O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

26 DE MARÇO DE 2018

25

9 - O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar informação relativa a

incidentes específicos de acordo com o interesse público.

10 - Se um operador de serviços essenciais depender de um terceiro prestador de serviços digitais para a

prestação de um serviço essencial, notifica todos os impactos importantes na continuidade dos seus serviços,

decorrentes dos incidentes que afetem o prestador de serviços digitais.

Artigo 18.º

Requisitos de segurança para os prestadores de serviços digitais

1 - Os prestadores de serviços digitais identificam e tomam as medidas técnicas e organizativas adequadas

e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que

utilizam no contexto da oferta dos serviços digitais.

2 - As medidas referidas no número anterior, devem garantir um nível de segurança das redes e dos sistemas

de informação adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes, e devem ter

em conta os seguintes fatores:

a) A segurança dos sistemas e das instalações;

b) O tratamento dos incidentes;

c) A gestão da continuidade das atividades;

d) O acompanhamento, a auditoria e os testes realizados;

e) A conformidade com as normas internacionais.

3 - Os prestadores de serviços digitais tomam medidas para evitar os incidentes que afetem a segurança das

suas redes e sistemas de informação e para reduzir ao mínimo o seu impacto nos serviços digitais, a fim de

assegurar a continuidade desses serviços.

4 - O presente artigo não se aplica às microempresas nem às pequenas empresas, tal como definidas pelo

Decreto-Lei n.º 372/2007, de 6 de junho, na sua redação atual.

5 - Os elementos constantes dos n.ºs 1 a 3 são objeto de Regulamento de Execução da Comissão Europeia.

Artigo 19.º

Notificação de incidentes para os prestadores de serviços digitais

1 - Os prestadores de serviços digitais notificam o Centro Nacional de Cibersegurança dos incidentes com

impacto substancial na prestação dos serviços digitais, no prazo definido na legislação própria referida no artigo

13.º.

2 - A notificação referida no número anterior inclui informação que permita ao Centro Nacional de

Cibersegurança determinar a importância dos impactos transfronteiriços.

3 - A notificação não acarreta responsabilidades acrescidas para a parte notificante.

4 - A fim de determinar se o impacto de um incidente é substancial, são tidos em conta os seguintes

parâmetros:

a) O número de utilizadores afetados pelo incidente, nomeadamente de utilizadores que dependem do

serviço para prestarem os seus próprios serviços;

b) A duração do incidente;

c) A distribuição geográfica, no que se refere à zona afetada pelo incidente;

d) O nível de gravidade da perturbação do funcionamento do serviço;

e) A extensão do impacto nas atividades económicas e societais.

5 - A obrigação de notificar um incidente só se aplica se o prestador de serviços digitais tiver acesso a

informação necessária para avaliar o impacto de um incidente em função dos fatores a que se refere o n.º 2 do

artigo anterior.

6 - Se os incidentes referidos no n.º 1 disserem respeito a dois ou mais Estados-Membros, o Centro Nacional

de Cibersegurança informa os outros Estados-Membros afetados.