Cibersegurança: o longo caminho da transposição da NIS2

As novas medidas da NIS2

A proposta de lei expande significativamente o conjunto de entidades abrangidas pelo regime, com os devidos ajustes em função da dimensão da entidade e da importância da sua atividade, promovendo uma abordagem baseada num princípio da proporcionalidade. Entre os aspetos relevantes do regime, destaca-se:

• O aprofundamento de três instrumentos fundamentais: a Estratégia Nacional de Segurança do Ciberespaço, o Plano Nacional de Resposta a Crises e Incidentes de Cibersegurança em grande escala e o Quadro Nacional de Referência para a Cibersegurança;
• A referência e promoção da convergência, cooperação e interoperabilidade, outras autoridades de supervisão sectoriais (por exemplo, Banco de Portugal, Comissão do Mercado de Valores Mobiliários);
• A autoidentificação e dever de registo das entidades abrangidas, junto do Centro Nacional de Cibersegurança (CNCS), que deverão ser efetuadas em plataforma a disponibilizar por esta entidade, no prazo de 60 dias após a sua disponibilização, sob pena de constituir uma contraordenação grave;
• A definição de medidas de segurança mínimas a implementar pelas entidades abrangidas, entre as quais se inclui a segurança da cadeia de abastecimento;
• A possibilidade de imposição de restrições e cessação da utilização, bem como da exclusão de equipamentos, componentes e serviços de tecnologias da informação e comunicação, como consequência de avaliações negativas da Comissão de Avaliação de Segurança do Ciberespaço;
• Uma abordagem que estabelece padrões de risco pré-definidos para cada sector e tipo de entidade, incluindo a gestão do risco residual. Este modelo de gestão de risco evita uma análise individual de cada entidade, pelas autoridades, permitindo que as primeiras conheçam a categoria em que se inserem e as medidas adequadas a adotar;
• A promoção da certificação em cibersegurança, que estimula a conformidade das entidades abrangidas com normas reconhecidas, facilitando a presunção de conformidade regulatória;
• A definição de um novo quadro sancionatório, cujas coimas variam entre 250€ e 10.000.000€, e entre 0,7% e 2% do volume de negócios anual a nível mundial, consoante se trate de contraordenações muito graves, graves ou leves, e dependendo da categoria da entidade alvo da contraordenação;
• A responsabilização dos titulares de órgãos de gestão, direção e administração pela violação de deveres e obrigações impostos por este regime;
• Definição de um regime processual claro relativo à aplicação de medidas de execução e coimas às entidades abrangidas, garantindo o direito a uma audiência prévia e estabelecendo procedimentos e regimes para a notificação, bem como para a prescrição, suspensão, revogação e extinção das coimas;
• As alterações e aditamentos à Lei da Segurança Interna, à Lei das Comunicações Eletrónicas e à Lei do Cibercrime – esta última destaca-se por passar a prever a definição de “vulnerabilidade” e por ser acompanhada da concretização dos “atos não puníveis por interesse público de cibersegurança”, o que inclui as atividades de pentesting e bug bounty.

Do anterior regime que, note-se, mantém-se em vigor até à entrada em vigor do diploma em análise, transitam as obrigações de notificação de incidentes com três momentos principais (notificação inicial, notificação de fim de impacto significativo e relatório final), as figuras do Responsável pela Segurança e do Ponto de Contacto Permanente e a obrigação de apresentação de um Relatório Anual ao CNCS.

Não deixa de ser relevante referir alguns dos temas que foram alvo de alterações com as participações da consulta pública, nomeadamente:

• A alteração dos prazos de entrada em vigor (30 para 120 dias, desde a sua publicação) e de produção de efeitos das medidas de segurança, da cadeia de abastecimento, gestão do risco e do relatório anual (de 18 para 24 meses após a publicação);
• A definição clara das funções e competências do Responsável de Cibersegurança;
• A interdição temporária dos órgãos de gestão, direção e administração só poderá ocorrer como sanção acessória de um processo contraordenacional já em curso, e não enquanto medida de execução, como previsto no regime objeto de consulta pública;
• A redução dos valores mínimos e máximos das coimas a aplicar em caso de contraordenação muito grave;
• A eliminação do artigo referente à obrigação de “elenco de entidades” até 17 de fevereiro de 2025.

Impactos para as organizações

O esforço económico necessário para a implementação do novo regime pode ser substancial, especialmente para as pequenas e médias empresas (PMEs). Os custos associados à aquisição de tecnologias, à realização de auditorias e à formação dos colaboradores representarão uma carga financeira considerável. Contudo, é importante considerar que o investimento em cibersegurança é essencial para proteger os ativos e garantir a continuidade das operações. As organizações também devem estar preparadas para os custos associados à certificação em cibersegurança, a qual poderá envolver a contratação de consultores especializados e a realização de auditorias externas, aumentando os custos operacionais.

Além do esforço económico, o novo regime exigirá um esforço humano significativo. As organizações deverão alocar recursos humanos dedicados à gestão da cibersegurança e investir em programas de formação que abranjam todos os níveis da organização, desde os órgãos de gestão, direção e administração, até os colaboradores operacionais. 

Adicionalmente, e apesar de estar previsto um período transitório até à entrada em vigor e produção de efeitos do novo regime, algumas empresas, como as PMEs, poderão sentir dificuldades em acompanhar todas as alterações e obrigações decorrentes deste regime, quer pelos vários prazos que constam do regime, como pelas obrigações que dele decorrem. Assim, é de extrema importância que, para além da adoção de uma estratégia sólida de gestão de risco e de implementação de medidas de segurança, as organizações conheçam muito bem este regime, os seus trâmites e as suas implicações legais.

Próximos passos

Considerando que se antecipa um aumento significativo das exigências regulatórias e organizacionais em matéria de cibersegurança, as entidades devem ser proativas e conhecer muito bem a sua estrutura antes de avançar com qualquer estratégia, nomeadamente através do conhecimento aprofundado dos seus ativos, do nível de criticidade para o negócio, os seus responsáveis, as respetivas dependências, e também realizar uma avaliação dos riscos a que a sua organização está sujeita, identificando de forma clara as ameaças e as vulnerabilidades, bem como as áreas, funções ou ativos que necessitam de melhorias.

A formação e a sensibilização dos colaboradores são componentes essenciais da preparação para este novo regime. As organizações devem investir em planos de formação contínua, que abranjam desde as práticas básicas de ciber-higiene até a gestão avançada de incidentes, não descurando a sensibilização dos órgãos de gestão, direção e administração. A criação de uma cultura de cibersegurança dentro da organização é fundamental para garantir que todos os colaboradores estejam cientes das suas responsabilidades e saibam como agir para proteger a infraestrutura e dados da organização, mas também em caso de incidentes.

Apesar de estar disponível uma versão “final” aprovada em Conselho de Ministros após a consulta pública, a proposta de lei foi enviada para a Assembleia da República (AR) para aprovação da autorização legislativa, para autorizar o Governo a legislar sobre esta matéria. Se a AR conceder autorização ao Governo para legislar, a proposta será, muito provavelmente, aprovada tal como está; outro cenário possível seria a AR não conceder esta autorização ao Governo – a ser aprovada pela AR, seguir-se-á uma votação na generalidade e na especialidade, uma votação final global e será ainda sujeita a uma redação final e à subsequente promulgação.

A transposição do novo regime jurídico de cibersegurança representa um desafio significativo para o tecido empresarial português, exigindo um esforço económico e humano considerável. No entanto, as organizações que se prepararem antecipadamente e que invistam em medidas adequadas de cibersegurança estarão aptas a enfrentar as ciberameaças e proteger os seus ativos digitais. A conformidade com as novas exigências regulatórias não só ajudará a garantir a continuidade das operações, mas também proporcionará uma vantagem competitiva no mercado, aumentando a confiança dos clientes e parceiros de negócios.

Independentemente de as entidades abrangidas estarem já a implementar as medidas para o cumprimento com este regime, o caminho não termina com a aprovação de 6 de fevereiro.

O caminho ainda é longo, e o trajeto da cibersegurança é demorado e contínuo - é caso para dizer que “o caminho é a meta”.