Portugalia a adoptat un decret de lege care transpune Directiva (UE) 2022/2555 (NIS2) și introduce un nou cadru juridic pentru activitățile de identificare a vulnerabilităților de securitate cibernetică efectuate în interes public.
Actul va intra în vigoare la 120 de zile de la publicare și stabilește, între altele, condițiile în care experții pot testa sisteme și raporta vulnerabilități fără răspundere penală.
Decretul de lege 125/2025 adaugă în legea cibercriminalității (109/2009) articolul 8.º-A, al cărui text prevede că anumite fapte care ar putea constitui infracțiunile de acces ilegal sau interceptare ilegală nu sunt sancționabile dacă sunt îndeplinite cumulativ un set de condiții stabilite.
Pentru a nu fi pedepsită, acțiunea expertului trebuie să aibă ca unic scop identificarea vulnerabilităților în sisteme, produse sau servicii informatice care nu îi aparțin și contribuția, prin divulgare, la securitatea spațiului cibernetic.
De asemenea, specialistul nu poate urmări obținerea unui avantaj economic sau a unei promisiuni de avantaj, cu excepția remunerației normale pentru activitatea profesională.
Legea impune comunicarea imediată a riscurilor găsite către proprietarul sau administratorul sistemului și, în cazul obținerii de date protejate de legislația în vigoare, a eventualilor deținători.
Actul cere ca acțiunea expertului să fie proporțională și limitată strict la identificarea vulnerabilității, fără a provoca întreruperi de servicii, ștergeri, deteriorări sau copii neautorizate de date ori alte efecte prejudiciabile.
Sunt interzise explicit practici precum DoS/DDoS, inginerie socială, phishing, furt de parole, alterarea intenționată a datelor, producerea de daune sistemelor sau instalarea/distribuirea de malware.
Datele informatice obținute în cadrul acestor activități trebuie păstrate confidențial și șterse în termen de 10 zile de la corectarea vulnerabilității, cu respectarea regulilor de protecție a datelor.
Acțiunile efectuate cu consimțământul proprietarului sau administratorului sistemului nu sunt pedepsite, cu obligația notificării vulnerabilităților către autoritatea națională coordonatoare pentru incidente de securitate cibernetică.
