28 DE FEVEREIRO DE 2025

27

2 – A qualificação das entidades pelo CNCS com base nos critérios previstos nas alíneas a) a c) e e) do

n.º 1, e no n.º 2 do artigo 6.º, e ainda no artigo 7.º, resulta do mecanismo previsto no número anterior.

3 – A qualificação das entidades pelo CNCS com base nos critérios previstos nas alíneas d) e f) do n.º 1, e

do n.º 3 do artigo 6.º, é comunicada com a antecedência mínima de 60 dias ao membro do Governo responsável

pela área da cibersegurança e revista pelo menos de dois em dois anos.

4 – A qualificação prevista no número anterior é devidamente fundamentada pelo CNCS, sendo precedida

de audiência prévia da entidade em causa e, quando aplicável, de parecer das autoridades nacionais setoriais

de cibersegurança referidas na alínea a) do n.º 2 do artigo 15.º.

5 – O CNCS, ou, quando aplicável, as autoridades nacionais setoriais de cibersegurança competentes nos

termos da alínea a) do n.º 2 do artigo 15.º, notifica a entidade da sua qualificação nos termos dos n.os 2 e 3, no

prazo máximo de 30 dias a contar da data da referida qualificação.

6 – Os prestadores de serviços de registos de nomes de domínio devem identificar-se e comunicar a

informação prevista no n.º 2 do artigo 35.º através da plataforma eletrónica disponibilizada pelo CNCS, no prazo

de 30 dias após o início da sua atividade.

7 – As regras de funcionamento da plataforma eletrónica referida no presente artigo são definidas através

de regulamento a aprovar pelo CNCS.

8 – O procedimento de qualificação referido no presente artigo não prejudica, para as entidades abrangidas,

o cumprimento do dever previsto no artigo 35.º.

Artigo 9.º

Concurso de qualificações e medidas de cibersegurança

1 – Caso uma entidade se enquadre simultaneamente em mais do que uma qualificação, aplica-se o regime

que resultar mais exigente para gerir os riscos que se colocam à segurança das redes e sistemas de informação,

de acordo com a seguinte ordem:

a) Entidades essenciais;

b) Entidades importantes;

c) Entidades públicas relevantes do Grupo A;

d) Entidades públicas relevantes do Grupo B.

2 – O CNCS pode associar à qualificação da entidade, nos termos do disposto no n.º 4 do artigo 26.º e no

artigo 33.º, medidas de cibersegurança e demais medidas técnicas e organizativas resultantes dos instrumentos

previstos da presente lei, cujo incumprimento pode determinar a aplicação das sanções correspondentes nos

termos do regime sancionatório previsto no Capítulo VII da presente lei.

Artigo 10.º

Tratamento de dados pessoais

1 – As entidades que integram o quadro institucional da segurança do ciberespaço, nos termos do artigo

15.º, tratam dados pessoais na medida do estritamente necessário para assegurar o cumprimento de obrigações

legais e a prossecução de missões de interesse público ou de autoridade pública em que estão investidos, nos

termos do disposto nas alíneas c) ou e) do n.º 1 e no n.º 3 do artigo 6.º do RGPD e em conformidade com a

presente lei e demais legislação nacional aplicável.

2 – As entidades que integram o quadro institucional da segurança do ciberespaço podem ainda tratar dados

pessoais para a prossecução de um interesse legítimo das entidades essenciais e importantes, tal como referido

na alínea f) do n.º 1 do artigo 6.º do RGPD.

3 – Sem prejuízo do disposto no artigo 29.º da Lei n.º 58/2019, de 8 de agosto, as entidades que integram

o quadro institucional da segurança do ciberespaço podem proceder ao tratamento de categorias especiais de

dados pessoais para, na medida do estritamente necessário:

a) Evitar a consumação de uma ciberameaça significativa para a segurança das redes e sistemas de