A Assembleia da República aprovou a transposição da Diretiva Europeia NIS2, marcando um ponto de viragem na segurança digital nacional.
O diploma aguarda ainda a promulgação presidencial e a publicação em Diário da República, após o que as novas regras de cibersegurança se tornarão obrigatórias.
O que muda na prática:
Âmbito alargado
O diploma passa a abranger setores como energia, transportes, banca, infraestruturas financeiras, saúde, abastecimento de água, administração pública, setor espacial e infraestruturas digitais.
Prestadores de serviços digitais
Ficam igualmente incluídos os fornecedores de serviços de cloud, data centers, redes de distribuição de conteúdos (CDN), serviços de DNS, marketplaces online, motores de busca e plataformas de redes sociais.
Responsabilização pessoal – Administradores e diretores podem agora ser pessoalmente responsabilizados pelo incumprimento – um sinal claro de que a cibersegurança sobe ao C-level.
Figura do CISO obrigatória – Nomeação de um Chief Information Security Officer (ou equivalente) como garante do compliance e responsável pela implementação das medidas de segurança.
Prazos rigorosos para reporte de incidentes
- 24h: alerta inicial
- 72h: relatório detalhado
- 30 dias: análise final
Sanções por incumprimento
Multas até €10M ou 2% do volume de negócios global.
Supervisão coordenada
CNCS lidera, com apoio especializado do Banco de Portugal, CMVM, ASF e ANACOM.
A mensagem é clara:
A cibersegurança deixou de ser “nice to have” e passou a ser uma obrigação estratégica e legal.
Para as empresas nos setores abrangidos – incluindo muitas tech companies e prestadores digitais este é o momento de avaliar a maturidade dos vossos programas de cibersegurança.
por Joana Pinto e Ana Bastos, Área de Prática – TMT – Tecnologia, Media e Telecomunicações
