II SÉRIE-A — NÚMERO 146 20

a) De proteção de dados pessoais, designadamente o disposto no Regulamento (UE) n.º 2016/679, do

Parlamento Europeu e do Conselho, de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados), e

na Lei n.º 26/2016, de 22 de agosto;

b) De identificação e designação de infraestruturas críticas nacionais e europeias, designadamente do

Decreto-Lei n.º 62/2011, de 9 de maio;

c) De luta contra o abuso sexual e a exploração sexual de crianças e a pornografia infantil, designadamente

da Lei n.º 103/2015, de 24 de agosto;

d) De proteção do utente de serviços públicos essenciais, designadamente da Lei n.º 23/96, de 26 de julho;

e) De segurança e de emergência no setor das comunicações eletrónicas, designadamente da Lei n.º

5/2004, de 10 de fevereiro.

8- A presente lei não prejudica as medidas destinadas a salvaguardar as funções essenciais do Estado,

incluindo medidas de proteção da informação cuja divulgação seja contrária aos interesses de segurança

nacional, à manutenção de ordem pública ou a permitir a investigação, a deteção e a repressão de infrações

penais.

Artigo 3.º

Definições

Para efeitos da presente lei, entende-se por:

a) «Equipa de resposta a incidentes de segurança informática», a equipa que atua por referência a uma

comunidade de utilizadores definida, em representação de uma entidade, prestando um conjunto de serviços de

segurança que inclua, designadamente, o serviço de tratamento e resposta a incidentes de segurança das redes

e dos sistemas de informação;

b) «Especificação técnica», um documento que define os requisitos técnicos que um produto, processo,

serviço ou sistema devem cumprir;

c) «Incidente», um evento com um efeito adverso real na segurança das redes e dos sistemas de informação;

d) «Infraestrutura crítica», a componente, sistema ou parte deste situado em território nacional que é

essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico

ou social, e cuja perturbação ou destruição teria um impacto significativo, dada a impossibilidade de continuar a

assegurar essas funções;

e) «Norma», uma especificação técnica, aprovada por um organismo de normalização reconhecido, para

aplicação repetida ou continuada, cuja observância não é obrigatória;

f) «Operador de infraestrutura crítica», uma entidade pública ou privada que opera uma infraestrutura crítica;

g) «Operador de serviços essenciais», uma entidade pública ou privada que presta um serviço essencial;

h) «Ponto de troca de tráfego», uma estrutura de rede que permite a interligação de mais de dois sistemas

autónomos independentes a fim de facilitar a troca de tráfego na Internet;

i) «Prestador de serviços digitais», uma pessoa coletiva que presta um serviço digital;

j) «Prestador de serviços do sistema de nomes de domínio», uma entidade que presta serviços do sistema

de nomes de domínio (DNS) na Internet;

k) «Rede e sistema de informação», qualquer dispositivo ou conjunto de dispositivos interligados ou

associados, em que um ou mais de entre eles desenvolve, em execução de um programa, o tratamento

automatizado de dados informáticos, bem como a rede de comunicações eletrónicas que suporta a comunicação

entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele

ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção;

l) «Registo de nomes de domínio de topo», uma entidade que administra e opera o registo de nomes de

domínio da Internet de um domínio de topo específico;

m) «Representante do prestador de serviços digitais», uma pessoa singular ou coletiva, estabelecida na

União Europeia, expressamente designada para atuar por conta de um prestador de serviços digitais aí não

estabelecido;

n) «Risco», uma circunstância ou um evento, razoavelmente identificáveis, com um efeito adverso potencial

na segurança das redes e dos sistemas de informação;