O Governo aprovou hoje dois diplomas na área da cibersegurança. Um deles é a proposta de transposição da diretiva NIS2 e o outro é a criação de um novo regime jurídico de cibersegurança em Portugal, que será submetido a consulta pública.

A NIS2, sucessora da NIS, é uma diretiva da União Europeia, para a área da cibersegurança, que foi publicada a 27 de dezembro de 2022. Os Estados Membros tinham de a transpor para a legislação nacional até 17 de outubro de 2024, mas em Portugal a proposta de transposição da diretiva só hoje foi aprovada.

Segundo o Governante António Leitão Amaro...

Creio que as últimas semanas demonstram bem a importância da vulnerabilidade dos sistemas do espaço cibernético português, a existência de ameaças de várias origens e da importância de fortalecer e de garantir a segurança do espaço português também neste caso no ciberespaço

Este regime jurídico aprovado hoje "será uma proposta de lei, mas será submetido a consulta pública".

O governante explicou que "haverá uma reunião ainda do Conselho Nacional de Segurança no Ciberespaço e depois será colocado na plataforma de consulta pública no início do mês de novembro".

A consulta pública "ocorrerá durante todo o mês de novembro para que a proposta de lei seja enviada à Assembleia da República após os trabalhos do Orçamento" do Estado para 2025, disse.

Principais mudanças com a NIS2

Número de entidades e setores abrangidos será maior ; A nova Diretiva NIS2 passa a abranger 18 setores. NIS2 deixa de distinguir “operadores de serviços essenciais” e “fornecedores de serviços digitais” (como acontecia na NIS 1). A classificação de entidades com a NIS2 passa a ser: Entidades Essenciais e Entidades Importantes . Há setores que passam a estar abrangidos, como, por exemplo, Data Center, setor do hidrogénio, farmacêuticas, etc. As empresas que tenham mais de 50 colaboradores e mais de 10 milhões de euros de volume de negócios são abrangidas pela NIS2. Entidades essenciais: grandes empresas (+250 empregados ou +50 milhões de Euros de volume de negócios), ou se atuarem nos setores de elevada criticidade; Entidades importantes: grandes ou medias empresas (+50 trabalhadores ou +10 milhões de euros de volume de negócios, mas com menos 250 trabalhadores), ou se atuarem nos setores do Anexo II da diretiva, que não se enquadrem nas Entidades essenciais.

; Tratamento e notificação de incidentes Estabelece padrões mais rigorosos no que diz respeito à comunicação de incidentes; Notificar as autoridades nacionais sobre incidentes cibernéticos significativos no prazo de 24 horas; obrigação das organizações comunicarem quaisquer ciber-ameaças significativas que possam impactá-las.

Sanções mais elevadas Entidades Essenciais : montante máximo de 10 milhões de euros ou 2% do volume de negócio global anual total da empresa (consoante o montante mais elevado) Entidades Importantes : montante máximo de 7 milhões de euros ou de, pelo menos, 1,4% do volume de negócio global anual total da empresa (consoante o montante mais elevado)

Principio de Responsabilidade (Órgãos de topo/administração passam a ter responsabilidade)

Segurança da cadeia de abastecimento (necessário "avaliar" fornecedores e prestadores de serviços diretos)

Práticas básicas de ciber-higiene e formação em cibersegurança

Continuidade do negócio

Criação de uma rede europeia de comunicação e cooperação

Adoção de soluções de autenticação multifator

Reforço das medidas de segurança (no geral)

De acordo com um estudo recente, 47% das empresas portuguesas quase não conhece a NIS2 - saiba mais aqui.