A 6 de fevereiro, o Conselho de Ministros aprovou a proposta de lei do novo Regime Jurídico da Cibersegurança, que transpõe a Diretiva sobre a Segurança das Redes e da Informação 2 (NIS2).
Nas palavras de António Leitão Amaro, ministro da Presidência, a proposta, que segue agora para o Parlamento, “reforça muito a capacidade e robustez dos sistemas informáticos e digitais e das defesas de empresas e das entidades públicas em Portugal".
Entre a proposta estão também medidas, descritas por António Leitão Amaro como “soluções inovadoras e criativas” no contexto da implementação da diretiva europeia, como exclusão de responsabilidade criminal no ethical hacking.
Mas o que é a NIS2, quais são os impactos para as empresas e de que forma é que Portugal quer transpor a diretiva europeia? Neste explicador apresentamos 7 perguntas e respostas essenciais que o vão ajudar a compreender o tema.
O que é a NIS2?
Concebida para dar resposta à crescente exposição da Europa a ciberameaças, a Network and Information Security 2 (NIS2) estabelece um enquadramento legal unificado para garantir um nível comum de cibersegurança elevado na União Europeia (UE), com foco em 18 setores críticos.
Em resposta aos crescentes desafios da digitalização e da interconectividade, a Comissão Europeia apresentou em dezembro de 2020 uma proposta com regras atualizadas para reforçar a ciberresiliência na UE.
A 13 de maio de 2022, os co-legisladores chegaram a um acordo político e, no final de novembro, o Conselho da UE deu “luz verde” à diretiva, assim como ao regulamento DORA (Digital Operational Resilience Act) que estabelece requisitos uniformes para a segurança das redes e dos sistemas de informação das empresas e organizações que operam no setor financeiro.
A NIS2 apresenta um conjunto de medidas para elevar o nível comum de cibersegurança, tendo em conta os três pilares principais que estiveram na base da anterior diretiva europeia de cibersegurança (a NIS1).
Nesse sentido, a diretiva requer que os Estados-membros adotem uma estratégia nacional de cibersegurança; exige às entidades responsáveis pelos setores vitais para a economia e sociedade que tomem medidas de segurança adequadas e que notifiquem as autoridades competentes no caso de quaisquer acidentes que possam ter um impacto significativo na forma como prestam serviços; e prevê o reforço da cooperação a nível europeu entre as autoridades da área de cibersegurança.
O que muda em relação à NIS1?
De acordo com a Comissão Europeia, a NIS2 expande o âmbito de aplicação da diretiva anterior ao adicionar novos setores, tendo por base o quão cruciais são para a economia e para a sociedade e o seu nível de digitalização e interconectividade. É também introduzida uma regra relativamente à dimensão das entidades, significando que todas as empresas de dimensões médias e grandes que fazem parte dos setores estabelecidos na diretiva são abrangidas pelas obrigações. Os Estados-membros podem decidir se entidades de menores dimensões, mas que apresentem um perfil de alto risco, também são abrangidas.
No que respeita à categorização das entidades abrangidas, a NIS2 elimina a distinção entre operadores e fornecedores de serviços digitais. As entidades passam a ser classificadas tendo em conta a sua importância, sendo divididas entre entidades essenciais e entidades importantes, que estão sujeitas a regimes de supervisão diferentes.
Além das mudanças no âmbito de aplicação, estruturação dos setores e categorização das entidades, a NIS2 prevê um reforço das medidas de gestão de risco que devem ser adotadas pelas entidades, realça o Centro Nacional de Cibersegurança (CNCS).
A consideração da cibersegurança da cadeia de abastecimento é outra das mudanças, com a NIS2 a requerer às empresas que tenham em conta os potenciais riscos nestas cadeias e na relação com fornecedores. Com a NIS2 estão previstas regras mais detalhadas no que respeita ao reporte de incidentes de cibersegurança.
A diretiva traz também uma maior especificação dos poderes de supervisão das autoridades de cibersegurança, além de uma maior harmonização quanto ao quadro de sanções, que inclui coimas mais elevadas, e de atribuir responsabilidade às pessoas singulares que sejam responsáveis pelas entidades abrangidas.
Quantos setores são abrangidos pela NIS2?
Relativamente aos setores abrangidos, a diretiva europeia faz a distinção entre “Setores de importância crítica” e “Outros setores críticos”.
Setores de importância crítica: energia; transportes; setor bancário; infraestruturas do mercado financeiro; saúde; gestão da água (potável e residual); infraestruturas digitais; gestão de serviços de TIC; administração pública; e Espaço.
Outros setores críticos: serviços postais e de estafetas; gestão de resíduos; produção, fabrico e distribuição de químicos; setor alimentício; fabrico de dispositivos médicos, computadores e equipamentos eletrónicos, maquinaria, motores para veículos e outros equipamentos de transporte; fornecedores de serviços digitais; e organizações de investigação.
Que multas estão previstas para o incumprimento da diretiva?
A diretiva estabelece que os Estados-membros têm de garantir o cumprimento das novas regras, com as autoridades competentes em matéria de cibersegurança a disporem de poderes para realizarem inspeções, auditorias ou para requererem o acesso à informação necessária para cumprirem as suas funções, lembra o CNCS.
Olhando para a questão das sanções, a NIS2 faz a distinção entre entidades que prestam serviços essenciais e entidades importantes. No caso das entidades essenciais, o incumprimento das obrigações significa que podem estar sujeitas a coimas num valor máximo de, pelo menos, 10 milhões de euros, ou 2% das receitas anuais da entidade, consoante o montante que seja mais elevado.
Já no que respeita às entidades importantes, o “tecto” máximo das coimas por incumprimento fica nos 7 milhões de euros, ou 1,4% das suas receitas anuais, consoante o montante que seja mais elevado.
Além disso, os Estados-membros podem adotar regras específicas quanto às coimas a aplicar às entidades da Administração Pública que violem as suas obrigações.
Os orgãos de direção das entidades essenciais e importantes, que aprovam e supervisionam as medidas de gestão de riscos de cibersegurança que são aplicadas, também podem ser responsabilizados por infrações cometidas pelas entidades. Qualquer pessoa singular responsável por uma entidade essencial ou importante, ou que atue como representante legal das mesmas, que tenha poder para assegurar o cumprimento da diretiva será considerada responsável pela violação das suas obrigações.
Como é que a NIS2 está a ser implementada?
A NIS2 entrou em vigor em 2022, 20 dias após a publicação no Jornal Oficial da UE, estabelecendo um prazo de 21 meses para os Estados-membros fazerem a transposição para as respectivas legislações nacionais. O objetivo era que os Estados-membros da UE realizassem a transposição até 17 de outubro de 2024.
No entanto, os atrasos no processo levaram o executivo comunitário a iniciar um processo de infração contra 23 países, numa lista da qual Portugal fez parte. Recorde-se que, em Portugal, o Governo aprovou a 24 de outubro o diploma que incluia a proposta de transposição da diretiva NIS2 e a criação de um novo regime jurídico de cibersegurança no país.
Aos países, a Comissão Europeia deu um prazo de dois meses para apresentarem uma resposta e concluir a implementação da diretiva nas suas legislações. “Na ausência de uma resposta satisfatória, a Comissão pode avançar com uma resposta fundamentada”, alertou o executivo comunitário.
Como é que Portugal está a transpor a diretiva europeia?
Na altura em que recebeu o aviso, Portugal já tinha colocado em consulta pública a proposta de lei relativa ao novo Regime Jurídico da Cibersegurança, que transpõe a NIS2 para a legislação nacional.
Após o processo de consulta pública, a proposta de lei do novo regime de cibersegurança foi aprovada pelo Conselho de Ministros a 6 de fevereiro. De acordo com António Leitão Amaro, ministro da Presidência, a consulta pública recebeu 129 contributos que “levaram a alterações relevantes” à proposta.
"Esta proposta de lei para enviar para o parlamento (...) reforça muito a capacidade e robustez dos sistemas informáticos e digitais e das defesas de empresa e das entidades públicas em Portugal", afirmou o ministro António Leitão Amaro, na conferência de imprensa do Conselho de Ministros.
Recorde-se que António Gameiro Marques, diretor-geral do Gabinete de Segurança Nacional (GNS), tinha avançado que, no contexto da NIS2, já estava a ser desenvolvido "um caderno de encargos que vai ter impacto num portal específico que no CNCS vai existir só para a NIS2, um portal transacional onde as entidades que vão estar no âmbito podem aferir se estão ou não no âmbito e, se sim, quais são as matrizes de risco e quais são os controlos e os requisitos que têm que implementar para esse efeito".
Está também a ser desenvolvido "um normativo do regulador, do CNCS, que vai ter um novo quadro nacional de referência em cibersegurança, já há um, e este agora vai ser atualizado em conformidade com requisitos da NIS2, a lista de itens que têm de ser cumpridos e também as matrizes de ricos, já estamos a trabalhar nesses três campos", afirmou o diretor-geral do GNS.
O que Portugal quer fazer de diferente?
Há duas alterações específicas que se destacam na transposição da NIS2 para a legislação nacional. "Queria também destacar, entre essas várias medidas que adotámos, também soluções inovadoras e criativas, como a exclusão de responsabilidade criminal no chamado ethical hacking, quando há uma, se quiserem, uma função e uma atuação de prevenção de identificação de vulnerabilidades com intrusão, mas sempre com a vantagem e com o interesse de proteger os sistemas informáticos de um terceiro", apontou António Leitão Amaro, citado pela Lusa.
No que respeita à questão do ethical hacking, António Leitão Amaro afirmou que "há pessoas que se dedicam num espírito - e isso tem de ser demonstrado no caso - de defesa do interesse comum e da segurança comum a identificar vulnerabilidades em sistemas de outras organizações".
Ao fazerem incursões nos sistemas, identificando e reportando vulnerabilidades sem retirar vantagem para si ou para terceiros, este tipo de hacking é considerado ético, "ou seja, de interesse público, ou seja, uma parceria, se quiser, pública-privada para policiamento das vulnerabilidades", explicou o ministro. O Governo considera que "há um ganho nessa parceria público-privada", motivo pelo qual essa responsabilidade deve ser excluida, mediante o cumprimento dos requisitos.
O regime jurídico permite também "a proibição de fornecimentos e fornecedores e equipamentos de elevado risco para a segurança nacional", prevendo um "conjunto amplo de medidas" que serão debatidas com o Parlamento, mas que, segundo António Leitão Amaro, já se encontram numa versão "muito robustecida que coloca Portugal entre os primeiros a ter o seu novo regime jurídico de cibersegurança avançado, mas tendo um grande equilíbrio entre nível muito elevado de proteção e de segurança, que vai implicar um grande esforço e uma grande adaptação a nível nacional e custos".
Veja mais sobre
Pergunta do Dia
Veja também
Em destaque
-
Multimédia
Gemini 2: A pequena grande missão que abriu portas para a conquista da Lua -
Site do dia
28 dez 2024 09:48 Um esquilo entalado e uma águia perseguida: estas são as fotos mais cómicas de animais -
App do dia
O Duolingo do fitness chegou. Chama-se Impakt e quer mudar os seus treinos para melhor -
How to TEK
Google Maps pode ser transformado numa “máquina do tempo”. Veja como
Comentários