12 DE JULHO DE 2018 41

infraestruturas críticas.

Artigo 16.º

Requisitos de segurança para os operadores de serviços essenciais

1 – Os operadores de serviços essenciais devem cumprir as medidas técnicas e organizativas adequadas

e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que

utilizam.

2 – As medidas previstas no número anterior devem garantir um nível de segurança adequado ao risco em

causa, tendo em conta os progressos técnicos mais recentes.

3 – Os operadores de serviços essenciais tomam as medidas adequadas para evitar os incidentes que

afetem a segurança das redes e dos sistemas de informação utilizados para a prestação dos seus serviços

essenciais e para reduzir ao mínimo o seu impacto, a fim de assegurar a continuidade desses serviços.

Artigo 17.º

Notificação de incidentes para os operadores de serviços essenciais

1 – Os operadores de serviços essenciais notificam o Centro Nacional de Cibersegurança, dos incidentes

com um impacto relevante na continuidade dos serviços essenciais por si prestados, no prazo definido na

legislação própria referida no artigo 13.º.

2 – A notificação inclui informação que permita ao Centro Nacional de Cibersegurança determinar o impacto

transfronteiriço dos incidentes.

3 – A notificação não acarreta responsabilidades acrescidas para a parte notificante.

4 – A fim de determinar a relevância do impacto de um incidente são tidos em conta, designadamente, os

seguintes parâmetros:

a) O número de utilizadores afetados pela perturbação do serviço essencial;

b) A duração do incidente;

c) A distribuição geográfica, no que se refere à zona afetada pelo incidente.

5 – Com base na informação prestada na notificação, o Centro Nacional de Cibersegurança informa os

pontos de contacto únicos dos outros Estados-membros afetados caso o incidente tenha um impacto importante

na continuidade dos serviços essenciais nesses Estados-membros.

6 – No caso referido no número anterior, o Centro Nacional de Cibersegurança salvaguarda a segurança e

os interesses do operador de serviços essenciais, bem como a confidencialidade da informação prestada na sua

notificação.

7 – Sempre que as circunstâncias o permitam, o Centro Nacional de Cibersegurança presta ao operador de

serviços essenciais notificante as informações relevantes relativas ao seguimento da sua notificação,

nomeadamente informações que possam contribuir para o tratamento eficaz do incidente.

8 – O Centro Nacional de Cibersegurança transmite as notificações referidas no n.º 1 aos pontos de contacto

únicos dos outros Estados-membros afetados.

9 – O Centro Nacional de Cibersegurança, após consultar o notificante, pode divulgar informação relativa a

incidentes específicos de acordo com o interesse público.

10 – Se um operador de serviços essenciais depender de um terceiro prestador de serviços digitais para a

prestação de um serviço essencial, notifica todos os impactos importantes na continuidade dos seus serviços,

decorrentes dos incidentes que afetem o prestador de serviços digitais.

Artigo 18.º

Requisitos de segurança para os prestadores de serviços digitais

1 – Os prestadores de serviços digitais identificam e tomam as medidas técnicas e organizativas adequadas

e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que

utilizam no contexto da oferta dos serviços digitais.

2 – As medidas referidas no número anterior, devem garantir um nível de segurança das redes e dos