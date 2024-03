Portugal é um dos 27 países da União Europeia (UE) e nesse sentido também segue as diretrizes da UE em várias áreas. Na área da cibersegurança Portugal tem acompanhado as indicações da UE, transpondo "as regras" para a lei nacional. Saiba quais as leis aplicadas à ciberSegurança em Portugal.

Em 2016, mais concretamente a 6 de julho, foi lançada a Diretiva 2016/1148 (Diretiva NIS - Network And Information Security) do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a UE.

Lei nº46/2018 (NIS1)

A 13 de agosto de 2018, Portugal procedeu à transposição da Diretiva 2016/1148, para a Lei n.º 46/2018 - Estabelece o regime jurídico da segurança do ciberespaço.

O regime jurídico da segurança do ciberespaço aplica-se às entidades da Administração Pública, aos operadores de infraestruturas críticas, aos operadores de serviços essenciais, aos prestadores de serviços digitais, bem como a quaisquer outras entidades que utilizem redes e sistemas de informação, nomeadamente, no âmbito da notificação voluntária de incidentes.

O regime jurídico da segurança do ciberespaço estabeleceu a Estrutura de Segurança do Ciberespaço, consagrando o:

Centro Nacional de Cibersegurança como Autoridade Nacional de Cibersegurança

«CERT.PT» como Equipa de Resposta a Incidentes de Segurança Informática Nacional.

Além das estruturas, também estabeleceu o normativo relativamente a fiscalização e sanções. Esta lei aplicou-se à Administração Pública​, Operadores de infraestruturas críticas​, operadores de serviços essenciais​, prestadores de serviços digitais​ e Outras entidades que utilizem redes e sistemas de informação​.

Decreto-Lei n.º 65/2021

Após três anos da transposição da Diretiva NIS para a lei nacional, a 30 de julho de 2021 foi publicado o Decreto-Lei n.º 65/2021 que regulamenta o Regime Jurídico da Segurança do Ciberespaço (RJSC) e definiu um conjunto de obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019.​

Segundo o DL 65/2021, existe um conjunto de obrigações das entidades das quais se destacam:

​Nomeação de um Ponto de contacto permanente e Responsável de Segurança​ (Artigos 4.º e 5.º​)

Proceder ao Inventário de ativos ​ ( Artigo 6.º)

​ ( Proceder à Análise dos riscos e implementação dos requisites de segurança ​ (Artigo 10.º​)

​ (Artigo 10.º​) Realizar o Plano de Segurança (Artigo 7º)

(Artigo 7º) Proceder à Notificação de Incidentes (Artigos 11.º a 17.º)

(Artigos 11.º a 17.º) Realização e entrega do Relatório anual​ (Artigo 8.º)

O DL 65/2021 "impactou" cerca de 400 entidades em Portugal.

Regulamento n.º 183/2022

O Regulamento n.º 183/2022 do Gabinete de Segurança (GNS), configura uma instrução técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes.

Segue-se a NIS2...

A Diretiva NIS2 foi publicada a 14 de dezembro de 2022 e vem substituir a Diretiva NIS. A transposição para legislação nacional da Diretiva NIS2 deve acontecer até 17 de outubro de 2024.

A diretiva relativa à segurança de redes e informações introduz novas regras para promover um alto nível comum de cibersegurança em toda a UE - tanto para as empresas como para os países. A legislação permite ainda fortalecer os requisitos de cibersegurança para entidades de média e grande dimensão que operam e prestam serviços em sectores-chave.

De um lado as entidades do tipo essenciais e do outro as entidades importantes. A diferença entre estes dois tipos de entidades, é que as entidades essenciais estão sujeitas a requisitos regulatórios mais rigorosos. Com a NIS2, passam a existir 67 tipos de entidades que têm de cumprir a nova diretiva (com a NIS 1 eram “apenas” 30). Em Portugal deverão ser impactadas cerca de 4 mil entidades. As eleições legislativas podem atrasar a transposição da Diretiva para Portugal - saber mais aqui.