LegalizeLei n.º 73/2025
Lei n.º 73/2025
de 23 de dezembro
Assegura a implementação de atos jurídicos europeus no ordenamento jurídico nacional relativos à resiliência operacional digital do setor financeiro
A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1.º
Objeto
1 - A presente lei:
Executa na ordem jurídica interna o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro (Regulamento (UE) 2022/2554);
Transpõe para a ordem jurídica interna a Diretiva (UE) 2022/2556 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, que altera as Diretivas 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 no que diz respeito à resiliência operacional digital para o setor financeiro.
2 - Para efeitos do disposto na alínea b) do número anterior, a presente lei procede à:
Alteração ao Regime Geral das Instituições de Crédito e Sociedades Financeiras, aprovado pelo Decreto-Lei n.º 298/92, de 31 de dezembro;
Alteração do Código dos Valores Mobiliários, aprovado pelo Decreto-Lei n.º 486/99, de 13 de novembro;
Alteração ao Regime jurídico das sociedades gestoras de mercado regulamentado, das sociedades gestoras de sistemas de negociação multilateral, das sociedades gestoras de câmara de compensação ou que atuem como contraparte central das sociedades gestoras de sistema de liquidação e das sociedades gestoras de sistema centralizado de valores mobiliários, aprovado pelo Decreto-Lei n.º 357-C/2007, de 31 de outubro, e republicado pelo Decreto-Lei n.º 109-H/2021, de 10 de dezembro;
Alteração ao regime jurídico de acesso e exercício da atividade seguradora e resseguradora, aprovado pela Lei n.º 147/2015, de 9 de setembro;
Quarta alteração ao Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica, aprovado pelo Decreto-Lei n.º 91/2018, de 12 de novembro;
Primeira alteração ao regime jurídico da constituição e do funcionamento dos fundos de pensões e das entidades gestoras de fundos de pensões, aprovado pela Lei n.º 27/2020, de 23 de julho;
Alteração ao Regime das Empresas de Investimento, aprovado pelo Decreto-Lei n.º 109-H/2021, de 10 de dezembro;
Terceira alteração ao Regime da Gestão de Ativos, aprovado pelo Decreto-Lei n.º 27/2023, de 28 de abril, alterado pelos Decretos-Leis n.os 89/2024, de 18 de novembro, e 103/2025, de 11 de setembro.
Artigo 2.º
Âmbito
1 - O regime previsto no Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, na presente lei e na legislação ou regulamentação europeia ou nacional relevante em matéria de resiliência operacional digital, aplica-se às empresas de seguros e de resseguros com sede em Portugal e às entidades gestoras de fundos de pensões autorizadas em Portugal às quais se aplica, respetivamente, o regime jurídico de acesso e exercício da atividade seguradora e resseguradora, aprovado pela Lei n.º 147/2015, de 9 de setembro, e o regime jurídico da constituição e do funcionamento dos fundos de pensões e das entidades gestoras de fundos de pensões, aprovado pela Lei n.º 27/2020, de 23 de julho.
2 - Excluem-se do âmbito de aplicação do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022 e da presente lei as «Caixas Económicas» existentes em 1 de janeiro de 1986, excetuando-se as que revestem a forma de sociedades anónimas, incluindo a Caixa Económica Montepio Geral, referidas no n.º 5 do artigo 2.º da Diretiva 2013/36/UE do Parlamento Europeu e do Conselho, de 26 de junho de 2013, relativa ao acesso à atividade das instituições de crédito e à supervisão prudencial das instituições de crédito e empresas de investimento, que altera a Diretiva 2002/87/CE e revoga as Diretivas 2006/48/CE e 2006/49/CE.
CAPÍTULO II
AUTORIDADES COMPETENTES E PODERES
Artigo 3.º
Autoridades competentes
1 - Nos termos e para os efeitos do artigo 46.º do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, da presente lei e da legislação ou regulamentação europeia ou nacional aplicável em matéria de resiliência operacional digital, são autoridades competentes o Banco de Portugal, a Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF) e a Comissão do Mercado de Valores Mobiliários (CMVM), no que respeita às entidades sujeitas à supervisão de cada uma destas autoridades.
2 - O Banco de Portugal é, ainda, a autoridade competente designada:
Nos casos em que instituições de crédito exerçam atividades de distribuição de seguros e nos casos em que as instituições de crédito e instituições de pagamento prestem serviços de financiamento colaborativo, enquanto única autoridade competente para a receção das comunicações dos incidentes de caráter severo relacionados com as tecnologias de informação e comunicação (TIC) e de notificações voluntárias de ciberameaças significativas, sendo responsável pelo desempenho das funções e deveres previstos no artigo 19.º e no n.º 1 do artigo 22.º do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022;
Nos termos e para os efeitos previstos no primeiro parágrafo do n.º 5 do artigo 32.º do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022.
3 - A ASF e a CMVM são as autoridades competentes designadas nos termos e para os efeitos previstos na alínea d) do n.º 4 do artigo 32.º do Regulamento (UE) 2022/2554.
4 - Sem prejuízo das regras de funcionamento e representação no fórum de superintendência, o Banco de Portugal, na qualidade de autoridade competente designada nos termos e para os efeitos previstos na alínea b) do n.º 2, presta toda a informação e colaboração à ASF e à CMVM, enquanto observadores no referido fórum.
5 - Nos casos em que uma entidade financeira esteja sujeita à supervisão de mais do que uma autoridade, a autoridade competente para efeitos da aplicação dos deveres previstos no artigo 19.º e no n.º 1 do artigo 22.º do Regulamento (UE) 2022/2554 é a autoridade responsável pela supervisão prudencial dessa entidade.
Artigo 4.º
Cooperação entre autoridades
1 - Nos casos previstos na alínea a) do n.º 2 e no n.º 5 do artigo anterior, a autoridade competente responsável para efeitos da aplicação dos deveres previstos no artigo 19.º e no n.º 1 do artigo 22.º do Regulamento (UE) 2022/2554:
Partilha, de imediato, com as demais autoridades a cuja supervisão a entidade em causa também esteja sujeita, a notificação inicial prevista na alínea a) do n.º 4 do artigo 19.º do Regulamento (UE) 2022/2554;
Partilha, ainda, com as demais autoridades a cuja supervisão a entidade em causa também esteja sujeita, num prazo razoável:
Os relatórios previstos nas alíneas b) e c) do n.º 4 do artigo 19.º do Regulamento (UE) 2022/2554;
ii) As notificações voluntárias de ciberameaças significativas, previstas no n.º 2 do artigo 19.º do Regulamento (UE) 2022/2554;
iii) As observações fornecidas à entidade financeira ao abrigo do artigo 22.º do Regulamento (UE) 2022/2554;
iv) As medidas corretivas e o seguimento subsequente prestado que não conste da prestação de informação prevista na alínea a).
2 - A ASF, o Banco de Portugal e a CMVM devem trocar todas as informações essenciais ou relevantes e cooperar para o exercício das funções e deveres previstos no artigo 19.º e no n.º 1 do artigo 22.º do Regulamento (UE) 2022/2554.
3 - A ASF, o Banco de Portugal e a CMVM colaboram entre si, através do estabelecimento de mecanismos de cooperação, e trocam sem demora todas as informações que se afigurem essenciais ou relevantes para o exercício das respetivas funções decorrentes do Regulamento (UE) 2022/2554, da presente lei e da legislação ou regulamentação europeia ou nacional aplicável em matéria de resiliência operacional digital.
4 - A ASF, o Banco de Portugal e a CMVM colaboram com o Centro Nacional de Cibersegurança sempre que necessário ao exercício das respetivas competências legais, podendo, designadamente, celebrar protocolos ou outros instrumentos de cooperação que assegurem mecanismos eficazes de coordenação e partilha de informação.
Artigo 5.º
Notificação voluntária de ciberameaças significativas
As entidades financeiras, referidas no n.º 1 do artigo 2.º do Regulamento (UE) 2022/2554 e no n.º 1 do artigo 2.º da presente lei, que, a título voluntário, apresentem uma notificação nos termos do primeiro parágrafo do n.º 2 do 19.º do Regulamento DORA, devem transmitir, por meio dos modelos referidos na alínea b) do artigo 20.º do referido Regulamento, essa notificação às CSIRT nacionais.
Artigo 6.º
Poderes das autoridades competentes
1 - No desempenho das suas funções relativas à resiliência operacional digital, as autoridades competentes dispõem, no âmbito das respetivas atribuições, dos poderes e prerrogativas previstos no Regulamento (UE) 2022/2554, na presente lei e na legislação ou regulamentação europeia e nacional aplicável em matéria de resiliência operacional digital.
2 - As autoridades competentes comunicam e trocam informação com as Autoridades Europeias de Supervisão para efeitos do exercício das suas funções nos termos do Regulamento (UE) 2022/2554, da presente lei e da legislação ou regulamentação europeia e nacional aplicável em matéria de resiliência operacional digital.
Artigo 7.º
Regulamentação
As autoridades competentes podem regulamentar o disposto na presente lei, incluindo, as seguintes matérias:
Os canais e processos operacionais concretos para fins da comunicação às autoridades competentes da informação prevista, de acordo com os formulários, modelos e procedimentos definidos nos n.os 1 e 2 do artigo 19.º do Regulamento (UE) 2022/2554, referente a incidentes de caráter severo relacionados com as TIC e à notificação voluntária de ciberameaças significativas;
Os canais e processos operacionais concretos para fins da comunicação às autoridades competentes da informação prevista, de acordo com os modelos normalizados definidos no n.º 3 do artigo 28.º do Regulamento (UE) 2022/2554, referente ao registo de informações em relação a todos os acordos contratuais relativos à utilização dos serviços de TIC prestados por terceiros prestadores de serviços de TIC;
Modelos normalizados, formulários e procedimentos para fins da comunicação às autoridades competentes da informação prevista no último parágrafo do n.º 3 do artigo 28.º do Regulamento (UE) 2022/2554, referente a acordos contratuais planeados de funções de TIC críticas ou importantes ou que se tornem críticas ou importantes;
A periodicidade, o conteúdo mínimo esperado e os modelos normalizados para fins da elaboração e comunicação à autoridade competente, se necessário e a pedido desta, da informação relativa ao relatório sobre a revisão do quadro de referência sobre o risco das TIC previsto no n.º 5 do artigo 6.º do Regulamento (UE) 2022/2554;
Os canais e processos operacionais concretos e as condições para fins da comunicação às autoridades competentes da informação prevista, de acordo com as orientações comuns definidas no n.º 10 do artigo 11.º do Regulamento (UE) 2022/2554, referente à estimativa dos custos e perdas anuais agregados causados por incidentes de caráter severo relacionados com as TIC;
Modelos normalizados, formulários e procedimentos para fins da comunicação às autoridades competentes da informação prevista no artigo 26.º do Regulamento (UE) 2022/2554, nomeadamente nos seus n.os 2 e 6, referentes a testes avançados através da realização de TLPT;
Os canais e processos operacionais concretos e as condições para fins da notificação às autoridades competentes da participação em acordos de partilha de informações específicas e sensíveis relativas a ciberataques prevista no n.º 3 do artigo 45.º do Regulamento (UE) 2022/2554.
CAPÍTULO III
REGIME SANCIONATÓRIO
Artigo 8.º
Disposições comuns
1 - As contraordenações previstas no presente capítulo respeitam à violação de deveres consagrados no Regulamento (UE) 2022/2554, na presente lei e na legislação ou regulamentação europeia e nacional aplicável em matéria de resiliência operacional digital.
2 - O processamento dos ilícitos de mera ordenação social, a aplicação de coimas e sanções acessórias e as demais matérias previstas neste capítulo são competência da ASF, do Banco de Portugal ou da CMVM, consoante a que seja, em cada caso, a autoridade competente para efeitos de fiscalização do cumprimento dos deveres previstos no Regulamento (UE) 2022/2554, na presente lei e na legislação ou regulamentação europeia e nacional aplicável em matéria de resiliência operacional digital.
3 - Nos casos em que uma entidade financeira esteja sujeita à supervisão de mais do que uma autoridade, as competências referidas no número anterior cabem à autoridade responsável pela supervisão prudencial dessa entidade financeira.
4 - O regime sancionatório previsto na presente lei prevalece sobre os regimes sancionatórios aplicáveis pelas respetivas autoridades competentes sempre que a mesma conduta possa constituir simultaneamente contraordenação ao abrigo de mais do que um desses regimes, exceto quando nos termos desses regimes ao facto caiba sanção mais grave.
Artigo 9.º
Tentativa e negligência
1 - A tentativa e a negligência são puníveis.
2 - Em caso de infração negligente, o limite máximo da coima prevista para a infração é reduzido a metade.
3 - Em caso de tentativa, a sanção aplicável é a prevista para o ilícito consumado, especialmente atenuada.
Artigo 10.º
Contraordenações
1 - Constituem contraordenações:
A prestação de informação à autoridade competente ou aos clientes que não seja completa, verdadeira, atual, clara, objetiva e lícita ou a omissão dessa prestação;
A não colaboração com as autoridades competentes no âmbito de exercícios de gestão de crises e contingência que envolvam cenários de ciberataques;
A violação dos seguintes deveres:
De implementar um quadro de governação interna e de controlo que garanta uma gestão eficaz e prudente do risco associado às TIC;
ii) Relativos ao exercício de funções, competências e responsabilidades de membro dos órgãos de administração e dos quadros superiores responsáveis pelas TIC das entidades financeiras;
iii) De dispor de um quadro de gestão do risco associado às TIC nos termos devidos;
iv) De documentar e de rever o quadro de gestão do risco associado às TIC nos termos devidos;
De implementar protocolos, ferramentas, políticas, estratégias e procedimentos no domínio das TIC nos termos devidos;
vi) De utilizar sistemas, protocolos, ferramentas, soluções, processos, políticas e planos no domínio das TIC nos termos devidos;
vii) De atualizar sistemas, protocolos e ferramentas no domínio das TIC nos termos devidos;
viii) De conceber protocolos, ferramentas, políticas, sistemas, métodos e procedimentos no domínio das TIC nos termos devidos;
ix) De adquirir protocolos, ferramentas e políticas no domínio das TIC nos termos devidos;
De executar protocolos, ferramentas, políticas, controlos, procedimentos e planos no domínio das TIC nos termos devidos;
xi) De documentar políticas, controlos, procedimentos, estratégias e métodos no domínio das TIC nos termos devidos;
xii) De desenvolver políticas, procedimentos e métodos no domínio das TIC nos termos devidos;
xiii) De estabelecer estruturas de gestão de redes e infraestruturas, políticas, controlos e procedimentos no domínio das TIC nos termos devidos;
xiv) De dispor de estratégias, mecanismos, sistemas, planos, recursos e equipamentos no domínio das TIC nos termos devidos;
xv) De testar mecanismos, planos e políticas no domínio das TIC nos termos devidos;
xvi) De manter planos, recursos e equipamentos no domínio das TIC nos termos devidos;
xvii) De rever políticas e planos no domínio das TIC nos termos devidos;
xviii) De atribuir a responsabilidade pela gestão e supervisão do risco associado às TIC a uma função de controlo;
xix) De assegurar a segregação e independência das funções responsáveis pela gestão, controlo e de auditoria interna do risco associado às TIC;
xx) De sujeição periódica a auditorias internas do quadro de gestão do risco associado às TIC e dos planos de resposta e recuperação em matéria de TIC;
xxi) De estabelecer um processo formal de acompanhamento das conclusões da análise da auditoria interna no quadro da gestão do risco associado às TIC;
⋯
A consulta deste documento não substitui a leitura do Diário da República correspondente. Não nos responsabilizamos por eventuais incorreções resultantes da transcrição do original para este formato.