No entanto, a proteção legal está sujeita a um conjunto estrito de condições.

As ações de investigação não podem ser puníveis apenas quando o seu único objetivo é identificar fragilidades existentes. Os investigadores não podem criar as vulnerabilidades que exploram, nem podem exceder o estritamente necessário para confirmar a sua existência.

Ficam expressamente proibidas ações que causem danos, como interrupções de serviço, perdas de informação, ataques de negação de serviço ou utilização de malware.

Além disso, a investigação não pode visar qualquer vantagem económica para além da remuneração profissional.

Uma das obrigações centrais do novo regime é a comunicação imediata da falha detetada ao proprietário do sistema, aos responsáveis pelo tratamento de dados (quando aplicável) e, obrigatoriamente, ao Centro Nacional de Cibersegurança (CNCS).

Esta medida cria uma cadeia de notificação formal que permite uma correção rápida dos problemas, minimizando os riscos. A nova lei responde a uma necessidade crescente de clarificar o espaço legal para a investigação de segurança, alinhando Portugal com as melhores práticas internacionais.