\n\n\n
\n

i)<\/p>\n<\/td>\n

\n

uma descri\u00e7\u00e3o pormenorizada do incidente, incluindo da sua gravidade e do seu impacto,<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n\n
\n

ii)<\/p>\n<\/td>\n

\n

o tipo de amea\u00e7a ou prov\u00e1vel causa prim\u00e1ria suscet\u00edvel de ter desencadeado o incidente,<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n\n
\n

iii)<\/p>\n<\/td>\n

\n

medidas de atenua\u00e7\u00e3o aplicadas e em curso,<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n\n
\n

iv)<\/p>\n<\/td>\n

\n

se aplic\u00e1vel, o impacto transfronteiri\u00e7o do incidente;<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n\n\n
\n

e)<\/p>\n<\/td>\n

\n

Em caso de incidente em curso no momento da apresenta\u00e7\u00e3o do relat\u00f3rio final referido na al\u00ednea\u00a0d), os Estados-Membros devem assegurar que as entidades em causa apresentem um relat\u00f3rio intercalar nessa altura e um relat\u00f3rio final no prazo de um m\u00eas ap\u00f3s terem resolvido o incidente.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Em derroga\u00e7\u00e3o do disposto no primeiro par\u00e1grafo, al\u00ednea\u00a0b), um prestador de servi\u00e7os de confian\u00e7a notifica a CSIRT ou, se aplic\u00e1vel, a autoridade competente, sem demora injustificada e, em qualquer caso, no prazo de\u00a024\u00a0horas ap\u00f3s ter tomado conhecimento do incidente significativo, de qualquer incidente significativo que afete a presta\u00e7\u00e3o dos seus servi\u00e7os de confian\u00e7a.<\/p>\n

5.\u00a0\u00a0\u00a0Sem demora injustificada e, se poss\u00edvel, no prazo de\u00a024\u00a0horas ap\u00f3s a rece\u00e7\u00e3o do alerta r\u00e1pido a que se refere o n.o<\/span>\u00a04, al\u00ednea\u00a0a), a CSIRT ou a autoridade competente devem apresentar uma resposta \u00e0 entidade notificadora que forne\u00e7a, designadamente, as suas observa\u00e7\u00f5es iniciais sobre o incidente significativo e, a pedido da entidade, orienta\u00e7\u00f5es ou aconselhamento operacional sobre a aplica\u00e7\u00e3o de poss\u00edveis medidas de atenua\u00e7\u00e3o. Nos casos em que a CSIRT n\u00e3o seja o destinat\u00e1rio inicial da notifica\u00e7\u00e3o a que se refere o n.o<\/span>\u00a01, as orienta\u00e7\u00f5es devem ser fornecidas pela autoridade competente, em coopera\u00e7\u00e3o com a CSIRT. A CSIRT deve prestar apoio t\u00e9cnico adicional, caso a entidade em causa o solicite. Nos casos em que se suspeite da natureza criminosa do incidente significativo, o CSIRT ou a autoridade competente devem fornecer igualmente orienta\u00e7\u00f5es sobre a notifica\u00e7\u00e3o do incidente significativo \u00e0s autoridades policiais.<\/p>\n

6.\u00a0\u00a0\u00a0Se for caso disso, e em particular se o incidente significativo a que se refere o n.o<\/span>\u00a01 disser respeito a dois ou mais Estados-Membros, a CSIRT, a autoridade competente ou o ponto de contacto \u00fanico devem informar, sem demora injustificada, os outros Estados-Membros afetados e a ENISA do incidente significativo. Essas informa\u00e7\u00f5es devem incluir o tipo de informa\u00e7\u00f5es recebidas em conformidade com o n.o<\/span>\u00a04. Ao faz\u00ea-lo, a CSIRT, a autoridade competente ou o ponto de contacto \u00fanico devem salvaguardar, de acordo com o direito da Uni\u00e3o ou nacional, a seguran\u00e7a e os interesses comerciais da entidade, bem como a confidencialidade das informa\u00e7\u00f5es prestadas.<\/p>\n

7.\u00a0\u00a0\u00a0Nos casos em que seja necess\u00e1rio sensibilizar o p\u00fablico para evitar um incidente significativo ou para responder a um incidente significativo em curso, ou em que a divulga\u00e7\u00e3o do incidente significativo seja de interesse p\u00fablico, a CSIRT de um Estado-Membro ou, se aplic\u00e1vel, a sua autoridade competente e, se for caso disso, as CSIRT ou as autoridades competentes dos outros Estados-Membros afetados podem, ap\u00f3s consulta da entidade em causa, informar o p\u00fablico do incidente significativo ou exigir que a entidade o fa\u00e7a.<\/p>\n

8.\u00a0\u00a0\u00a0A pedido da CSIRT ou da autoridade competente, o ponto de contacto \u00fanico deve transmitir as notifica\u00e7\u00f5es recebidas nos termos do n.o<\/span>\u00a01 aos pontos de contacto \u00fanicos dos outros Estados-Membros afetados.<\/p>\n

9.\u00a0\u00a0\u00a0O ponto de contacto \u00fanico deve apresentar \u00e0 ENISA, a intervalos de tr\u00eas meses, um relat\u00f3rio de s\u00edntese que inclua dados anonimizados e agregados sobre os incidentes significativos, os incidentes, as ciberamea\u00e7as e os quase\u00a0incidentes notificados nos termos do n.o<\/span>\u00a01 do presente artigo e do artigo\u00a030.o<\/span> A fim de contribuir para a comparabilidade das informa\u00e7\u00f5es apresentadas, a ENISA pode adotar orienta\u00e7\u00f5es t\u00e9cnicas sobre os par\u00e2metros das informa\u00e7\u00f5es a incluir no relat\u00f3rio de s\u00edntese. A ENISA deve informar o grupo de coopera\u00e7\u00e3o e a rede de CSIRT das suas conclus\u00f5es sobre as notifica\u00e7\u00f5es recebidas semestralmente.<\/p>\n

10.\u00a0\u00a0\u00a0As CSIRT ou, se aplic\u00e1vel, as autoridades competentes devem fornecer \u00e0s autoridades competentes nos termos da Diretiva (UE) 2022\/2557 informa\u00e7\u00f5es sobre os incidentes significativos, os incidentes, as ciberamea\u00e7as e os quase acidentes notificados nos termos do n.o<\/span>\u00a01 do presente artigo e do artigo\u00a030.o<\/span> pelas entidades identificadas como entidades cr\u00edticas nos termos da Diretiva (UE) 2022\/2557.<\/p>\n

11.\u00a0\u00a0\u00a0A Comiss\u00e3o pode adotar atos de execu\u00e7\u00e3o que especifiquem o tipo de informa\u00e7\u00f5es, o formato e o procedimento das notifica\u00e7\u00f5es apresentadas nos termos do n.o<\/span>\u00a01 do presente artigo e do artigo\u00a030.o<\/span> e das comunica\u00e7\u00f5es apresentadas nos termos do n.o<\/span>\u00a02 do presente artigo.<\/p>\n

At\u00e9 17\u00a0de\u00a0outubro de 2024, a Comiss\u00e3o deve, no que respeita a prestadores de servi\u00e7os de DNS, aos registos de nomes de TLD, aos prestadores de servi\u00e7os de computa\u00e7\u00e3o em nuvem, aos prestadores de servi\u00e7os de centro de dados, aos fornecedores de redes de distribui\u00e7\u00e3o de conte\u00fados, aos prestadores de servi\u00e7os geridos, aos prestadores de servi\u00e7os de seguran\u00e7a geridos, bem como aos prestadores de servi\u00e7os de mercados em linha, de motores de pesquisa em linha e de plataformas de servi\u00e7os de redes sociais, adotar atos de execu\u00e7\u00e3o que especifiquem os casos em que um incidente deve ser considerado significativo, conforme referido no n.o<\/span>\u00a03. A Comiss\u00e3o pode adotar atos de execu\u00e7\u00e3o em rela\u00e7\u00e3o a outras entidades essenciais e importantes.<\/p>\n

A Comiss\u00e3o deve proceder ao interc\u00e2mbio de aconselhamentos e cooperar com o grupo de coopera\u00e7\u00e3o sobre os projetos de atos de execu\u00e7\u00e3o referidos no primeiro e no segundo par\u00e1grafos, em conformidade com o artigo\u00a014.o<\/span>, n.o<\/span>\u00a04, al\u00ednea\u00a0e).<\/p>\n

Esses atos de execu\u00e7\u00e3o s\u00e3o adotados pelo procedimento de exame a que se refere o artigo\u00a039.o<\/span>, n.o<\/span>\u00a02.<\/p>\n","protected":false},"excerpt":{"rendered":"

O artigo detalha obriga\u00e7\u00f5es das entidades essenciais e importantes sob a diretiva NIS2, exigindo notifica\u00e7\u00e3o imediata \u00e0s autoridades sobre incidentes significativos cibern\u00e9ticos que afetem servi\u00e7os, informa\u00e7\u00f5es aos destinat\u00e1rios potencialmente afetados e procedimentos claros e prazos espec\u00edficos para relat\u00f3rios detalhados, assegurando comunica\u00e7\u00e3o eficaz e respostas r\u00e1pidas para mitigar impactos negativos desses incidentes.<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":22454,"menu_order":0,"comment_status":"open","ping_status":"open","template":"","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"class_list":["post-22175","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/pages\/22175","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/comments?post=22175"}],"version-history":[{"count":0,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/pages\/22175\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/pages\/22454"}],"wp:attachment":[{"href":"https:\/\/rgpd.com\/pt-pt\/wp-json\/wp\/v2\/media?parent=22175"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}