Transpõe a Diretiva (UE) 2022/2557, relativa à identificação, designação e reforço da resiliência das entidades críticas.
Publicação: Diário da República n.º 55/2025, Série I de 2025-03-19
Emissor: Presidência do Conselho de Ministros
Entidade Proponente: Administração Interna
Data de Publicação: 2025-03-19
TEXTO
Decreto-Lei n.º 22/2025
de 19 de março
O Decreto-Lei n.º 20/2022, de 28 de janeiro, veio estabelecer os procedimentos para a identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias, concluindo-se, deste modo, a consolidação no direito nacional da transposição da Diretiva (UE) 2008/114/CE do Conselho, de 8 de dezembro de 2008, iniciada com o Decreto-Lei n.º 62/2011, de 9 de maio.
Não obstante, constatou-se que as entidades envolvidas na prestação de serviços essenciais se encontram, cada vez mais, sujeitas a requisitos divergentes impostos ao abrigo do direito nacional, verificando-se a necessidade de, face a um conjunto diversificado de riscos, melhorar a respetiva capacidade para prestar serviços essenciais. Nesta circunstância, o Parlamento Europeu e o Conselho entenderam por necessário alterar o quadro jurídico em vigor.
Assim, foi aprovada a Diretiva (UE) 2022/2557 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, com vista ao aumento da resiliência das entidades críticas, estabelecendo regras mínimas harmonizadas para assegurar a prestação de serviços essenciais no mercado interno e melhorando a cooperação transfronteiriça entre autoridades competentes.
Com efeito, as entidades críticas que prestem serviços indispensáveis à manutenção de funções societais e atividades económicas vitais, designadamente no sector da energia, da saúde, da segurança pública, ou da produção, transformação e distribuição de produtos alimentares, devem ser capazes de prevenir, proteger, reagir, gerir e recuperar de incidentes com potencial para perturbar a prestação de serviços essenciais, sejam eles ataques híbridos, catástrofes, ameaças terroristas ou emergências de saúde pública.
A transposição ora operada dá resposta a esta exigência, identificando entidades intervenientes e definindo o quadro de responsabilidades no processo de identificação das entidades críticas.
O presente decreto-lei determina, ainda, as regras aplicáveis ao reforço da segurança das infraestruturas críticas operadas pelas entidades críticas.
Foram ouvidos a Associação Nacional de Municípios Portugueses, o Gabinete Nacional de Segurança, a Polícia de Segurança Pública, a Guarda Nacional Republicana, o Banco de Portugal, a Autoridade de Supervisão de Seguros e Fundos de Pensões e a Comissão do Mercado de Valores Mobiliários.
Foi promovida a audição do Sistema de Informações da República Portuguesa, da Polícia Marítima, da Comissão de Planeamento de Emergência da Energia, da Comissão de Planeamento de Emergência do Transporte Aéreo, da Comissão de Planeamento de Emergência dos Transportes Terrestres, da Comissão de Planeamento de Emergência do Transporte Marítimo, da Comissão de Planeamento de Emergência da Saúde, da Comissão de Planeamento de Emergência da Água e Resíduos, da Comissão de Planeamento de Emergência da Cibersegurança, da Comissão de Planeamento de Emergência das Comunicações, da Agência Espacial Portuguesa, da Comissão de Planeamento de Emergência da Agricultura e do Município do Porto.
Assim:
Nos termos da alínea a) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1.º
Objeto e âmbito de aplicação
1 - O presente decreto-lei transpõe para a ordem jurídica interna a Diretiva (UE) 2022/2557 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa à resiliência das entidades críticas e que revoga a Diretiva 2008/114/CE do Conselho.
2 - O presente decreto-lei estabelece, ainda, os procedimentos de identificação, designação e reforço da resiliência das entidades críticas nacionais e de especial relevância europeia, que prestam serviços essenciais para a manutenção de funções societais ou atividades económicas vitais, da saúde e segurança pública ou do ambiente.
3 - O presente decreto-lei não se aplica às entidades da Administração Pública que exerçam as suas atividades nos domínios da segurança nacional, da segurança pública, da defesa, e às demais entidades excluídas no anexo ao presente decreto-lei e do qual faz parte integrante.
Artigo 2.º
Definições
Para efeitos do presente decreto-lei, entende-se por:
a) «Área de segurança de informação», a zona destinada à produção, manuseamento e arquivo de informação classificada, de acordo com a legislação e normas de segurança aplicáveis à proteção e salvaguarda da informação classificada;
b) «Avaliação de riscos», o processo geral levado a cabo para determinar a natureza e o alcance de um risco, através da identificação e análise de potenciais ameaças, vulnerabilidades e perigos pertinentes suscetíveis de provocar um incidente, bem como através da avaliação da potencial perda ou perturbação da prestação de um serviço essencial causada por esse incidente;
c) «Entidade crítica», a entidade pública ou privada, identificada nos termos do artigo 13.º como pertencente a uma das categorias estabelecidas na terceira coluna do quadro constante do anexo ao presente decreto-lei;
d) «Entidades sectoriais», as identificadas no anexo ao presente decreto-lei;
e) «Incidente», um evento que perturbe ou tenha potencial para perturbar significativamente a prestação de um serviço essencial, inclusive quando afetar os sistemas nacionais que salvaguardam o Estado de direito;
f) «Infraestrutura crítica», um ativo, uma instalação, um equipamento, uma rede ou um sistema, no seu todo ou parte de um ativo, de uma instalação, de um equipamento, de uma rede ou de um sistema, situada em território português, cuja perturbação do funcionamento ou destruição teria um efeito perturbador significativo na prestação de um serviço essencial;
g) «Plano de resiliência», documento elaborado pela entidade crítica contendo medidas técnicas, de segurança e organizativas, adequadas e proporcionais para reforçar a sua resiliência;
h) «Resiliência», a capacidade de uma entidade crítica para prevenir incidentes, se proteger deles, lhes dar resposta, lhes resistir, os atenuar, os absorver, se adaptar a eles e recuperar deles;
i) «Risco», o potencial de perda ou perturbação causada por um incidente, expresso como uma combinação da magnitude de tal perda ou perturbação e da probabilidade de ocorrência do incidente;
j) «Serviço essencial», serviço indispensável à manutenção de funções societais ou atividades económicas vitais, da saúde e segurança pública ou do ambiente e que integra uma das categorias constantes do anexo ao presente decreto-lei e do qual faz parte integrante.
Artigo 3.º
Entidades competentes
Para efeitos do disposto no presente decreto-lei, são entidades competentes o Conselho Nacional de Planeamento Civil de Emergência, em matéria de identificação e designação das entidades críticas e respetivas infraestruturas críticas, e o Secretário-Geral do Sistema de Segurança Interna, em matéria de reforço de resiliência das entidades críticas.
Artigo 4.º
Competências do Conselho Nacional de Planeamento Civil de Emergência
1 - Compete ao Conselho Nacional de Planeamento Civil de Emergência:
a) Aprovar os critérios e metodologia aplicáveis à identificação das entidades críticas e respetivas infraestruturas críticas;
b) Identificar e designar as entidades críticas, bem como as respetivas infraestruturas críticas.
2 - Para efeitos do disposto no número anterior, o Conselho Nacional de Planeamento Civil de Emergência pode solicitar parecer às entidades que considere relevantes.
Artigo 5.º
Competências do Secretário-Geral do Sistema de Segurança Interna
1 - Compete ao Secretário-Geral do Sistema de Segurança Interna:
a) Coordenar a elaboração da avaliação nacional de risco, bem como as suas atualizações;
b) Coordenar a elaboração da estratégia nacional para a resiliência das entidades críticas;
c) Difundir orientações técnicas e outros instrumentos de apoio técnico à elaboração de planos de resiliência das entidades críticas, de planos de segurança das infraestruturas críticas, dos mecanismos de notificação de incidentes, de planos de intervenção das forças de segurança, de exercícios, bem como apoiar a sua implementação e monitorizar a sua execução;
d) Aprovar os planos de resiliência das entidades críticas;
e) Assegurar a verificação de antecedentes e a sua implementação;
f) Assegurar as competências de fiscalização e de aplicação das sanções previstas no presente decreto-lei;
g) Assegurar a articulação com as entidades congéneres dos outros Estados-Membros, em particular relativamente às entidades críticas que:
i) Utilizem infraestruturas críticas fisicamente ligadas entre dois ou mais Estados-Membros;
ii) Façam parte de estruturas empresariais ligadas a entidades críticas noutros Estados-Membros, ou associadas a estas;
iii) Tenham sido identificadas como entidades críticas num Estado-Membro e prestem serviços essenciais a outros ou noutros Estados-Membros.
2 - O Secretário-Geral do Sistema de Segurança Interna pode solicitar colaboração às entidades que considere relevantes, para efeitos do disposto no número anterior.
3 - O Secretário-Geral do Sistema de Segurança Interna assegura e mantém atualizada a plataforma eletrónica de registo de informação de entidades críticas e infraestruturas críticas.
Artigo 6.º
Pontos de contacto com a Comissão Europeia
1 - O Conselho Nacional de Planeamento Civil de Emergência constitui-se como o ponto de contacto nacional com a Comissão Europeia nas matérias relativas à identificação e designação de entidades críticas e assegura a representação de Portugal no Grupo para a Resiliência das Entidades Críticas que assiste a Comissão Europeia, no quadro da Diretiva (UE) 2022/2557, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
2 - O Conselho Nacional de Planeamento Civil de Emergência assegura ainda o envio:
a) Da lista de serviços essenciais não incluídos na lista de serviços essenciais estabelecida no Regulamento Delegado (UE) 2023/2450 da Comissão, de 25 de julho de 2023;
b) Do número de entidades críticas identificadas para cada sector, subsector e serviço essencial, no âmbito do presente decreto-lei;
c) Dos limiares, em separado ou agregados, aplicados para especificar os critérios referidos no artigo 14.º
3 - O Secretário-Geral do Sistema de Segurança Interna constitui-se como o ponto de contacto nacional com a Comissão Europeia nas matérias de resiliência das entidades críticas e assegura:
a) A representação de Portugal no Grupo para a Resiliência das Entidades Críticas que assiste a Comissão Europeia no quadro da Diretiva (UE) 2022/2557, do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022;
b) A comunicação, à Comissão Europeia, dos seguintes elementos:
i) A estratégia nacional para a resiliência das entidades críticas, bem como as suas atualizações substanciais;
ii) O relatório de síntese, a remeter, em simultâneo, ao Grupo para a Resiliência das Entidades Críticas que apoia a Comissão Europeia, sobre as notificações recebidas, incluindo o número de notificações, a natureza dos incidentes notificados e as medidas adotadas;
iii) A notificação dos incidentes que tenham, ou possam ter, um impacto significativo na continuidade da prestação de serviços essenciais em seis ou mais Estados-Membros;
iv) As alterações introduzidas no regime sancionatório previsto no presente decreto-lei;
v) Um resumo bienal de dados sobre os tipos de riscos;
c) A proposta, a submeter à Comissão Europeia, de realização de missões consultivas;
d) O acompanhamento das missões consultivas pedidas pelo Estado Português ou da iniciativa da Comissão Europeia.
Artigo 7.º
Entidades sectoriais
1 - As entidades sectoriais são responsáveis por propor ao Conselho Nacional de Planeamento Civil de Emergência, para aprovação:
a) A densificação dos critérios de identificação das entidades críticas de acordo com o artigo 13.º, incluindo os limiares aplicados para especificar os critérios referidos no artigo 14.º;
b) As entidades e respetivas infraestruturas candidatas a entidades críticas e infraestruturas críticas, no respetivo sector ou subsector;
2 - As entidades sectoriais consultam as entidades com competências de regulação ou supervisão, dos sectores ou subsectores respetivos, e que não integrem as entidades sectoriais.
3 - As entidades sectoriais podem ainda, no âmbito das respetivas atribuições, solicitar a colaboração de outras entidades consideradas relevantes.
Artigo 8.º
Deveres de cooperação
1 - As entidades competentes cooperam entre si para promover a aplicação do presente decreto-lei.
2 - As entidades sectoriais cooperam com as entidades competentes e as entidades críticas no aumento da resiliência destas últimas.
3 - As entidades competentes, as entidades sectoriais e as entidades críticas partilham o acesso às melhores práticas e metodologias disponíveis, bem como, sempre que possível, informação sobre os novos avanços técnicos relacionados com a resiliência das entidades críticas e, ainda, informações sobre ameaças e riscos.
Artigo 9.º
Cooperação no âmbito da cibersegurança
1 - As entidades competentes cooperam com as autoridades competentes em matéria de cibersegurança, nomeadamente no que se refere à partilha de informação relativa a:
a) Riscos de cibersegurança, ciberameaças e ciberincidentes;
b) Riscos, ameaças e incidentes não relacionados com a cibersegurança;
c) Ao exercício de funções de supervisão.
2 - Sempre que as autoridades competentes em matéria de cibersegurança exerçam as suas competências relativamente às entidades críticas indicadas no artigo 18.º, devem informar o Secretário-Geral do Sistema de Segurança Interna.
3 - Quando aplicável, o Secretário-Geral do Sistema de Segurança Interna pode solicitar às autoridades competentes em matéria de cibersegurança para exercerem as suas competências de supervisão e execução relativamente às entidades críticas indicadas no artigo 18.º
Artigo 10.º
Segurança da informação
1 - As informações relacionadas com a designação e reforço de resiliência das entidades críticas e respetivas infraestruturas críticas são objeto de avaliação com vista à eventual classificação de segurança, nos termos da legislação e normas de segurança aplicáveis à proteção e salvaguarda da informação classificada.
2 - A classificação da informação produzida no âmbito do presente decreto-lei, bem como a tramitação da informação classificada, compete:
a) Ao presidente do Conselho Nacional de Planeamento Civil de Emergência em matéria de designação das entidades críticas;
b) Ao Secretário-Geral do Sistema de Segurança Interna em matéria de reforço de resiliência das entidades críticas.
3 - Sem prejuízo do disposto nos números anteriores, a designação das entidades críticas e das respetivas infraestruturas críticas, e a avaliação nacional de risco, no todo ou em parte, têm o grau de classificação de segurança mínimo de «Reservado».
4 - O grau de classificação de segurança atribuído é comunicado à entidade crítica, para todos os efeitos legais.
5 - Os agentes de ligação da entidade crítica, os agentes de ligação da infraestrutura crítica e as demais pessoas que, por força do presente decreto-lei, tratem informação classificada de grau «Confidencial» ou superior, de qualquer marca, têm de ser detentores, a todo o tempo, de uma credenciação de segurança emitida pela Autoridade Nacional de Segurança.
6 - O tratamento da informação classificada, nomeadamente a sua produção, utilização, partilha, arquivo ou armazenamento por parte das entidades críticas deve respeitar o regime da informação classificada, nomeadamente os requisitos das áreas de segurança da informação e dos sistemas de informação e comunicação.
CAPÍTULO II
QUADRO NACIONAL PARA A RESILIÊNCIA DAS ENTIDADES CRÍTICAS
Artigo 11.º
Avaliação nacional de risco
1 - A avaliação nacional de risco visa apoiar o processo de identificação das entidades críticas e a adoção de medidas de resiliência por parte destas entidades.
2 - A avaliação nacional de risco e as suas atualizações são aprovadas por resolução do Conselho de Ministros, sob proposta do Secretário-Geral do Sistema de Segurança Interna.
3 - A proposta a que se refere o número anterior é elaborada pelo Secretário-Geral do Sistema de Segurança Interna com os contributos das seguintes entidades:
a) Conselho Nacional de Planeamento Civil de Emergência;
b) Forças e serviços de segurança;
c) Autoridade Nacional de Emergência e Proteção Civil;
d) Serviços regionais de Proteção Civil;
e) Autoridades competentes em matéria de cibersegurança;
f) As entidades sectoriais;
g) As entidades previstas no n.º 2 do artigo 7.º;
h) Outras entidades com competências na elaboração de avaliações de riscos específicos.
4 - A avaliação nacional de risco, tendo em conta a lista de serviços essenciais, avalia os riscos naturais e de origem humana pertinentes, incluindo os de natureza intersectorial ou transfronteiriça, de saúde pública, de ameaças antagonistas designadamente ameaças híbridas ou outras infrações terroristas como previsto na Lei n.º 52/2003, de 22 de agosto, na sua redação atual.
5 - Na avaliação nacional de risco devem ser tidos em conta, pelo menos, os seguintes elementos:
a) A avaliação geral dos riscos realizada nos termos do n.º 1 do artigo 6.º da Decisão n.º 1313/2013/UE, do Parlamento Europeu e do Conselho, de 17 de dezembro de 2013;
b) Outras avaliações de risco pertinentes, realizadas em conformidade com os requisitos dos atos jurídicos sectoriais específicos da União, nomeadamente do Regulamento (UE) 2017/1938 do Parlamento Europeu e do Conselho, de 25 de outubro de 2017, o Regulamento (UE) 2019/941 do Parlamento Europeu e do Conselho, de 5 de outubro de 2019, a Diretiva 2007/60/CE, do Parlamento Europeu e do Conselho, de 23 de outubro de 2007, transposta para o ordenamento jurídico interno pelo Decreto-Lei n.º 115/2010, de 22 de outubro, e a Diretiva 2012/18/UE do Parlamento Europeu e do Conselho, de 4 de julho de 2012, transposta para o ordenamento jurídico interno pelo Decreto-Lei n.º 150/2015, de 5 de agosto;
c) Os riscos relevantes decorrentes da medida em que os sectores estabelecidos no anexo ao presente decreto-lei dependem uns dos outros, inclusive da medida em que dependem de entidades localizadas noutros Estados-Membros e em países terceiros, e o impacto que uma perturbação significativa num sector pode ter noutros sectores, incluindo quaisquer riscos significativos para os cidadãos e para o mercado interno;
d) As informações sobre incidentes notificados nos termos do artigo 28.º
6 - O Secretário-Geral do Sistema de Segurança Interna disponibiliza, às entidades críticas, elementos pertinentes da avaliação nacional de risco que possam ser relevantes para as suas avaliações dos riscos e as medidas a adotar para aumentar a sua resiliência.
7 - A avaliação nacional de risco é atualizada, pelo menos, de quatro em quatro anos, cabendo ao Secretário-Geral do Sistema de Segurança Interna transmitir à Comissão Europeia as informações pertinentes sobre os tipos de riscos identificados e os resultados da sua avaliação, discriminados por sector e subsector estabelecidos no anexo ao presente decreto-lei.
Artigo 12.º
Estratégia nacional para a resiliência das entidades críticas
1 - A estratégia nacional para a resiliência das entidades críticas estabelece o enquadramento, as medidas políticas, os objetivos estratégicos e as linhas de ação nesta matéria, considerando a avaliação nacional de risco.
2 - A estratégia nacional para a resiliência das entidades críticas e as sucessivas revisões são aprovadas por resolução do Conselho de Ministros, sob proposta do Secretário-Geral do Sistema de Segurança Interna em colaboração com o Conselho Nacional de Planeamento Civil de Emergência.
3 - A estratégia nacional para a resiliência das entidades críticas contempla os seguintes elementos:
a) Objetivos estratégicos e prioridades no intuito de reforçar a resiliência global das entidades críticas, tendo em conta as dependências e interdependências transfronteiriças e intersectoriais;
b) O quadro de governação para alcançar os objetivos estratégicos, incluindo uma descrição das funções e responsabilidades das diferentes autoridades, entidades críticas e outras partes envolvidas na execução da estratégia;
c) Uma descrição das medidas necessárias para reforçar a resiliência das entidades críticas;
d) O processo de identificação e designação das entidades críticas;
e) Uma descrição do processo de apoio às entidades críticas, nomeadamente das medidas destinadas a reforçar a cooperação entre o sector público e as entidades públicas e privadas;
f) As medidas para a coordenação entre as entidades competentes nos termos do presente decreto-lei e as autoridades competentes nos termos do regime jurídico da segurança do ciberespaço no contexto da partilha de informações sobre os riscos de cibersegurança, ciberameaças e ciberincidentes;
g) As medidas destinadas a facilitar o cumprimento das obrigações das entidades críticas consideradas pequenas e médias empresas na aceção do anexo da Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003.
4 - A estratégia nacional para a resiliência das entidades críticas é concebida de modo a integrar, sem descontinuidades, as políticas existentes e, sempre que possível, ter em conta as estratégias nacionais e sectoriais, planos ou documentos similares pertinentes.
5 - A estratégia nacional para a resiliência das entidades críticas é revista, pelo menos, de quatro em quatro anos e é comunicada pelo Secretário-Geral do Sistema de Segurança Interna à Comissão Europeia no prazo de três meses a contar da sua adoção.
