de 19 de março
O Decreto-Lei 20/2022, de 28 de janeiro, veio estabelecer os procedimentos para a identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias, concluindo-se, deste modo, a consolidação no direito nacional da transposição da Diretiva (UE) 2008/114/CE do Conselho, de 8 de dezembro de 2008, iniciada com o Decreto-Lei 62/2011, de 9 de maio.
Não obstante, constatou-se que as entidades envolvidas na prestação de serviços essenciais se encontram, cada vez mais, sujeitas a requisitos divergentes impostos ao abrigo do direito nacional, verificando-se a necessidade de, face a um conjunto diversificado de riscos, melhorar a respetiva capacidade para prestar serviços essenciais. Nesta circunstância, o Parlamento Europeu e o Conselho entenderam por necessário alterar o quadro jurídico em vigor.
Assim, foi aprovada a Diretiva (UE) 2022/2557 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, com vista ao aumento da resiliência das entidades críticas, estabelecendo regras mínimas harmonizadas para assegurar a prestação de serviços essenciais no mercado interno e melhorando a cooperação transfronteiriça entre autoridades competentes.
Com efeito, as entidades críticas que prestem serviços indispensáveis à manutenção de funções societais e atividades económicas vitais, designadamente no sector da energia, da saúde, da segurança pública, ou da produção, transformação e distribuição de produtos alimentares, devem ser capazes de prevenir, proteger, reagir, gerir e recuperar de incidentes com potencial para perturbar a prestação de serviços essenciais, sejam eles ataques híbridos, catástrofes, ameaças terroristas ou emergências de saúde pública.
A transposição ora operada dá resposta a esta exigência, identificando entidades intervenientes e definindo o quadro de responsabilidades no processo de identificação das entidades críticas.
O presente decreto-lei determina, ainda, as regras aplicáveis ao reforço da segurança das infraestruturas críticas operadas pelas entidades críticas.
Foram ouvidos a Associação Nacional de Municípios Portugueses, o Gabinete Nacional de Segurança, a Polícia de Segurança Pública, a Guarda Nacional Republicana, o Banco de Portugal, a Autoridade de Supervisão de Seguros e Fundos de Pensões e a Comissão do Mercado de Valores Mobiliários.
Foi promovida a audição do Sistema de Informações da República Portuguesa, da Polícia Marítima, da Comissão de Planeamento de Emergência da Energia, da Comissão de Planeamento de Emergência do Transporte Aéreo, da Comissão de Planeamento de Emergência dos Transportes Terrestres, da Comissão de Planeamento de Emergência do Transporte Marítimo, da Comissão de Planeamento de Emergência da Saúde, da Comissão de Planeamento de Emergência da Água e Resíduos, da Comissão de Planeamento de Emergência da Cibersegurança, da Comissão de Planeamento de Emergência das Comunicações, da Agência Espacial Portuguesa, da Comissão de Planeamento de Emergência da Agricultura e do Município do Porto.
Assim:
Nos termos da alínea a) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1.º
Objeto e âmbito de aplicação
1 - O presente decreto-lei transpõe para a ordem jurídica interna a Diretiva (UE) 2022/2557 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa à resiliência das entidades críticas e que revoga a Diretiva 2008/114/CE do Conselho.
2 - O presente decreto-lei estabelece, ainda, os procedimentos de identificação, designação e reforço da resiliência das entidades críticas nacionais e de especial relevância europeia, que prestam serviços essenciais para a manutenção de funções societais ou atividades económicas vitais, da saúde e segurança pública ou do ambiente.
3 - O presente decreto-lei não se aplica às entidades da Administração Pública que exerçam as suas atividades nos domínios da segurança nacional, da segurança pública, da defesa, e às demais entidades excluídas no anexo ao presente decreto-lei e do qual faz parte integrante.
Artigo 2.º
Definições
Para efeitos do presente decreto-lei, entende-se por:
a) «Área de segurança de informação», a zona destinada à produção, manuseamento e arquivo de informação classificada, de acordo com a legislação e normas de segurança aplicáveis à proteção e salvaguarda da informação classificada;
b) «Avaliação de riscos», o processo geral levado a cabo para determinar a natureza e o alcance de um risco, através da identificação e análise de potenciais ameaças, vulnerabilidades e perigos pertinentes suscetíveis de provocar um incidente, bem como através da avaliação da potencial perda ou perturbação da prestação de um serviço essencial causada por esse incidente;
c) «Entidade crítica», a entidade pública ou privada, identificada nos termos do artigo 13.º como pertencente a uma das categorias estabelecidas na terceira coluna do quadro constante do anexo ao presente decreto-lei;
d) «Entidades sectoriais», as identificadas no anexo ao presente decreto-lei;
e) «Incidente», um evento que perturbe ou tenha potencial para perturbar significativamente a prestação de um serviço essencial, inclusive quando afetar os sistemas nacionais que salvaguardam o Estado de direito;
f) «Infraestrutura crítica», um ativo, uma instalação, um equipamento, uma rede ou um sistema, no seu todo ou parte de um ativo, de uma instalação, de um equipamento, de uma rede ou de um sistema, situada em território português, cuja perturbação do funcionamento ou destruição teria um efeito perturbador significativo na prestação de um serviço essencial;
g) «Plano de resiliência», documento elaborado pela entidade crítica contendo medidas técnicas, de segurança e organizativas, adequadas e proporcionais para reforçar a sua resiliência;
h) «Resiliência», a capacidade de uma entidade crítica para prevenir incidentes, se proteger deles, lhes dar resposta, lhes resistir, os atenuar, os absorver, se adaptar a eles e recuperar deles;
i) «Risco», o potencial de perda ou perturbação causada por um incidente, expresso como uma combinação da magnitude de tal perda ou perturbação e da probabilidade de ocorrência do incidente;
j) «Serviço essencial», serviço indispensável à manutenção de funções societais ou atividades económicas vitais, da saúde e segurança pública ou do ambiente e que integra uma das categorias constantes do anexo ao presente decreto-lei e do qual faz parte integrante.
Artigo 3.º
Entidades competentes
Para efeitos do disposto no presente decreto-lei, são entidades competentes o Conselho Nacional de Planeamento Civil de Emergência, em matéria de identificação e designação das entidades críticas e respetivas infraestruturas críticas, e o Secretário-Geral do Sistema de Segurança Interna, em matéria de reforço de resiliência das entidades críticas.
Artigo 4.º
Competências do Conselho Nacional de Planeamento Civil de Emergência
1 - Compete ao Conselho Nacional de Planeamento Civil de Emergência:
a) Aprovar os critérios e metodologia aplicáveis à identificação das entidades críticas e respetivas infraestruturas críticas;
b) Identificar e designar as entidades críticas, bem como as respetivas infraestruturas críticas.
2 - Para efeitos do disposto no número anterior, o Conselho Nacional de Planeamento Civil de Emergência pode solicitar parecer às entidades que considere relevantes.
Artigo 5.º
Competências do Secretário-Geral do Sistema de Segurança Interna
1 - Compete ao Secretário-Geral do Sistema de Segurança Interna:
a) Coordenar a elaboração da avaliação nacional de risco, bem como as suas atualizações;
b) Coordenar a elaboração da estratégia nacional para a resiliência das entidades críticas;
c) Difundir orientações técnicas e outros instrumentos de apoio técnico à elaboração de planos de resiliência das entidades críticas, de planos de segurança das infraestruturas críticas, dos mecanismos de notificação de incidentes, de planos de intervenção das forças de segurança, de exercícios, bem como apoiar a sua implementação e monitorizar a sua execução;
d) Aprovar os planos de resiliência das entidades críticas;
e) Assegurar a verificação de antecedentes e a sua implementação;
f) Assegurar as competências de fiscalização e de aplicação das sanções previstas no presente decreto-lei;
g) Assegurar a articulação com as entidades congéneres dos outros Estados-Membros, em particular relativamente às entidades críticas que:
i) Utilizem infraestruturas críticas fisicamente ligadas entre dois ou mais Estados-Membros;
ii) Façam parte de estruturas empresariais ligadas a entidades críticas noutros Estados-Membros, ou associadas a estas;
iii) Tenham sido identificadas como entidades críticas num Estado-Membro e prestem serviços essenciais a outros ou noutros Estados-Membros.
2 - O Secretário-Geral do Sistema de Segurança Interna pode solicitar colaboração às entidades que considere relevantes, para efeitos do disposto no número anterior.
3 - O Secretário-Geral do Sistema de Segurança Interna assegura e mantém atualizada a plataforma eletrónica de registo de informação de entidades críticas e infraestruturas críticas.
Artigo 6.º
Pontos de contacto com a Comissão Europeia
1 - O Conselho Nacional de Planeamento Civil de Emergência constitui-se como o ponto de contacto nacional com a Comissão Europeia nas matérias relativas à identificação e designação de entidades críticas e assegura a representação de Portugal no Grupo para a Resiliência das Entidades Críticas que assiste a Comissão Europeia, no quadro da Diretiva (UE) 2022/2557, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
2 - O Conselho Nacional de Planeamento Civil de Emergência assegura ainda o envio:
a) Da lista de serviços essenciais não incluídos na lista de serviços essenciais estabelecida no Regulamento Delegado (UE) 2023/2450 da Comissão, de 25 de julho de 2023;
b) Do número de entidades críticas identificadas para cada sector, subsector e serviço essencial, no âmbito do presente decreto-lei;
c) Dos limiares, em separado ou agregados, aplicados para especificar os critérios referidos no artigo 14.º
3 - O Secretário-Geral do Sistema de Segurança Interna constitui-se como o ponto de contacto nacional com a Comissão Europeia nas matérias de resiliência das entidades críticas e assegura:
a) A representação de Portugal no Grupo para a Resiliência das Entidades Críticas que assiste a Comissão Europeia no quadro da Diretiva (UE) 2022/2557, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022;
b) A comunicação, à Comissão Europeia, dos seguintes elementos:
i) A estratégia nacional para a resiliência das entidades críticas, bem como as suas atualizações substanciais;
ii) O relatório de síntese, a remeter, em simultâneo, ao Grupo para a Resiliência das Entidades Críticas que apoia a Comissão Europeia, sobre as notificações recebidas, incluindo o número de notificações, a natureza dos incidentes notificados e as medidas adotadas;
iii) A notificação dos incidentes que tenham, ou possam ter, um impacto significativo na continuidade da prestação de serviços essenciais em seis ou mais Estados-Membros;
iv) As alterações introduzidas no regime sancionatório previsto no presente decreto-lei;
v) Um resumo bienal de dados sobre os tipos de riscos;
c) A proposta, a submeter à Comissão Europeia, de realização de missões consultivas;
d) O acompanhamento das missões consultivas pedidas pelo Estado Português ou da iniciativa da Comissão Europeia.
Artigo 7.º
Entidades sectoriais
1 - As entidades sectoriais são responsáveis por propor ao Conselho Nacional de Planeamento Civil de Emergência, para aprovação:
a) A densificação dos critérios de identificação das entidades críticas de acordo com o artigo 13.º, incluindo os limiares aplicados para especificar os critérios referidos no artigo 14.º;
b) As entidades e respetivas infraestruturas candidatas a entidades críticas e infraestruturas críticas, no respetivo sector ou subsector;
2 - As entidades sectoriais consultam as entidades com competências de regulação ou supervisão, dos sectores ou subsectores respetivos, e que não integrem as entidades sectoriais.
3 - As entidades sectoriais podem ainda, no âmbito das respetivas atribuições, solicitar a colaboração de outras entidades consideradas relevantes.
Artigo 8.º
Deveres de cooperação
1 - As entidades competentes cooperam entre si para promover a aplicação do presente decreto-lei.
2 - As entidades sectoriais cooperam com as entidades competentes e as entidades críticas no aumento da resiliência destas últimas.
3 - As entidades competentes, as entidades sectoriais e as entidades críticas partilham o acesso às melhores práticas e metodologias disponíveis, bem como, sempre que possível, informação sobre os novos avanços técnicos relacionados com a resiliência das entidades críticas e, ainda, informações sobre ameaças e riscos.
Artigo 9.º
Cooperação no âmbito da cibersegurança
1 - As entidades competentes cooperam com as autoridades competentes em matéria de cibersegurança, nomeadamente no que se refere à partilha de informação relativa a:
a) Riscos de cibersegurança, ciberameaças e ciberincidentes;
b) Riscos, ameaças e incidentes não relacionados com a cibersegurança;
c) Ao exercício de funções de supervisão.
2 - Sempre que as autoridades competentes em matéria de cibersegurança exerçam as suas competências relativamente às entidades críticas indicadas no artigo 18.º, devem informar o Secretário-Geral do Sistema de Segurança Interna.
3 - Quando aplicável, o Secretário-Geral do Sistema de Segurança Interna pode solicitar às autoridades competentes em matéria de cibersegurança para exercerem as suas competências de supervisão e execução relativamente às entidades críticas indicadas no artigo 18.º
Artigo 10.º
Segurança da informação
1 - As informações relacionadas com a designação e reforço de resiliência das entidades críticas e respetivas infraestruturas críticas são objeto de avaliação com vista à eventual classificação de segurança, nos termos da legislação e normas de segurança aplicáveis à proteção e salvaguarda da informação classificada.
2 - A classificação da informação produzida no âmbito do presente decreto-lei, bem como a tramitação da informação classificada, compete:
a) Ao presidente do Conselho Nacional de Planeamento Civil de Emergência em matéria de designação das entidades críticas;
b) Ao Secretário-Geral do Sistema de Segurança Interna em matéria de reforço de resiliência das entidades críticas.
3 - Sem prejuízo do disposto nos números anteriores, a designação das entidades críticas e das respetivas infraestruturas críticas, e a avaliação nacional de risco, no todo ou em parte, têm o grau de classificação de segurança mínimo de «Reservado».
4 - O grau de classificação de segurança atribuído é comunicado à entidade crítica, para todos os efeitos legais.
5 - Os agentes de ligação da entidade crítica, os agentes de ligação da infraestrutura crítica e as demais pessoas que, por força do presente decreto-lei, tratem informação classificada de grau «Confidencial» ou superior, de qualquer marca, têm de ser detentores, a todo o tempo, de uma credenciação de segurança emitida pela Autoridade Nacional de Segurança.
6 - O tratamento da informação classificada, nomeadamente a sua produção, utilização, partilha, arquivo ou armazenamento por parte das entidades críticas deve respeitar o regime da informação classificada, nomeadamente os requisitos das áreas de segurança da informação e dos sistemas de informação e comunicação.
CAPÍTULO II
QUADRO NACIONAL PARA A RESILIÊNCIA DAS ENTIDADES CRÍTICAS
Artigo 11.º
Avaliação nacional de risco
1 - A avaliação nacional de risco visa apoiar o processo de identificação das entidades críticas e a adoção de medidas de resiliência por parte destas entidades.
2 - A avaliação nacional de risco e as suas atualizações são aprovadas por resolução do Conselho de Ministros, sob proposta do Secretário-Geral do Sistema de Segurança Interna.
3 - A proposta a que se refere o número anterior é elaborada pelo Secretário-Geral do Sistema de Segurança Interna com os contributos das seguintes entidades:
a) Conselho Nacional de Planeamento Civil de Emergência;
b) Forças e serviços de segurança;
c) Autoridade Nacional de Emergência e Proteção Civil;
d) Serviços regionais de Proteção Civil;
e) Autoridades competentes em matéria de cibersegurança;
f) As entidades sectoriais;
g) As entidades previstas no n.º 2 do artigo 7.º;
h) Outras entidades com competências na elaboração de avaliações de riscos específicos.
4 - A avaliação nacional de risco, tendo em conta a lista de serviços essenciais, avalia os riscos naturais e de origem humana pertinentes, incluindo os de natureza intersectorial ou transfronteiriça, de saúde pública, de ameaças antagonistas designadamente ameaças híbridas ou outras infrações terroristas como previsto na Lei 52/2003, de 22 de agosto, na sua redação atual.
5 - Na avaliação nacional de risco devem ser tidos em conta, pelo menos, os seguintes elementos:
a) A avaliação geral dos riscos realizada nos termos do n.º 1 do artigo 6.º da Decisão n.º 1313/2013/UE, do Parlamento Europeu e do Conselho, de 17 de dezembro de 2013;
b) Outras avaliações de risco pertinentes, realizadas em conformidade com os requisitos dos atos jurídicos sectoriais específicos da União, nomeadamente do Regulamento (UE) 2017/1938 do Parlamento Europeu e do Conselho, de 25 de outubro de 2017, o Regulamento (UE) 2019/941 do Parlamento Europeu e do Conselho, de 5 de outubro de 2019, a Diretiva 2007/60/CE, do Parlamento Europeu e do Conselho, de 23 de outubro de 2007, transposta para o ordenamento jurídico interno pelo Decreto-Lei 115/2010, de 22 de outubro, e a Diretiva 2012/18/UE do Parlamento Europeu e do Conselho, de 4 de julho de 2012, transposta para o ordenamento jurídico interno pelo Decreto-Lei 150/2015, de 5 de agosto;
c) Os riscos relevantes decorrentes da medida em que os sectores estabelecidos no anexo ao presente decreto-lei dependem uns dos outros, inclusive da medida em que dependem de entidades localizadas noutros Estados-Membros e em países terceiros, e o impacto que uma perturbação significativa num sector pode ter noutros sectores, incluindo quaisquer riscos significativos para os cidadãos e para o mercado interno;
d) As informações sobre incidentes notificados nos termos do artigo 28.º
6 - O Secretário-Geral do Sistema de Segurança Interna disponibiliza, às entidades críticas, elementos pertinentes da avaliação nacional de risco que possam ser relevantes para as suas avaliações dos riscos e as medidas a adotar para aumentar a sua resiliência.
7 - A avaliação nacional de risco é atualizada, pelo menos, de quatro em quatro anos, cabendo ao Secretário-Geral do Sistema de Segurança Interna transmitir à Comissão Europeia as informações pertinentes sobre os tipos de riscos identificados e os resultados da sua avaliação, discriminados por sector e subsector estabelecidos no anexo ao presente decreto-lei.
Artigo 12.º
Estratégia nacional para a resiliência das entidades críticas
1 - A estratégia nacional para a resiliência das entidades críticas estabelece o enquadramento, as medidas políticas, os objetivos estratégicos e as linhas de ação nesta matéria, considerando a avaliação nacional de risco.
2 - A estratégia nacional para a resiliência das entidades críticas e as sucessivas revisões são aprovadas por resolução do Conselho de Ministros, sob proposta do Secretário-Geral do Sistema de Segurança Interna em colaboração com o Conselho Nacional de Planeamento Civil de Emergência.
3 - A estratégia nacional para a resiliência das entidades críticas contempla os seguintes elementos:
a) Objetivos estratégicos e prioridades no intuito de reforçar a resiliência global das entidades críticas, tendo em conta as dependências e interdependências transfronteiriças e intersectoriais;
b) O quadro de governação para alcançar os objetivos estratégicos, incluindo uma descrição das funções e responsabilidades das diferentes autoridades, entidades críticas e outras partes envolvidas na execução da estratégia;
c) Uma descrição das medidas necessárias para reforçar a resiliência das entidades críticas;
d) O processo de identificação e designação das entidades críticas;
e) Uma descrição do processo de apoio às entidades críticas, nomeadamente das medidas destinadas a reforçar a cooperação entre o sector público e as entidades públicas e privadas;
f) As medidas para a coordenação entre as entidades competentes nos termos do presente decreto-lei e as autoridades competentes nos termos do regime jurídico da segurança do ciberespaço no contexto da partilha de informações sobre os riscos de cibersegurança, ciberameaças e ciberincidentes;
g) As medidas destinadas a facilitar o cumprimento das obrigações das entidades críticas consideradas pequenas e médias empresas na aceção do anexo da Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003.
4 - A estratégia nacional para a resiliência das entidades críticas é concebida de modo a integrar, sem descontinuidades, as políticas existentes e, sempre que possível, ter em conta as estratégias nacionais e sectoriais, planos ou documentos similares pertinentes.
5 - A estratégia nacional para a resiliência das entidades críticas é revista, pelo menos, de quatro em quatro anos e é comunicada pelo Secretário-Geral do Sistema de Segurança Interna à Comissão Europeia no prazo de três meses a contar da sua adoção.
Artigo 13.º
Identificação de entidades críticas
No processo de identificação de entidades críticas são considerados os resultados da avaliação nacional de risco e da estratégia nacional para a resiliência das entidades críticas, sendo aplicados, cumulativamente, os seguintes critérios:
a) A entidade presta um ou mais serviços essenciais;
b) A entidade opera e as suas infraestruturas críticas estão localizadas em território nacional; e
c) Um incidente teria efeitos perturbadores significativos, nos termos do artigo 14.º, sobre a prestação, pela entidade, de um ou mais serviços essenciais ou sobre a prestação de outros serviços essenciais nos sectores ou subsectores estabelecidos no anexo ao presente decreto-lei, que dependam desse serviço essencial ou desses serviços essenciais.
Artigo 14.º
Efeito perturbador significativo
Ao determinar a importância de um efeito perturbador produzido por um incidente, são considerados os seguintes critérios:
a) O número de utilizadores que dependem do serviço essencial prestado pela entidade em questão;
b) O grau em que outros sectores e subsectores estabelecidos no anexo ao presente decreto-lei dependem do serviço essencial em questão;
c) O possível impacto dos incidentes, em termos de intensidade e duração, sobre as atividades económicas e societais, o ambiente, a proteção e segurança públicas ou a saúde da população;
d) A quota da entidade no mercado do serviço essencial ou serviços essenciais em questão;
e) A zona geográfica suscetível de ser afetada por um incidente, incluindo um eventual impacto transfronteiriço, tendo em conta a vulnerabilidade associada ao grau de isolamento de determinados tipos de zonas geográficas, como sejam as regiões insulares;
f) A importância da entidade na manutenção de um nível de serviço essencial suficiente, tendo em conta a disponibilidade de meios alternativos para a prestação desse serviço essencial.
Artigo 15.º
Proposta de designação de entidades críticas
1 - Com base nos critérios de identificação previamente aprovados nos termos do artigo 4.º, as entidades sectoriais submetem ao Conselho Nacional de Planeamento Civil de Emergência uma proposta fundamentada quanto às entidades que devem ser designadas como entidades críticas.
2 - Após avaliação e aprovação das propostas das entidades sectoriais, o Conselho Nacional de Planeamento Civil de Emergência comunica às entidades candidatas a sua potencial designação como entidades críticas, notificando-as para se pronunciarem, querendo, fixando um prazo não inferior a 10 dias para o efeito.
3 - No caso de a entidade candidata se pronunciar desfavoravelmente, o Conselho Nacional de Planeamento Civil de Emergência remete a pronúncia à entidade sectorial para, no prazo de 60 dias, reanalisar e adequar a proposta fundamentada, se necessário.
Artigo 16.º
Designação de entidade crítica
1 - Decorrido o prazo referido no n.º 2 ou no n.º 3, ambos do artigo anterior, o Conselho Nacional de Planeamento Civil de Emergência procede à designação das entidades críticas e respetivas infraestruturas críticas no prazo máximo de 30 dias.
2 - O Conselho Nacional de Planeamento Civil de Emergência pode designar outras entidades críticas e respetivas infraestruturas críticas para além das propostas pelas entidades sectoriais quando se verifique pelo menos uma das seguintes situações:
a) Seja detentor de indicadores distintos dos aplicados pelas entidades sectoriais;
b) As entidades a designar sejam conexas com outras entidades críticas ou infraestruturas críticas, do mesmo ou de outro sector, nomeadamente por as poderem afetar em caso de perturbação do funcionamento ou destruição.
3 - A designação das entidades críticas referidas no número anterior é precedida da comunicação prevista no n.º 2 do artigo 15.º
Artigo 17.º
Notificação da designação de entidade crítica
1 - O Conselho Nacional de Planeamento Civil de Emergência notifica a entidade da sua designação como entidade crítica, no prazo máximo de 10 dias após a respetiva designação, informando-a das obrigações a cumprir ao abrigo do presente decreto-lei.
2 - Da notificação de designação de entidade crítica é dado conhecimento simultâneo às seguintes entidades:
a) Ao Secretário-Geral do Sistema de Segurança Interna;
b) À respetiva entidade sectorial;
c) Às entidades previstas no n.º 2 do artigo 7.º;
d) Às autoridades competentes no âmbito da cibersegurança;
e) Aos presidentes de câmara municipal territorialmente competentes, das infraestruturas críticas designadas e localizadas na sua área geográfica de responsabilidade.
3 - A comunicação prevista na alínea c) do número anterior deve especificar, sendo esse o caso, que a entidade crítica em causa se encontra abrangida pelo artigo 18.º
Artigo 18.º
Entidades críticas nos sectores dos serviços bancários, das infraestruturas do mercado financeiro e das infraestruturas digitais
1 - Às entidades críticas pertencentes aos sectores dos serviços bancários, das infraestruturas do mercado financeiro, do segurador e dos fundos de pensões e das infraestruturas digitais, não se aplicam os capítulos iii, iv e v do presente decreto-lei.
2 - Para efeitos da adoção de medidas com vista ao reforço da resiliência das entidades críticas designadas no sector das infraestruturas digitais aplica-se o disposto na legislação em vigor em matéria de cibersegurança.
Artigo 19.º
Revisão da designação de entidades críticas
1 - As entidades sectoriais reveem o processo de identificação das entidades críticas de quatro em quatro anos, a contar do prazo fixado no n.º 3 do artigo 56.º, procedendo à identificação:
a) Das entidades críticas que devem manter a sua designação como tal;
b) Das entidades críticas cuja designação deve ser revogada;
c) De entidades candidatas a entidades críticas.
2 - Sem prejuízo da revisão referida no número anterior, cada entidade sectorial monitoriza permanentemente alterações substanciais, em curso ou previstas, passíveis de ter impacto na prestação do serviço essencial ou serviços essenciais do seu sector ou subsector, e avalia a existência de entidades candidatas a serem designadas como entidades críticas ou entidades críticas cuja designação seja passível de ser revogada.
Artigo 20.º
Substituição da entidade crítica
1 - Para efeitos do presente decreto-lei, considera-se que há substituição da entidade crítica quando se verifica uma das seguintes situações:
a) Alteração da sua natureza jurídica;
b) Venda ou cedência da prestação do serviço essencial.
2 - A entidade crítica que for substituída nos termos do número anterior deve comunicar tal facto às entidades competentes, bem como às respetivas entidades sectoriais, com pelo menos 10 dias de antecedência relativamente à produção de efeitos, indicando os dados de identificação da entidade que a substituirá.
3 - A entidade crítica que for substituída transmite à entidade adquirente, ou cessionária, a informação constante do plano de resiliência que seja relevante, designadamente em matéria de segurança.
4 - O Conselho Nacional de Planeamento Civil de Emergência notifica a nova entidade do seu estatuto de entidade crítica, bem como dos direitos e deveres que lhe são aplicáveis, no prazo de 30 dias a contar da data da receção da comunicação a que se refere o n.º 2.
5 - A entidade crítica notificada nos termos do número anterior deve:
a) Comunicar, logo que possível, e sem ultrapassar os 10 dias previstos no n.º 1 do artigo 27.º, às entidades competentes e às entidades sectoriais os novos contactos do agente de ligação da entidade crítica bem como do agente de ligação de cada infraestrutura crítica que opera;
b) Submeter, no prazo máximo de 10 meses, ao Secretário-Geral do Sistema de Segurança Interna, para aprovação, o plano de resiliência atualizado.
6 - O plano de resiliência atualizado deve refletir as alterações decorrentes da substituição e as medidas adotadas para garantir a continuidade e a qualidade do serviço essencial.
Artigo 21.º
Venda ou cedência de infraestruturas críticas
1 - A venda ou cedência, por parte de uma entidade crítica, de uma ou mais das suas infraestruturas críticas é objeto de comunicação prévia às entidades competentes.
2 - A comunicação a que se refere o número anterior deve ser realizada com, pelo menos, 30 dias de antecedência relativamente à produção de efeitos do negócio jurídico em causa, identificando a entidade adquirente.
3 - Em face da alienação prevista, o Conselho Nacional de Planeamento Civil de Emergência solicita à respetiva entidade sectorial a reavaliação da qualidade de entidade crítica.
4 - A entidade sectorial decide também a necessidade de avaliação relativamente à entidade adquirente, aplicando-se o previsto no n.º 1 do artigo 15.º
Artigo 22.º
Revogação da designação da entidade crítica
1 - A designação como entidade crítica pode ser revogada pelo Conselho Nacional de Planeamento Civil de Emergência, na sequência de proposta fundamentada:
a) Da respetiva entidade sectorial, ao abrigo dos artigos 19.º e 21.º;
b) Da entidade crítica, nos termos do n.º 2 do artigo 20.º
2 - A entidade crítica pode ainda submeter um pedido de revogação ao Conselho Nacional de Planeamento Civil de Emergência, devidamente fundamentado, com base no não preenchimento dos critérios que sustentaram a sua designação como entidade crítica.
3 - No caso previsto no número anterior, o Conselho Nacional de Planeamento Civil de Emergência solicita à entidade sectorial a análise do pedido de revogação.
4 - Nos casos previstos nos n.os 1 e 2, a revogação é notificada à entidade crítica, sendo dado conhecimento ao Secretário-Geral do Sistema de Segurança Interna, à respetiva entidade sectorial, às entidades competentes no âmbito da cibersegurança, às entidades previstas no n.º 2 do artigo 7.º, e aos presidentes das câmaras municipais quanto às infraestruturas críticas daquela entidade designadas e localizadas nas respetivas áreas geográficas de responsabilidade.
5 - A notificação referida do número anterior é realizada num prazo máximo de 10 dias após a revogação da designação da entidade crítica, devendo prever a informação de que a partir da data de receção aquela entidade deixa de estar sujeita às obrigações constantes no presente decreto-lei.
CAPÍTULO III
RESILIÊNCIA DAS ENTIDADES CRÍTICAS
Artigo 23.º
Avaliação de risco da entidade crítica
1 - No prazo de nove meses a contar da data da receção da notificação da sua designação como entidade crítica, a entidade em causa efetua a respetiva avaliação de risco.
2 - A avaliação de risco deve ter em conta os elementos pertinentes da avaliação nacional de risco, bem como as relações de interdependência com outros sectores, na medida em que os serviços essenciais desta são afetados por outros sectores ou os outros sectores são afetados pelos serviços essenciais que esta fornece.
3 - Sempre que uma entidade crítica tiver outras avaliações de risco ou elaborado documentos em conformidade com as obrigações estabelecidas noutros atos jurídicos que sejam relevantes para a sua avaliação de risco, pode utilizar essas avaliações e documentos para efeitos do cumprimento dos requisitos previstos no presente artigo.
4 - A avaliação de risco efetuada pela entidade crítica inclui obrigatoriamente a avaliação dos riscos específicos relativos a cada uma das suas infraestruturas críticas.
5 - As avaliações de risco da entidade crítica são atualizadas, pelo menos de quatro em quatro anos, e sempre que se justifique.
Artigo 24.º
Plano de resiliência
1 - Cada entidade crítica elabora e implementa um plano de resiliência, que tem por base a avaliação de risco prevista no artigo anterior, a qual deve constar em anexo ao plano.
2 - O plano de resiliência integra medidas técnicas, de segurança e de organização necessárias para assegurar a sua resiliência, incluindo as medidas necessárias para:
a) Prevenir a ocorrência de incidentes, tendo em conta a redução do risco de catástrofes e medidas de adaptação às alterações climáticas;
b) Assegurar a proteção física adequada das suas instalações e, em especial, das suas infraestruturas críticas;
c) Resistir, responder e atenuar as consequências dos incidentes, tendo em conta a aplicação de procedimentos e protocolos de gestão de risco e de crises, bem como de mecanismos de alerta;
d) Adotar medidas de recuperação de incidentes, garantindo a continuidade da prestação do serviço essencial e a identificação de cadeias de abastecimento alternativas;
e) Garantir a gestão adequada da segurança relacionada com os recursos humanos, sejam estes próprios ou pertencentes a prestadores de serviços externos, nomeadamente, e se necessário:
i) A identificação das categorias de pessoas que exercem funções críticas, elencando, de entre estas, as obrigatoriamente sujeitas a um processo de verificação de antecedentes nos termos dos artigos 33.º e 34.º;
ii) O estabelecimento de direitos de acesso às instalações, às infraestruturas críticas e às áreas às quais se apliquem especiais medidas de segurança;
f) Formar e treinar os seus recursos humanos na implementação de medidas previstas ou implementadas.
3 - O plano de resiliência engloba um plano de segurança por cada infraestrutura crítica, a elaborar nos termos do artigo 30.º
4 - Por iniciativa própria, ou a pedido da entidade crítica, o Secretário-Geral do Sistema de Segurança Interna, mediante consulta prévia à entidade reguladora do sector de atividade em causa, quando exista, pode dispensar a elaboração do plano de resiliência ou de algum dos seus componentes ou anexos, caso o respetivo conteúdo se encontre previsto em instrumentos sectoriais específicos.
5 - O Secretário-Geral do Sistema de Segurança Interna produz e divulga orientações para a elaboração dos planos de resiliência das entidades críticas.
Artigo 25.º
Aprovação do plano de resiliência
1 - No prazo de 10 meses a contar da data da receção da notificação a que se refere o artigo 17.º, as entidades críticas submetem o seu plano de resiliência à aprovação do Secretário-Geral do Sistema de Segurança Interna.
2 - A aprovação do plano de resiliência implica a aprovação de cada um dos planos de segurança das infraestruturas críticas que o integram.
3 - A aprovação do plano de resiliência carece dos pareceres, emitidos a pedido do Secretário-Geral do Sistema de Segurança Interna, das seguintes entidades:
a) Entidade reguladora do sector de atividade em causa, quando exista e tenha atribuições nesta matéria;
b) Forças de segurança territorialmente competentes; e
c) Autoridade Nacional de Emergência e Proteção Civil ou serviço regional de proteção civil territorialmente competente.
4 - As entidades referidas nas alíneas do número anterior podem, com vista à emissão do respetivo parecer, efetuar visitas técnicas à entidade para verificação das medidas previstas nos respetivos planos de resiliência.
5 - Os pareceres referidos no número anterior são emitidos no prazo máximo de 90 dias a contar do pedido do Secretário-Geral do Sistema de Segurança Interna.
6 - O Secretário-Geral do Sistema de Segurança Interna pode solicitar a colaboração de outras entidades públicas com competência em razão da matéria.
7 - Findo o prazo referido no n.º 5, o Secretário-Geral do Sistema de Segurança Interna emite decisão no prazo de 20 dias.
8 - Caso a decisão seja de não aprovação, o Secretário-Geral do Sistema de Segurança Interna notifica a entidade crítica sobre as alterações a efetuar ao plano de resiliência, estabelecendo um prazo não inferior a 30 dias para nova submissão.
Artigo 26.º
Revisão do plano de resiliência
1 - O plano de resiliência é revisto no prazo máximo de quatro anos a contar da sua aprovação, ou sempre que se justifique, nomeadamente em caso de:
a) Perturbação grave na prestação do serviço essencial;
b) Perturbação grave do normal funcionamento de, pelo menos, uma infraestrutura crítica;
c) Alterações significativas ao nível das infraestruturas críticas;
d) Obtenção de novos conhecimentos, resultantes de simulacros e exercícios ou decorrente da evolução da ciência e da técnica.
2 - Face a circunstâncias excecionais devidamente fundamentadas, a entidade crítica pode solicitar ao Secretário-Geral do Sistema de Segurança Interna a prorrogação do prazo de entrega do plano de resiliência.
Artigo 27.º
Agentes de ligação da entidade crítica
1 - As entidades críticas designam, como agente de ligação, uma pessoa responsável pela articulação institucional, em matéria de resiliência, com as entidades previstas no presente decreto-lei e comunicam essa designação ao Secretário-Geral do Sistema de Segurança Interna, ao Conselho Nacional de Planeamento Civil de Emergência e à respetiva entidade sectorial, no prazo de 10 dias após a designação da entidade como entidade crítica.
2 - Ao agente de ligação da entidade crítica compete:
a) Assegurar a ligação com o Secretário-Geral do Sistema de Segurança Interna, com as forças e serviços de segurança e com a Autoridade Nacional de Emergência e Proteção Civil ou os serviços regionais de proteção civil territorialmente competentes para obtenção de informações sobre níveis de ameaça, estados de segurança e estados de alerta do sistema de proteção civil;
b) Comunicar às entidades competentes as informações provenientes das infraestruturas críticas da entidade crítica, nomeadamente as situações anómalas que ocorram e que possam ter impacto na manutenção do serviço ou serviços essenciais que a entidade crítica presta;
c) Comunicar ao Secretário-Geral do Sistema de Segurança Interna a identificação e contactos dos agentes de ligação das infraestruturas críticas que detêm ou exploram.
3 - O Secretário-Geral do Sistema de Segurança Interna promove, diretamente ou através dos demais órgãos e entidades que integram o Sistema de Segurança Interna, a troca de informações pertinentes relativas às ameaças e riscos para as entidades críticas com os respetivos agentes de ligação, sem prejuízo dos regimes legais aplicáveis aos segredos de Estado e de justiça.
Artigo 28.º
Notificação de incidentes
1 - Perante incidentes que perturbem significativamente, ou sejam suscetíveis de perturbar, a prestação de serviços essenciais ou o funcionamento das infraestruturas críticas que os asseguram, as entidades críticas acionam os seus planos e notificam de imediato o Secretário-Geral do Sistema de Segurança Interna.
2 - As entidades críticas notificam ainda o Secretário-Geral do Sistema de Segurança Interna, no mais curto prazo de tempo possível, e até ao máximo de 24 horas, dos seguintes elementos de informação, ou a sua estimativa, quando tal não for possível apurar com rigor neste prazo:
a) A identificação das infraestruturas críticas afetadas;
b) O número e a percentagem de utilizadores afetados pela perturbação;
c) A duração da perturbação;
d) A zona geográfica afetada pela perturbação, tendo em conta o seu eventual isolamento geográfico;
e) A causa presumida e as possíveis consequências do incidente, nomeadamente todas as informações disponíveis necessárias para determinar o seu impacto a nível nacional e transfronteiriço;
f) Qualquer outro elemento relevante.
3 - A notificação de incidentes ao Secretário-Geral do Sistema de Segurança Interna nos termos do presente artigo não dispensa nem substitui a comunicação imediata aos órgãos de polícia criminal territorialmente competentes sempre que existam suspeitas da prática de crime, para efeitos de preservação dos meios de prova e articulação subsequente nos termos da Lei 49/2008, de 27 de agosto, na sua redação atual.
4 - No prazo máximo de um mês, as entidades críticas remetem ao Secretário-Geral do Sistema de Segurança Interna um relatório pormenorizado contemplando todas as informações disponíveis necessárias para complementar a notificação inicial e fornecer uma visão completa do incidente.
5 - Se um incidente tiver ou puder ter um impacto significativo na continuidade da prestação de serviços essenciais a um ou mais Estados-Membros, o Secretário-Geral do Sistema de Segurança Interna informa, de imediato, os pontos de contacto único dos países visados.
6 - O Secretário-Geral do Sistema de Segurança Interna notifica, de imediato, a Comissão Europeia perante incidentes que tenham ou possam ter impacto significativo na continuidade da prestação de serviços essenciais a seis ou mais Estados-Membros.
7 - O Secretário-Geral do Sistema de Segurança Interna estabelece instruções relativamente aos mecanismos de notificação.
Artigo 29.º
Exercícios
1 - As entidades críticas realizam, pelo menos, um exercício durante a vigência do plano de resiliência aprovado, visando testar a adequação das medidas, procedimentos e ações constantes dos mesmos.
2 - Durante o período referido no número anterior, são testados obrigatoriamente todos os planos de segurança, devendo ser envolvidas as forças de segurança e os serviços municipais de proteção civil territorialmente competentes.
3 - A realização do exercício a que se referem os números anteriores é objeto de comunicação ao Secretário-Geral do Sistema de Segurança Interna, com a antecedência mínima de 20 dias.
4 - As entidades sectoriais promovem a realização de exercícios ao seu nível, envolvendo as entidades críticas, o Secretário-Geral do Sistema de Segurança Interna e o Conselho Nacional de Planeamento Civil de Emergência, bem como outras entidades relevantes em razão da matéria.
5 - Após a realização dos exercícios previstos nos n.os 1 e 3, é elaborado relatório que é remetido ao Secretário-Geral do Sistema de Segurança Interna no prazo máximo de 30 dias.
6 - O Secretário-Geral do Sistema de Segurança Interna, em articulação com o Conselho Nacional de Planeamento Civil de Emergência e com as entidades sectoriais, promove a realização de exercícios transversais, podendo envolver entidades críticas e outras entidades relevantes em razão da matéria, assim como, quando pertinente, entidades de outros Estados-Membros da União Europeia.
SECÇÃO I
DAS INFRAESTRUTURAS CRÍTICAS
Artigo 30.º
Plano de segurança
1 - Cada infraestrutura crítica dispõe de um plano de segurança que prevê as medidas técnicas de segurança e de organização necessárias, tendo por base a avaliação de risco prevista no artigo 23.º
2 - O plano de segurança inclui:
a) A identificação dos elementos cuja perturbação do funcionamento ou destruição teria impacto especialmente significativo na prestação do serviço essencial;
b) A identificação das áreas delimitadas, abrangendo os elementos referidos na alínea a) e às quais são aplicáveis as medidas especiais de segurança do artigo 32.º;
c) As contramedidas e procedimentos de segurança permanentes;
d) As contramedidas e procedimentos de segurança progressivos a ativar consoante o grau de ameaça aplicável ou o estado de segurança decretado.
3 - As contramedidas e procedimentos de segurança permanentes previstos na alínea c) do número anterior incluem, quando aplicável:
a) A instalação de equipamentos de deteção, controlo de acesso, proteção e prevenção;
b) Procedimentos de alerta;
c) Medidas de controlo de acesso a zonas de acesso restrito;
d) Medidas de minimização dos danos e impactos e de reposição da normalidade.
4 - O plano de segurança de cada infraestrutura crítica é parte integrante do plano de resiliência da entidade crítica que a opera, correspondendo cada plano de segurança a um anexo do plano de resiliência.
Artigo 31.º
Agente de ligação da infraestrutura crítica
1 - A entidade crítica designa um agente de ligação para cada infraestrutura crítica que detêm ou exploram, a quem compete:
a) Verificar as condições de segurança da respetiva infraestrutura crítica e a eficácia dos dispositivos de segurança instalados;
b) Implementar medidas e ações de acordo com o previsto no plano de segurança;
c) Agilizar os contactos e a articulação com as estruturas locais das forças de segurança territorialmente competentes e com os serviços municipais de proteção civil;
d) Comunicar e acompanhar situações de risco que envolvam os trabalhadores ou pessoas com acesso a elementos sensíveis ou críticos da infraestrutura, de acordo com indícios técnicos previamente fixados pelas entidades competentes;
e) Comunicar as situações anómalas registadas nas infraestruturas críticas ou em que estejam envolvidos os seus trabalhadores;
f) Assegurar a comunicação local com as forças de segurança e os serviços de proteção civil territorialmente competentes.
2 - A entidade crítica comunica essa designação ao Secretário-Geral do Sistema de Segurança Interna no prazo de 10 dias após a sua designação como entidade crítica, ou sempre que ocorra nova designação, cabendo ao Secretário-Geral do Sistema de Segurança Interna transmitir essa informação à Autoridade Nacional de Emergência e Proteção Civil ou ao serviço regional de proteção civil territorialmente competente, às forças de segurança e aos serviços de proteção civil territorialmente competentes.
3 - Pode ser designado o mesmo agente de ligação de uma infraestrutura para várias infraestruturas críticas, desde que fiquem asseguradas as funções previstas no n.º 1, bem como a disponibilidade de contacto em caso de incidente.
4 - O agente de ligação da entidade crítica pode constituir-se simultaneamente como agente de ligação de uma ou várias infraestruturas críticas, nomeadamente quando a elevada complexidade e dimensão das infraestruturas o recomende ou as funções referidas no n.º 2 requeiram especiais competências e conhecimentos técnicos das infraestruturas e do seu funcionamento.
Artigo 32.º
Medidas especiais de segurança
As medidas especiais de segurança, sempre que tecnicamente possíveis, contemplam:
a) O estabelecimento de um perímetro de segurança que impeça o acesso não autorizado;
b) A implementação de um sistema de videovigilância para captação e gravação de imagem, com cobertura do acesso ao interior do perímetro de segurança;
c) A implementação de um sistema de controlo de acessos ao interior do perímetro de segurança, abrangendo:
i) A listagem de todas as pessoas cujo acesso, direto ou remoto, é autorizado;
ii) O registo, permanentemente atualizado, de todos os acessos;
iii) Os requisitos a observar para, em caso de necessidade, ser permitido o acesso por pessoas não previamente autorizadas.
Artigo 33.º
Pedido de verificação de antecedentes
1 - As entidades críticas, através de pedido fundamentado, solicitam ao Secretário-Geral do Sistema de Segurança Interna a verificação de antecedentes relativos a pessoas que:
a) Integram, ou possam vir a integrar, as categorias de pessoal identificadas no respetivo plano de resiliência como necessariamente sujeitas a um processo de verificação de antecedentes;
b) Careçam de autorização de acesso, direto ou remoto, às áreas às quais se apliquem as medidas especiais de segurança nos termos do artigo anterior.
2 - O pedido de verificação de antecedentes é necessariamente acompanhado por declaração, escrita ou eletrónica, da pessoa objeto de verificação, autorizando o Secretário-Geral do Sistema de Segurança Interna a promover a verificação de antecedentes e a solicitar quaisquer informações naquele âmbito às autoridades nacionais e internacionais.
3 - Os pedidos de verificação de antecedentes devem ser proporcionais e estritamente limitados ao necessário, sendo realizadas exclusivamente para avaliar um potencial risco de segurança para a entidade crítica em questão.
4 - As entidades críticas, em momento prévio ao pedido de verificação de antecedentes, desenvolvem todos os esforços com vista à confirmação das informações referidas nas alíneas a) a c) do n.º 1 do artigo seguinte.
5 - Compete ao Secretário-Geral do Sistema de Segurança Interna decidir, em face do objeto e da fundamentação apresentada, sobre a admissibilidade dos pedidos de verificação de antecedentes.
6 - Sempre que tiver conhecimento de informação relativa a um potencial risco de segurança para uma entidade crítica, o Secretário-Geral do Sistema de Segurança Interna pode promover verificações de antecedentes.
Artigo 34.º
Âmbito da verificação de antecedentes
1 - A verificação de antecedentes incide sobre os seguintes elementos, cujos comprovativos são apresentados pela pessoa visada:
a) A sua identidade;
b) Os seus antecedentes pessoais e profissionais, designadamente:
i) A lista dos países de residência dos últimos 10 anos;
ii) Documentação relativa ao emprego, estudos e interrupções durante os últimos cinco anos;
c) O registo criminal relativo a cada um dos países indicados na alínea b).
2 - No âmbito da verificação de antecedentes, o Secretário-Geral do Sistema de Segurança Interna recorre aos elementos que se encontrem à disposição das autoridades nacionais competentes e que sejam pertinentes para avaliar um potencial risco de segurança para a entidade crítica em questão.
3 - O Secretário-Geral do Sistema de Segurança Interna pode ainda solicitar informação às autoridades nacionais e europeias inseridas no Sistema Europeu de Informação sobre Registos Criminais e demais autoridades internacionais.
4 - O Secretário-Geral do Sistema de Segurança Interna notifica a entidade crítica sobre o resultado da verificação de antecedentes.
Artigo 35.º
Plano de intervenção das forças de segurança
1 - A força de segurança territorialmente competente elabora e comunica, ao Secretário-Geral do Sistema de Segurança Interna, um plano de intervenção para cada infraestrutura crítica situada na sua área de responsabilidade.
2 - O Secretário-Geral do Sistema de Segurança Interna, ouvidas as forças e serviços de segurança, define conteúdos para a elaboração dos planos de intervenção, com vista à sua uniformidade.
Artigo 36.º
Articulação entre planos
Os planos de intervenção elaborados pelas forças de segurança, bem como os planos municipais de emergência de proteção civil elaborados pela autoridade de proteção civil territorialmente competente, têm em conta a existência de infraestruturas críticas localizadas nas áreas geográficas da sua competência.
Artigo 37.º
Interdição de sobrevoo
1 - As forças de segurança territorialmente competentes podem, no âmbito da elaboração do respetivo plano de intervenção, e após auscultação da entidade crítica, propor a implementação de medidas restritivas do espaço aéreo situado por cima das respetivas infraestruturas críticas e área envolvente.
2 - A entidade crítica pode, por iniciativa própria, requerer ao Secretário-Geral do Sistema de Segurança Interna a implementação de medidas restritivas do espaço aéreo situado por cima das respetivas infraestruturas críticas, tendo como fundamento a avaliação de risco.
3 - Nos casos referidos no n.º 1, o Secretário-Geral do Sistema de Segurança Interna remete a proposta à Autoridade Aeronáutica Nacional, para avaliação.
4 - Nos casos referidos no n.º 2, e sustentado no parecer positivo da força de segurança territorialmente competente, o Secretário-Geral do Sistema de Segurança Interna remete o pedido à Autoridade Aeronáutica Nacional para avaliação.
5 - Quando não estejam em causa situações de urgência, a decisão resultante da avaliação prevista no número anterior é precedida de parecer, não vinculativo, da Autoridade Nacional para a Aviação Civil, a emitir no prazo que lhe for fixado para o efeito pela Autoridade Aeronáutica Nacional.
6 - Sem prejuízo do número anterior, a Autoridade Aeronáutica Nacional comunica à Autoridade Nacional para a Aviação Civil a decisão resultante da avaliação prevista no n.º 4.
CAPÍTULO IV
ENTIDADES CRÍTICAS DE ESPECIAL RELEVÂNCIA EUROPEIA
Artigo 38.º
Identificação e designação das entidades críticas de especial relevância europeia
1 - São entidades críticas de especial relevância europeia as entidades que, cumulativamente:
a) Tenham sido identificadas e designadas como entidades críticas;
b) Prestem serviços essenciais, iguais ou semelhantes, em seis ou mais Estados-Membros.
2 - As entidades sectoriais identificam, com base nos critérios previstos no número anterior, as entidades críticas com potencial para serem designadas como entidades críticas de especial relevância europeia.
3 - As entidades sectoriais informam o Conselho Nacional de Planeamento Civil de Emergência das entidades críticas selecionadas nos termos do número anterior, quais os serviços essenciais prestados e em que Estados-Membros, informação que será remetida pelo Conselho Nacional de Planeamento Civil de Emergência à Comissão Europeia.
4 - Caso a Comissão Europeia determine que a entidade crítica é de especial relevância europeia, compete ao Conselho Nacional de Planeamento Civil de Emergência, em seu nome, proceder à notificação da entidade crítica dessa qualidade.
5 - Da notificação referida no número anterior, é dado conhecimento simultâneo:
a) Ao Secretário-Geral do Sistema de Segurança Interna;
b) À respetiva entidade sectorial;
c) Às autoridades competentes no domínio da cibersegurança;
d) Aos presidentes de câmara municipal territorialmente competentes, das infraestruturas críticas designadas e localizadas na sua área geográfica de responsabilidade.
CAPÍTULO V
FISCALIZAÇÃO
SECÇÃO I
COMPETÊNCIAS
Artigo 39.º
Competências sancionatórias e de fiscalização
As competências de fiscalização e de aplicação das sanções previstas no presente decreto-lei cabem ao Secretário-Geral do Sistema de Segurança Interna.
Artigo 40.º
Poderes de fiscalização
No exercício das suas competências de fiscalização compete ao Secretário-Geral do Sistema de Segurança Interna, designadamente:
a) Garantir o cumprimento das obrigações decorrentes do presente decreto-lei;
b) Supervisionar e fiscalizar o cumprimento das obrigações decorrentes do presente decreto-lei, bem como a efetiva implementação das medidas tomadas;
c) Assegurar, às entidades críticas, a prestação de apoio e orientações face a todos os riscos pertinentes, incluindo o desenvolvimento de documentação e metodologias de orientação, bem como a colaboração na organização de exercícios para testar a sua resiliência e a prestação de aconselhamento.
Artigo 41.º
Ações de fiscalização
1 - Para avaliar o cumprimento das obrigações decorrentes do presente decreto-lei, bem como a efetiva implementação das medidas adotadas pelas entidades críticas de acordo com o plano de resiliência aprovado, compete ao Secretário-Geral do Sistema de Segurança Interna determinar a realização dos seguintes tipos de ações de fiscalização:
a) Auditorias, para analisar a conformidade e implementação dos planos de resiliência;
b) Inspeções, para verificação nas instalações das entidades críticas da eficácia das medidas implementadas.
2 - Compete, ainda, ao Secretário-Geral do Sistema de Segurança Interna determinar a supervisão remota das medidas adotadas pelas entidades críticas.
3 - As ações de fiscalização previstas no n.º 1 são conduzidas com observância do princípio do contraditório e objeto de comunicação prévia, ao agente de ligação da entidade crítica visada, com a antecedência mínima de sete dias.
4 - Da comunicação referida no número anterior deve constar o tipo de ação a realizar, os seus objetivos gerais, a data prevista para o seu início e a equipa designada para o efeito.
5 - A comunicação prévia referida nos números anteriores pode ser dispensada, por despacho fundamentado do Secretário-Geral do Sistema de Segurança Interna, em caso de necessidade ou quando a ação de fiscalização for determinada com caráter de urgência.
Artigo 42.º
Relatório da ação de fiscalização
1 - De cada ação de fiscalização é elaborado um relatório final que integra os resultados do exercício do contraditório, do qual, após homologação pelo Secretário-Geral do Sistema de Segurança Interna, é dado conhecimento ao agente de ligação da entidade crítica.
2 - Sem prejuízo da possibilidade de imposição de sanções prevista no artigo seguinte, o Secretário-Geral do Sistema de Segurança Interna pode, no relatório final, recomendar às entidades críticas visadas a adoção, dentro de um prazo razoável, de medidas concretas para remediar qualquer desconformidade com as obrigações impostas pelo presente decreto-lei.
3 - As medidas a que se refere o número anterior devem ser necessárias e proporcionais, tendo em conta a gravidade da violação verificada.
4 - As entidades visadas estão obrigadas a transmitir as informações sobre o grau de implementação das medidas propostas.
Artigo 43.º
Poderes sancionatórios
1 - Na sequência da realização das ações de fiscalização e no exercício dos seus poderes sancionatórios compete ao Secretário-Geral do Sistema de Segurança Interna determinar a instauração de processos de contraordenação e a aplicação das coimas e outras sanções previstas no presente decreto-lei.
2 - Incumbe ainda ao Secretário-Geral do Sistema de Segurança Interna participar às autoridades competentes em razão da matéria, os factos de que venha a tomar conhecimento no desempenho das suas funções e que indiciem a prática de infrações cuja apreciação e punição não seja da sua competência.
Artigo 44.º
Prestação de informação
O Secretário-Geral do Sistema de Segurança Interna, se necessário, solicita às entidades críticas designadas ao abrigo do presente decreto-lei:
a) As informações necessárias para avaliar se as medidas tomadas por estas entidades para garantir a sua resiliência cumprem os requisitos estabelecidos no artigo 24.º;
b) A comprovação da efetiva implementação destas medidas, incluindo os resultados de uma auditoria realizada por um auditor independente e qualificado, selecionado pela referida entidade e realizada às suas custas.
Artigo 45.º
Fiscalização
No exercício das suas funções de fiscalização, o Secretário-Geral do Sistema de Segurança Interna é coadjuvado pelas autoridades policiais e outras autoridades ou serviços públicos cuja colaboração solicite.
Artigo 46.º
Competência
1 - A aplicação de advertência, de coimas, bem como o arquivamento dos processos de contraordenação, são da competência do Secretário-Geral do Sistema de Segurança Interna.
2 - As competências previstas no número anterior podem ser delegadas, com possibilidade de subdelegação.
SECÇÃO II
COIMAS
Artigo 47.º
Classificação das contraordenações
Para determinação da coima aplicável e tendo em conta a relevância dos interesses violados, as contraordenações classificam-se em leves, graves e muito graves.
Artigo 48.º
Infrações leves
Constituem infrações leves:
a) O incumprimento da obrigação de comunicar a designação do agente de ligação da entidade, como previsto na alínea a) do n.º 5 do artigo 20.º e no n.º 1 do artigo 27.º;
b) O incumprimento da obrigação de comunicar a realização de exercícios, como previsto no n.º 3 do artigo 29.º;
c) O incumprimento do envio do relatório do exercício realizado, como previsto no n.º 5 do artigo 29.º;
d) O incumprimento de comunicação da designação do agente de ligação da infraestrutura crítica, como previsto no n.º 2 do artigo 31.º
Artigo 49.º
Infrações graves
Constituem infrações graves:
a) O incumprimento da obrigação de comunicar a substituição da entidade crítica, tal como previsto no n.º 2 do artigo 20.º;
b) O incumprimento da obrigação de comunicar a venda ou cedência, tal como previsto no n.º 2 do artigo 21.º;
c) O incumprimento da obrigação de rever e submeter o plano de resiliência, tal como previsto no n.º 1 do artigo 26.º;
d) O incumprimento da obrigação de comunicar a ocorrência de incidentes, como previsto nos n.os 1, 2 e 3 do artigo 28.º;
e) O incumprimento da obrigação de realização dos exercícios, como previsto no n.º 1 do artigo 29.º
Artigo 50.º
Infração muito grave
Constitui infração muito grave o incumprimento da obrigação de submissão dos planos e respetivas revisões, prevista na alínea b) do n.º 5 do artigo 20.º e no n.º 1 do artigo 25.º
Artigo 51.º
Coimas e sanções pecuniárias compulsórias
O montante das coimas e os respetivos escalões, bem como das sanções pecuniárias compulsórias, são definidos em diploma próprio.
Artigo 52.º
Cumprimento do dever omitido
1 - Sempre que a contraordenação consista na omissão de um dever, o pagamento da coima não dispensa o infrator do seu cumprimento, se este ainda for possível.
2 - Nos casos referidos no número anterior, o infrator pode ser sujeito à injunção de cumprir o dever em causa, sob pena de aplicação de uma sanção pecuniária compulsória.
3 - Para efeitos do disposto no número anterior, considera-se sanção pecuniária compulsória a imposição ao agente do pagamento de uma quantia pecuniária por cada dia de incumprimento que se verifique para além do prazo fixado para o cumprimento da obrigação.
Artigo 53.º
Advertência
1 - Previamente à instauração do processo contraordenacional, o Secretário-Geral do Sistema de Segurança Interna pode advertir o infrator, com a indicação da infração verificada, das medidas recomendadas para reparar a situação e do prazo para o seu cumprimento.
2 - O Secretário-Geral do Sistema de Segurança Interna notifica ou entrega imediatamente a advertência ao infrator para que a irregularidade seja sanada, avisando-o de que o incumprimento das medidas recomendadas determina a instauração de processo de contraordenação e influi na determinação da medida da coima.
3 - Sanada a irregularidade, o processo é arquivado.
4 - A decisão de aplicação de advertência prevista no presente artigo não constitui uma decisão condenatória.
Artigo 54.º
Processamento e aplicação das coimas
1 - O processamento das contraordenações e a aplicação das coimas compete ao Secretário-Geral do Sistema de Segurança Interna.
2 - O produto das coimas é repartido da seguinte forma:
a) 60 % para o Estado;
b) 20 % para o orçamento do gabinete do Secretário-Geral do Sistema de Segurança Interna;
c) 20 % para a Autoridade Nacional de Emergência e Proteção Civil
CAPÍTULO VI
DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Artigo 55.º
Plataforma eletrónica de registo
1 - O Secretário-Geral do Sistema de Segurança Interna cria a plataforma eletrónica de registo de informação de entidades críticas e infraestruturas críticas e assegura o seu funcionamento.
2 - A plataforma eletrónica de registo integra informação classificada e compreende:
a) A catalogação das entidades críticas e infraestruturas críticas nacionais ou de especial relevância europeia localizadas em território nacional;
b) Os contactos dos agentes de ligação da entidade crítica e dos agentes de ligação das respetivas infraestruturas críticas;
c) Os contactos dos pontos de contacto das forças de segurança territorialmente competentes;
d) O registo dos planos de resiliência e de segurança da entidade crítica, dos planos de intervenção das forças de segurança, naquilo que diga respeito à intervenção em infraestruturas críticas;
e) O registo de informação sobre a realização de exercícios e simulacros;
f) Monitorização, o registo e a gestão de acidentes e incidentes que sejam considerados relevantes para efeitos do presente decreto-lei;
g) Informações recolhidas no âmbito da fiscalização e supervisão do Secretário-Geral do Sistema de Segurança Interna ou das forças de segurança;
h) Dados que permitam decidir sobre o planeamento e a priorização das intervenções de reforço da resiliência;
i) Outras informações que resultem da aplicação do presente decreto-lei.
3 - Para além do Secretário-Geral do Sistema de Segurança Interna, o Conselho Nacional de Planeamento Civil de Emergência, as forças de segurança, os serviços de informações de segurança, a Autoridade Nacional de Emergência e Proteção Civil, os serviços regionais de proteção civil e o Centro Nacional de Cibersegurança acedem e asseguram a atualização da informação da plataforma eletrónica de registo no âmbito das suas competências.
4 - Mediante avaliação por parte do Secretário-Geral do Sistema de Segurança Interna podem ainda aceder e efetuar registos na plataforma eletrónica de registo as entidades sectoriais e outras entidades que se afigurem relevantes.
Artigo 56.º
Disposições transitórias
1 - Até 17 de janeiro de 2026 são aprovadas a estratégia nacional para a resiliência das entidades críticas e a avaliação nacional de risco.
2 - Até à aprovação dos documentos referidos no número anterior mantêm-se em vigor os procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias estabelecidos pelo Decreto-Lei 20/2022, de 28 de janeiro.
3 - Até 17 de julho de 2026 são designadas as entidades críticas para os sectores e subsectores estabelecidos no anexo ao presente decreto-lei.
4 - Os planos de segurança dos operadores de infraestruturas críticas, aprovados até à data da entrada em vigor do presente decreto-lei, mantêm-se válidos até à concretização do processo de designação das entidades críticas e da aprovação dos respetivos planos de resiliência.
5 - Os operadores de infraestruturas críticas que não venham a ser designados como entidades críticas ao abrigo do presente decreto-lei são notificados da cessação das suas obrigações pelo Conselho Nacional de Planeamento Civil de Emergência.
Artigo 57.º
Norma revogatória
Sem prejuízo do disposto no n.º 2 do artigo anterior, são revogados os capítulos i e ii do Decreto-Lei 20/2022, de 28 de janeiro.
Visto e aprovado em Conselho de Ministros de 9 de janeiro de 2025. - Luís Montenegro - Inês Carmelo Rosa Calado Lopes Domingos - Joaquim Miranda Sarmento - Manuel Castro Almeida - Nuno Melo - Rita Alarcão Júdice - Margarida Blasco - Fernando Alexandre - Ana Paula Martins - Miguel Martinez de Castro Pinto Luz - Maria da Graça Carvalho - Margarida Balseiro Lopes - José Manuel Fernandes.
Promulgado em 10 de março de 2025.
Publique-se.
O Presidente da República, Marcelo Rebelo de Sousa.
Referendado em 12 de março de 2025.
O Primeiro-Ministro, Luís Montenegro.
ANEXO
[a que se referem o n.º 3 do artigo 1.º, as alíneas c), d) e j) do artigo 2.º, a alínea c) do n.º 5 e o n.º 7 do artigo 11.º, a alínea c) do artigo 13.º, a alínea b) do artigo 14.º e o n.º 3 do artigo 56.º]
Sectores e subsectores de entidades críticas, serviços essenciais e respetivas entidades sectoriais
Sector | Subsector | Serviço essencial (categoria de entidade) | Entidades sectoriais |
|---|---|---|---|
Energia | Eletricidade | Fornecimento de eletricidade (empresas de eletricidade) | Comissão de Planeamento de Emergência da Energia |
|
| Exploração, manutenção e desenvolvimento de uma rede de distribuição de eletricidade (operadores da rede de distribuição) | |
|
| Exploração, manutenção e desenvolvimento de uma rede de transporte de eletricidade (operadores da rede de transporte) |
|
|
| Produção de eletricidade (produtores) |
|
|
| Serviço do operador nomeado do mercado da eletricidade (operadores nomeados do mercado da eletricidade) |
|
|
| Resposta à procura (participantes no mercado da eletricidade) |
|
|
| Agregação da eletricidade (participantes no mercado da eletricidade) |
|
|
| Armazenamento de energia (participantes no mercado da eletricidade) |
|
| Aquecimento e arrefecimento urbano: fornecimento de aquecimento ou arrefecimento urbano (operadores de aquecimento urbano ou de arrefecimento urbano) |
|
|
| Petróleo | Transporte de petróleo (operadores de oleodutos de petróleo) |
|
|
| Produção de petróleo (operadores de produção de petróleo) |
|
|
| Refinamento e tratamento de petróleo (operadores de instalações de refinamento e tratamento de petróleo) |
|
|
| Armazenagem de petróleo (operadores de armazenagem de petróleo) |
|
|
| Gestão das reservas de petróleo, incluindo reservas de segurança e reservas específicas de petróleo (entidades centrais de armazenagem) |
|
| Gás | Fornecimento de gás (empresas de comercialização) |
|
|
| Distribuição de gás (operadores da rede de distribuição) |
|
|
| Transporte de gás (operadores da rede de transporte) |
|
|
| Armazenamento de gás (operadores do sistema de armazenamento) |
|
|
| Exploração de um sistema de gás natural liquefeito (GNL) (operadores da rede de GNL) |
|
|
| Produção de gás natural (empresas de gás natural) |
|
|
| Aquisição de gás natural (empresas de gás natural) |
|
|
| Refinamento e tratamento de gás natural (operadores de instalações de refinamento e tratamento de gás natural) |
|
| Subsector do hidrogénio | Produção de hidrogénio (operadores de produção de hidrogénio) |
|
|
| Armazenamento de hidrogénio (operadores de armazenamento de hidrogénio) |
|
|
| Transporte de hidrogénio (operadores de transporte de hidrogénio) |
|
Transportes | Transporte aéreo | Serviços de transporte aéreo utilizados para fins comerciais (passageiros e mercadorias) (transportadoras aéreas) | Comissão de Planeamento de Emergência do Transporte Aéreo |
|
| Exploração, gestão e manutenção dos aeroportos e das infraestruturas da rede aeroportuária (entidades gestoras aeroportuárias) |
|
|
| Serviços de controlo do tráfego aéreo (operadores de controlo da gestão do tráfego aéreo) |
|
| Transporte ferroviário | Serviços de transporte ferroviário (passageiros e mercadorias) (empresas ferroviárias) | Comissão de Planeamento de Emergência dos Transportes Terrestres |
|
| Exploração, gestão e manutenção da infraestrutura ferroviária, incluindo estações de passageiros, terminais de mercadorias, estações de triagem e centros de controlo do tráfego (gestores de infraestrutura) |
|
|
| Exploração, gestão e manutenção de instalações de serviço ferroviário (operadores das instalações de serviço) |
|
|
| Exploração, gestão e manutenção da gestão do tráfego ferroviário, controlo-comando e sinalização, bem como instalações e sistemas de telecomunicações utilizados para o controlo-comando e a sinalização (gestores de infraestrutura) |
|
| Transporte por vias navegáveis | Serviços de transporte marítimo, costeiro e por vias navegáveis interiores (passageiros e mercadorias) (companhias de transporte marítimo, costeiro e por vias navegáveis interiores de passageiros e de mercadorias) | Comissão de Planeamento de Emergência do Transporte Marítimo |
|
| Exploração, gestão e manutenção de portos e instalações portuárias e gestão das obras e do equipamento existente dentro dos portos, incluindo abastecimento, serviços de carga e descarga, amarração, serviços de passageiros, recolha de resíduos gerados em navios e de resíduos da carga, pilotagem e reboque (entidades gestoras dos portos e entidades que gerem as obras e o equipamento existentes dentro dos portos) |
|
|
| Serviços de tráfego marítimo (operadores de serviços de tráfego marítimo) |
|
| Transporte rodoviário | Controlo da gestão do tráfego, incluindo aspetos relacionados com os serviços de planeamento, controlo e gestão da rede rodoviária, excluindo a gestão do tráfego ou a exploração de sistemas de transporte inteligentes, sempre que não constituam uma parte essencial da atividade geral das entidades públicas (autoridades rodoviárias) | Comissão de Planeamento de Emergência dos Transportes Terrestres |
|
| Serviços de sistemas de transporte inteligentes (operadores de sistemas de transporte inteligentes) |
|
| Transportes públicos: serviços públicos de transporte de passageiros por caminho de ferro e outros sistemas guiados, bem como por estrada (operadores de serviços públicos) |
|
|
Bancário |
| Aceitação de depósitos (instituições de crédito) | Banco de Portugal |
|
| Concessão de empréstimos (instituições de crédito) |
|
|
| Serviços de pagamento (instituições de crédito) |
|
Infraestruturas do mercado financeiro
|
| Exploração de uma plataforma de negociação (operadores de plataformas de negociação) | Comissão do Mercado de Valores Mobiliários
|
Funcionamento dos sistemas de compensação (contrapartes centrais) | |||
Saúde |
| Prestação de serviços de saúde (prestadores de cuidados de saúde) | Comissão de Planeamento de Emergência da Saúde |
|
| Análises efetuadas por um laboratório de referência da União Europeia (laboratórios de referência da UE) | |
|
| Investigação e desenvolvimento de medicamentos (entidades que realizam atividades de investigação e desenvolvimento de medicamentos) |
|
|
| Fabrico de produtos farmacêuticos de base e de preparações farmacêuticas de base (entidades que fabricam produtos farmacêuticos de base e preparações farmacêuticas) |
|
|
| Fabrico de dispositivos médicos considerados críticos durante uma emergência de saúde pública (entidades que fabricam dispositivos médicos) |
|
|
| Armazenamento e distribuição de medicamentos (entidades titulares de uma autorização) |
|
Água potável |
| Fornecimento e distribuição de água potável, excluindo a distribuição de água para consumo humano, sempre que esse serviço constitua uma parte não essencial da atividade geral dos distribuidores que distribuem outros produtos de base e mercadorias (fornecedores e distribuidores de água destinada ao consumo humano) | Comissão de Planeamento de Emergência da Água e Resíduos |
Águas residuais |
| Recolha, tratamento e eliminação de águas residuais, com exclusão da recolha, eliminação ou tratamento de águas residuais urbanas, de águas residuais domésticas ou de águas residuais industriais quando não constituam uma parte essencial da atividade geral das empresas (empresas que recolhem, eliminam ou tratam águas residuais urbanas, águas residuais domésticas e águas residuais industriais) |
|
Infraestruturas digitais |
| Prestação e exploração de serviços de pontos de troca de tráfego (fornecedores de pontos de troca de tráfego) | Comissão de Planeamento de Emergência da Cibersegurança |
|
| Prestação de serviços do sistema de nomes de domínio (DNS), excluindo os serviços relacionados com servidores de nomes da zona raiz (prestadores de serviços de DNS) |
|
|
| Funcionamento e administração de registos de nomes de domínio de topo (registos de nomes de domínio de topo) |
|
|
| Prestação de serviços de computação em nuvem (prestadores de serviços de computação em nuvem) |
|
|
| Prestação de serviços de centro de dados (prestadores de serviços de centro de dados) |
|
|
| Fornecimento de redes de distribuição de conteúdos (fornecedores de redes de distribuição de conteúdos) |
|
|
| Prestação de serviços de confiança (prestadores de serviços de confiança) |
|
|
| Fornecimento de serviços de comunicações eletrónicas acessíveis ao público (fornecedores de serviços de comunicações eletrónicas) | Comissão de Planeamento de Emergência das Comunicações
|
|
| Fornecimento de redes públicas de comunicações eletrónicas (fornecedores de redes de serviços de comunicações eletrónicas) | |
Administração pública: serviços prestados por entidades da administração pública, excluindo os tribunais, a Assembleia da República, as assembleias legislativas das regiões autónomas e o Banco de Portugal |
| Serviços de natureza administrativa ou regulamentar que afetem os direitos de pessoas singulares ou coletivas no contexto da circulação transfronteiriça de pessoas, mercadorias, serviços ou capitais | Secretário-Geral do Sistema de Segurança Interna |
Espaço |
| Operação de infraestruturas terrestres, detidas, geridas e operadas pelos Estados-Membros ou por entidades privadas que apoiam a oferta de serviços espaciais, excluindo os fornecedores de redes públicas de comunicações eletrónicas (operadores de infraestruturas terrestres) | Agência Espacial Portuguesa |
Sector da produção, transformação e distribuição de produtos alimentares (empresas do sector alimentar que estejam envolvidas exclusivamente na logística e na distribuição por grosso e produção e transformação industriais em grande escala) |
| Produção e transformação industriais de produtos alimentares em grande escala | Comissão de Planeamento de Emergência da Agricultura |
Serviços da cadeia de abastecimento alimentar, incluindo armazenamento e logística | |||
Distribuição por grosso de produtos alimentares | |||
Segurador e dos fundos de pensões | Subscrição de contratos de seguros (empresas de seguros e de resseguros) | Autoridade de Supervisão de Seguros e Fundos de Pensões | |
Gestão e regularização de sinistros (empresas de seguros e de resseguros) | |||
Constituição e gestão de fundos de pensões |
118809273
