II SÉRIE-A — NÚMERO 140 40

b) Aos prestadores de serviços de confiança previstos no artigo 19.º do Regulamento (UE) n.º 910/2014, de

23 de julho, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no

mercado interno.

3 – Os requisitos de segurança são definidos de forma a permitir a utilização de normas e especificações

técnicas internacionalmente aceites aplicáveis à segurança das redes e dos sistemas de informação, sem

imposição ou discriminação em favor da utilização de um determinado tipo de tecnologia.

Artigo 13.º

Definição de requisitos de notificação de incidentes

1 – Os requisitos de notificação de incidentes são definidos nos termos previstos em legislação própria, sem

prejuízo do disposto no artigo 19.º.

2 – Os requisitos de notificação de incidentes não se aplicam:

a) Às empresas sujeitas aos requisitos previstos nos artigos 54.º-A a 54.º-G da lei das comunicações

eletrónicas, aprovada pela Lei n.º 5/2004, de 10 de fevereiro;

b) Aos prestadores de serviços de confiança previstos no artigo 19.º do Regulamento (UE) n.º 910/2014, de

23 de julho, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no

mercado interno.

Artigo 14.º

Requisitos de segurança para a Administração Pública e operadores de infraestruturas críticas

1 – A Administração Pública e os operadores de infraestruturas críticas devem cumprir as medidas técnicas

e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos

sistemas de informação que utilizam.

2 – As medidas previstas no número anterior devem garantir um nível de segurança adequado ao risco em

causa, tendo em conta os progressos técnicos mais recentes.

3 – A Administração Pública e os operadores de infraestruturas críticas tomam as medidas adequadas para

evitar os incidentes que afetem a segurança das redes e dos sistemas de informação utilizados e para reduzir

ao mínimo o seu impacto.

Artigo 15.º

Notificação de incidentes para a Administração Pública e operadores de infraestruturas críticas

1 – A Administração Pública e os operadores de infraestruturas críticas notificam o Centro Nacional de

Cibersegurança dos incidentes com um impacto relevante na segurança das redes e dos sistemas de

informação, no prazo definido na legislação própria referida no artigo 13.º.

2 – A notificação dos operadores de infraestruturas críticas inclui informação que permita ao Centro Nacional

de Cibersegurança determinar o impacto transfronteiriço dos incidentes.

3 – A notificação não acarreta responsabilidades acrescidas para a parte notificante.

4 – A fim de determinar a relevância do impacto de um incidente são tidos em conta, designadamente, os

seguintes parâmetros:

a) O número de utilizadores afetados;

b) A duração do incidente;

c) A distribuição geográfica, no que se refere à zona afetada pelo incidente.

5 – Sempre que as circunstâncias o permitam, o Centro Nacional de Cibersegurança presta ao notificante

as informações relevantes relativas ao seguimento da sua notificação, nomeadamente informações que possam

contribuir para o tratamento eficaz do incidente.

6 – O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar incidentes específicos

de acordo com o interesse público, salvaguardando a segurança e os interesses dos operadores de