1. A presente diretiva aplica-se às entidades públicas ou privadas de um dos tipos referidos no anexo I ou II, que sejam consideradas médias empresas nos termos do artigo 2.o do anexo da Recomendação 2003/361/CE, ou que excedam os limiares relativos às médias empresas previstos no n.o 1 desse artigo, e que prestem os seus serviços ou exerçam as suas atividades na União.
O artigo 3.o, n.o 4, do anexo da referida recomendação não é aplicável para efeitos da presente diretiva.
2. Independentemente da dimensão que tenham, a presente diretiva também se aplica às entidades de um dos tipos referidos no anexo I ou II, em que:
|
a) |
Os serviços são prestados por:
|
|
b) |
A entidade é o único prestador, num Estado-Membro, de um serviço que é essencial para a manutenção de atividades societais ou económicas críticas; |
|
c) |
Uma perturbação do serviço prestado pela entidade possa afetar consideravelmente a segurança pública, a proteção pública ou a saúde pública; |
|
d) |
Uma perturbação do serviço prestado pela entidade possa gerar riscos sistémicos consideráveis, especialmente para os setores onde tal perturbação possa ter um impacto transfronteiriço; |
|
e) |
A entidade é crítica devido à sua importância específica, a nível nacional ou regional, para o setor ou o tipo de serviço em causa, ou para outros setores interdependentes no Estado-Membro; |
|
f) |
A entidade é uma entidade da administração pública:
|
3. Independentemente da dimensão que tenham, a presente diretiva é aplicável às entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557.
4. Independentemente da dimensão que tenham, a presente diretiva é aplicável às entidades prestadoras de serviços de registo de nomes de domínio.
5. Os Estados-Membros podem prever que a presente diretiva se aplique a:
|
a) |
Entidades da administração pública a nível local; |
|
b) |
Instituições de ensino, em especial quando realizam atividades críticas no domínio da investigação. |
6. A presente diretiva não prejudica as responsabilidades dos Estados-Membros de salvaguardar a segurança nacional nem os seus poderes para salvaguardar outras funções essenciais do Estado, nomeadamente para garantir a integridade territorial do Estado e manter a ordem pública.
7. A presente diretiva não se aplica às entidades da administração pública que exercem as suas atividades nos domínios da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a prevenção, investigação, deteção e repressão de infrações penais.
8. Os Estados-Membros podem isentar entidades específicas que exerçam atividades nos domínios da defesa, da segurança nacional, da segurança pública, da defesa ou da aplicação da lei, incluindo a prevenção, investigação, deteção e repressão de infrações penais, ou que ofereçam serviços exclusivamente às entidades da administração púbica a que se refere o n.o 7 do presente artigo, de cumprir as obrigações estabelecidas no artigo 21.o ou 23.o no que diz respeito a essas atividades. Em tais casos, as medidas de supervisão e de execução referidas no capítulo VII não se aplicam a essas atividades ou serviços específicos. Caso as entidades exerçam atividades ou prestem serviços exclusivamente do tipo referido no presente número, os Estados-Membros podem decidir também isentar essas entidades das obrigações previstas nos artigos 3.o e 27.o.
9. Os n.os 7 e 8 não se aplicam quando uma entidade atua como prestador de serviços de confiança.
10. A presente diretiva não se aplica às entidades que os Estados-Membros tenham excluído do âmbito de aplicação do Regulamento (UE) 2022/2554 em conformidade com o artigo 2.o, n.o 4, do referido regulamento.
11. As obrigações previstas na presente diretiva não implicam a prestação de informações cuja divulgação seja contrária aos interesses essenciais dos Estados-Membros em matéria de segurança nacional, segurança pública ou defesa.
12. A presente diretiva é aplicável sem prejuízo do Regulamento (UE) 2016/679, da Diretiva 2002/58/CE, das Diretivas 2011/93/UE (27) e 2013/40/UE do Parlamento Europeu e do Conselho (28) e da Diretiva (UE) 2022/2557.
13. Sem prejuízo do artigo 346.o do TFUE, as informações classificadas como confidenciais nos termos de regras da União ou de regras nacionais, tais como regras em matéria de sigilo comercial, só podem ser trocadas com a Comissão e com outras autoridades competentes, em conformidade com a presente diretiva, nos casos em que esse intercâmbio seja necessário para efeitos de aplicação da presente diretiva. As informações trocadas devem limitar-se ao que for pertinente e proporcionado em relação ao objetivo desse intercâmbio. O intercâmbio de informações deve preservar a confidencialidade dessas informações e salvaguardar a segurança e os interesses comerciais das entidades em causa.
14. As entidades, as autoridades competentes, os pontos de contacto únicos e as CSIRT procedem ao tratamento dos dados pessoais na medida do necessário para efeitos da presente diretiva e em conformidade com o Regulamento (UE) 2016/679, em especial com base no artigo 6.o desse regulamento.
O tratamento de dados pessoais nos termos da presente diretiva por fornecedores de redes públicas de comunicações eletrónicas ou prestadores de serviços de comunicações eletrónicas acessíveis ao público deve ser efetuado em conformidade com o direito da União em matéria de proteção de dados e com o direito da União em matéria de privacidade, nomeadamente a Diretiva 2002/58/CE.
