1. Nos termos do disposto no artigo 54.º-B da Lei n.º 5/2004, de 10 de fevereiro, alterada e republicada pela Lei n.º 51/2011, de 13 de setembro (doravante a ''Lei das Comunicações Eletrónicas''), todas as empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrónicas acessíveis ao público (doravante, as «empresas») estão obrigadas a notificar o ICP – Autoridade Nacional de Comunicações (ICP-ANACOM) das violações de segurança ou das perdas de integridade com impacte significativo no funcionamento das redes e serviços que oferecem.
2. Devem ser objeto de notificação todas as violações de segurança ou perdas de integridade que causem uma perturbação grave no funcionamento das redes e serviços, com impacte significativo na continuidade desse funcionamento, de acordo com as circunstâncias e as regras previstas nos números seguintes.
3. Para efeitos do disposto nos números anteriores, as empresas devem notificar o ICP-ANACOM:
|
Duração, e |
Número de assinantes ou de acessos afetados (ou, nos termos da alínea e) do n.º 4 do Ponto I, área geográfica afetada) |
|
≥ 30 minutos |
n.º de assinantes ou de acessos afetados ≥ 500.000 (ou, nos termos da alínea e) do n.º 4 do Ponto I, área geográfica afetada ≥3.000 km2) |
|
≥ 1 hora |
500.000 > n.º de assinantes ou de acessos afetados ≥ 100.000 (ou, nos termos da alínea e) do n.º 4 do Ponto I, 3.000 km2 > área geográfica afetada ≥ 2.000 km2) |
|
≥ 2 horas |
100.000 > n.º de assinantes ou de acessos afetados ≥ 30.000 (ou, nos termos da alínea e) do n.º 4 do Ponto I, 2.000 km2 > área geográfica afetada ≥ 1.500 km2) |
|
≥ 4 horas |
30.000 > n.º de assinantes ou de acessos afetados ≥ 10.000 (ou, nos termos da alínea e) do n.º 4 do Ponto I, 1.500 km2 > área geográfica afetada ≥ 1.000 km2) |
|
≥ 6 horas |
10.000 > n.º de assinantes ou de acessos afetados ≥ 5.000 (ou, nos termos da alínea e) do n.º 4 do Ponto I, 1.000 km2 > área geográfica afetada ≥ 500 km2) |
|
≥ 8 horas |
5.000 > n.º de assinantes ou de acessos afetados ≥ 1.000 (ou, nos termos da alínea e) do n.º 4 do Ponto I, 500 km2 > área geográfica afetada ≥ 100 km2) |
a) De qualquer violação de segurança ou perda de integridade cujo impacte se inclua num dos seguintes patamares:
b) De qualquer violação de segurança ou perda de integridade que afete a entrega aos Postos de Atendimento de Segurança Pública (Centros de Atendimento do 112), direta ou indiretamente, das chamadas para o número único de emergência europeu 112, bem como das chamadas para o número nacional de emergência 115, por um período igual ou superior a 15 minutos;
c) De qualquer violação de segurança ou perda de integridade recorrente, sempre que o impacte acumulado das suas ocorrências num período de quatro semanas preencha uma das condições previstas nas alíneas anteriores;
d) De qualquer violação de segurança ou perda de integridade que se verifique numa data em que seja particularmente relevante o normal e contínuo funcionamento das redes e serviços, nos termos previstos no número 5 deste Ponto I, desde que:
i) tenha uma duração igual ou superior a uma hora; e
ii) afete um número de assinantes ou de acessos igual ou superior a 1.000 ou, nos termos da alínea e) do número 4 deste Ponto I, uma área geográfica igual ou superior a 100 km2;
e) De qualquer violação de segurança ou perda de integridade que impacte no funcionamento de todas as redes e serviços oferecidos por uma empresa na totalidade do território de uma ilha das Regiões Autónomas dos Açores ou da Madeira, desde que tenha uma duração igual ou superior a 30 minutos, independentemente do número de assinantes ou de acessos afetados e da área geográfica afetada;
f) De qualquer violação de segurança ou perda de integridade, detetada pelas empresas ou a estas comunicada pelas entidades clientes, que impacte no funcionamento das redes e serviços através dos quais sejam prestados serviços relevantes à sociedade e aos cidadãos, por parte de entidades públicas ou privadas, de âmbito nacional ou regional, previstas no número 6 deste Ponto I, desde que tenha uma duração igual ou superior a 30 minutos; e
g) De qualquer violação de segurança ou perda de integridade cujo impacte acumulado sobre um conjunto de empresas que se encontrem nas condições previstas no n.º 2 do artigo 3.º da Lei n.º 19/2012, de 8 de maio, preencha uma das condições previstas na alínea a) e, na parte que remete para esta alínea, na alínea c), ambas do presente número 3.
4. Para efeitos do disposto no número anterior:
a) O impacte de uma violação de segurança ou perda de integridade deve ser aferido por referência a todas as redes e a todos os serviços de uma empresa que sejam afetados pela mesma;
b) O número de assinantes ou de acessos afetados por uma violação de segurança ou perda de integridade corresponde à soma do número de assinantes ou de acessos que são afetados pela mesma nas várias redes e serviços;
c) O número de assinantes de um serviço que seja suportado noutro serviço só será contabilizado quando o serviço de suporte não seja afetado;
d) O número de assinantes ou de acessos afetados corresponde ao número de assinantes ou de acessos que sejam abrangidos pela violação de segurança ou perda de integridade ou, na impossibilidade da sua determinação, a uma estimativa baseada nos elementos estatísticos detidos pela empresa; e
e) O critério relativo à área geográfica afetada só deve ser aplicado caso o critério relativo ao número de assinantes ou de acessos afetados seja inaplicável ou, no caso concreto, fundamentadamente impossível de determinar ou estimar.
5. Para os efeitos previstos na alínea d) do número 3 do presente Ponto I e sem prejuízo da identificação pelo ICP-ANACOM de outras datas, devidamente notificadas às empresas com uma antecedência mínima de cinco dias úteis, considera-se como datas relevantes as seguintes:
a) dia de eleições nacionais (legislativas, presidenciais, europeias ou autárquicas);
b) dia de referendos nacionais;
c) dia de exercício nacional de redes ou serviços de comunicações eletrónicas, ao abrigo do disposto na alínea c) do artigo 54.º-D da Lei das Comunicações Eletrónicas; e
d) dia de eleições regionais, no que respeita a violações de segurança ou perdas de integridade ocorridas na região em causa.
6. Para os efeitos previstos na alínea f) do número 3 do presente Ponto I e sem prejuízo da identificação pelo ICP-ANACOM de outras entidades, devidamente notificadas às empresas com uma antecedência mínima de cinco dias úteis, considera-se como entidade relevante o SIRESP – Sistema Integrado de Redes de Emergência e Segurança de Portugal.
