A Diretiva NIS2 e o Desafio da Cibersegurança

A cadência com que nos temos vindo a deparar com notícias de “ataques informáticos” – como seja o que, recentemente, deixou indisponíveis vários serviços e plataformas do Estado, em resultado do ciberataque à Agência para a Modernização Administrativa (AMA) – colocou definitivamente na ordem do dia o tema da cibersegurança.

Sob o ponto de vista legislativo, o tema não é novo, sendo este o momento oportuno para recordar que, ainda recentemente, o legislador europeu veio reforçar a regulação em matéria de segurança no ciberespaço, com a entrada em vigor, em janeiro de 2023, da Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho de 14 de dezembro, também conhecida por “NIS2”. A NIS2, note-se, é já a sucessora, nestas matérias, da Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016 (a denominada “NIS”).

Não menos importante (e oportuno) é recordar que, precisamente no passado dia 17 de outubro, terminou o prazo de transposição para o ordenamento jurídico nacional da NIS2, prazo esse que não foi cumprido pelo Estado português.

Umas das principais alterações promovidas pela NIS2 consiste no seu âmbito de aplicação, consideravelmente mais abrangente quando comparado com a NIS.

Em particular, e a título exemplificativo, a NIS2 vem incluir na sua esfera de regulação os seguintes setores de importância crítica (contanto que cumpridos determinados requisitos): gestão de serviços de tecnologia de informação e comunicações, espaço, serviços postais, gestão de resíduos, produção, fabrico e distribuição de produtos químicos e de produtos alimentares, indústria transformadora, e investigação.

Os subsetores abrangidos são igualmente em maior número. Mais uma vez a título de exemplo, encontram-se agora compreendidos no setor das infraestruturas digitais, designadamente, os prestadores de serviços de centro de dados, de serviços de confiança, fornecedores de redes de distribuição de conteúdos e prestadores de serviços de comunicações eletrónicas acessíveis ao público (sendo que também os prestadores de serviços de plataformas de redes sociais terão agora de cumprir com a NIS2).

Adicionalmente, a NIS2 vem concretizar e classificar os setores de atividade abrangidos em “entidades essenciais” e “entidades importantes”, estabelecendo um regime próprio para cada um.

Sem prejuízo, cumpre notar que o âmbito de aplicação da NIS2 terá ainda de ser (mais) concretizado, uma vez que os Estados-Membros deverão estabelecer, até 17 de abril de 2025, uma lista das entidades consideradas essenciais e importantes e, consequentemente, sujeitas ao âmbito de aplicação da referida diretiva.

Outra das grandes novidades da NIS2 diz respeito ao regime sancionatório, sendo que as coimas previstas poderão agora ascender a uns impressivos 10.000.000€ ou 2% do volume de negócios anual a nível mundial, consoante o que for mais elevado.

Apesar das críticas apontadas à NIS2 por não se relevar uma “verdadeira reforma”, cremos que este aumento das coimas poderá ter um efeito dissuasor. Ademais, o Centro Nacional de Cibersegurança também já sinalizou que começará a adotar uma postura mais ativa relativamente à aplicação destas coimas.

Numa altura em que, como anteriormente referimos, se verifica um exponencial aumento de ataques cibernéticos, parece-nos que a NIS2, e a necessidade premente da sua transposição para o ordenamento jurídico nacional, fará com que as organizações e os agentes do mercado se debrucem sobre esta matéria, apostando, de forma cada vez mais intensiva, numa melhoria dos seus sistemas de segurança (desde logo, de natureza preventiva). Como advogava Sun Tzu em "A Arte da Guerra”, a preparação é uma das formas mais eficazes para se vencer um ataque, independentemente da forma que este reveste.