O Governo aprovou hoje dois diplomas na área da cibersegurança. Um deles é a proposta de transposição da diretiva NIS2 e o outro é a criação de um novo regime jurídico de cibersegurança em Portugal, que será submetido a consulta pública.
A NIS2, sucessora da NIS, é uma diretiva da União Europeia, para a área da cibersegurança, que foi publicada a 27 de dezembro de 2022. Os Estados Membros tinham de a transpor para a legislação nacional até 17 de outubro de 2024, mas em Portugal a proposta de transposição da diretiva só hoje foi aprovada.
Segundo o Governante António Leitão Amaro...
Creio que as últimas semanas demonstram bem a importância da vulnerabilidade dos sistemas do espaço cibernético português, a existência de ameaças de várias origens e da importância de fortalecer e de garantir a segurança do espaço português também neste caso no ciberespaço
Este regime jurídico aprovado hoje "será uma proposta de lei, mas será submetido a consulta pública".
O governante explicou que "haverá uma reunião ainda do Conselho Nacional de Segurança no Ciberespaço e depois será colocado na plataforma de consulta pública no início do mês de novembro".
A consulta pública "ocorrerá durante todo o mês de novembro para que a proposta de lei seja enviada à Assembleia da República após os trabalhos do Orçamento" do Estado para 2025, disse.
Principais mudanças com a NIS2
Número de entidades e setores abrangidos será maior; A nova Diretiva NIS2 passa a abranger 18 setores. NIS2 deixa de distinguir “operadores de serviços essenciais” e “fornecedores de serviços digitais” (como acontecia na NIS 1). A classificação de entidades com a NIS2 passa a ser: Entidades Essenciais e Entidades Importantes. Há setores que passam a estar abrangidos, como, por exemplo, Data Center, setor do hidrogénio, farmacêuticas, etc. As empresas que tenham mais de 50 colaboradores e mais de 10 milhões de euros de volume de negócios são abrangidas pela NIS2. Entidades essenciais: grandes empresas (+250 empregados ou +50 milhões de Euros de volume de negócios), ou se atuarem nos setores de elevada criticidade; Entidades importantes: grandes ou medias empresas (+50 trabalhadores ou +10 milhões de euros de volume de negócios, mas com menos 250 trabalhadores), ou se atuarem nos setores do Anexo II da diretiva, que não se enquadrem nas Entidades essenciais. Tratamento e notificação de incidentes Estabelece padrões mais rigorosos no que diz respeito à comunicação de incidentes; Notificar as autoridades nacionais sobre incidentes cibernéticos significativos no prazo de 24 horas; obrigação das organizações comunicarem quaisquer ciber-ameaças significativas que possam impactá-las. Sanções mais elevadas Entidades Essenciais: montante máximo de 10 milhões de euros ou 2% do volume de negócio global anual total da empresa (consoante o montante mais elevado) Entidades Importantes: montante máximo de 7 milhões de euros ou de, pelo menos, 1,4% do volume de negócio global anual total da empresa (consoante o montante mais elevado) Principio de Responsabilidade (Órgãos de topo/administração passam a ter responsabilidade) Segurança da cadeia de abastecimento (necessário "avaliar" fornecedores e prestadores de serviços diretos) Práticas básicas de ciber-higiene e formação em cibersegurança Continuidade do negócio Criação de uma rede europeia de comunicação e cooperação Adoção de soluções de autenticação multifator Reforço das medidas de segurança (no geral)De acordo com um estudo recente, 47% das empresas portuguesas quase não conhece a NIS2 - saiba mais aqui.
category-label- 
