O ordenamento jurídico português carece de transposição da tão falada diretiva europeia “NIS2”, a qual, já tendo sido aprovada há um ano, reforça a legislação em vigor em matéria de cibersegurança, garantindo um elevado nível comum de cibersegurança nos Estados-Membros.
Publicada em 2016, a Diretiva NIS 1[1] tinha por objetivo desenvolver as capacidades de cibersegurança e resiliência na União Europeia, exigindo dos Estados-Membros, pela primeira vez, medidas legislativas capazes de atenuar as ameaças aos sistemas de rede e informação utilizados para prestar serviços essenciais em setores-chave.
Em Portugal, a transposição desta Diretiva[2] acelerou a abordagem institucional e regulamentar para a cibersegurança na União, promovendo uma mudança significativa das mentalidades, hábitos e processos das organizações e dos seus administradores, bem como o estabelecimento de capacidades nacionais (verbi gratia pela institucionalização do Conselho Superior de Cibersegurança e do Centro Nacional de Cibersegurança) e a aplicação de medidas regulamentares que abrangem as infraestruturas e as entidades essenciais aí identificadas.
Não obstante, com a rápida transformação digital e interligação da sociedade, nomeadamente nos intercâmbios transfronteiriços (resultado de um conjunto de circunstâncias como a pandemia global e a guerra cibernética que causaram o aumento de cenários de ameaças e ataques cibernéticos), os sistemas de rede e informação passaram a ocupar um lugar prioritário na vida económica e social de um país.
Assim, para introduzir um conjunto de melhorias, em especial, na gestão de riscos e na sensibilização organizacional, foi publicada a Diretiva NIS2[3], em dezembro de 2022, estabelecendo novos critérios de notificação de incidentes e criando novas entidades, como a EU-CyCLONe, para fortalecer a relação de cooperação entre os Estados-Membros.
As (novas) medidas da Diretiva NIS2
Uma das mudanças mais visíveis na NIS 2 é a ampliação do seu escopo. Enquanto a NIS 1 se aplicava principalmente a operadores de serviços essenciais e a prestadores de serviços digitais, a NIS 2 expandiu significativamente o âmbito de aplicação, incluindo agora a aplicação a entidades fora dos segmentos tradicionalmente regulamentados.
Tal ampliação é promovida através da introdução da classificação de entidades em “importantes” e “essenciais”. Esta classificação, alicerçada no critério da dimensão das organizações, influencia diretamente o regime de supervisão e as obrigações de conformidade: as entidades essenciais, que são entidades cuja interrupção dos serviços teria um impacto significativo na sociedade e na economia, estarão adstritas a obrigações mais rígidas de fiscalização, em especial junto da sua cadeia de provedores.
O quadro abaixo destaca as entidades abrangidas pela NIS2:
Entidades essenciais |
Entidades importantes |
· Energia (Eletricidade, Sistemas de aquecimento e arrefecimento urbano, petróleo, gás e hidrogénio) | · Serviços postais e de estafeta |
· Transportes aéreo, marítimo, ferroviário e rodoviário | · Gestão de resíduos |
· Setor bancário | · Produção, fabrico e distribuição
· de produtos químicos |
· Infraestruturas e mercado financeiro | · Produção, transformação e distribuição de produtos alimentares |
· Saúde (prestadores de cuidados de saúde, laboratórios de referência da UE, entidades que fabricam produtos farmacêuticos de base e preparações farmacêuticas, entidades que realizam atividades de investigação e desenvolvimento de medicamentos e entidades que fabricam dispositivos médicos considerados críticos durante uma emergência de saúde publica a (lista de dispositivos médicos críticos para a emergência de saúde pública) | · Indústria transformadora (Fabrico de dispositivos médicos e dispositivos médicos para diagnóstico in vitro; Fabricação de equipamentos informáticos, equipamentos para comunicação, produtos eletrónicos e óticos; Fabricação de equipamento elétrico; Fabricação de máquinas e equipamentos (não especificados); Fabricação de veículos automóveis, reboques e semirreboques; Fabricação de outro equipamento de transporte) |
· Água potável | · Prestadores de serviços digitais (de mercados em linha, de motores de pesquisa em linha e de plataformas de serviços de redes sociais) |
· Águas residuais | · Organismos de investigação |
· Infraestruturas digitais (Fornecedores de pontos de troca de tráfego; Prestadores de serviços de DNS, excluindo operadores de servidores de nomes raiz; Registos de nomes de TLD; Prestadores de serviços de computação em nuvem; Prestadores de serviços de centro de dados; (entre outros). | |
· Gestão de serviços TIC (entre empresas) | |
· Administração Pública | |
· Espaço |
A NIS 2 vem ainda reforçar o foco na gestão dos riscos de cibersegurança, isto é, as entidades passam a ser obrigadas a adotar medidas técnicas, operacionais e organizacionais para gerir os riscos de cibersegurança de maneira adequada e proporcional. Tal inclui a identificação de ativos críticos, avaliação de vulnerabilidades e ameaças, implementação de políticas de análise de risco e de segurança dos sistemas de informação e adoção de mecanismos de comunicação direta e de notificação de informações obrigatórias às autoridades competentes.[4]
São ainda reforçados os requisitos principais da gestão de riscos, incluindo a gestão de incidentes, continuidade das atividades, segurança da cadeia de abastecimento, segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, além de práticas básicas de ciber-higiene e formação em cibersegurança.
Ao contrário do quadro sancionatório mais “leve” previsto na atual legislação nacional, para situações de incumprimento das medidas estabelecidas, de acordo com a previsão normativa da NIS2, as entidades essenciais estão sujeitas a coimas de um montante máximo de € 10.000.000 ou 2% do volume de negócios anual total a nível mundial, consoante o montante mais elevado. As entidades importantes estão sujeitas a coimas de um montante máximo de € 7.000.000 ou 1,4% do volume de negócios, sob os mesmos critérios.
O processo de transposição para o Direito Português
Conforme decorre do texto normativo, a transposição da Diretiva NIS 2 para a ordem jurídica interna tem o prazo limite de 17 de outubro de 2024.
Aplicando-se o princípio da disponibilidade de meios, a critério de cada um dos Estados-Membros, Portugal terá margem para estabelecer mecanismos de concretização das medidas previstas. Todavia sabe-se que, de todos os Estados-Membros, é dos países que se tem atrasado na transposição de diretivas.
Enquanto sob a égide da NIS1 havia sido adotada uma perspetiva pedagógica relativa a cibersegurança (sob o signo da tutela preventiva), recentemente, o Centro Nacional de Cibersegurança e o Gabinete Nacional de Segurança já sinalizaram uma alteração na estratégia, no sentido de reforçar a tutela sancionatória e passar a aplicar coimas para garantir a conformidade regulamentar. Estaremos perante um cenário semelhante àquele vivido com o RGPD?
Por outro lado, o objetivo de instrumentos legislativos comunitários desta natureza é, precisamente, harmonizar a legislação dos Estados-Membros e introduzir um alto nível comum de cibersegurança na União Europeia. Igualmente, vislumbra-se que a Diretiva consubstancia uma mudança de paradigma, e passará a ser uma referência normativa a Estados terceiros em matéria de cibersegurança, razão pela qual o legislador pátrio não deverá atenuar o regime jurídico ou abrandar o padrão de exigências e fiscalização proposto.
Urge, pois, priorizar-se a transposição da Diretiva NIS2 (e a respetiva implementação das medidas nela previstas), que acena, aliás, em momento oportuno, tendo em consideração o número, a amplitude, a sofisticação, a frequência e o impacto dos incidentes cibernéticos, que estão a aumentar e constituem uma grave ameaça ao funcionamento dos sistemas de rede e informação.
[1] Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho.
[2] Através da Lei n.º 46/2018, de 13 de agosto e em 2021 foi publicado o Decreto-Lei n.º 65/2021 que regulamenta o regime legal existente e define os requisitos para as entidades.
[3] Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho.
[4] A Diretiva também incentiva a aplicação de padrões internacionais e certificação, além de exigir a demonstração da implementação de políticas de controlo de segurança de informações.
por Ana Bastos e Ana Catarina Silva, Área de Prática – TMT / Privacidade e Cibersegurança