Regime jurídico da cibersegurança (Portugal)

Vaatimuksen kuvaus

1- As entidades essenciais, importantes e públicas relevantes notificam qualquer incidente significativo à autoridade de cibersegurança competente.

3- A fim de determinar se um incidente tem impacto significativo nos termos do n.º 1, as entidades em causa devem ter em consideração, designadamente, os seguintes parâmetros:

Número de utilizadores afetados pela perturbação do serviço;
A duração do incidente;
O nível da gravidade da perturbação do funcionamento do serviço;
A dimensão do impacto nas atividades económicas e sociais.

4- As entidades devem ainda ter em consideração os parâmetros definidos por instrução técnica do CNCS e pelos atos de execução da Comissão, previstos no n.º 11 do artigo 23.º da Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro.

6- As notificações devem ser submetidas na plataforma eletrónica referida no n.º 6 do artigo 8.º, exceto se as mesmas incluírem informação confidencial que não permita a sua transmissão através da Internet.

Kuinka täyttää vaatimus

40°: Notificação obrigatória

Tehtävän nimi

Prioriteetti

Tila

Teema

Politiikka

Muut vaatimukset

Critical

High

Normal

Low

Täysin tehty

Pääosin tehty

Osin tehty

Tekemättä

Riskien hallinta ja johtaminen

Digiturvan johtaminen

vaatimusta

Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa

40°: Notificação obrigatória

NIS2 Portugal

Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.

Siirry kohtaan >

Toimivaltaisten kyberturvallisuusviranomaisten sääntelyohjeiden noudattaminen.

1. Tehtävän vaatimuskuvaus

Organisaation johtajan olisi säännöllisesti tarkasteltava ja pantava täytäntöön asianomaisen kyberturvallisuusviranomaisen ja toimivaltaisen kyberturvallisuustapahtumien hallintakeskuksen antamat suositukset ja ohjeet. Tähän kuuluu sovellettavien ohjeiden tunnistaminen, niiden vaikutusten arviointi organisaation sähköisiin tietojärjestelmiin ja vaatimustenmukaisuuden varmistamiseksi ja suojan parantamiseksi toteutettujen toimien dokumentointi.

Critical

High

Normal

Low

Täysin tehty

Pääosin tehty

Osin tehty

Tekemättä

Häiriöiden hallinta

Häiriöiden hallinta ja ilmoittaminen

vaatimusta

Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa

44°: Relatórios final e intercalar

NIS2 Portugal

43°: Notificação do fim de impacto significativo

NIS2 Portugal

40°: Notificação obrigatória

NIS2 Portugal

42°: Notificação inicial

NIS2 Portugal

Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.

Siirry kohtaan >

Vaiheittainen prosessi ilmoitettaessa vaaratilanteista viranomaisille (Portugali).

1. Tehtävän vaatimuskuvaus

The organization informs the authority (CNCS) without undue delay about any incident that has a significant impact on the provision of its services (a "significant incident").

A significant incident is one where at least one of the following occurs:

affects a substantial number of users or has a significant duration
causes serious disruption of services or financial loss; or
results in significant material or immaterial harm to individuals or other organizations.

Notifications are to be done step by step according to the descriptions below.

Initial notification (at the latest within 24 hours of detecting the disruption)

contact details: name, telephone number, and email of a representative (if different from the permanent contact point)
date/time of incident's start or detection
brief incident description (cause category and effects, per CNCS taxonomy).
estimated impact:
- number of users affected,
- duration of the incident
- geographical scope (possible cross-border effects)

Notification of the end of impact (within 24 hours of the end of the impact)

updates to the initial notification
a brief description of the measures taken to resolve the incident
current impact details: users affected, duration, geographical scope, and estimated full recovery time

Final report (at the latest within 1 month of the initial report)

dates and times when the incident gained and lost significant impact
full incident description (cause category and effects, per CNCS taxonomy)
comprehensive impact analysis:
- number of users affected, duration, and geographical distribution (including potential cross-border effects)
- applied and ongoing mitigation measures
- residual impact as of the report date
- estimated time for complete recovery
- any notifications submitted to other authorities (e.g., Public Prosecutor, CNPD)

Interim reports (if requested)

If the incident continues after the final report deadline, weekly interim reports must be submitted to CNCS upon request. Each report should include:

updates to prior information
measures taken since the last update
current impact status (users affected, duration, geographical scope, recovery estimate)

Notifications must be submitted electronically through the platform provided by the CNCS.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi

Prioriteetti

Tila

Teema

Politiikka

Muut vaatimukset

No items found.

Vaatimuskehikot

Käyttötavat

Ominaisuudet

Muut

Vaatimuksen kuvaus

Kuinka täyttää vaatimus