Esta quarta-feira, 29 de janeiro, António Gameiro Marques participou num painel-debate com Jorge Libório, líder de cibersegurança da EY Portugal, sobre os principais desafios da diretiva de cibersegurança NIS2, no âmbito do Club dos CIO (Beyond: The EY Digital Club), na sede da consultora, em Lisboa.

Questionado sobre qual é o maior desafio da cibersegurança, o diretor-geral do GNS afirma que é "garantir que a transposição não só vê a luz do dia em Diário da República, como também depois na sua implementação". "Já estamos a fazer o que está ao nosso alcance para adiantarmos serviço, porque pese embora a legislação ainda não tenha sido publicada, nós sabemos já as grandes linhas", refere o responsável.

"Já iniciámos um processo que vai levar a que nós consigamos, junto da população abrangida ou das entidades abrangidas, e usando uma infraestrutura que já existe, que é a C-Academy, levar esse conhecimento a todas as entidades, assinei o processo aquisitivo desse serviço de criação de conteúdos específicos na semana passada", avança.

António Gameiro Marques explica que, neste momento, está a ser desenvolvido "um caderno de encargos que vai ter impacto num portal específico que no CNCS [Centro Nacional de Cibersegurança] vai existir só para a NIS2, um portal transacional onde as entidades que vão estar no âmbito podem aferir se estão ou não no âmbito e, se sim, quais são as matrizes de risco e quais são os controlos e os requisitos que têm que implementar para esse efeito".

Está também a ser desenvolvido "um normativo do regulador, do CNCS, que vai ter um novo quadro nacional de referência em cibersegurança, já há um, e este agora vai ser atualizado em conformidade com requisitos da NIS2, a lista de itens que têm de ser cumpridos e também as matrizes de ricos, já estamos a trabalhar nesses três campos", afirma o diretor-geral do GNS. Isto para que quando a legislação for publicada "não estejamos à espera para desenvolver estas coisas".

A NIS2 tem 18 áreas e "depois, através de uma forma interativa, as empresas, respondendo a um conjunto de questões, fazem uma 'self-declaration', uma auto-declaração, se estão ou não estão" na lista de essenciais ou importantes. Isto sem prejuízo – e a NIS2 prevê isso de, por exemplo, haver um serviço que é considerado importante ou essencial e que tem que ser tratado daquela maneira – e o regulador informar essa entidade que é contemplada neste contexto.

NIS2: Lei da Cibersegurança prevê coimas até 10 milhões para incumprimento das entidades essenciais
NIS2: Lei da Cibersegurança prevê coimas até 10 milhões para incumprimento das entidades essenciais
Ver artigo

Recorde-se que a consulta pública do novo regime de cibersegurança, que transpõe a diretiva NIS2, terminou em 31 de dezembro. Segundo o Governo, assim que for concluída a análise dos contributos, o executivo irá submeter à Assembleia da República a proposta de Lei de autorização legislativa.

O novo regime jurídico de cibersegurança, que transpõe a diretiva NIS2 [Network and Information Security], alarga o conjunto de entidades abrangidas, priorizando, por um lado, a generalização da prevenção dos riscos de cibersegurança, mas graduando a exigência regulatória em função da dimensão da entidade e da importância da sua atividade, bem como privilegiando a proporcionalidade das medidas aplicáveis.

Entre outras medidas, o regime diferencia o tratamento a dar às entidades essenciais e às importantes em função dos riscos e prevê coimas até 10 milhões de euros em caso de contraordenações muito graves para as primeiras.

(Com Lusa)