O Governo prepara-se para dar força de lei e expandir o âmbito da recomendação que em 2023 afastou a tecnológica chinesa Huawei das redes 5G em território nacional..De acordo com uma proposta de lei que entrará em consulta pública nos próximos dias, o Governo vai passar a poder banir todos os investidores e fornecedores estrangeiros que ofereçam risco elevado de cibersegurança em áreas estratégicas da economia portuguesa ou que coloquem em causa a integridade do sistema democrático, apurou o Diário de Notícias. .Segundo o documento, que foi apresentado ao Conselho Superior de Segurança do Ciberespaço e a que o DN teve acesso, a nova legislação permitirá impedir a entrada de fornecedores de equipamentos, tecnologia e serviços que dependam de alguma forma de governos estrangeiros e ofereçam risco elevado em termos de cibersegurança..Além disso, poderá ser impedida a entrada de investidores estrangeiros em empresas de setores como a energia, tecnologia, águas, infraestruturas de transporte e telecomunicações gestão de resíduos e produção alimentar, entre outros, caso se conclua que esses investimentos podem colocar em causa a cibersegurança. .A proposta de lei não especifica as nacionalidades visadas, referindo apenas que se aplica a todas as entidades estrangeiras. Mas é sabido que, nos últimos anos, Portugal e os seus aliados têm sido alvo de ataques cibernéticos vindos de estados como a Rússia, a China, a Coreia do Norte e o Irão..O caso da China tem complexidades acrescidas, uma vez que vários grupos do Império do Meio têm investimentos relevantes em Portugal, em setores como a produção e distribuição de energia, a banca, as águas e a gestão de resíduos, entre outros. Para além do papel de empresas como a Huawei no setor das telecomunicações..Outro aspeto relevante da nova legislação é o facto de se aplicar também aos fornecedores de equipamentos eletrónicos que possam ser utilizados para pirataria informática, como câmaras, televisões ou aspiradores robot. Os fornecedores estrangeiros desses equipamentos poderão ter de demonstrar que a sua utilização é segura e não existem backdoors que permitam a entrada de hackers..Transposição da diretiva NIS2.O diploma vai transpor para a legislação portuguesa a diretiva europeia NIS 2 que aperta as regras e a fiscalização às vulnerabilidades de cibersegurança no setor público e privado. Uma das novidades mais importantes desta proposta de lei é o facto de ser criado um “mecanismo para identificar ativos pertinentes e uma avaliação dos riscos em Portugal”..Este mecanismo faz parte da Estratégia Nacional de Segurança do Ciberespaço e será executado através de uma Comissão de Avaliação de Segurança do Ciberespaço..Entre outras competências, esta Comissão será responsável pelas “avaliações de segurança de equipamentos, componentes ou serviços de tecnologias de informação e comunicação, utilizados em redes e sistemas de informações públicos ou privados, de fabricantes ou fornecedores que possam ser considerados de elevado risco para a segurança do ciberespaço de interesse nacional, designadamente nos contextos da segurança interna, defesa nacional, da integridade do processo democrático e de outras funções de soberania”..As avaliações desta Comissão, constituída por representantes Centro Nacional de Cibersegurança (CNCS), do Gabinete Nacional de Segurança, da ANACOM, do Sistema de Segurança Interna, dos Serviços de Informações, da Direção-Geral de Política Externa e da Direção-Geral da Política de Defesa, podem ser “realizadas ou revistas a pedido do membro do Governo responsável pela área de cibersegurança, bem como, em aplicação do mecanismo português de salvaguarda dos ativos estratégicos essenciais, pelo membro do Governo responsável pela área em que o ativo estratégico em causa esteja integrado”..A diretiva da UE pretende “garantir um elevado nível comum de cibersegurança” na União Europeia (UE), exigindo aos estados-membros um elevado nível de cibersegurança; um reforço de cooperação entre as autoridades competentes pela cibersegurança; e que os principais operadores dos sectores-chave adotem as medidas de segurança necessárias e notifiquem às autoridades competentes qualquer incidente que tenha um impacto significativo na prestação dos seus serviços”..Reforço dos poderes do CNCS.O Governo está em contrarrelógio para cumprir os prazos da entrada em vigor do diploma, que deverá entrar em consulta pública no mês de novembro. “A preservação da cibersegurança desempenha um papel crucial no funcionamento do Estado e dos agentes económicos, bem como na construção da confiança dos cidadãos no processo de modernização digital da Administração Pública”..O poder de fiscalização do cumprimento das exigências definidas sai reforçado e fica centralizado no atual Centro Nacional de Cibersegurança (CNCS) que se separa do Gabinete Nacional de Segurança e fica com autonomia administrativa e financeira, consolidando a sua função de autoridade nacional de cibersegurança..São ainda criadas “autoridades de supervisão setoriais e especiais” com poderes sobre setores específicos da economia. Este modelo, é sublinhado no preâmbulo do diploma, vai incentivar “a criação de um mercado de certificação em cibersegurança, o que terá utilidade económica e permitirá generalizar uma presunção de conformidade das entidades”..As entidades “essenciais” e as “importantes” em setores como as comunicações, transportes, saúde, entre outros, têm de designar um “responsável pela cibersegurança, para a gestão da cibersegurança e da segurança da informação” que responda “organica e diretamente” aos órgãos de gestão, direção e administração..Estes órgãos terão, por sua vez, de aprovar medidas de gestão de riscos de cibersegurança, supervisionar a sua aplicação e assegurar ações de formação aos seus trabalhadores. Mais: estes dirigentes “podem responder por ação ou por omissão, com culpa grave, pelas infrações previstas na Lei”..Não estão abrangidas por este diploma o Estado-Maior-General das Forças Armadas e os Ramos das Forças Armadas, no que diz repeito à rede e sistemas de informação de comando e controlo; as entidades públicas com atividade na segurança nacional, defesa e serviços de informações, bem como as entidades privadas que prestam serviço a estas.