Luís Nuno Perdigão, Advogado
Neste texto vou deixar breves notas sobre a Proposta de Lei XXIV/2024 que esteve em discussão pública[1].
“A presente proposta de lei visa autorizar o Governo a aprovar o Regime Jurídico da Cibersegurança, transpondo a Diretiva (UE) 2022/2555[2], do Parlamento Europeu e do Conselho, de 14 de dezembro, destinada a garantir um elevado nível comum de cibersegurança em toda a União.”
Trata-se da Diretiva conhecida como NIS-2: Network and Information Security Directive 2, Segunda Diretiva de Segurança de Redes e de Informação.
Esta transposição deveria ter sido feita até 17/OUT/2024 para entrar em vigor no dia seguinte.
- Quem será abrangido?
A Proposta de Lei (PL) prevê entidades essenciais, entidades importantes e entidades públicas relevantes.
As entidades essenciais podem ser do sector público ou privado. São cruciais para a manutenção de atividades sociais e económicas críticas e que têm um impacto significativo na segurança pública.
Comportam diversas atividades, das quais daremos poucos exemplos:
- Empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público, que sejam consideradas médias empresas;
- Entidades da Administração Pública que prestem serviços nas áreas de desenvolvimento, manutenção e gestão de infraestruturas de tecnologias de informação e comunicação ou que apresentem um grau particularmente elevado de integração digital nos seus serviços.
- Entidades identificadas como entidades críticas, independentemente da sua dimensão nos sectores de energia, transportes, bancos e infraestrutura financeira, saúde, água, administração pública (desde logo, tribunais).
Entidades importantes
A sua classificação como tal tem por base a lista das entidades essenciais.
Porém, as entidades importantes, embora não tenham o mesmo grau de criticidade das entidades essenciais, são também importantes para a segurança e a economia, estando sujeitas a requisitos de cibersegurança, ainda que menos rigorosos do que os aplicáveis às entidades essenciais.
Entidades públicas relevantes
Por fim, a PL prevê esta categoria que não consta da Diretiva.
Incluem-se os órgãos de soberania, como a Presidência da República, a Assembleia da República, os Tribunais Superiores, o Conselho Superior da Magistratura e o Conselho Superior do Ministério Público; os serviços da administração direta do Estado, tanto central como periférica, bem como os serviços da administração direta das Regiões Autónomas, que tenham entre 50 e 249 trabalhadores no seu quadro de pessoal.
As entidades públicas relevantes estão sujeitas a medidas de supervisão e execução[3]. As medidas de cibersegurança que estas entidades devem adotar são determinadas pelo Centro Nacional de Cibersegurança.
Basicamente, a NIS-2, e, consequentemente, a futura transposição, alargaram o âmbito de entidades sujeitas às exigências de cibersegurança e ciber-resiliência previstas por estes textos legais.
Será caso para ver como a administração pública e os tribunais, por exemplo, estarão preparados para o impacto da legislação, como se adaptarão e como a cumprirão…
- Diferenças entre a PL e a Diretiva
As entidades públicas relevantes, como se pode constatar pela leitura da secção anterior, não vinham previstas na Diretiva.
Nos limites das presentes breves notas vamos elencar várias outras diferenças: quase incidentes; autoidentificação; relatórios anuais; ponto de contacto permanente; certificação; entre outras.
Quanto aos quase incidentes, trata-se de “um evento que poderia ter posto em causa a disponibilidade, autenticidade, integridade ou confidencialidade de dados ou serviços, mas que foi evitado ou não se materializou.”[4]
A previsão de quase incidentes e a possibilidade da sua notificação voluntária visa, no fundo, que as entidades procedam a uma maior recolha de dados sobre tentativas de ataques, permitindo uma análise mais detalhada e a implementação de medidas preventivas mais eficazes, reportando estes eventos ao CNCS.
Desta forma se pretende a aprendizagem sobre e a melhoria contínua das medidas de segurança, promovendo uma cultura de cibersegurança mais proactiva, incentivando a deteção e o relato de situações potencialmente perigosas antes que estas se concretizem em incidentes reais.
Do ponto de operacional, a PL cria os mecanismos de autoidentificação das entidades perante o CNCS, o envio de relatórios anuais a este e a criação de um ponto de contacto permanente também perante o CNCS. Ainda está previsto que o CNCS exija a certificação em cibersegurança para entidades essenciais, importantes e públicas relevantes.
Naturalmente que a PL também contém todo o quadro de medidas e sancionatório.
- Conclusão
Obviamente que este tema da Diretiva NIS-2 e da transposição, que ainda não está feita, é tema altamente relevante e que merece estudo aprofundado, a fazer desde logo quando a versão final da PL for aprovada.
Entendeu-se pertinente, neste número da revista POD Informar, deixar estas notas e começar a levantar o véu.
Pois uma coisa é certa: no cada vez mais importante panorama da cibersegurança, o futuro Regime Jurídico da Cibersegurança será um marco legislativo muito relevante.
[1] Consulte a página da consulta pública aqui:
https://www.consultalex.gov.pt/Portal_Consultas_Publicas_UI/ConsultaPublica_Detail.aspx?Consulta_Id=357, local onde pode descarregar a PL XXIV/2024
[2] Texto da Diretiva: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32022L2555
Note-se que esta Diretiva foi objeto de um regulamento de execução ao nível técnico:
https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=OJ:L_202402690
[3] As medidas de supervisão e execução são duas das medidas previstas na Proposta de Lei.
[4] Art.º 2.º, al. bb)
