Esta medida visa permitir que profissionais identifiquem e reportem vulnerabilidades de boa-fé, sem o receio de enfrentarem processos criminais. A alteração legislativa, que introduz o Artigo 8.º-A no Código Penal, estabelece um 'porto de abrigo' para atividades de investigação de segurança, reconhecendo o seu papel fundamental no reforço da resiliência digital do país. No entanto, esta proteção não é incondicional e está sujeita a um conjunto estrito de regras.

A investigação deve ter como único propósito a identificação de fragilidades e o apoio à melhoria da cibersegurança, excluindo qualquer intenção de obter vantagem económica para além da remuneração profissional. Uma das condições centrais é a obrigatoriedade da comunicação da vulnerabilidade detetada ao proprietário do sistema, aos responsáveis pelo tratamento de dados (quando aplicável) e, de forma crucial, ao Centro Nacional de Cibersegurança (CNCS).

Esta notificação deve ser feita imediatamente após a deteção para permitir uma correção célere.

A lei delimita também o âmbito das ações permitidas, estipulando que estas não podem exceder o estritamente necessário para confirmar a falha.

Estão expressamente proibidas práticas como ataques de negação de serviço, engenharia social, recolha de credenciais, alteração de dados ou a utilização de software malicioso. Adicionalmente, a investigação não pode violar o Regulamento Geral sobre a Proteção de Dados (RGPD), e toda a informação acedida deve ser tratada com confidencialidade e eliminada num prazo de dez dias após a correção da falha. Esta nova abordagem legislativa alinha Portugal com as melhores práticas internacionais, transformando a relação com a comunidade de cibersegurança de adversarial para colaborativa.