CNPD emite parecer sobre transposição da Diretiva SRI2 / NIS 2

A Comissão Nacional de Proteção de Dados foi chamada a pronunciar-se sobre a Proposta de Lei n.º 7/XVII/1 (GOV), que visa transpor para a ordem jurídica interna a Diretiva (UE) 2022/2555, relativa a um nível elevado comum de cibersegurança na União Europeia, e adaptar legislação nacional conexa (Regulamento Cibersegurança, Lei de Segurança Interna, Lei do Cibercrime e Lei das Comunicações Eletrónicas).

O Governo português aprovou, em julho de 2025, em Conselho de Ministros, um novo regime jurídico de cibersegurança.

A Diretiva NIS 2 (Network and Information Security Directive) é a atualização da primeira Diretiva NIS (2016), aprovada pela UE em 2022 e em processo de transposição para os Estados-Membros, incluindo Portugal.

Este novo regime tem como principal objetivo reforçar a segurança digital nacional, criando regras mais claras para empresas e organismos públicos. Além disso, visa também simplificar procedimentos burocráticos, alinhando-se com a estratégia de redução de burocracia anunciada recentemente.

Parecer da CNPD sobre a transposição da Diretiva SRI2 / NIS 2

• Fundamentos de licitude do tratamento de dados (art. 10.º da Proposta)
  • A CNPD considera insuficiente a formulação genérica adotada.
  • Alerta que não basta remeter para o RGPD: é necessário especificar finalidades, categorias de dados, prazos de conservação, medidas técnicas, partilha e salvaguardas.
  • Rejeita a invocação do “interesse legítimo” como base para autoridades públicas tratarem dados pessoais (foi já eliminado na nova versão, o que é positivo).
  • Exige maior clareza no tratamento de categorias especiais de dados (saúde, genéticos, convicções, etc.), apenas admissível em casos de interesse público importante e com salvaguardas adequadas.
• Cooperação entre CNPD e autoridades de cibersegurança (arts. 23.º e 79.º da Proposta)
  • O texto atual pode gerar sobreposição de competências entre CNPD e outras entidades de cibersegurança.
  • Defende que deve haver uma delimitação clara de responsabilidades e um regime concreto de cooperação, evitando processos paralelos e contraditórios.
  • Chama a atenção para riscos de inversão do dever de colaboração (que deveria ser das demais entidades para com a CNPD, e não o contrário).
• Ausência de Estudo de Impacto sobre Proteção de Dados
  • A CNPD sublinha que a proposta não apresenta estudo de impacto, obrigatório por lei (Lei n.º 43/2004, Lei n.º 58/2019 e art. 35.º do RGPD).
  • Essa lacuna compromete a avaliação dos riscos para os cidadãos e a decisão informada do legislador.

Conclusões e Recomendações

A CNPD recomenda:

• a) Especificar melhor os fundamentos de licitude no art. 10.º;
• b) Densificar regras sobre o tratamento de categorias especiais de dados;
• c) Definir um regime claro de cooperação entre a CNPD e as autoridades de cibersegurança;
• d) Realizar um Estudo de Impacto sobre Proteção de Dados antes da aprovação da lei.

A CNPD apoia a transposição da Diretiva de Cibersegurança, mas alerta que a proposta de lei, tal como está, é vaga em matéria de proteção de dados, podendo comprometer direitos fundamentais se não forem introduzidas salvaguardas concretas.

Pode ter acesso ao documento do parecer, aqui.