II SÉRIE-A — NÚMERO 191

22

amplo acesso remoto a um conjunto modulável e adaptável de recursos de computação partilháveis, inclusive

quando esses recursos estão distribuídos por várias localizações;

nn) «Serviço de comunicações eletrónicas», um serviço de comunicações eletrónicas nos termos da alínea

ss) do n.º 1 do artigo 3.º da Lei das Comunicações Eletrónicas, aprovada pela Lei n.º 16/2022, de 16 de agosto,

na sua redação atual;

oo) «Serviço de confiança», um serviço de confiança nos termos do ponto 16 do artigo 3.º Regulamento

(UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho, conforme alterado pela Diretiva (UE)

2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro, e pelo Regulamento (UE) 2024/1183,

do Parlamento Europeu e do Conselho, de 11 de abril;

pp) «Serviço de confiança qualificado», um serviço de confiança qualificado nos termos do ponto 17 do

artigo 3.º do Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho, conforme

alterado pela Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro, e pelo

Regulamento (UE) 2024/1183, do Parlamento Europeu e do Conselho, de 11 de abril;

qq) «Serviço de TIC», um serviço de TIC nos termos do ponto 13 do artigo 2.º do Regulamento (UE)

2019/881, do Parlamento Europeu e do Conselho, de 17 de abril;

rr) «Sistema de nomes de domínio» ou «DNS», um sistema de nomes distribuídos hierarquicamente que

possibilita a identificação de serviços e recursos na internet, permitindo que os dispositivos dos utilizadores finais

utilizem os serviços de encaminhamento e de conectividade da internet para aceder a esses serviços e recursos;

ss) «Serviço digital», um serviço nos termos da alínea g) do artigo 3.º do Decreto-Lei n.º 30/2020, de 29 de

junho, que estabelece as regras a que obedece o procedimento de informação no domínio das regras técnicas

relativas a produtos e das regras relativas aos serviços da sociedade da informação;

tt) «Tratamento de incidentes», todas as ações e procedimentos que visam a prevenção, a deteção, a

análise, a contenção ou a resposta a um incidente e a recuperação de um incidente;

uu) «Vulnerabilidade», uma fragilidade, suscetibilidade ou falha, que afeta redes e sistemas de informação,

produtos ou serviços de tecnologias da informação ou comunicação (TIC), passível de ser explorada por uma

ciberameaça.

Artigo 3.º

Âmbito de aplicação subjetivo

1 – A presente lei aplica-se às entidades privadas de um dos tipos que constam nos anexos I ou II à presente

lei e do qual fazem parte integrante, que, respeitados os critérios de âmbito territorial fixados no artigo seguinte:

a) Sejam qualificadas como médias empresas nos termos do artigo 2.º do anexo III à presente lei e do qual

faz parte integrante, correspondentes ao previsto na Recomendação 2003/361/CE, da Comissão, de 6 de maio,

ou que excedam os limiares relativos às médias empresas previstos no n.º 1 desse artigo; e

b) Prestem os seus serviços ou exerçam as suas atividades na União Europeia.

2 – A presente lei aplica-se igualmente às entidades de um dos tipos que constam nos anexos I ou II à

presente lei que, independentemente da sua natureza e dimensão e respeitados os critérios de âmbito territorial

fixados no artigo seguinte, preencham pelo menos um dos seguintes requisitos:

a) A entidade em causa seja:

i) Fornecedor de redes públicas de comunicações eletrónicas ou prestador de serviços de comunicações

eletrónicas acessíveis ao público;

ii) Prestador de serviços de confiança;

iii) Registo de nomes de domínio de topo, prestador de serviços de registo de nomes de domínio, e

prestador de serviços de sistemas de nomes de domínio.

b) A entidade em causa seja o único prestador de um serviço que é essencial para a manutenção de

atividades sociais ou económicas críticas, designadamente as atividades correspondentes aos setores,