1- O CERT.PT é o organismo nacional de coordenação para a divulgação coordenada de vulnerabilidades que afetam redes e sistemas informáticos, produtos, componentes e serviços de tecnologias da informação e comunicação.

2- O CERT.PT desempenha o papel de intermediário de confiança, facilitando, quando necessário, a interação entre a pessoa singular ou coletiva notificante e o fabricante ou fornecedor de produtos TIC ou prestador de serviços TIC potencialmente vulneráveis, a pedido de qualquer uma das partes.

3- As funções do CERT.PT incluem:

1. A identificação e os dados de contacto das organizações referidas no parágrafo anterior;
2. A prestação de apoio às pessoas singulares ou coletivas que comunicam vulnerabilidades;
3. A negociação do calendário de divulgação e a gestão das vulnerabilidades que afetam várias organizações.

4- O CERT.PT preserva o anonimato da pessoa singular ou coletiva que comunicou a vulnerabilidade, caso esta o solicite, sem prejuízo do disposto na Lei do Cibercrime, aprovada pela Lei n.º 109/2009, de 15 de setembro, com a redação que lhe foi dada pelo presente decreto-lei.

5- As entidades essenciais, importantes e públicas relevantes devem comunicar, sem demora injustificada, ao CERT.PT qualquer vulnerabilidade identificada nas suas redes e sistemas de informação, produtos ou serviços de tecnologias da informação ou comunicação.

6- Os dados incluídos nas comunicações realizadas ao abrigo do presente artigo devem ser eliminados no prazo de 10 dias, contados a partir do momento em que a vulnerabilidade seja corrigida, devendo garantir-se a confidencialidade dos mesmos durante todo o procedimento.