O ecossistema digital nacional está prestes a sofrer alterações significativas com a entrada em vigor de novas regras de proteção de dados e infraestruturas. O Diploma que transpõe a Diretiva (UE) 2022/2555, conhecida como NIS2, recebeu finalmente luz verde política, tendo sido promulgado pelo Presidente da República.
Esta legislação visa reforçar a resiliência das entidades públicas e privadas frente às crescentes ameaças no ciberespaço, harmonizando a moldura legal portuguesa com as exigências europeias.
Um percurso legislativo complexo
A chegada deste diploma ao Diário da República marca o fim de um processo legislativo que enfrentou vários obstáculos ao longo do último ano. A transposição da diretiva, originalmente adotada pela Europa em 2022, esteve em consulta pública no final de 2024, fase durante a qual recolheu 148 contributos de diversas entidades nacionais, demonstrando o elevado interesse e preocupação do setor.
A proposta inicial foi apresentada a 6 de fevereiro de 2025, mas o processo sofreu um revés significativo em março, com a rejeição da moção de confiança do Governo, o que levou à suspensão temporária dos trabalhos. Foi apenas a 3 de julho que o Conselho de Ministros conseguiu voltar a aprovar o regime, que o Executivo classifica como sendo simultaneamente mais exigente nos padrões de segurança, mas desenhado para ser "flexível e simples" na sua aplicação em Portugal.
O que muda para as empresas e Estado?
A nova Lei da Cibersegurança introduz um conjunto de medidas que alteram a forma como as organizações gerem o risco digital. Entre as principais alterações destaca-se o reforço das competências do Centro Nacional de Cibersegurança (CNCS), que assume um papel ainda mais central na supervisão e coordenação da resposta a incidentes.
O diploma define novas obrigações estritas para entidades classificadas como essenciais e digitais, alinhando-se com as diretrizes da NIS2. Isto inclui a criação de procedimentos uniformes para a gestão de incidentes, bem como regras mais apertadas para o reporte e comunicação de falhas de segurança.
Outro ponto de destaque é a maior integração com outros regulamentos já em vigor, como o RGPD e a Diretiva CER, procurando evitar a duplicação de esforços burocráticos. O diploma inova ainda ao regular a atividade de "hacking ético", proporcionando um enquadramento legal para profissionais que testam a segurança dos sistemas, e estabelece um mecanismo formal para excluir "fornecedores de risco" das redes de telecomunicações nacionais.
O objetivo final deste regime é duplo: por um lado, elevar a muralha defensiva do país contra ciberataques e, por outro, simplificar os processos administrativos para as empresas, em linha com a estratégia de redução de burocracia que tem vindo a ser anunciada.
Nenhum comentário
Seja o primeiro!