Artigo 6.º

Definições

Para efeitos da presente diretiva, entende-se por:

1)

«Sistema de rede e informação»:

a)

Uma rede de comunicações eletrónicas, na aceção do artigo 2.o, ponto 1, da Diretiva (UE) 2018/1972;

b)

Um dispositivo ou um grupo de dispositivos interligados ou associados, dos quais um ou vários efetuam o tratamento automático de dados digitais com base num programa; ou

c)

Os dados digitais armazenados, tratados, obtidos ou transmitidos por elementos indicados nas alíneas a) e b) tendo em vista a sua exploração, utilização, proteção e manutenção;

2)

«Segurança dos sistemas de rede e informação», a capacidade dos sistemas de rede e informação para resistir, com um dado nível de confiança, a eventos suscetíveis de pôr em causa a disponibilidade, a autenticidade, a integridade ou a confidencialidade dos dados armazenados, transmitidos ou tratados, ou dos serviços oferecidos por esses sistemas de rede e informação, ou acessíveis por intermédio destes;

3)

«Cibersegurança», cibersegurança na aceção do artigo 2.o, ponto 1, do Regulamento (UE) 2019/881;

4)

«Estratégia nacional de cibersegurança», um quadro coerente mediante o qual um Estado-Membro define prioridades e objetivos estratégicos no domínio da cibersegurança e define a governação com vista à sua consecução no Estado-Membro em causa;

5)

«Quase incidente», um evento que poderia ter posto em causa a disponibilidade, a autenticidade, a integridade ou a confidencialidade de dados armazenados, transmitidos ou tratados ou de serviços oferecidos por sistemas de rede e informação ou acessíveis por intermédio destes, que, no entanto, foi possível evitar com êxito ou não se materializou;

6)

«Incidente», um evento que ponha em causa a disponibilidade, a autenticidade, a integridade ou a confidencialidade de dados armazenados, transmitidos ou tratados ou dos serviços oferecidos por sistemas de rede e informação ou acessíveis por intermédio destes;

7)

«Incidente de cibersegurança em grande escala», um incidente que cause um nível de perturbação superior à capacidade de resposta de um Estado-Membro ou que tenha um impacto significativo em, pelo menos, dois Estados-Membros;

8)

«Tratamento de incidentes», todas as ações e procedimentos que visam a prevenção, a deteção, a análise, a contenção ou a resposta a um incidente e a recuperação de um incidente;

9)

«Risco», a possível perda ou perturbação causada por um incidente, expressa como uma combinação da magnitude de tal perda ou perturbação e da probabilidade de ocorrência do incidente;

10)

«Ciberameaça», uma ciberameaça na aceção do artigo 2.o, ponto 8, do Regulamento (UE) 2019/881;

11)

«Ciberameaça significativa», uma ciberameaça que, com base nas suas características técnicas, possa ser considerada suscetível de ter um impacto grave nos sistemas de rede e informação de uma entidade ou dos utilizadores dos serviços das entidades, causando danos materiais ou imateriais consideráveis;

12)

«Produto de TIC», um produto de TIC na aceção do artigo 2.o, ponto 12, do Regulamento (UE) 2019/881;

13)

«Serviço de TIC», um serviço de TIC na aceção do artigo 2.o, ponto 13, do Regulamento (UE) 2019/881;

14)

«Processo de TIC», um processo de TIC na aceção do artigo 2.o, ponto 14, do Regulamento (UE) 2019/881;

15)

«Vulnerabilidade», um ponto fraco, uma suscetibilidade ou uma falha de um produto de TIC ou de um serviço de TIC passível de ser explorada por uma ciberameaça;

16)

«Norma», uma norma na aceção do artigo 2.o, ponto 1, do Regulamento (UE) n.o 1025/2012 do Parlamento Europeu e do Conselho (29);

17)

«Especificação técnica», uma especificação técnica na aceção do artigo 2.o, ponto 4, do Regulamento (UE) n.o 1025/2012;

18)

«Ponto de troca de tráfego», uma estrutura de rede que permite a interligação de mais de duas redes independentes (sistemas autónomos), sobretudo a fim de facilitar a troca de tráfego na Internet; um ponto de troca de tráfego só interliga sistemas autónomos; um ponto de troca de tráfego não implica que o tráfego na Internet entre um par de sistemas autónomos participantes passe através de um terceiro sistema autónomo, não altera esse tráfego nem interfere nele de qualquer outra forma;

19)

«Sistema de nomes de domínio» ou «DNS», um sistema de nomes distribuídos hierarquicamente que possibilita a identificação de serviços e recursos na Internet, permitindo que os dispositivos dos utilizadores finais utilizem os serviços de encaminhamento e de conectividade da Internet para aceder a esses serviços e recursos;

20)

«Prestador de serviços de DNS», uma entidade que presta:

a)

Serviços de resolução recursiva de nomes de domínio acessíveis ao público para os utilizadores finais de Internet; ou

b)

Serviços de resolução com autoridade para nomes de domínio para utilização por terceiros, com exceção dos servidores de nomes raiz;

21)

«Registo de nomes de domínio de topo» ou «Registo de nomes de TLD», uma entidade a quem foi delegado um TLD específico e que é responsável pela sua administração, incluindo o registo de nomes de domínio sob o TLD e a operação técnica desse TLD, incluindo a operação dos seus servidores de nomes, a manutenção das suas bases de dados e a distribuição de ficheiros da zona de TLD pelos servidores de nomes, independentemente de qualquer uma destas operações ser executada pela própria entidade ou ser externalizada, mas excluindo situações em que os nomes do TLD sejam utilizados por um registo apenas para uso próprio;

22)

«Entidade que presta serviços de registo de nomes de domínio», um agente de registo ou um agente que atua em nome de agentes de registo, tal como um prestador ou revendedor de serviços de proteção da privacidade ou de registo de servidores intermediários;

23)

«Serviço digital», um serviço na aceção do artigo 1.o, n.o 1, alínea b), da Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho (30);

24)

«Serviço de confiança», um serviço de confiança na aceção do artigo 3.o, ponto 16, do Regulamento (UE) n.o 910/2014;

25)

«Prestador de serviços de confiança», um prestador de serviços de confiança na aceção do artigo 3.o, ponto 19, do Regulamento (UE) n.o 910/2014;

26)

«Serviço de confiança qualificado», um serviço de confiança qualificado na aceção do artigo 3.o, ponto 17, do Regulamento (UE) n.o 910/2014;

27)

«Prestador qualificado de serviços de confiança», um prestador qualificado de serviços de confiança na aceção do artigo 3.o, ponto 20, do Regulamento (UE) n.o 910/2014;

28)

«Mercado em linha», um mercado em linha na aceção do artigo 2.o, alínea n), da Diretiva 2005/29/CE do Parlamento Europeu e do Conselho (31);

29)

«Motor de pesquisa em linha», um motor de pesquisa em linha na aceção do artigo 2.o, ponto 5, do Regulamento (UE) 2019/1150 do Parlamento Europeu e do Conselho (32);

30)

«Serviço de computação em nuvem», um serviço digital que permite a administração a pedido e um amplo acesso remoto a um conjunto modulável e adaptável de recursos de computação partilháveis, inclusive quando esses recursos estão distribuídos por várias localizações;

31)

«Serviço de centro de dados», um serviço que engloba estruturas ou grupos de estruturas dedicados ao alojamento, à interligação e à operação centralizadas de equipamento de redes e TI que preste serviços de armazenamento, tratamento e transmissão de dados, juntamente com todas as instalações e infraestruturas de distribuição de energia e controlo ambiental;

32)

«Rede de distribuição de conteúdos», uma rede de servidores distribuídos geograficamente para o efeito de assegurar uma elevada disponibilidade, acessibilidade ou rápida distribuição de serviços e conteúdos digitais a utilizadores da Internet por conta de fornecedores de conteúdos e serviços;

33)

«Plataforma de serviços de redes sociais», uma plataforma que permite que utilizadores finais se conectem, partilhem, descubram e comuniquem entre si em vários dispositivos, especialmente por intermédio de conversas, publicações, vídeos e recomendações;

34)

«Representante», qualquer pessoa singular ou coletiva, estabelecida na União, expressamente designada para atuar por conta de um prestador de serviços de DNS, um registo de nomes de TLD, uma entidade que presta serviços de registo de nomes de domínio, um prestador de serviços de computação em nuvem, um prestador de serviços de centro de dados, um fornecedor de redes de distribuição de conteúdos, um prestador de serviços geridos, um prestador de serviços de segurança geridos, um prestador de serviços de mercados em linha, de motores de pesquisa em linha ou de plataformas de serviços de redes sociais que não se encontre estabelecido na União, que possa ser contactada por uma autoridade nacional competente ou por uma CSIRT, em vez da entidade representada, quanto às obrigações que incumbem a esta última por força da presente diretiva;

35)

«Entidade da administração pública», uma entidade, reconhecida como tal num Estado-Membro, nos termos do direito nacional, não incluindo o poder judicial, os parlamentos ou os bancos centrais, que cumpra os seguintes critérios:

a)

Foi criada para satisfazer necessidades de interesse geral e não tem carácter industrial ou comercial;

b)

É dotada de personalidade jurídica ou está habilitada por lei a agir em nome de outra entidade dotada de personalidade jurídica;

c)

É financiada maioritariamente pelo Estado, por autoridades regionais ou por outros organismos de direito público, a sua gestão está sujeita a fiscalização por parte dessas autoridades ou desses organismos, ou mais de metade dos membros dos seus órgãos de administração, direção ou fiscalização são designados pelo Estado, por autoridades regionais ou por outros organismos de direito público;

d)

Tem competência para tomar decisões de natureza administrativa ou regulamentar que afetem os direitos de pessoas singulares ou coletivas no contexto da circulação transfronteiriça de pessoas, mercadorias, serviços ou capitais;

36)

«Rede pública de comunicações eletrónicas», uma rede pública de comunicações eletrónicas na aceção do artigo 2.o, ponto 8, da Diretiva (UE) 2018/1972;

37)

«Serviço de comunicações eletrónicas», um serviço de comunicações eletrónicas na aceção do artigo 2.o, ponto 4, da Diretiva (UE) 2018/1972;

38)

«Entidade», uma pessoa singular ou coletiva criada e reconhecida como tal pelo direito nacional do seu local de estabelecimento, que pode, atuando em seu próprio nome, exercer direitos e estar sujeita a obrigações;

39)

«Prestador de serviços geridos», uma entidade que presta serviços relacionados com a instalação, gestão, operação ou manutenção de produtos de TIC, redes, infraestruturas, aplicações ou quaisquer outros sistemas de rede e informação, através de assistência ou administração ativa efetuadas nas instalações dos clientes ou à distância;

40)

«Prestador de serviços de segurança geridos», um prestador de serviços geridos que realiza ou presta assistência a atividades relacionadas com a gestão dos riscos de cibersegurança;

41)

«Organismo de investigação», uma entidade cujo objetivo principal é realizar investigação aplicada ou desenvolvimento experimental com vista à exploração dos resultados dessa investigação para fins comerciais, excluindo os estabelecimentos de ensino.

Perguntas frequentes

Um incidente de cibersegurança é qualquer acontecimento que ameace a disponibilidade, integridade, confidencialidade ou autenticidade dos dados armazenados, processados ou transmitidos em sistemas informáticos e redes. Por exemplo, ataques informáticos que bloqueiam serviços, corrompem informações ou permitem acesso indevido aos dados. Estes eventos exigem ações rápidas para minimizar impactos negativos para entidades e utilizadores finais e são claramente definidos pela diretiva NIS2 para garantir proteção e segurança eficazes.
Um incidente ocorre quando realmente há prejuízos ou danos aos dados ou serviços digitais, como perda de dados, falhas ou acessos indevidos. Já um quase incidente é quando algo podia ter causado problemas semelhantes, mas foi evitado antes de acontecer ou simplesmente não ocorreu. Reconhecer estas diferenças ajuda a reforçar medidas preventivas e preparatórias necessárias à segurança digital de acordo com a NIS2.
A segurança de sistemas de rede e informação está relacionada com a capacidade das redes e dispositivos digitais resistirem a ameaças como ataques ou falhas que colocam em risco o funcionamento correto, a veracidade ou a privacidade de informação digital. Em outras palavras, ela garante que serviços e dados estejam disponíveis, sejam confiáveis e estejam protegidos com um grau adequado de confiança previsto pelas regras específicas estabelecidas na diretiva NIS2.
Uma vulnerabilidade é descrita como uma falha ou uma fraqueza existente num produto ou serviço tecnológico que pode ser aproveitada por ameaças cibernéticas para causar prejuízos, ataques ou acesso não autorizado às informações e sistemas. Identificar e corrigir vulnerabilidades rapidamente é fundamental para evitar incidentes maiores e proteger usuários e entidades, sendo também uma prioridade clara definida nas obrigações exigidas pela diretiva NIS2.

Formação NIS2

Get Started within 24 hours.

Once you have submitted your details, you’ll be our top priority!