info@goldenblatt.co.uk
49 Russell Square, London, UK

News & MediaLatest NewsCibersegurança e resiliência: a transposição da Diretiva NIS2 em Portugal

15 de Novembro, 2023

O ordenamento jurídico português carece de transposição da tão falada diretiva europeia “NIS2”, a qual, já tendo sido aprovada há um ano, reforça a legislação em vigor em matéria de cibersegurança, garantindo um elevado nível comum de cibersegurança nos Estados-Membros.

Publicada em 2016, a Diretiva NIS 1[1] tinha por objetivo desenvolver as capacidades de cibersegurança e resiliência na União Europeia, exigindo dos Estados-Membros, pela primeira vez, medidas legislativas capazes de atenuar as ameaças aos sistemas de rede e informação utilizados para prestar serviços essenciais em setores-chave.

Em Portugal, a transposição desta Diretiva[2] acelerou a abordagem institucional e regulamentar para a cibersegurança na União, promovendo uma mudança significativa das mentalidades, hábitos e processos das organizações e dos seus administradores, bem como o estabelecimento de capacidades nacionais (verbi gratia pela institucionalização do Conselho Superior de Cibersegurança e do Centro Nacional de Cibersegurança) e a aplicação de medidas regulamentares que abrangem as infraestruturas e as entidades essenciais aí identificadas.

Não obstante, com a rápida transformação digital e interligação da sociedade, nomeadamente nos intercâmbios transfronteiriços (resultado de um conjunto de circunstâncias como a pandemia global e a guerra cibernética que causaram o aumento de cenários de ameaças e ataques cibernéticos), os sistemas de rede e informação passaram a ocupar um lugar prioritário na vida económica e social de um país.

Assim, para introduzir um conjunto de melhorias, em especial, na gestão de riscos e na sensibilização organizacional, foi publicada a Diretiva NIS2[3], em dezembro de 2022, estabelecendo novos critérios de notificação de incidentes e criando novas entidades, como a EU-CyCLONe, para fortalecer a relação de cooperação entre os Estados-Membros.

 

As (novas) medidas da Diretiva NIS2

Uma das mudanças mais visíveis na NIS 2 é a ampliação do seu escopo. Enquanto a NIS 1 se aplicava principalmente a operadores de serviços essenciais e a prestadores de serviços digitais, a NIS 2 expandiu significativamente o âmbito de aplicação, incluindo agora a aplicação a entidades fora dos segmentos tradicionalmente regulamentados.

Tal ampliação é promovida através da introdução da classificação de entidades em “importantes” e “essenciais”. Esta classificação, alicerçada no critério da dimensão das organizações, influencia diretamente o regime de supervisão e as obrigações de conformidade: as entidades essenciais, que são entidades cuja interrupção dos serviços teria um impacto significativo na sociedade e na economia, estarão adstritas a obrigações mais rígidas de fiscalização, em especial junto da sua cadeia de provedores.

O quadro abaixo destaca as entidades abrangidas pela NIS2:

Entidades essenciais

Entidades importantes

·       Energia (Eletricidade, Sistemas de aquecimento e arrefecimento urbano, petróleo, gás e hidrogénio) ·       Serviços postais e de estafeta
·       Transportes aéreo, marítimo, ferroviário e rodoviário ·       Gestão de resíduos
·       Setor bancário ·       Produção, fabrico e distribuição

·       de produtos químicos

·       Infraestruturas e mercado financeiro ·       Produção, transformação e distribuição de produtos alimentares
·       Saúde (prestadores de cuidados de saúde, laboratórios de referência da UE, entidades que fabricam produtos farmacêuticos de base e preparações farmacêuticas, entidades que realizam atividades de investigação e desenvolvimento de medicamentos e entidades que fabricam dispositivos médicos considerados críticos durante uma emergência de saúde publica a (lista de dispositivos médicos críticos para a emergência de saúde pública) ·       Indústria transformadora (Fabrico de dispositivos médicos e dispositivos médicos para diagnóstico in vitro; Fabricação de equipamentos informáticos, equipamentos para comunicação, produtos eletrónicos e óticos;  Fabricação de equipamento elétrico; Fabricação de máquinas e equipamentos (não especificados); Fabricação de veículos automóveis, reboques e semirreboques; Fabricação de outro equipamento de transporte)
·       Água potável ·       Prestadores de serviços digitais (de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais)
·       Águas residuais ·       Organismos de investigação
·       Infraestruturas digitais (Fornecedores de pontos de troca de tráfego; Prestadores de serviços de DNS, excluindo operadores de servidores de nomes raiz; Registos de nomes de TLD; Prestadores de serviços de computação em nuvem; Prestadores de serviços de centro de dados; (entre outros).
·       Gestão de serviços TIC (entre empresas)
·       Administração Pública
·       Espaço

 

A NIS 2 vem ainda reforçar o foco na gestão dos riscos de cibersegurança, isto é, as entidades passam a ser obrigadas a adotar medidas técnicas, operacionais e organizacionais para gerir os riscos de cibersegurança de maneira adequada e proporcional. Tal inclui a identificação de ativos críticos, avaliação de vulnerabilidades e ameaças, implementação de políticas de análise de risco e de segurança dos sistemas de informação e adoção de mecanismos de comunicação direta e de notificação de informações obrigatórias às autoridades competentes.[4]

São ainda reforçados os requisitos principais da gestão de riscos, incluindo a gestão de incidentes, continuidade das atividades, segurança da cadeia de abastecimento, segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, além de práticas básicas de ciber-higiene e formação em cibersegurança.

Ao contrário do quadro sancionatório mais “leve” previsto na atual legislação nacional, para situações de incumprimento das medidas estabelecidas, de acordo com a previsão normativa da NIS2, as entidades essenciais estão sujeitas a coimas de um montante máximo de € 10.000.000 ou 2% do volume de negócios anual total a nível mundial, consoante o montante mais elevado. As entidades importantes estão sujeitas a coimas de um montante máximo de € 7.000.000 ou 1,4% do volume de negócios, sob os mesmos critérios.

 

O processo de transposição para o Direito Português

Conforme decorre do texto normativo, a transposição da Diretiva NIS 2 para a ordem jurídica interna tem o prazo limite de 17 de outubro de 2024.

Aplicando-se o princípio da disponibilidade de meios, a critério de cada um dos Estados-Membros, Portugal terá margem para estabelecer mecanismos de concretização das medidas previstas. Todavia sabe-se que, de todos os Estados-Membros, é dos países que se tem atrasado na transposição de diretivas.

Enquanto sob a égide da NIS1 havia sido adotada uma perspetiva pedagógica relativa a cibersegurança (sob o signo da tutela preventiva), recentemente, o Centro Nacional de Cibersegurança e o Gabinete Nacional de Segurança já sinalizaram uma alteração na estratégia, no sentido de reforçar a tutela sancionatória e passar a aplicar coimas para garantir a conformidade regulamentar. Estaremos perante um cenário semelhante àquele vivido com o RGPD?

Por outro lado, o objetivo de instrumentos legislativos comunitários desta natureza é, precisamente, harmonizar a legislação dos Estados-Membros e introduzir um alto nível comum de cibersegurança na União Europeia. Igualmente, vislumbra-se que a Diretiva consubstancia uma mudança de paradigma, e passará a ser uma referência normativa a Estados terceiros em matéria de cibersegurança, razão pela qual o legislador pátrio não deverá atenuar o regime jurídico ou abrandar o padrão de exigências e fiscalização proposto.

Urge, pois, priorizar-se a transposição da Diretiva NIS2 (e a respetiva implementação das medidas nela previstas), que acena, aliás, em momento oportuno, tendo em consideração o número, a amplitude, a sofisticação, a frequência e o impacto dos incidentes cibernéticos, que estão a aumentar e constituem uma grave ameaça ao funcionamento dos sistemas de rede e informação.


[1] Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho.

[2] Através da Lei n.º 46/2018, de 13 de agosto e em 2021 foi publicado o Decreto-Lei n.º 65/2021 que regulamenta o regime legal existente e define os requisitos para as entidades.

[3] Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho.

[4] A Diretiva também incentiva a aplicação de padrões internacionais e certificação, além de exigir a demonstração da implementação de políticas de controlo de segurança de informações.

 

 

por Ana Bastos e Ana Catarina Silva, Área de Prática – TMT / Privacidade e Cibersegurança

https://adcecija.pt/wp-content/uploads/2020/06/logo_horizontal_b-768x75.png
LISBOA
Edifício Amoreiras Square
Rua Carlos Alberto da Mota Pinto, 17 - 2.º piso
1070-313 Lisboa
PORTO
Rua Eugénio de Castro, n.º 352, 2.º andar, sala 26
4100-225 Porto
BRAGA
Rua de Janes, n.º 20, 1.º andar, sala 101
4700-318 Braga

* Chamadas sem custos adicionais, sujeito apenas à tarifa de base.

SOCIAL