Explicador. Novo regime de cibersegurança: 10 perguntas e respostas
O novo regime jurídico de cibersegurança está em consulta pública até ao dia 12 de dezembro. Trata-se da transposição da diretiva sobre a Segurança das Redes e da Informação 2 (NIS 2) [Network and Information Security], destinada a garantir um elevado nível comum de cibersegurança em toda a União Europeia", anunciou o Governo.
O assunto será ainda sujeito a debate no próximo dia 9, numa conferência do DN que decorrerá no Auditório da Fundação Oriente em Lisboa. O executivo justifica a nova proposta de lei "face o aumento assinalável e da sofisticação das ameaças à cibersegurança, bem como da crescente utilização e dependência do uso da tecnologia por toda a sociedade". O novo regime jurídico diferencia o tratamento a dar às entidades essenciais e às importantes em função dos riscos e prevê coimas até 10 milhões de euros em caso de contraordenações muito graves para as primeiras.
Fizemos 10 perguntas e as respostas são do curador da Conferência João Annes, do Observatório de Segurança e Defesa da SEDES (parceira do DN neste evento, tal como a Ordem dos Economistas).
1. Qual o objetivo principal do novo regime de cibersegurança?
O principal objetivo é garantir um elevado nível comum de cibersegurança em Portugal, transpondo a Diretiva (UE) 2022/2555 da União Europeia. O regime visa reforçar a capacitação nacional para prevenir e responder a ciberameaças, protegendo infraestruturas críticas, serviços essenciais e sistemas de informação.
2. Abrange todas as entidades?
Não, o regime expande significativamente o conjunto de entidades abrangidas em relação ao anterior, mas não inclui todas. Abrange uma parte significativa da Administração Pública, adaptando-se à dimensão e tipologia de cada entidade. Exclui entidades públicas nos domínios da segurança nacional, segurança pública, defesa e serviços de informações.
3. O que muda em relação às obrigações atuais já em vigor?
As principais mudanças incluem:
- Ampliação do âmbito de aplicação
- Desenvolvimento de novos instrumentos estruturantes de segurança do ciberespaço
- Novo quadro institucional de cibersegurança
- Responsabilidades acrescidas para a gestão de topo das organizações
- Novo regime de gestão de riscos e tratamento de incidentes
- Regime de supervisão e execução mais rigoroso
- Novo regime sancionatório
4. Qual a estimativa de custos para as empresas?
Não há uma estimativa oficial divulgada. Os custos variarão dependendo da dimensão da empresa e do setor de atividade. O regime visa graduar a exigência regulatória em função destes fatores.
De acordo com o estudo da Frontier Economics, os custos estimados de implementação da NIS2 em Portugal são significativos:
O custo total estimado de implementação da NIS2 em Portugal é de €529 milhões.
As empresas terão custos adicionais de cerca de €31,2 mil milhões por ano em toda a UE para implementar as regulações de cibersegurança previstas na NIS2.
Espera-se uma redução do PIB de €289 milhões na UE, sendo €252 milhões devido aos custos de implementação das medidas de cibersegurança.
É importante notar que estes custos terão um impacto proporcionalmente maior nas pequenas empresas em comparação com as grandes empresas.
5. Existem apoios às empresas para estes investimentos?
Existem sistemas de incentivos às empresas no âmbito do Portugal 2020 e do Plano de Recuperação e Resiliência (PRR) que incluem estímulos para apoiar a transição digital das empresas. Estes podem potencialmente ser utilizados para investimentos em cibersegurança.
6. A partir de quando as novas regras têm de estar implementadas?
O decreto-lei que aprova o novo regime entrará em vigor 30 dias após a sua publicação. No entanto, algumas disposições específicas só produzirão efeitos 18 meses após a entrada em vigor.
7. Quem vai fiscalizar?
O Centro Nacional de Cibersegurança (CNCS) terá um papel reforçado como autoridade nacional de cibersegurança. Adicionalmente, serão estabelecidas autoridades de supervisão "setoriais" e "especiais" para setores específicos da economia.
8. O que acontece em caso de não estar a ser cumprida a lei?
O regime prevê coimas pesadas para incumprimentos. Para entidades "essenciais", as multas podem chegar a 10 milhões de euros ou 2% do volume de negócios anual mundial. Para entidades "importantes", as coimas podem atingir 7 milhões de euros.
9. Os outros países da União Europeia aplicam o mesmo regime?
Todos os países da UE devem transpor a Diretiva NIS2 para as suas legislações nacionais. No entanto, o prazo de 17 de outubro de 2024 não foi cumprido por vários países, incluindo Portugal.
10. Quais são os principais desafios na implementação deste novo regime?
Os principais desafios incluem:
- Adaptação das empresas, especialmente PMEs, às novas exigências
- Escassez de recursos económicos e humanos especializados
- Necessidade de conscientização e formação em cibersegurança
- Potencial resistência interna à mudança nas organizações
- Implementação de processos eficazes de deteção e resposta a incidentes