Lei da Cibersegurança prevê coimas até 10 ME para incumprimentos de entidades essenciais
O novo regime jurídico de Cibersegurança diferencia o tratamento a dar às entidades essenciais e às importantes em função dos riscos e prevê coimas até 10 milhões de euros em caso de contraordenações muito graves para as primeiras.
O regime transpõe a diretiva NIS2 [Network and Information Security] - cuja consulta pública termina em 15 dias - "prevê um regime dual, diferenciando o tratamento a dar às entidades essenciais e importantes em função dos riscos de cibersegurança associados a cada categoria, em cumprimento, mais uma vez, do princípio da proporcionalidade".
A energia, os transportes, o setor bancário, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestruturas digitais, gestão de serviços TIC (entre empresas) e Espaço fazem parte da lista de setores críticos.
De acordo com o documento, outros setores críticos são ainda os serviços postais e de estafetas, a produção, fabrico e distribuição de produtos químicos ou investigação, entre outros.
São contraordenações muito graves o incumprimento do dever de adoção das medidas de cibersegurança e são punidas, quando se trate de uma entidade essencial, com coimas de 2.500 euros a 10 milhões de euros ou "a 2% do volume de negócios anual a nível mundial, no exercício financeiro anterior, da entidade essencial em causa, consoante o montante que for mais elevado, se praticadas por uma pessoa coletiva". Se for praticado por uma pessoa singular, a coima vai 500 euros a 250 mil euros.
Se for uma entidade importante, a coima pode ir de 1.750 euros a sete milhões de euros ou num montante máximo não inferior a 1,4% do volume de negócios anual a nível mundial, no exercício financeiro anterior, da entidade importante em causa, consoante o montante que for mais elevado, se praticada por pessoa coletiva.
"De 500 a 250.000 euros, se praticadas por uma pessoa singular", lê-se no documento.
O regime prevê ainda coimas no caso de incumprimento de entidades públicas relevantes integradas no Grupo A ou no Grupo B.
Entre as entidades essenciais estão "prestadores de serviços de confiança qualificados e registo de nomes de domínio de topo, e os prestadores de serviços de sistemas de nomes de domínio, independentemente da sua dimensão" e "empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público que sejam consideradas médias empresas".
Inclui ainda entidades da Administração Pública que tenham como atribuições a prestação de serviços nas áreas do desenvolvimento, manutenção e gestão de infraestruturas de tecnologias de informação e comunicação ou aquelas que apresentem um grau particularmente elevado de integração digital na prestação dos seus serviços e as identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557 relativa a` resiliência das entidades críticas, entre outras.
A atribuição das qualificações de entidades essenciais e entidades importantes tem mecanismos próprios: as entidades "procedem à sua autoidentificação como entidade essencial, importante ou pública relevante, de acordo com o respetivo grupo, em plataforma eletrónica disponibilizada pelo CNCS [Centro Nacional de Cibersegurança], no prazo de um mês após o início da sua atividade ou, caso a entidade já se encontre em atividade aquando da entrada em vigor do presente decreto-lei, no prazo de 60 dias após a disponibilização da referida plataforma eletrónica".
As entidades são "ainda responsáveis por manter essa informação devidamente atualizada", de acordo com o diploma.
Independentemente destes mecanismos, "o CNCS propõe a lista de entidades essenciais, importantes e públicas relevantes, nos termos e de acordo com os critérios legalmente previstos, para aprovação, pelo menos de dois em dois anos, em portaria do membro do Governo responsável pela área da cibersegurança, a qual é precedida de parecer das autoridades nacionais setoriais de cibersegurança".
A primeira lista "deve entrar em vigor até ao dia 17 de março de 2025", refere a proposta de lei.
Com este diploma, o CNCS "reforça a sua função de autoridade nacional de cibersegurança, destacando-se ainda o estabelecimento de autoridades de supervisão 'setoriais' e 'especiais', que exercem supervisão sobre setores específicos da economia, assim se garantindo a estabilidade na supervisão de cada um dos setores abrangidos, bem como aliviando as tarefas transversais cometidas" ao Centro Nacional de Cibersegurança.
Governo com tutela pode determinar restrições
O novo regime de cibersegurança, que alarga as entidades abrangidas e prevê que o membro do Governo com esta área pode "determinar a aplicação de restrições" de equipamentos ou serviços considerados "de elevado risco", já está em consulta pública.
O regime, seguindo a Diretiva NIS2 [Network and Information Security], "expande o conjunto de entidades abrangidas, priorizando, por um lado, a generalização da prevenção dos riscos de cibersegurança, mas graduando a exigência regulatória em função da dimensão da entidade e da importância da sua atividade, bem como privilegiando a proporcionalidade das medidas aplicáveis".
De acordo com o artigo 18.º, "o membro do Governo responsável pela área da cibersegurança pode determinar a aplicação de restrições provisórias à utilização, a cessação de utilização ou exclusão de equipamentos, componentes ou serviços de tecnologias de informação e comunicação, utilizados em redes e sistemas de informação públicos ou privados, considerados de elevado risco para a segurança do ciberespaço de interesse nacional, mediante proposta da Comissão de Avaliação de Segurança do Ciberespaço".
A avaliação de segurança "deve ter em conta os riscos técnicos dos equipamentos, componentes ou serviços, o seu contexto de utilização e a exposição dos seus fabricantes ou fornecedores à influência indevida de países terceiros, incluindo informação relevante emitida pelas entidades competentes nacionais e da União Europeia ou constante das avaliações nacionais ou europeias de risco para a segurança das redes e sistemas de informação, bem como outros riscos securitários relevantes", lê-se no documento.
Para avaliar o nível de exposição dos fabricantes ou fornecedores à influência indevida de um país terceiro, a proposta de lei de autorização legislativa prevê que podem ser considerados cinco elementos.
Entre eles o fabricante ou fornecedor estar, direta ou indiretamente, "sujeito à interferência do governo ou administração de um país terceiro"; "vinculado a países reconhecidos por Portugal, pela União Europeia, pela Associação Europeia de Comércio Livre ou pela Organização do Tratado do Atlântico Norte, como responsáveis ou envolvidos em ações hostis à segurança interna e defesa nacional de Portugal ou dos seus aliados, designadamente atos de espionagem ou de sabotagem";
Outro é o "fabricante ou fornecedor estar, direta ou indiretamente, vinculado a países que não dispõem de legislação ou acordos diplomáticos com Portugal ou com a União Europeia em matéria de proteção de dados, de cibersegurança e de proteção de propriedade intelectual".
A avaliação tem ainda em conta se o fornecedor ou fabricante está associado "a práticas de introdução de vulnerabilidades ou acessos ocultos" ou se adota "modelos de governação corporativa que não esclareçam sobre o grau de influência ou vinculação a países terceiros nas condições das alíneas anteriores".
As avaliações de segurança "podem ser realizadas ou revistas a pedido do membro do Governo responsável pela área da cibersegurança, bem como, em aplicação do mecanismo português de salvaguarda de ativos estratégicos essenciais, pelo membro do Governo responsável pela área em que o ativo estratégico em causa esteja integrado".
E a Comissão de Avaliação de Segurança do Ciberespaço pode pedir a qualquer entidade, pública ou privada, a prestação de qualquer informação necessária à elaboração de avaliações de segurança, sendo que a decisão do membro do Governo responsável por esta pasta "define os prazos razoáveis e, quando aplicável, o âmbito geográfico da medida a aplicar, de forma que as entidades públicas ou privadas em causa procedam à sua implementação".
No âmbito da legislação em vigor, a Huawei foi retirada das redes 5G em Portugal, o que levou, em setembro de 2023, a tecnológica chinesa a entrar com uma ação administrativa contra a deliberação sobre equipamentos 5G da Comissão de Avaliação de Segurança (CAS).
A entrada em vigor do novo regime jurídico de Cibersegurança "não prejudica a validade das decisões tomadas pela Comissão de Avaliação de Segurança ao abrigo do regime anterior, que continuam a produzir efeitos pelo período de 180 dias", durante "o qual deve ser realizada nova avaliação de segurança", segundo norma transitória.