Prazos obrigatórios de notificação
O Decreto-Lei n.º 125/2025 estabelece cinco etapas obrigatórias para a notificação de incidentes significativos à autoridade competente. O não cumprimento destes prazos pode resultar em sanções.
Alerta Inicial
Prazo: Dentro de 24 horas após tomar conhecimento do incidente
O que notificar:
- Informação básica sobre o incidente
- Natureza do incidente (tipo de ataque ou falha)
- Avaliação inicial do impacto
- Hora estimada de início do incidente
- Indicadores de compromisso conhecidos
Autoridade competente:
CNCS - Centro Nacional de Cibersegurança
A notificação deve ser feita através dos canais oficiais de comunicação do CNCS
Notificação Detalhada
Prazo: Dentro de 72 horas após verificar a existência do incidente significativo
Informação obrigatória:
- Análise da causa raiz (se conhecida)
- Sistemas e serviços afetados
- Medidas de mitigação implementadas
- Impacto transfronteiriço (se aplicável)
- Detalhes técnicos do incidente
- Número estimado de utilizadores afetados
- Gravidade e consequências do incidente
Requisitos técnicos:
O relatório deve incluir informação técnica suficiente para permitir à autoridade competente avaliar a gravidade do incidente e o seu potencial impacto noutras entidades ou Estados-Membros.
Relatório Intercalar
Prazo: Semanalmente, enquanto o incidente estiver em curso
Quando é obrigatório:
- Quando o incidente significativo ainda está em curso
- Periodicidade semanal a partir da notificação de 72h
- Até que o incidente seja considerado resolvido
Conteúdo obrigatório:
- Atualização do estado do incidente
- Novas medidas de mitigação implementadas
- Evolução do impacto nos serviços
- Previsão de resolução
Notificação de Fim de Impacto
Prazo: 24 horas após o fim do impacto significativo do incidente
O que notificar:
- Declaração de que o impacto significativo cessou
- Data e hora do fim do impacto
- Resumo das medidas de recuperação aplicadas
- Estado atual dos serviços afetados
Importância:
Esta notificação inicia a contagem do prazo de 30 dias úteis para entrega do relatório final completo.
Relatório Final
Prazo: 30 dias úteis após a notificação de fim de impacto significativo
Conteúdo do relatório:
- Análise completa e detalhada do incidente
- Causa raiz definitiva
- Lições aprendidas
- Medidas preventivas implementadas
- Cronologia completa do incidente
- Impacto total nos serviços
- Custos estimados (se aplicável)
Documentação completa:
O relatório final deve fornecer uma visão abrangente do incidente, incluindo todas as ações tomadas desde a deteção até à resolução, e as medidas implementadas para prevenir incidentes semelhantes no futuro.