Sobre a necessidade de reportar qualquer incidente informático numa rede (especificamente de uma autarquia local) informa o CNCS:

“1. Nos termos do n.º 1 do artigo 2.º do Decreto-Lei n.º 65/2021, de 30 de julho, este normativo aplica-se às entidades enquadradas nas alíneas a) a d) do n.º 1 do artigo 2.º do Regime Jurídico da Segurança do Ciberespaço (Lei n.º 46/2018, de 13 de agosto), de acordo com o regime estabelecido, sem prejuízo do disposto nos números subsequentes do mesmo artigo.
2. Destas entidades fazem parte as autarquias locais, enquanto parte da Administração Pública, de acordo com a alínea c) do n.º 2 do artigo 2.º da Lei n.º 46/2018, de 13 de agosto. Nesse sentido, as autarquias locais devem cumprir com os requisitos de segurança e de notificação estabelecidos no RJSC.
3. A notificação de incidentes ao CNCS assim como as demais comunicações entre as entidade e o CNCS, deve ser realizada nos termos do Regulamento n.º 183/2022, de 21 de fevereiro.
4. No caso de a entidade constatar que houve uma violação que provocou a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, a entidades deve também notificar a CNPD, em conformidade com o exigido no n.º 1 do artigo 33.º do RGPD.”

Relativamente à Polícia Judiciária, se o ataque mencionado se enquadrar como um crime de sabotagem informática ou de acesso ilegítimo, e como tal recomendamos a comunicação à Polícia Judiciária.
Pelo CNCS, a sua mensagem (e respetivos anexos) será reenviada e comunicada de imediato à Polícia Judiciária. No entanto, sublinha-se a necessidade de apresentação de queixa por parte do ofendido junto de qualquer delegação da mesma Polícia ou apresentar queixa online através do Portal (https://qe.pj.pt/login)