de 23 de dezembro
Assegura a implementação de atos jurídicos europeus no ordenamento jurídico nacional relativos à resiliência operacional digital do setor financeiro A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1.º
Objeto 1-A presente lei:
a) Executa na ordem jurídica interna o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro (Regulamento (UE) 2022/2554);
b) Transpõe para a ordem jurídica interna a Diretiva (UE) 2022/2556 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, que altera as Diretivas 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 no que diz respeito à resiliência operacional digital para o setor financeiro.
2-Para efeitos do disposto na alínea b) do número anterior, a presente lei procede à:
a) Alteração ao Regime Geral das Instituições de Crédito e Sociedades Financeiras, aprovado pelo Decreto Lei 298/92, de 31 de dezembro;
b) Alteração do Código dos Valores Mobiliários, aprovado pelo Decreto Lei 486/99, de 13 de novembro;
c) Alteração ao Regime jurídico das sociedades gestoras de mercado regulamentado, das sociedades gestoras de sistemas de negociação multilateral, das sociedades gestoras de câmara de compensação ou que atuem como contraparte central das sociedades gestoras de sistema de liquidação e das sociedades gestoras de sistema centralizado de valores mobiliários, aprovado pelo Decreto Lei 357-C/2007, de 31 de outubro, e republicado pelo Decreto Lei 109-H/2021, de 10 de dezembro;
d) Alteração ao regime jurídico de acesso e exercício da atividade seguradora e resseguradora, aprovado pela Lei 147/2015, de 9 de setembro;
e) Quarta alteração ao Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica, aprovado pelo Decreto Lei 91/2018, de 12 de novembro;
f) Primeira alteração ao regime jurídico da constituição e do funcionamento dos fundos de pensões e das entidades gestoras de fundos de pensões, aprovado pela Lei 27/2020, de 23 de julho;
g) Alteração ao Regime das Empresas de Investimento, aprovado pelo Decreto Lei 109-H/2021, de 10 de dezembro;
h) Terceira alteração ao Regime da Gestão de Ativos, aprovado pelo Decreto Lei 27/2023, de 28 de abril, alterado pelos DecretosLeis 89/2024, de 18 de novembro e 103/2025, de 11 de setembro.
Artigo 2.º
Âmbito 1-O regime previsto no Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, na presente lei e na legislação ou regulamentação europeia ou nacional relevante em matéria de resiliência operacional digital, aplica-se às empresas de seguros e de resseguros com sede em Portugal e às entidades gestoras de fundos de pensões autorizadas em Portugal às quais se aplica, respetivamente, o regime jurídico de acesso e exercício da atividade seguradora e resseguradora, aprovado pela Lei 147/2015, de 9 de setembro, e o regime jurídico da constituição e do funcionamento dos fundos de pensões e das entidades gestoras de fundos de pensões, aprovado pela Lei 27/2020, de 23 de julho.
2-Excluem-se do âmbito de aplicação do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022 e da presente lei as
Caixas Económicas
» existentes em 1 de janeiro de 1986, excetuando-se as que revestem a forma de sociedades anónimas, incluindo a Caixa Económica Montepio Geral, referidas no n.º 5 do artigo 2.º da Diretiva 2013/36/UE do Parlamento Europeu e do Conselho, de 26 de junho de 2013, relativa ao acesso à atividade das instituições de crédito e à supervisão prudencial das instituições de crédito e empresas de investimento, que altera a Diretiva 2002/87/CE e revoga as Diretivas 2006/48/CE e 2006/49/CE.CAPÍTULO II
AUTORIDADES COMPETENTES E PODERES
Artigo 3.º
Autoridades competentes 1-Nos termos e para os efeitos do artigo 46.º do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, da presente lei e da legislação ou regulamentação europeia ou nacional aplicável em matéria de resiliência operacional digital, são autoridades competentes o Banco de Portugal, a Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF) e a Comissão do Mercado de Valores Mobiliários (CMVM), no que respeita às entidades sujeitas à supervisão de cada uma destas autoridades.
2-O Banco de Portugal é, ainda, a autoridade competente designada:
a) Nos casos em que instituições de crédito exerçam atividades de distribuição de seguros e nos casos em que as instituições de crédito e instituições de pagamento prestem serviços de financiamento colaborativo, enquanto única autoridade competente para a receção das comunicações dos incidentes de caráter severo relacionados com as tecnologias de informação e comunicação (TIC) e de notificações voluntárias de ciberameaças significativas, sendo responsável pelo desempenho das funções e deveres previstos no artigo 19.º e no n.º 1 do artigo 22.º do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022;
b) Nos termos e para os efeitos previstos no primeiro parágrafo do n.º 5 do artigo 32.º do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
3-A ASF e a CMVM são as autoridades competentes designadas nos termos e para os efeitos previstos na alínea d) do n.º 4 do artigo 32.º do Regulamento (UE) 2022/2554.
4-Sem prejuízo das regras de funcionamento e representação no fórum de superintendência, o Banco de Portugal, na qualidade de autoridade competente designada nos termos e para os efeitos previstos na alínea b) do n.º 2, presta toda a informação e colaboração à ASF e à CMVM, enquanto observadores no referido fórum.
5-Nos casos em que uma entidade financeira esteja sujeita à supervisão de mais do que uma autoridade, a autoridade competente para efeitos da aplicação dos deveres previstos no artigo 19.º e no n.º 1 do artigo 22.º do Regulamento (UE) 2022/2554 é a autoridade responsável pela supervisão prudencial dessa entidade.
Artigo 4.º
Cooperação entre autoridades 1-Nos casos previstos na alínea a) do n.º 2 e no n.º 5 do artigo anterior, a autoridade competente responsável para efeitos da aplicação dos deveres previstos no artigo 19.º e no n.º 1 do artigo 22.º do Regulamento (UE) 2022/2554:
a) Partilha, de imediato, com as demais autoridades a cuja supervisão a entidade em causa também esteja sujeita, a notificação inicial prevista na alínea a) do n.º 4 do artigo 19.º do Regulamento (UE) 2022/2554;
b) Partilha, ainda, com as demais autoridades a cuja supervisão a entidade em causa também esteja sujeita, num prazo razoável:
i) Os relatórios previstos nas alíneas b) e c) do n.º 4 do artigo 19.º do Regulamento (UE) 2022/2554;
ii) As notificações voluntárias de ciberameaças significativas, previstas no n.º 2 do artigo 19.º do Regulamento (UE) 2022/2554;
iii) As observações fornecidas à entidade financeira ao abrigo do artigo 22.º do Regulamento (UE) 2022/2554;
iv) As medidas corretivas e o seguimento subsequente prestado que não conste da prestação de informação prevista na alínea a).
2-A ASF, o Banco de Portugal e a CMVM devem trocar todas as informações essenciais ou relevantes e cooperar para o exercício das funções e deveres previstos no artigo 19.º e no n.º 1 do artigo 22.º do Regulamento (UE) 2022/2554.
3-A ASF, o Banco de Portugal e a CMVM colaboram entre si, através do estabelecimento de mecanismos de cooperação, e trocam sem demora todas as informações que se afigurem essenciais ou relevantes para o exercício das respetivas funções decorrentes do Regulamento (UE) 2022/2554, da presente lei e da legislação ou regulamentação europeia ou nacional aplicável em matéria de resiliência operacional digital.
4-A ASF, o Banco de Portugal e a CMVM colaboram com o Centro Nacional de Cibersegurança sempre que necessário ao exercício das respetivas competências legais, podendo, designadamente, celebrar protocolos ou outros instrumentos de cooperação que assegurem mecanismos eficazes de coordenação e partilha de informação.
Artigo 5.º
Notificação voluntária de ciberameaças significativas As entidades financeiras, referidas no n.º 1 do artigo 2.º do Regulamento (UE) 2022/2554 e no n.º 1 do artigo 2.º da presente lei, que, a título voluntário, apresentem uma notificação nos termos do primeiro parágrafo do n.º 2 do 19.º do Regulamento DORA, devem transmitir, por meio dos modelos referidos na alínea b) do artigo 20.º do referido Regulamento, essa notificação às CSIRT nacionais.
Artigo 6.º
Poderes das autoridades competentes 1-No desempenho das suas funções relativas à resiliência operacional digital, as autoridades competentes dispõem, no âmbito das respetivas atribuições, dos poderes e prerrogativas previstos no Regulamento (UE) 2022/2554, na presente lei e na legislação ou regulamentação europeia e nacional aplicável em matéria de resiliência operacional digital.
2-As autoridades competentes comunicam e trocam informação com as Autoridades Europeias de Supervisão para efeitos do exercício das suas funções nos termos do Regulamento (UE) 2022/2554, da presente lei e da legislação ou regulamentação europeia e nacional aplicável em matéria de resiliência operacional digital.
Artigo 7.º
Regulamentação As autoridades competentes podem regulamentar o disposto na presente lei, incluindo, as seguintes matérias:
a) Os canais e processos operacionais concretos para fins da comunicação às autoridades competentes da informação prevista, de acordo com os formulários, modelos e procedimentos definidos nos n.os 1 e 2 do artigo 19.º do Regulamento (UE) 2022/2554, referente a incidentes de caráter severo relacionados com as TIC e à notificação voluntária de ciberameaças significativas;
b) Os canais e processos operacionais concretos para fins da comunicação às autoridades competentes da informação prevista, de acordo com os modelos normalizados definidos no n.º 3 do artigo 28.º do Regulamento (UE) 2022/2554, referente ao registo de informações em relação a todos os acordos contratuais relativos à utilização dos serviços de TIC prestados por terceiros prestadores de serviços de TIC;
c) Modelos normalizados, formulários e procedimentos para fins da comunicação às autoridades competentes da informação prevista no último parágrafo do n.º 3 do artigo 28.º do Regulamento (UE) 2022/2554, referente a acordos contratuais planeados de funções de TIC críticas ou importantes ou que se tornem críticas ou importantes;
d) A periodicidade, o conteúdo mínimo esperado e os modelos normalizados para fins da elaboração e comunicação à autoridade competente, se necessário e a pedido desta, da informação relativa ao relatório sobre a revisão do quadro de referência sobre o risco das TIC previsto no n.º 5 do artigo 6.º do Regulamento (UE) 2022/2554;
e) Os canais e processos operacionais concretos e as condições para fins da comunicação às autoridades competentes da informação prevista, de acordo com as orientações comuns definidas no n.º 10 do artigo 11.º do Regulamento (UE) 2022/2554, referente à estimativa dos custos e perdas anuais agregados causados por incidentes de caráter severo relacionados com as TIC;
f) Modelos normalizados, formulários e procedimentos para fins da comunicação às autoridades competentes da informação prevista no artigo 26.º do Regulamento (UE) 2022/2554, nomeadamente nos seus n.os 2 e 6, referentes a testes avançados através da realização de TLPT;
g) Os canais e processos operacionais concretos e as condições para fins da notificação às autoridades competentes da participação em acordos de partilha de informações específicas e sensíveis relativas a ciberataques prevista no n.º 3 do artigo 45.º do Regulamento (UE) 2022/2554.
CAPÍTULO III
REGIME SANCIONATÓRIO
Artigo 8.º
Disposições comuns 1-As contraordenações previstas no presente capítulo respeitam à violação de deveres consagrados no Regulamento (UE) 2022/2554, na presente lei e na legislação ou regulamentação europeia e nacional aplicável em matéria de resiliência operacional digital.
2-O processamento dos ilícitos de mera ordenação social, a aplicação de coimas e sanções acessórias e as demais matérias previstas neste capítulo são competência da ASF, do Banco de Portugal ou da CMVM, consoante a que seja, em cada caso, a autoridade competente para efeitos de fiscalização do cumprimento dos deveres previstos no Regulamento (UE) 2022/2554, na presente lei e na legislação ou regulamentação europeia e nacional aplicável em matéria de resiliência operacional digital.
3-Nos casos em que uma entidade financeira esteja sujeita à supervisão de mais do que uma autoridade, as competências referidas no número anterior cabem à autoridade responsável pela supervisão prudencial dessa entidade financeira.
4-O regime sancionatório previsto na presente lei prevalece sobre os regimes sancionatórios aplicáveis pelas respetivas autoridades competentes sempre que a mesma conduta possa constituir simultaneamente contraordenação ao abrigo de mais do que um desses regimes, exceto quando nos termos desses regimes ao facto caiba sanção mais grave.
Artigo 9.º
Tentativa e negligência 1-A tentativa e a negligência são puníveis.
2-Em caso de infração negligente, o limite máximo da coima prevista para a infração é reduzido a metade.
3-Em caso de tentativa, a sanção aplicável é a prevista para o ilícito consumado, especialmente atenuada.
Artigo 10.º
Contraordenações 1-Constituem contraordenações:
a) A prestação de informação à autoridade competente ou aos clientes que não seja completa, verdadeira, atual, clara, objetiva e lícita ou a omissão dessa prestação;
b) A não colaboração com as autoridades competentes no âmbito de exercícios de gestão de crises e contingência que envolvam cenários de ciberataques;
c) A violação dos seguintes deveres:
i) De implementar um quadro de governação interna e de controlo que garanta uma gestão eficaz e prudente do risco associado às TIC;
ii) Relativos ao exercício de funções, competências e responsabilidades de membro dos órgãos de administração e dos quadros superiores responsáveis pelas TIC das entidades financeiras;
iii) De dispor de um quadro de gestão do risco associado às TIC nos termos devidos;
iv) De documentar e de rever o quadro de gestão do risco associado às TIC nos termos devidos;
v) De implementar protocolos, ferramentas, políticas, estratégias e procedimentos no domínio das TIC nos termos devidos;
vi) De utilizar sistemas, protocolos, ferramentas, soluções, processos, políticas e planos no domínio das TIC nos termos devidos;
vii) De atualizar sistemas, protocolos e ferramentas no domínio das TIC nos termos devidos;
viii) De conceber protocolos, ferramentas, políticas, sistemas, métodos e procedimentos no domínio das TIC nos termos devidos;
ix) De adquirir protocolos, ferramentas e políticas no domínio das TIC nos termos devidos;
x) De executar protocolos, ferramentas, políticas, controlos, procedimentos e planos no domínio das TIC nos termos devidos;
xi) De documentar políticas, controlos, procedimentos, estratégias e métodos no domínio das TIC nos termos devidos;
xii) De desenvolver políticas, procedimentos e métodos no domínio das TIC nos termos devidos;
xiii) De estabelecer estruturas de gestão de redes e infraestruturas, políticas, controlos e procedimentos no domínio das TIC nos termos devidos;
xiv) De dispor de estratégias, mecanismos, sistemas, planos, recursos e equipamentos no domínio das TIC nos termos devidos;
xv) De testar mecanismos, planos e políticas no domínio das TIC nos termos devidos;
xvi) De manter planos, recursos e equipamentos no domínio das TIC nos termos devidos;
xvii) De rever políticas e planos no domínio das TIC nos termos devidos;
xviii) De atribuir a responsabilidade pela gestão e supervisão do risco associado às TIC a uma função de controlo;
xix) De assegurar a segregação e independência das funções responsáveis pela gestão, controlo e de auditoria interna do risco associado às TIC;
xx) De sujeição periódica a auditorias internas do quadro de gestão do risco associado às TIC e dos planos de resposta e recuperação em matéria de TIC;
xxi) De estabelecer um processo formal de acompanhamento das conclusões da análise da auditoria interna no quadro da gestão do risco associado às TIC;
xxii) De identificação, classificação, documentação e avaliação de risco, bem como de efetuar as respetivas revisões e atualizações, no âmbito do quadro de gestão de risco associado às TIC;
xxiii) De monitorizar e controlar continuamente a segurança e o funcionamento dos sistemas e das ferramentas de TIC;
xxiv) De realizar a análise do impacto na atividade das exposições a perturbações graves;
xxv) De ter uma função de gestão de crises nos termos devidos;
xxvi) De manter registos das atividades nos termos devidos;
xxvii) De manter capacidades de TIC redundantes nos termos devidos ou de avaliar essa necessidade;
xxviii) De manter um local de tratamento de dados secundário nos termos devidos;
xxix) Relativos à recolha de informações e à realização de avaliações sobre vulnerabilidades e incidentes relacionados com as TIC;
xxx) De dispor de planos e políticas de comunicação de crises nos termos devidos;
xxxi) Relativos ao quadro simplificado de gestão de risco associado às TIC;
xxxii) De desenvolver programas de sensibilização para a segurança das TIC, bem como de formação em matéria de resiliência operacional digital, nos termos devidos;
xxxiii) Relativos à gestão e classificação de incidentes relacionados com as TIC;
xxxiv) Relativos à gestão do risco associado às TIC devido a terceiros;
xxxv) Relativos aos testes de resiliência operacional digital.
2-Constitui, ainda, contraordenação a violação de deveres não referidos nos números anteriores, mas consagrados no Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022 e na legislação ou regulamentação europeia ou nacional aplicável em matéria de resiliência operacional digital.
Artigo 11.º
Coimas 1-Às contraordenações previstas na presente lei são aplicáveis as seguintes coimas:
a) Quando a contraordenação for praticada no âmbito da atividade de instituições de crédito, empresas de investimento, centrais de valores mobiliários, entidades gestoras de mercados regulamentados, de sistemas de negociação multilateral ou organizado, contrapartes centrais, prestadores de serviços de comunicação de dados ou de sociedades gestoras de organismos de investimento coletivo, instituições de pagamento, instituições de moeda eletrónica, empresas de seguros e de resseguros, prestadores de serviços de informação sobre contas, prestadores de serviços de criptoativos, administradores de índices de referência críticos ou de entidades gestoras de fundos de pensões:
i) Com coima entre 10 000 € e 5 000 000 €, se o agente for uma pessoa coletiva ou entidade equiparada a pessoa coletiva;
ii) Com coima entre 5000 € e 2 500 000 €, se o agente for uma pessoa singular;
b) Quando a contraordenação for praticada no âmbito da atividade de mediadores de seguros, mediadores de resseguros e mediadores de seguros a título acessório e não o seja no âmbito das atividades referidas na alínea anterior:
i) Com coima entre 3000 € e 2 500 000 €, se o agente for uma pessoa coletiva ou entidade equiparada a pessoa coletiva;
ii) Com coima entre 1000 € e 500 000 €, se o agente for uma pessoa singular;
c) Quando a contraordenação for praticada no âmbito da atividade de prestadores de serviços de financiamento colaborativo e não o seja no âmbito das atividades referidas na alínea a):
i) Com coima entre 2500 € e 500 000 €, se o agente for uma pessoa coletiva ou entidade equiparada a pessoa coletiva;
ii) Com coima entre 400 € e 500 000 €, se o agente for uma pessoa singular.
2-O limite máximo da coima aplicável é elevado ao maior dos seguintes valores:
a) O triplo do benefício económico obtido, mesmo que total ou parcialmente sob a forma de perdas evitadas; ou
b) No caso de contraordenações previstas na alínea a) do número anterior e quando praticadas por pessoas coletivas, 10 % do volume de negócios, de acordo com as últimas contas consolidadas ou individuais que tenham sido aprovadas pelo órgão de administração.
Artigo 12.º
Divulgação de decisão de condenação 1-A decisão, definitiva ou transitada em julgado, de condenação pela prática de uma ou mais contraordenações graves ou muito graves previstas na presente lei é divulgada através do respetivo sítio na Internet da autoridade competente.
2-As informações divulgadas nos termos do número anterior mantêm-se disponíveis no sítio na Internet da autoridade competente durante cinco anos contados da data em que a decisão condenatória se torne definitiva ou transite em julgado, e não podem ser indexadas a motores de pesquisa na Internet.
Artigo 13.º
Direito subsidiário 1-É subsidiariamente aplicável às contraordenações previstas na presente lei e aos processos às mesmas respeitantes:
a) O regime substantivo e processual previsto no título xi do Regime Geral das Instituições de Crédito e Sociedades Financeiras, aprovado pelo Decreto Lei 298/92, de 31 de dezembro, quando o processamento seja da competência do Banco de Portugal;
b) O regime substantivo e processual previsto no Código dos Valores Mobiliários, quando o processamento seja da competência da CMVM;
c) Quando o processamento seja da competência da ASF, o regime processual aplicável aos crimes especiais do setor segurador e dos fundos de pensões e às contraordenações cujo processamento compete à ASF, aprovado em anexo ii à Lei 147/2015, de 9 de setembro, e, consoante o caso:
i) O regime jurídico de acesso e exercício da atividade seguradora e resseguradora, aprovado em anexo i à Lei 147/2015, de 9 de setembro;
ii) O regime jurídico da constituição e do funcionamento dos fundos de pensões e das entidades gestoras de fundos de pensões, aprovado em anexo à Lei 27/2020, de 23 de julho; ou
iii) O regime jurídico da distribuição de seguros e de resseguros, aprovado em anexo à Lei 7/2019, de 16 de janeiro.
2-As contraordenações previstas na presente lei são equiparadas às contraordenações especialmente graves e às contraordenações muito graves para efeitos da aplicação dos regimes descritos no número anterior.
CAPÍTULO IV
ALTERAÇÕES LEGISLATIVAS
Artigo 14.º
Alteração ao Regime Geral das Instituições de Crédito e Sociedades Financeiras Os artigos 14.º, 115.º-T, 116.º-A, 116.º-H, 134.º, 138.º-AE, 138.º-AH e 138.º-AJ do Regime Geral das Instituições de Crédito e Sociedades Financeiras, aprovado pelo Decreto Lei 298/92, de 31 de dezembro, passam a ter a seguinte redação:
Artigo 14.º
[…]
1-[…]
a) […]
b) […]
c) […]
d) […]
e) […]
f) […]
g) […]
h) […]
i) […]
j) […]
k) Dispor de sistemas de rede e informação criados e geridos em conformidade com o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
2-[…]
3-[…]
Artigo 115.º-T
[…]
1-[…]
2-As instituições de crédito implementam planos de contingência e de continuidade de negócio, incluindo políticas e planos de continuidade das atividades no domínio das tecnologias de informação e comunicação (TIC) e planos de resposta e recuperação em matéria de TIC em relação a sistemas de TIC que apoiem todas as funções, sendo esses planos estabelecidos, geridos e testados em conformidade com o artigo 11.º do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, a fim de permitir que as instituições continuem a operar numa base contínua na eventualidade de uma perturbação grave da sua atividade de negócio e contenham as perdas incorridas em consequência dessa perturbação.
Artigo 116.º-A
[…]
1-[…]
a) […]
b) […]
c) […]
d) Os riscos revelados pelos testes de resiliência operacional digital realizados em conformidade com o capítulo iv do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
2-[…]
3-[…]
4-[…]
5-[…]
6-[…]
7-[…]
8-[…]
9-[…]
10-[…]
11-[…]
12-[…]
13-[…]
Artigo 116.º-H
[…]
1-[…]
a) […]
b) […]
c) […]
d) […]
e) […]
f) […]
g) […]
h) […]
i) […]
j) […]
k) […]
l) […]
m) […]
n) […]
o) […]
p) Mecanismos e medidas necessárias para manter o funcionamento continuado dos processos operacionais da instituição de crédito, incluindo as infraestruturas e os sistemas de rede e informação criados e geridos em conformidade com o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022;
q) […]
r) […]
s) […]
t) […]
u) […] 2-[…] Artigo 134.º […] 1-[…] 2-[…] 3-[…] 4-[…] 5-O Banco de Portugal pode, sempre que seja necessário para a supervisão em base consolidada das instituições de crédito, proceder ou mandar proceder a verificações e exames periciais nas companhias financeiras, companhias mistas ou nas companhias financeiras mistas e nas respetivas filiais, bem como nas sociedades de serviços auxiliares, incluindo terceiros prestadores de serviços de TIC referidos no capítulo v do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
6-[…]
Artigo 138.º-AE […] 1-[…] 2-[…] 3-[…] 4-[…]
a) […]
b) […]
c) A explicação da forma como as funções críticas e as linhas de negócio estratégicas podem ser jurídica, económica e operacionalmente separadas, na medida do necessário, de outras funções, para assegurar a sua continuidade, e a resiliência operacional digital, em caso de insolvência da instituição de crédito;
d) […]
e) […]
f) […]
g) […]
h) […]
i) […]
j) […]
k) […]
l) […]
m) […]
n) […]
o) […]
p) […]
q) […]
r) A descrição das operações e dos sistemas essenciais para manter os processos operacionais da instituição de crédito em funcionamento contínuo, incluindo os sistemas de rede e informação a que se refere o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022;
s) […] 5-[…] 6-[…] 7-[…] 8-[…] 9-[…] 10-[…] 11-[…] 12-[…] Artigo 138.º-AH […] 1-[…]
a) […]
b) […]
c) […]
d) […]
e) […]
f) […]
g) […]
h) […]
i) […]
j) […]
k) […]
l) […]
m) […]
n) […]
o) […]
p) […]
q) Identificação dos proprietários dos sistemas identificados na alínea anterior, acordos de nível de serviço associados e programas, sistemas ou licenças informáticas, incluindo uma discriminação das respetivas entidades jurídicas, das funções críticas e linhas de negócio estratégicas, bem como uma identificação dos terceiros prestadores de serviços de TIC críticos, tal como definido no artigo 3.º, ponto 23, do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022;
r) […]
s) […]
t) […]
u) Resultados dos testes de resiliência operacional digital das instituições realizados ao abrigo do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
2-[…]
3-[…]
4-[…]
5-[…]
Artigo 138.º-AJ […] 1-[…] 2-[…]
a) […]
b) […]
c) […]
d) […]
e) A possibilidade de assegurar que, em caso de resolução, mantém-se a validade, solidez e eficácia dos contratos de prestação de serviços, incluindo acordos contratuais relativos à utilização de serviços de TIC, celebrados pela instituição ou pelo grupo;
f) […]
g) […]
h) […]
i) […]
j) […]
k) […]
l) […]
m) […]
n) […]
o) […]
p) […]
q) […]
r) […]
s) […]
t) […]
u) […]
v) […]
w) […]
x) […]
y) […]
z) […]
aa) […]
bb) […]
cc) […]
dd) A resiliência operacional digital dos sistemas de rede e informação que apoiam as funções críticas e as linhas de negócio estratégicas da instituição de crédito ou do grupo, tendo em conta a notificação de incidentes de caráter severo relacionados com as TIC e os resultados dos testes de resiliência operacional digital realizados ao abrigo do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
3-[…]
4-[…]
»Artigo 15.º
Alteração ao Código dos Valores Mobiliários Os artigos 208.º-A, 305.º e 317.º-E do Código dos Valores Mobiliários, aprovado pelo Decreto Lei 486/99, de 13 de novembro, passam a ter a seguinte redação:
Artigo 208.º-A
[…]
1-A entidade gestora de mercado regulamentado adota e mantém sistemas, procedimentos e mecanismos eficazes para garantir que, de acordo com a legislação da União Europeia, incluindo com os requisitos estabelecidos no capítulo ii do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, os sistemas de negociação do mercado:
a) São resilientes, têm capacidade suficiente para lidar com um número elevado e anormal de ofertas e grandes volumes de mensagens e são capazes de assegurar a negociação ordenada em condições de elevada pressão no mercado;
b) Foram plenamente testados para garantir o cumprimento dos requisitos previstos na alínea anterior;
c) Dispõem de planos de contingência e de continuidade de negócio, incluindo políticas e planos de continuidade das atividades no domínio das tecnologias de informação e comunicação (TIC) e planos de resposta e recuperação em matéria de TIC, estabelecidos em conformidade com o artigo 11.º do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, que asseguram a manutenção dos seus serviços, caso se verifique uma falha dos sistemas de negociação.
2-[…]
3-[…]
4-[…]
5-[…]
6-[…]
7-[…]
Artigo 305.º
[…]
1-[…]
a) Mantém a sua organização empresarial equipada com os meios humanos, materiais e técnicos necessários para prestar os seus serviços em condições adequadas de qualidade, profissionalismo, regularidade, continuidade e de eficiência e por forma a evitar procedimentos errados, devendo, designadamente, cumprir os requisitos previstos na legislação da União Europeia, incluindo em matéria de adoção de sistemas de tecnologias da informação e comunicação;
b) […]
c) Toma medidas razoáveis para assegurar a continuidade e a regularidade da execução dos serviços e atividades de investimento, devendo para o efeito, empregar sistemas adequados e proporcionados, incluindo sistemas de TIC criados e geridos em conformidade com o artigo 7.º do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, bem como recursos e procedimentos adequados e proporcionados;
d) […]
e) […]
f) […]
g) […]
h) […]
i) […]
j) […]
k) […] 2-[…] 3-O intermediário financeiro aplica mecanismos e sistemas de segurança sólidos para garantir, de acordo com os requisitos definidos no Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, a segurança e a autenticação dos meios de transferência das informações, de modo a minimizar o risco de corrupção de dados e de acesso não autorizado e para evitar fugas de informação, mantendo assim a confidencialidade dos dados em todos os momentos.
4-[…]
Artigo 317.º-E
[…]
1-O intermediário financeiro que desenvolva negociação algorítmica dispõe de sistemas, procedimentos e controlos de risco eficazes e adequados, nos termos previstos na legislação da União Europeia, de forma a assegurar que:
a) Os seus sistemas de negociação são resilientes e têm capacidade suficiente, em conformidade com os requisitos definidos no capítulo ii do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, estão sujeitos a limiares e limites de negociação adequados e impedem o envio de ofertas erradas;
b) […] 2-O intermediário financeiro adota planos de contingência e de continuidade de negócio que sejam eficazes para fazer face a qualquer falha dos seus sistemas de negociação, incluindo políticas e planos de continuidade das atividades no domínio das TIC e planos de resposta e recuperação em matéria de TIC estabelecidos em conformidade com o artigo 11.º do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, bem como um procedimento para testar regularmente esses sistemas e proceder à sua avaliação, por forma a garantir que satisfazem os requisitos gerais constantes do presente número e quaisquer requisitos específicos definidos nos capítulos ii e iv do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
3-[…]
4-[…]
5-[…]
6-[…]
7-[…]
»Artigo 16.º
Alteração ao Decreto Lei 357-C/2007, de 31 de outubro O artigo 40.º do Decreto Lei 357-C/2007, de 31 de outubro, passa a ter a seguinte redação:
Artigo 40.º
[…]
1-[…]
2-[…]
a) Dispõe dos meios necessários para gerir os riscos a que está exposta, incluindo o risco associado às tecnologias de informação e comunicação (TIC), de acordo com o capítulo ii do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, e, para o efeito, adota os mecanismos e sistemas adequados para identificar todos os riscos significativos para o seu funcionamento, bem como as medidas que se revelem eficazes para mitigar esses riscos;
b) (Revogada.)
c) (Revogada.) 3-[…] 4-[…] 5-[…] 6-[…] 7-[…] 8-[…]
»Artigo 17.º
Alteração ao regime jurídico de acesso e exercício da atividade seguradora e resseguradora O artigo 64.º do regime jurídico de acesso e exercício da atividade seguradora e resseguradora, aprovado pela Lei 147/2015, de 9 de setembro, passa a ter a seguinte redação:
Artigo 64.º
[…]
1-[…]
2-[…]
3-[…]
4-[…]
5-[…]
6-A fim de adotar as medidas necessárias para assegurar a continuidade e a regularidade do exercício das suas atividades, incluindo o desenvolvimento de planos de contingência, as empresas de seguros e de resseguros devem utilizar sistemas, recursos e procedimentos adequados e proporcionados e, em especial, criar e gerir sistemas de rede e informação em conformidade com o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
7-[…]
»Artigo 18.º
Alteração ao Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica Os artigos 1.º, 5.º, 18.º, 19.º, 33.º, 70.º e 71.º do Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica, aprovado pelo Decreto Lei 91/2018, de 12 de novembro, passam a ter a seguinte redação:
Artigo 1.º
[…]
1-[…]
2-[…]
a) […]
b) […]
c) […]
d) […]
e) Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro.
Artigo 5.º
[…]
1-[…]
a) […]
b) […]
c) […]
d) […]
e) […]
f) […]
g) […]
h) […]
i) […]
j) Serviços prestados por prestadores de serviços técnicos, que apoiam a prestação de serviços de pagamento sem nunca entrarem na posse dos fundos a transferir, incluindo o processamento e o armazenamento de dados, os serviços de proteção da confiança e da privacidade, a autenticação de dados e entidades, o fornecimento de tecnologias da informação e comunicação (TIC) e de redes de comunicação, e o fornecimento e manutenção de terminais e dispositivos utilizados para serviços de pagamento, com exceção dos serviços de iniciação de pagamentos e dos serviços de informação sobre contas;
k) […]
l) […]
m) […]
n) […]
o) […] 2-[…] 3-[…] 4-[…] Artigo 18.º […] 1-[…] 2-[…]
a) […]
b) […]
c) […]
d) […]
e) […]
f) […]
g) […]
h) Dispor de mecanismos adequados de controlo interno, incluindo procedimentos administrativos e contabilísticos sólidos, que sejam completos e proporcionais à natureza, ao nível e à complexidade das atividades a desenvolver, bem como uma descrição dos seus acordos relativos à utilização de serviços de TIC nos termos do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, que demonstre que esses sistemas de governo e mecanismos de controlo interno são proporcionados, adequados, sólidos e suficientes;
i) […] 3-[…] Artigo 19.º […] 1-[…] 2-[…]
a) […]
b) […]
c) […]
d) […]
e) […]
f) […]
g) Elementos comprovativos da existência de dispositivos sólidos em matéria de governo da sociedade, incluindo uma estrutura organizativa clara, com linhas de responsabilidade bem definidas, transparentes e coerentes, processos eficazes de identificação, gestão, controlo e comunicação dos riscos a que está ou possa vir a estar exposta, e de mecanismos adequados de controlo interno, incluindo procedimentos administrativos e contabilísticos sólidos, devendo os dispositivos, procedimentos e mecanismos referidos ser completos e proporcionais à natureza, ao nível e à complexidade das atividades da instituição, bem como acordos relativos à utilização de serviços de TIC nos termos do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, que demonstre que esses sistemas de governo e mecanismos de controlo interno são proporcionados, adequados, sólidos e suficientes;
h) […]
i) […]
j) […]
k) Descrição do procedimento criado para verificar, tratar e acompanhar incidentes operacionais ou de segurança, que inclua, quando aplicável, os procedimentos descritos no âmbito do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022 e reclamações dos clientes relacionadas com a segurança, incluindo um mecanismo de comunicação de incidentes que tenha em conta as obrigações de comunicação aplicáveis respetivamente no artigo 71.º do presente Regime e no capítulo iii do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022;
l) […]
m) Descrição dos planos de contingência e de continuidade de negócio, incluindo uma identificação clara das operações críticas, uma política e planos de continuidade das atividades que incluam o domínio das tecnologias de informação e comunicação (TIC) e planos de resposta e recuperação em matéria de TIC eficazes, bem como um procedimento para testar regularmente esses planos e proceder à avaliação da sua adequação e da sua eficácia, em conformidade com o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022;
n) […]
o) […]
p) […]
q) […] 3-[…] 4-A descrição das medidas de controlo da segurança e de redução dos riscos a que se refere a alínea o) do n.º 2, deve indicar a forma como essas medidas garantem um elevado nível de resiliência operacional digital, em conformidade com o capítulo ii do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, em particular em relação à segurança técnica e à proteção de dados, inclusive a nível do software e dos sistemas de TIC utilizados pelas instituições requerentes ou pelas empresas a que essas instituições externalizem a totalidade ou parte das suas operações.
5-[…]
6-[…]
7-[…]
8-[…]
9-[…]
10-[…]
Artigo 33.º
[…]
1-[…]
2-[…]
3-[…]
4-Quando sejam subcontratadas funções operacionais relevantes, incluindo sistemas de TIC, as instituições de pagamento e as instituições de moeda eletrónica devem salvaguardar a qualidade do controlo interno e assegurar que o Banco de Portugal tem condições de verificar e obrigar ao cumprimento de todas as disposições legais aplicáveis.
5-[…]
6-[…]
Artigo 70.º
[…]
1-[…]
2-[…]
3-Os números anteriores não prejudicam a aplicação do capítulo ii do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022:
a) Aos prestadores de serviços de pagamento a que se refere as alíneas a), b), c), e), f) e g) do n.º 1 do artigo 11.º do presente Regime;
b) Aos prestadores de serviços de informação sobre contas a que se refere o n.º 1 do artigo 22.º do presente Regime;
c) Às instituições de pagamento isentas nos termos dos n.os 1, 2 e 3 do artigo 37.º do presente Regime;
d) Às instituições de moeda eletrónica que beneficiem de uma isenção nos termos do n.º 1 do artigo 9.º da Diretiva 2009/110/CE do Parlamento Europeu e do Conselho, de 16 de setembro de 2009.
4-(Anterior n.º 3.)
5-(Anterior n.º 4.)
Artigo 71.º
[…]
1-[…]
2-[…]
3-[…]
4-[…]
5-[…]
6-Os números anteriores não se aplicam:
a) Aos prestadores de serviços de pagamento a que se refere as alíneas a), b), c), e), f) e g) do n.º 1 do artigo 11.º do presente Regime;
b) Aos prestadores de serviços de informação sobre contas a que se refere o n.º 1 do artigo 22.º do presente Regime;
c) Às instituições de pagamento isentas nos termos dos n.os 1, 2 e 3 do artigo 37.º do presente Regime;
d) Às instituições de moeda eletrónica que beneficiem de uma isenção nos termos do n.º 1 do artigo 9.º da Diretiva 2009/110/CE do Parlamento Europeu e do Conselho, de 16 de setembro de 2009.
»Artigo 19.º
Alteração ao regime jurídico da constituição e do funcionamento dos fundos de pensões e das entidades gestoras de fundos de pensões O artigo 108.º do regime jurídico da constituição e do funcionamento dos fundos de pensões e das entidades gestoras de fundos de pensões, aprovado pela Lei 27/2020, de 23 de julho, passa a ter a seguinte redação:
Artigo 108.º
[…]
1-[…]
2-[…]
3-[…]
4-[…]
5-[…]
6-A fim de adotar as medidas necessárias para assegurar a continuidade e a regularidade do exercício das suas atividades, incluindo o desenvolvimento de planos de contingência, as entidades gestoras de fundos de pensões devem utilizar sistemas, recursos e procedimentos adequados e proporcionados e, em especial, criar e gerir sistemas de rede e informação em conformidade com o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
7-[…]
8-[…]
»Artigo 20.º
Alteração ao Regime das Empresas de Investimento O artigo 83.º do Regime das Empresas de Investimento, aprovado pelo Decreto Lei 109-H/2021, de 10 de dezembro, passa a ter a seguinte redação:
Artigo 83.º
[…]
[…]
a) […]
b) […]
c) […]
d) […]
e) […]
f) […]
g) […]
h) […]
i) […]
j) […]
k) […]
l) […]
m) […]
n) […]
o) […]
p) […]
q) […]
r) Mecanismos e medidas necessários para manter o funcionamento continuado dos processos operacionais da empresa de investimento, incluindo as infraestruturas e os sistemas de rede e informação criados e geridos em conformidade com o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022;
s) […]
t) […]
u) […]
»Artigo 21.º
Alteração ao Regime da Gestão de Ativos O artigo 29.º do Regime da Gestão de Ativos, aprovado pelo Decreto Lei 27/2023, de 28 de abril, passa a ter a seguinte redação:
Artigo 29.º
[…]
[…]
a) […]
b) […]
c) […]
d) […]
e) […]
f) […]
g) […]
h) Aplique procedimentos administrativos e contabilísticos sólidos e disponha de mecanismos de controlo e segurança em matéria de tratamento eletrónico de dados, incluindo no que respeita aos sistemas de rede e informação criados e geridos em conformidade com os requisitos previstos na legislação da União Europeia em matéria de resiliência operacional digital;
i) Disponham de procedimentos de controlo interno adequados, incluindo regras relativas às transações pessoais dos seus empregados ou à detenção ou gestão de investimentos por conta própria e que garantam, pelo menos, que cada transação em que a sociedade gestora participe possa ser reconstituída quanto à sua origem, às partes nela envolvidas, à sua natureza e ao momento e local em que foi efetuada, e o que os ativos da sociedade gestora sejam por si geridos de acordo com o regulamento de gestão ou com os documentos constitutivos e com a legislação em vigor.
»CAPÍTULO V
DISPOSIÇÃO FINAL
Artigo 22.º
Norma revogatória São revogados o n.º 2 do artigo 32.º e as alíneas b) e c) do n.º 2 do artigo 40.º do Decreto Lei 357-C/2007, de 31 de outubro.
Aprovada em 12 de dezembro de 2025.
O Presidente da Assembleia da República, José Pedro Aguiar Branco.
Promulgada em 13 de dezembro de 2025.
Publique-se.
O Presidente da República, Marcelo Rebelo de Sousa.
Referendada em 15 de dezembro de 2025.
O PrimeiroMinistro, Luís Montenegro.
119899194
