II SÉRIE-A — NÚMERO 140 42

sistemas de informação adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes, e

devem ter em conta os seguintes fatores:

a) A segurança dos sistemas e das instalações;

b) O tratamento dos incidentes;

c) A gestão da continuidade das atividades;

d) O acompanhamento, a auditoria e os testes realizados;

e) A conformidade com as normas internacionais.

3 – Os prestadores de serviços digitais tomam medidas para evitar os incidentes que afetem a segurança

das suas redes e sistemas de informação e para reduzir ao mínimo o seu impacto nos serviços digitais, a fim de

assegurar a continuidade desses serviços.

4 – O presente artigo não se aplica às microempresas nem às pequenas empresas, tal como definidas pelo

Decreto-Lei n.º 372/2007, de 6 de novembro, na sua redação atual.

5 – Os elementos constantes dos n.os 1 a 3 são objeto de Regulamento de Execução da Comissão Europeia.

Artigo 19.º

Notificação de incidentes para os prestadores de serviços digitais

1 – Os prestadores de serviços digitais notificam o Centro Nacional de Cibersegurança dos incidentes com

impacto substancial na prestação dos serviços digitais, no prazo definido na legislação própria referida no artigo

13.º.

2 – A notificação referida no número anterior inclui informação que permita ao Centro Nacional de

Cibersegurança determinar a importância dos impactos transfronteiriços.

3 – A notificação não acarreta responsabilidades acrescidas para a parte notificante.

4 – A fim de determinar se o impacto de um incidente é substancial, são tidos em conta os seguintes

parâmetros:

a) O número de utilizadores afetados pelo incidente, nomeadamente de utilizadores que dependem do

serviço para prestarem os seus próprios serviços;

b) A duração do incidente;

c) A distribuição geográfica, no que se refere à zona afetada pelo incidente;

d) O nível de gravidade da perturbação do funcionamento do serviço;

e) A extensão do impacto nas atividades económicas e societais.

5 – A obrigação de notificar um incidente só se aplica se o prestador de serviços digitais tiver acesso a

informação necessária para avaliar o impacto de um incidente em função dos fatores a que se refere o n.º 2 do

artigo anterior.

6 – Se os incidentes referidos no n.º 1 disserem respeito a dois ou mais Estados-membros, o Centro

Nacional de Cibersegurança informa os pontos de contacto únicos dos outros Estados-membros afetados.

7 – No caso referido no número anterior, o Centro Nacional de Cibersegurança salvaguarda a segurança e

os interesses do prestador de serviços digitais.

8 – O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar incidentes específicos

de acordo com o interesse público.

9 – O presente artigo não se aplica às microempresas nem às pequenas empresas, tal como definidas pelo

Decreto-Lei n.º 372/2007, de 6 de novembro, na sua redação atual.

10 – Os elementos constantes dos n.os 1 a 5 são objeto de Regulamento de Execução da Comissão

Europeia.

Artigo 20.º

Notificação voluntária de incidentes

1 – Sem prejuízo da obrigação de notificação de incidentes prevista na presente lei, quaisquer entidades

podem notificar, a título voluntário, os incidentes com impacto importante na continuidade dos serviços por si