O Governo aprovou hoje dois diplomas na área da cibersegurança. Um deles é a proposta de transposição da diretiva NIS2 e o outro é a criação de um novo regime jurídico de cibersegurança em Portugal, que será submetido a consulta pública.
A NIS2, sucessora da NIS, é uma diretiva da União Europeia, para a área da cibersegurança, que foi publicada a 27 de dezembro de 2022. Os Estados Membros tinham de a transpor para a legislação nacional até 17 de outubro de 2024, mas em Portugal a proposta de transposição da diretiva só hoje foi aprovada.
Segundo o Governante António Leitão Amaro…
Creio que as últimas semanas demonstram bem a importância da vulnerabilidade dos sistemas do espaço cibernético português, a existência de ameaças de várias origens e da importância de fortalecer e de garantir a segurança do espaço português também neste caso no ciberespaço
Este regime jurídico aprovado hoje “será uma proposta de lei, mas será submetido a consulta pública”.
O governante explicou que “haverá uma reunião ainda do Conselho Nacional de Segurança no Ciberespaço e depois será colocado na plataforma de consulta pública no início do mês de novembro”.
A consulta pública “ocorrerá durante todo o mês de novembro para que a proposta de lei seja enviada à Assembleia da República após os trabalhos do Orçamento” do Estado para 2025, disse.
Principais mudanças com a NIS2
- Número de entidades e setores abrangidos será maior;
- A nova Diretiva NIS2 passa a abranger 18 setores.
- NIS2 deixa de distinguir “operadores de serviços essenciais” e “fornecedores de serviços digitais” (como acontecia na NIS 1).
- A classificação de entidades com a NIS2 passa a ser: Entidades Essenciais e Entidades Importantes.
- Há setores que passam a estar abrangidos, como, por exemplo, Data Center, setor do hidrogénio, farmacêuticas, etc.
- As empresas que tenham mais de 50 colaboradores e mais de 10 milhões de euros de volume de negócios são abrangidas pela NIS2.
- Entidades essenciais: grandes empresas (+250 empregados ou +50 milhões de Euros de volume de negócios), ou se atuarem nos setores de elevada criticidade;
- Entidades importantes: grandes ou medias empresas (+50 trabalhadores ou +10 milhões de euros de volume de negócios, mas com menos 250 trabalhadores), ou se atuarem nos setores do Anexo II da diretiva, que não se enquadrem nas Entidades essenciais.
- A classificação de entidades com a NIS2 passa a ser: Entidades Essenciais e Entidades Importantes.
- Tratamento e notificação de incidentes
- Estabelece padrões mais rigorosos no que diz respeito à comunicação de incidentes;
- Notificar as autoridades nacionais sobre incidentes cibernéticos significativos no prazo de 24 horas;
- obrigação das organizações comunicarem quaisquer ciber-ameaças significativas que possam impactá-las.
- Sanções mais elevadas
- Entidades Essenciais: montante máximo de 10 milhões de euros ou 2% do volume de negócio global anual total da empresa (consoante o montante mais elevado)
- Entidades Importantes: montante máximo de 7 milhões de euros ou de, pelo menos, 1,4% do volume de negócio global anual total da empresa (consoante o montante mais elevado)
- Principio de Responsabilidade (Órgãos de topo/administração passam a ter responsabilidade)
- Segurança da cadeia de abastecimento (necessário “avaliar” fornecedores e prestadores de serviços diretos)
- Práticas básicas de ciber-higiene e formação em cibersegurança
- Continuidade do negócio
- Criação de uma rede europeia de comunicação e cooperação
- Adoção de soluções de autenticação multifator
- Reforço das medidas de segurança (no geral)
De acordo com um estudo recente, 47% das empresas portuguesas quase não conhece a NIS2 – saiba mais aqui.