Regime jurídico da cibersegurança (Portugal)

Vaatimuksen kuvaus

1- A notificação inicial deve ser enviada à autoridade de cibersegurança competente, assim que a entidade essencial, importante ou pública relevante concluir que existe, ou possa vir a existir, um incidente significativo, sem demora injustificada e até 24 horas após essa verificação, salvo quando tal for incompatível com a mitigação ou a resolução do incidente.

2- A notificação inicial deve incluir, pelo menos, a seguinte informação:

Nome, número de telefone e endereço de correio eletrónico de um representante da entidade, quando diferente do ponto de contacto permanente a que se refere o artigo 32.º, para efeito de um eventual contacto pela autoridade de cibersegurança competente;
Data e hora do início ou, em caso de impossibilidade de o determinar, da deteção do incidente;
Breve descrição do incidente, incluindo a indicação da categoria da causa e dos efeitos produzidos, de acordo com a taxonomia definida pelo CNCS, sempre que possível, o respetivo detalhe;
Estimativa possível do impacto, considerando:
- i) Número de utilizadores afetados pela perturbação do serviço;
- ii) Duração do incidente;
- iii) Distribuição geográfica, no que se refere à zona afetada pelo incidente, incluindo a indicação do impacto transfronteiriço;
- iv) Outra informação que a entidade essencial e importante considere relevante.

Kuinka täyttää vaatimus

42°: Notificação inicial

Tehtävän nimi

Prioriteetti

Tila

Teema

Politiikka

Muut vaatimukset

Critical

High

Normal

Low

Täysin tehty

Pääosin tehty

Osin tehty

Tekemättä

Häiriöiden hallinta

Häiriöiden hallinta ja ilmoittaminen

vaatimusta

Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa

44°: Relatórios final e intercalar

NIS2 Portugal

43°: Notificação do fim de impacto significativo

NIS2 Portugal

40°: Notificação obrigatória

NIS2 Portugal

42°: Notificação inicial

NIS2 Portugal

Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.

Siirry kohtaan >

Vaiheittainen prosessi ilmoitettaessa vaaratilanteista viranomaisille (Portugali).

1. Tehtävän vaatimuskuvaus

The organization informs the authority (CNCS) without undue delay about any incident that has a significant impact on the provision of its services (a "significant incident").

A significant incident is one where at least one of the following occurs:

affects a substantial number of users or has a significant duration
causes serious disruption of services or financial loss; or
results in significant material or immaterial harm to individuals or other organizations.

Notifications are to be done step by step according to the descriptions below.

Initial notification (at the latest within 24 hours of detecting the disruption)

contact details: name, telephone number, and email of a representative (if different from the permanent contact point)
date/time of incident's start or detection
brief incident description (cause category and effects, per CNCS taxonomy).
estimated impact:
- number of users affected,
- duration of the incident
- geographical scope (possible cross-border effects)

Notification of the end of impact (within 24 hours of the end of the impact)

updates to the initial notification
a brief description of the measures taken to resolve the incident
current impact details: users affected, duration, geographical scope, and estimated full recovery time

Final report (at the latest within 1 month of the initial report)

dates and times when the incident gained and lost significant impact
full incident description (cause category and effects, per CNCS taxonomy)
comprehensive impact analysis:
- number of users affected, duration, and geographical distribution (including potential cross-border effects)
- applied and ongoing mitigation measures
- residual impact as of the report date
- estimated time for complete recovery
- any notifications submitted to other authorities (e.g., Public Prosecutor, CNPD)

Interim reports (if requested)

If the incident continues after the final report deadline, weekly interim reports must be submitted to CNCS upon request. Each report should include:

updates to prior information
measures taken since the last update
current impact status (users affected, duration, geographical scope, recovery estimate)

Notifications must be submitted electronically through the platform provided by the CNCS.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi

Prioriteetti

Tila

Teema

Politiikka

Muut vaatimukset

No items found.

Vaatimuskehikot

Käyttötavat

Ominaisuudet

Muut

Vaatimuksen kuvaus

Kuinka täyttää vaatimus