Presidência do Conselho de Ministros
Decreto-Lei
O enquadramento legal relativo à identificação e proteção de infraestruturas essenciais para a saúde, a segurança e o bem-estar económico e social da sociedade nos setores da energia e transportes encontra-se estabelecido no Decreto-Lei n.º 62/2011, de 9 de maio, que transpôs para a ordem jurídica interna a Diretiva 2008/114/CE, do Conselho, de 8 de dezembro de 2008, relativa à identificação e designação das infraestruturas críticas europeias e à avaliação da necessidade de melhorar a sua proteção.
Decorrida mais de uma década sobre a entrada em vigor daquele ato legislativo afigura-se necessária a sua revisão, tendo por base a experiência adquirida na sua aplicação. Procura-se, por esta via, retificar lapsos entretanto detetados, mas sobretudo agilizar a aplicação do regime jurídico, alinhando o seu conteúdo com as práticas que vêm sendo adotadas por outros Estados-Membros da União Europeia.
Deste modo, procura-se clarificar o âmbito de aplicação do referido enquadramento legal, enfatizando a sua natureza transetorial e conferindo às entidades representativas de cada setor um papel mais ativo no processo de identificação das respetivas infraestruturas críticas nacionais. Por outro lado, ajustam-se os prazos previstos para assegurar a adoção das medidas e ações de proteção e aumento da resiliência a aplicar às infraestruturas identificadas.
A revisão ora operada constitui, igualmente, uma oportunidade para reforçar o caráter holístico da proteção de infraestruturas críticas, alinhando o teor do presente decreto-lei com o disposto noutros normativos de caráter transversal, como a Lei de Segurança Interna, a Estratégia Nacional de Combate ao Terrorismo, a Estratégia Nacional de Segurança no Ciberespaço, o Regime Jurídico da Segurança do Ciberespaço, o Conceito Estratégico de Defesa Nacional e o Sistema Nacional de Planeamento Civil de Emergência, assim como em diversa legislação setorial específica.
Por outro lado, procede-se à alteração da orgânica do Centro de Gestão da Rede Informática do Governo (CEGER) com vista a adequá-lo para responder aos desafios vindouros, nomeadamente, e em especial, os que resultam da execução do Plano de Recuperação e Resiliência (PRR) ou da Estratégia para a Inovação e Modernização do Estado e da Administração Pública 2020-2023, bem como do Plano de Ação para a Transição Digital de Portugal.
Com efeito, na sequência da pandemia da doença COVID-19 e da necessidade de robustecer os mecanismos de resiliência dos países da União Europeia, foi elaborado o PRR, que prevê investimentos e metas a executar até 2026, tendo o previsto no PRR sido refletido, entre outros, na Estratégia supra identificada e naquele Plano de Ação.
Deste modo, é alterada a orgânica do CEGER, serviço responsável pela gestão da rede informática do Governo (RING) e pela prestação de apoio nos domínios das tecnologias de informação e de comunicações e dos sistemas de informação, sendo, por isso, um serviço fundamental ao bom funcionamento do Governo.
Em face da constante e rápida evolução e desenvolvimento das tecnologias de informação e da utilização de meios eletrónicos - circunstância que foi ainda mais evidente na sequência da pandemia da doença COVID-19 - , é necessário assegurar que o CEGER tem meios humanos adequados para assegurar a segurança da RING, ao que acresce terem sido aprovadas, no âmbito da «componente 19 - Administração Pública - Capacitação, Digitalização, Interoperabilidade e Cibersegurança» do PRR, diversas iniciativas que têm como objetivos gerais o robustecimento da RING, a capacitação dos recursos humanos e a implementação de um sistema seguro de comunicações móveis.
Com efeito, torna-se essencial dotar o CEGER dos meios necessários para assegurar as suas atribuições, capacitando-o para uma melhor resposta às exigências tecnológicas atuais, ao desenvolvimento de soluções relacionadas com a desmaterialização de processos, com a mobilidade de acessos ou com a manutenção de infraestruturas de rede, sempre sem descurar os aspetos relacionados com a segurança.
Foram ouvidos o Banco de Portugal, a Comissão do Mercado de Valores Mobiliários, a Autoridade de Supervisão de Seguros e Fundos de Pensões, a Associação Nacional de Municípios Portugueses, a Autoridade Nacional de Comunicações e a Autoridade Nacional da Aviação Civil.
Assim:
Nos termos do disposto no n.º 1 do artigo 24.º da Lei n.º 4/2004, de 15 de janeiro, na sua redação atual, e na alínea a) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:
CAPÍTULO I
Disposição geral
Artigo 1.º
Objeto
O presente decreto-lei:
a) Estabelece os procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias, procedendo à consolidação no direito nacional da transposição da Diretiva 2008/114/CE, do Conselho, de 8 de dezembro de 2008;
b) Procede à segunda alteração ao Decreto-Lei n.º 163/2007, de 3 de maio, alterado pelo Decreto-Lei n.º 16/2012, de 26 de janeiro, que aprova a orgânica do Centro de Gestão da Rede Informática do Governo.
CAPÍTULO II
Procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias
Artigo 2.º
Definições
Para efeitos do presente decreto-lei, entende-se por:
a) «Área de segurança», o espaço físico localizado no interior de uma infraestrutura crítica, dotado de medidas de segurança adequadas ao grau de classificação da informação aí processada e dos sistemas instalados, considerados essenciais para o seu funcionamento;
b) «Entidade setorial», a entidade com funções de regulação, controlo ou fiscalização de cada setor e subsetor relevante;
c) «Informações sensíveis», os factos, dados e informação relacionados com a segurança de uma infraestrutura crítica, que são considerados informação classificada nos termos previstos do artigo 5.º, nomeadamente a sua designação, os respetivos planos de segurança, assim como outros elementos que, se divulgados, podem ser utilizados para planear e agir com o objetivo de provocar a perturbação do funcionamento ou a destruição da infraestrutura crítica;
d) «Infraestrutura crítica», a componente, sistema ou parte deste que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação do funcionamento ou destruição teria um impacto significativo, dada a impossibilidade de continuar a assegurar essas funções;
e) «Infraestrutura crítica europeia», a infraestrutura crítica nacional cuja perturbação do funcionamento ou destruição teria um impacto significativo em, pelo menos, mais um Estado-Membro da União Europeia;
f) «Infraestrutura crítica nacional», a infraestrutura crítica situada em território português cuja perturbação do funcionamento ou destruição teria um impacto significativo à escala nacional;
g) «Operador», o proprietário ou a entidade responsável pelo funcionamento de uma infraestrutura crítica, nacional ou europeia;
h) «Plano de segurança de infraestrutura crítica», o documento, elaborado pelo operador, destinado a identificar os elementos essenciais e as vulnerabilidades da infraestrutura crítica, bem como as medidas e ações a executar para assegurar a sua proteção e aumentar a sua resiliência.
Artigo 3.º
Âmbito de aplicação
O presente decreto-lei aplica-se à identificação, designação, proteção e aumento da resiliência das:
a) Infraestruturas críticas nacionais dos setores constantes do seu anexo e do qual faz parte integrante;
b) Infraestruturas críticas europeias dos setores da energia e dos transportes, nos termos do anexo referido na alínea anterior.
Artigo 4.º
Deveres de proteção e de colaboração
1 - Os operadores devem zelar pela proteção, aumento da resiliência e manutenção das funções e serviços das respetivas infraestruturas críticas.
2 - Sem prejuízo do disposto no número anterior, as entidades setoriais devem, no âmbito das respetivas competências, colaborar com os operadores na proteção, aumento da resiliência e manutenção das funções e serviços das infraestruturas críticas.
3 - As entidades com competências próprias no âmbito do presente decreto-lei devem:
a) Colaborar entre si, através da partilha de informações relevantes à proteção e aumento da resiliência das infraestruturas críticas, bem como no procedimento de identificação e de designação das mesmas;
b) Facultar aos operadores, através dos respetivos agentes de ligação de segurança, o acesso às melhores práticas e metodologias disponíveis, bem como, sempre que possível, informação sobre os novos avanços técnicos relacionados com a proteção das infraestruturas críticas.
4 - Caso os operadores estejam sujeitos a deveres especiais de proteção, previstos em legislação setorial nacional ou europeia, que tenham, pelo menos, efeitos equivalentes às obrigações previstas no presente decreto-lei, o seu cumprimento substitui os deveres de proteção previstos no presente decreto-lei.
Artigo 5.º
Informações sensíveis
1 - As informações sensíveis relacionadas com a designação, a proteção e o aumento da resiliência das infraestruturas críticas são objeto de classificação de segurança, nos termos da legislação sobre informação classificada.
2 - Sem prejuízo do disposto no número anterior, a designação das infraestruturas críticas, nacionais ou europeias, tem o grau de classificação de segurança mínimo de «reservado».
3 - Os agentes de ligação de segurança, os elementos de contacto da infraestrutura e as demais pessoas que, por força do presente decreto-lei, tratem informação classificada, são sujeitos a um processo de credenciação de segurança, no grau adequado, pela Autoridade Nacional de Segurança.
4 - As entidades envolvidas na execução do presente decreto-lei asseguram o cumprimento dos normativos aplicáveis à proteção e ao manuseamento da informação classificada e que as informações classificadas referidas no n.º 1 não são utilizadas para fins distintos da proteção das infraestruturas críticas.
5 - O disposto no presente artigo aplica-se igualmente às informações não escritas trocadas durante reuniões em que sejam debatidos assuntos sensíveis.
Artigo 6.º
Competência
1 - A identificação e a designação das infraestruturas críticas são efetuadas pelo Conselho Nacional de Planeamento Civil de Emergência (CNPCE).
2 - O CNPCE aprova, igualmente, os critérios de identificação das infraestruturas críticas, mediante proposta das respetivas entidades setoriais.
3 - O CNPCE pode solicitar parecer a outras entidades que considere relevantes, para efeitos do disposto no número anterior.
Artigo 7.º
Entidades setoriais
1 - As entidades setoriais são identificadas no anexo ao presente decreto-lei e do qual faz parte integrante.
2 - As entidades setoriais podem solicitar a colaboração de outras entidades consideradas relevantes, no âmbito das respetivas atribuições.
Artigo 8.º
Identificação das infraestruturas críticas nacionais
1 - As entidades setoriais elaboram uma lista das infraestruturas do respetivo setor com potencial para serem designadas como infraestruturas críticas nacionais, efetuando uma apreciação qualitativa das consequências provocadas pela inoperacionalidade de cada infraestrutura, nomeadamente:
a) O impacto económico, estimado em termos de importância dos prejuízos económicos e da degradação de bens ou serviços, incluindo também os potenciais efeitos ambientais;
b) O impacto na sociedade, avaliado em termos de impacto na soberania nacional, na confiança das populações e na perturbação da vida quotidiana, incluindo a perda de serviços essenciais;
c) A possibilidade de ocorrência de acidentes, avaliada em termos de número potencial de feridos ou vítimas mortais.
2 - As entidades setoriais selecionam as infraestruturas que, constando da lista referida no número anterior, consideram dever ser designadas como críticas no respetivo setor, aplicando os critérios de identificação fixados pelo CNPCE, tendo em especial consideração:
a) O tipo de bens produzidos ou serviços prestados pela infraestrutura crítica;
b) As alternativas disponíveis no fornecimento dos bens produzidos ou serviços prestados pela infraestrutura crítica;
c) A população e área geográfica afetada por uma eventual perturbação do funcionamento ou destruição da infraestrutura crítica;
d) A duração de uma eventual perturbação do funcionamento da infraestrutura crítica e o tempo previsível para a sua recuperação.
3 - Com base na seleção referida no número anterior, as entidades setoriais ordenam as infraestruturas críticas do respetivo setor e submetem ao CNPCE uma proposta fundamentada quanto às que devem ser identificadas como infraestruturas críticas nacionais.
4 - O CNPCE avalia a proposta das entidades setoriais e aprova a identificação das infraestruturas críticas nacionais em cada setor.
5 - O CNPCE pode identificar infraestruturas críticas diferentes das propostas pelas entidades setoriais quando:
a) Seja detentor de indicadores distintos dos aplicados pelas entidades setoriais;
b) Sejam conexas com outras infraestruturas críticas nacionais, do mesmo ou de outro setor, nomeadamente por as poderem afetar em caso de perturbação do funcionamento ou destruição.
6 - O CNPCE comunica a identificação de uma infraestrutura crítica nacional ao respetivo operador, notificando-o para, querendo, se pronunciar sobre a referida identificação, fixando um prazo não inferior a dez dias para o efeito.
Artigo 9.º
Designação das infraestruturas críticas nacionais
1 - O CNPCE procede à designação das infraestruturas críticas nacionais e notifica-a ao operador, dando conhecimento à respetiva entidade setorial, ao Secretário-Geral do Sistema de Segurança Interna (SSI) e ao presidente da Câmara Municipal territorialmente competente.
2 - A designação prevista no número anterior pode ser alterada ou revogada pelo CNPCE, na sequência de proposta fundamentada:
a) Da respetiva entidade setorial;
b) Do operador, com a concordância da respetiva entidade setorial.
3 - No caso previsto no número anterior, a alteração ou revogação são notificadas ao operador, sendo dado conhecimento à respetiva entidade setorial, ao Secretário-Geral do SSI e aos presidentes das Câmaras Municipais territorialmente competentes.
Artigo 10.º
Identificação de infraestruturas críticas europeias
1 - As entidades setoriais selecionam, com base nos critérios previstos nos n.os 1 e 2 do artigo 8.º, as infraestruturas críticas nacionais com potencial para serem designadas como infraestruturas críticas europeias.
2 - As entidades setoriais submetem ao CNPCE uma proposta fundamentada quanto às infraestruturas críticas nacionais que devem também ser identificadas como infraestruturas críticas europeias.
3 - Sem prejuízo do disposto nos números anteriores, o CNPCE pode identificar infraestruturas críticas nacionais diferentes das propostas pelas entidades setoriais para serem designadas como infraestrutura crítica europeia quando verificar que aquelas apresentam as características e requisitos necessários ou quando sejam propostas pela Comissão Europeia ou por outro Estado-Membro da União Europeia.
4 - O CNPCE comunica a identificação de uma potencial infraestrutura crítica europeia ao respetivo operador, notificando-o para, querendo, se pronunciar sobre a referida identificação, fixando um prazo não inferior a 10 dias para o efeito.
5 - O CNPCE pode solicitar a colaboração da Comissão Europeia ou de outros Estados-Membros da União Europeia na identificação das infraestruturas críticas europeias ou na avaliação do impacto, nos respetivos territórios, da sua perturbação do funcionamento ou destruição.
Artigo 11.º
Designação de infraestruturas críticas europeias
1 - O CNPCE informa a entidade congénere do Estado-Membro da União Europeia suscetível de ser afetado pela perturbação do funcionamento ou destruição da potencial infraestrutura crítica europeia, identificando a infraestrutura em causa e expondo os motivos para a sua eventual designação, solicitando o seu acordo.
2 - Para efeitos do disposto no número anterior, o CNPCE pode solicitar o apoio técnico ou diplomático de outras entidades nacionais.
3 - O CNPCE procede à designação da infraestrutura crítica europeia após ter obtido o acordo referido no n.º 1.
4 - A designação prevista no número anterior pode ser alterada ou revogada pelo CNPCE, oficiosamente ou mediante proposta fundamentada da respetiva entidade setorial ou do operador, com a concordância da respetiva entidade setorial, na sequência da:
a) Alteração ou revogação da designação da infraestrutura como infraestrutura crítica nacional;
b) Cessação dos pressupostos que conduziram à identificação da infraestrutura como infraestrutura crítica europeia;
c) Cessação do acordo referido no n.º 1.
5 - Para efeitos do disposto na alínea b) do número anterior, o CNPCE deve obter o acordo das entidades congéneres dos Estados-Membros da União Europeia que possam ser afetados de forma significativa pela infraestrutura crítica europeia em questão.
6 - O CNPCE:
a) Notifica o operador da infraestrutura, dando conhecimento à respetiva entidade setorial, ao Secretário-Geral do SSI e aos presidentes das Câmaras Municipais territorialmente competentes da designação da infraestrutura como infraestrutura crítica europeia, bem como da eventual alteração ou revogação dessa designação;
b) Informa anualmente a Comissão Europeia do número e identidade das infraestruturas críticas europeias designadas em cada sector e subsetor, bem como do número de Estados-Membros da União Europeia relacionados com cada infraestrutura crítica europeia.
7 - A identidade de uma infraestrutura crítica europeia apenas deve ser do conhecimento da Comissão Europeia e dos Estados-Membros da União Europeia que por ela possam ser afetados de forma significativa.
Artigo 12.º
Iniciativa de designação por outro Estado-Membro
O CNPCE pode informar a Comissão Europeia de que pretende iniciar debates bilaterais ou multilaterais sobre a designação de uma infraestrutura localizada noutro Estado-Membro da União Europeia como infraestrutura crítica europeia, caso considere que o Estado português pode por ela ser afetado de forma significativa e o Estado-Membro em cujo território se situe não a tenha designado como infraestrutura crítica europeia.
Artigo 13.º
Planos de segurança das infraestruturas críticas nacionais
1 - Cada infraestrutura crítica nacional deve dispor de um plano de segurança, o qual inclui:
a) A identificação dos elementos críticos;
b) A delimitação das áreas de segurança;
c) Uma análise do risco baseada em cenários de ameaça grave, na vulnerabilidade de cada elemento e nos impactos potenciais;
d) A identificação, seleção e prioridade de contramedidas e procedimentos de segurança permanentes;
e) A identificação, seleção e prioridade de contramedidas e procedimentos de segurança progressivos a ativar consoante o grau de ameaça aplicável ou o estado de segurança decretado.
2 - As contramedidas e procedimentos de segurança permanentes previstos na alínea d) do número anterior incluem:
a) A instalação de equipamentos de deteção, controlo de acesso, proteção e prevenção, sem prejuízo do cumprimento das normas relativas à segurança física e digital da informação classificada;
b) Procedimentos de alerta e gestão de crises;
c) Normas de controlo de acesso e de verificação de segurança;
d) Ações de comunicação, sensibilização e formação;
e) Soluções em matéria de cibersegurança, nos termos previstos nos artigos 9.º e 10.º do Decreto-Lei n.º 65/2021, de 30 de julho;
f) Medidas de minimização dos danos e impactos e de reposição da normalidade.
3 - O Secretário-Geral do SSI elabora e divulga orientações para a elaboração dos planos de segurança, mediante parecer das entidades setoriais, das forças e serviços de segurança, da Autoridade Nacional de Emergência e Proteção Civil (ANEPC) e do Centro Nacional de Cibersegurança.
Artigo 14.º
Elaboração, aprovação e revisão dos planos de segurança
1 - Os operadores das infraestruturas críticas nacionais elaboram o respetivo plano de segurança e submetem-no à aprovação do Secretário-Geral do SSI.
2 - A aprovação do plano de segurança carece dos pareceres, emitidos a pedido do Secretário-Geral do SSI, das forças de segurança territorialmente competentes, da ANEPC, da respectiva entidade setorial e do Centro Nacional de Cibersegurança, bem como de outras entidades com competência em razão da matéria.
3 - As entidades referidas no número anterior podem solicitar a colaboração de outras entidades públicas, bem como efetuar visitas técnicas à infraestrutura crítica para análise das medidas previstas no plano de segurança.
4 - A pedido do operador e mediante parecer das forças de segurança territorialmente competentes, da ANEPC, da respetiva entidade setorial e do Centro Nacional de Cibersegurança, o Secretário-Geral do SSI pode dispensar a elaboração do plano de segurança ou de algum dos seus componentes, caso o respetivo conteúdo se encontre previsto em instrumentos setoriais específicos.
5 - O plano de segurança é elaborado e submetido a aprovação no prazo de um ano após a designação da infraestrutura crítica nacional.
6 - O plano de segurança é revisto no prazo máximo de cinco anos a contar da sua aprovação, ou sempre que se justifique, nomeadamente em caso de:
a) Perturbação grave do normal funcionamento da infraestrutura crítica;
b) Alterações significativas na infraestrutura crítica;
c) Existência de novos conhecimentos, resultantes de simulacros e exercícios ou decorrentes da evolução da ciência e da técnica.
7 - Face a circunstâncias excecionais devidamente fundamentadas, o operador pode solicitar ao Secretário-Geral do SSI a prorrogação do prazo de entrega do plano de segurança, sendo o deferimento notificado ao requerente e ao CNPCE.
Artigo 15.º
Planos de segurança das infraestruturas críticas europeias
1 - Cada infraestrutura crítica europeia situada em território nacional deve dispor de um plano de segurança.
2 - O plano de segurança das infraestruturas críticas europeias é elaborado e submetido à aprovação do Secretário-Geral do SSI no prazo de um ano após a designação da infraestrutura crítica europeia e revisto no prazo máximo de cinco anos, ou sempre que se justifique.
3 - Face a circunstâncias excecionais devidamente fundamentadas, o operador pode solicitar ao Secretário-Geral do SSI a prorrogação do prazo de entrega do plano de segurança, sendo o deferimento notificado ao requerente, ao CNPCE e à Comissão Europeia.
4 - O disposto no artigo 13.º e nos n.os 1 a 4 do artigo anterior é aplicável aos planos de segurança das infraestruturas críticas europeias.
Artigo 16.º
Articulação do plano de segurança
O plano de segurança da infraestrutura crítica articula-se com o plano de proteção e intervenção elaborado pelas forças de segurança territorialmente competentes, com o plano de emergência de proteção civil elaborado pela autoridade de proteção civil territorialmente competente e, quando apropriado, com instrumentos setoriais específicos.
Artigo 17.º
Agentes de ligação de segurança
1 - Os operadores de infraestruturas críticas nacionais ou europeias designam como agente de ligação de segurança uma pessoa responsável pela articulação institucional, ao nível da segurança, entre o operador de uma infraestrutura crítica e as entidades previstas no presente decreto-lei, e comunicam-no ao Secretário-Geral do SSI, à ANEPC, ao Gabinete Nacional de Segurança e à respetiva entidade setorial, no prazo de 10 dias após a designação da infraestrutura crítica nacional.
2 - Ao agente de ligação de segurança compete:
a) Assegurar a ligação com o Secretário-Geral do SSI e com as forças de segurança territorialmente competentes para obtenção de informações sobre níveis de ameaça e para comunicação de informações provenientes das infraestruturas críticas do respetivo operador, nomeadamente sobre as situações anómalas que ocorram nas respetivas instalações e que possam ter impacto na segurança das infraestruturas críticas e dos seus trabalhadores;
b) Assegurar a ligação com a ANEPC para obtenção de informações sobre os estados de alerta especial no âmbito do Sistema Integrado de Operações de Proteção e Socorro;
c) Definir e efetuar a gestão da política de segurança da informação classificada, em articulação com o Gabinete Nacional de Segurança.
3 - O Secretário-Geral do SSI deve promover, diretamente ou através dos demais órgãos e entidades que integram o Sistema de Segurança Interna, a troca de informações pertinentes relativas às ameaças e riscos para as infraestruturas críticas com os respetivos agentes de ligação de segurança, sem prejuízo dos regimes do segredo de Estado e do segredo de justiça.
4 - As entidades referidas no número anterior devem facultar aos agentes de ligação de segurança o acesso às melhores práticas e metodologias disponíveis, bem como partilhar informação sobre os avanços científicos e técnicos relacionados com a proteção, segurança e aumento da resiliência das infraestruturas críticas.
Artigo 18.º
Elementos de contacto da infraestrutura
1 - Os operadores de infraestruturas críticas designam como elemento de contacto da infraestrutura uma pessoa que, relativamente a cada infraestrutura crítica, é responsável pela comunicação com as forças de segurança e os serviços de proteção civil territorialmente competentes, e comunicam-no ao Secretário-Geral do SSI, à ANEPC e às forças de segurança e aos serviços de proteção civil territorialmente competentes, no prazo de 10 dias após a designação da infraestrutura crítica nacional.
2 - Ao elemento de contacto da infraestrutura compete:
a) Verificar as condições de proteção e segurança da respetiva infraestrutura crítica e a eficácia dos dispositivos de segurança instalados;
b) Implementar medidas e ações de acordo com o previsto no plano de segurança;
c) Agilizar os contactos e a articulação com as estruturas locais das forças de segurança territorialmente competentes e com os serviços municipais de proteção civil;
d) Comunicar e acompanhar situações de risco que envolvam os trabalhadores ou pessoas com acesso a elementos sensíveis ou críticos da infraestrutura, de acordo com indícios técnicos previamente fixados pelas entidades competentes;
e) Comunicar as situações anómalas registadas nas infraestruturas críticas ou em que estejam envolvidos os seus trabalhadores.
3 - Pode ser designado o mesmo elemento de contacto da infraestrutura para várias infraestruturas críticas, desde que fiquem asseguradas as funções previstas no número anterior, bem como a disponibilidade de contacto em caso de incidente.
4 - Em casos devidamente fundamentados, o agente de ligação de segurança pode constituir-se simultaneamente como elemento de contacto da infraestrutura de uma ou várias infraestruturas críticas, nomeadamente quando a elevada complexidade e dimensão das infraestruturas o recomende ou as funções referidas no n.º 2 requeiram especiais competências e conhecimentos técnicos das infraestruturas e do seu funcionamento.
Artigo 19.º
Avaliação de ameaça
1 - O Secretário-Geral do SSI, em articulação com as forças e serviços de segurança competentes, procede à avaliação das ameaças que, a cada momento, impendem sobre as infraestruturas críticas e os respetivos setores.
2 - O Secretário-Geral do SSI transmite à Comissão Europeia um resumo bienal de dados gerais sobre os tipos de riscos, ameaças e vulnerabilidades com que se depara cada um dos setores das infraestruturas críticas europeias situadas em território nacional.
3 - Os relatórios referidos no número anterior são classificados com o grau de segurança considerado adequado, nos termos do artigo 5.º
Artigo 20.º
Verificações de segurança
1 - O Secretário-Geral do SSI pode proceder à avaliação da execução do plano de segurança da infraestrutura crítica.
2 - A identificação de medidas e ações a suprir ou a corrigir é notificada ao operador da infraestrutura crítica, assim como do prazo para a sua implementação.
3 - O Secretário-Geral do SSI pode promover, através da Autoridade Nacional de Segurança, realização de verificações de segurança a qualquer pessoa que deva ter acesso às áreas sensíveis e críticas da infraestrutura, até ao grau de reservado, ou a sua credenciação de segurança no grau necessário de confidencial ou superior, exceto quando a mesma já possua uma credenciação de segurança válida no grau igual ou superior ao necessário.
4 - À verificação prevista no número anterior são aplicáveis os critérios constantes do anexo i da Decisão n.º 2013/488/UE, do Conselho, de 23 de setembro de 2003, relativa às regras de segurança aplicáveis à proteção das informações classificadas da União Europeia.
5 - Para os efeitos previstos no n.º 3, os operadores fornecem os dados e informações solicitados pelo Secretário-Geral do SSI.
6 - Caso o Secretário-Geral do SSI conclua pela falta de idoneidade da pessoa sobre a qual recaiu a verificação de segurança, comunica o facto ao agente de ligação de segurança, o qual assegura o não acesso da pessoa a áreas sensíveis ou críticas.
Artigo 21.º
Simulacros e exercícios
1 - O operador deve realizar simulacros de segurança em cada infraestrutura crítica, no mínimo de dois em dois anos, com o envolvimento das forças de segurança e do serviço municipal de proteção civil territorialmente competente, bem como de outras entidades consideradas relevantes para o efeito, visando testar a adequação das medidas e ações constantes dos planos de segurança, assim como dos seus aspetos procedimentais.
2 - O Secretário-Geral do SSI e o CNPCE podem promover a realização de exercícios estratégicos de tomada de decisão, envolvendo os respetivos operadores, as entidades setoriais e outras entidades relevantes em razão da matéria, assim como, quando pertinente, as entidades de outros Estados-Membros da União Europeia.
Artigo 22.º
Plataforma de Registo de Informação de Infraestruturas Críticas
1 - O Secretário-Geral do SSI deve criar e manter atualizada uma Plataforma de Registo de Informação de Infraestruturas Críticas (Plataforma de Registo), acreditada pela Autoridade Nacional de Segurança.
2 - A Plataforma de Registo compreende:
a) A catalogação das infraestruturas críticas nacionais ou europeias localizadas em território nacional, incluindo a sua georreferenciação;
b) Os contactos dos agentes de ligação de segurança e dos elementos de contacto da infraestrutura, relativos a cada infraestrutura crítica, nacional ou europeia.
3 - A Plataforma visa facilitar:
a) A disponibilização e troca de informação relativas a avaliações de ameaça e de risco;
b) A promoção de medidas, recomendações e boas práticas, destinadas a aumentar a resiliência das infraestruturas críticas;
c) A disponibilização de dados que permitam decidir sobre o planeamento e a priorização das intervenções de reforço da segurança;
d) A monitorização, o registo e a gestão de acidentes e incidentes que sejam considerados relevantes para efeitos do presente decreto-lei.
4 - Os operadores e as entidades que compõem o CNPCE comunicam ao Secretário-Geral do SSI quaisquer informações relevantes para os objetivos da Plataforma de Registo.
5 - Sem prejuízo do disposto no número anterior, é obrigatória a comunicação ao Secretário-Geral do SSI de incidentes de segurança registados nas infraestruturas críticas, nacionais ou europeias.
6 - A Plataforma de Registo operacionaliza o registo central previsto no ponto vi) da alínea c) do n.º 4 da Estratégia Nacional de Combate ao Terrorismo, aprovada pela Resolução do Conselho de Ministros n.º 7-A/2015, de 20 de fevereiro.
7 - O acesso à Plataforma de Registo é realizado preferencialmente mediante autenticação eletrónica através do Cartão de Cidadão ou da Chave Móvel Digital, com recurso ao Sistema de Certificação de Atributos Profissionais.
Artigo 23.º
Fiscalização
A fiscalização do cumprimento do presente decreto-lei compete ao Secretário-Geral do SSI.
Artigo 24.º
Contraordenações
Constitui contraordenação a violação dos deveres previstos nos n.os 5 e 6 do artigo 14.º, no n.º 2 do artigo 15.º, no n.º 1 do artigo 17.º, no n.º 1 do artigo 18.º e no n.º 1 do artigo 21.º, sancionada com coima de (euro) 2000,00 a (euro) 10 000,00.
Artigo 25.º
Processamento e aplicação das coimas
1 - O processamento das contraordenações e a aplicação das coimas compete ao Secretário-Geral do SSI.
2 - O produto das coimas é repartido da seguinte forma:
a) 60 % para o Estado;
b) 20 % para o Secretário-Geral do SSI;
c) 20 % para a ANEPC.
Artigo 26.º
Pontos de contacto
São pontos de contacto com a Comissão Europeia para a proteção das infraestruturas críticas europeias:
a) O CNPCE, nas matérias relativas à identificação e designação;
b) O Secretário-Geral do SSI, nas matérias relativas à segurança, proteção e resiliência.
CAPÍTULO III
Centro de Gestão da Rede Informática do Governo
Artigo 27.º
Alteração ao Decreto-Lei n.º 163/2007, de 3 de maio
O artigo 5.º do Decreto-Lei n.º 163/2007, de 3 de maio, na sua redação atual, passa a ter a seguinte redação:
«Artigo 5.º
[...]
1 - [...].
2 - [...].
3 - O número de lugares do quadro do pessoal do CEGER destinado a elementos sem vínculo ao Estado nomeados em regime de comissão de serviço não pode exceder 70 % do número total de lugares providos.
4 - [...].
5 - [...].
6 - [...].
7 - [...].
8 - [...].
9 - [...].»
CAPÍTULO IV
Disposições finais e transitórias
Artigo 28.º
Disposições transitórias
1 - As designações de infraestruturas críticas nacionais ou europeias efetuadas ao abrigo Decreto-Lei n.º 62/2011, de 9 de maio, mantêm-se válidas.
2 - Os planos de segurança dos operadores, submetidos à apreciação das entidades competentes ao abrigo do Decreto-Lei n.º 62/2011, de 9 de maio, mantêm-se válidos até à concretização do respetivo processo de aprovação nos termos dos artigos 14.º e 15.º
3 - Os planos de segurança dos operadores validados ao abrigo do Decreto-Lei n.º 62/2011, de 9 de maio, mantêm-se válidos até à revisão a operar nos termos previstos no n.º 6 do artigo 14.º e no n.º 2 do artigo 15.º
Artigo 29.º
Norma revogatória
É revogado o Decreto-Lei n.º 62/2011, de 9 de maio.
Artigo 30.º
Entrada em vigor
O presente decreto-lei entra em vigor 30 dias após a sua publicação.
Visto e aprovado em Conselho de Ministros de 20 de janeiro de 2022. - Pedro Gramaxo de Carvalho Siza Vieira - Pedro Gramaxo de Carvalho Siza Vieira - Augusto Ernesto Santos Silva - Mariana Guimarães Vieira da Silva - João Rodrigo Reis Carvalho Leão - João Titterington Gomes Cravinho - Francisca Eugénia da Silva Dias Van Dunem - Alexandra Ludomila Ribeiro Fernandes Leitão - Marta Alexandra Fartura Braga Temido de Almeida Simões - João Pedro Soeiro de Matos Fernandes - Jorge Moreno Delgado - Maria do Céu de Oliveira Antunes.
Promulgado em 26 de janeiro de 2022.
Publique-se.
O Presidente da República, Marcelo Rebelo de Sousa.
Referendado em 26 de janeiro de 2022.
O Primeiro-Ministro, António Luís Santos da Costa.
ANEXO
[a que se referem as alíneas a) e b) do artigo 3.º e o n.º 1 do artigo 7.º]
Setores e subsetores de infraestruturas críticas e respetivas entidades setoriais
(ver documento original https://files.dre.pt/1s/2022/01/02000/0000200014.pdf)
