Governo terá de criar medidas para empresas se adaptarem à NIS 2
O novo regime jurídico de cibersegurança que Portugal se prepara para adotar, e que transpõe a diretiva europeia NIS 2, que pretende garantir um elevado nível comum de cibersegurança na União Europeia (UE), deverá obrigar entidades públicas e empresas privadas a investir em força para alcançarem a robustez e resiliência informática necessárias para respeitar as novas regras. Por isso, há uma grande probabilidade de o Governo criar mecanismos de apoio ou de incentivos para garantir uma transição equilibrada.
“[O país] vai ter de se preparar e vai ter de direcionar medidas de apoio financeiro - fundos europeus, PRR, incentivos fiscais - e técnicos - programas de formação e guias práticos -, para sustentar essa preparação”, afirma Pedro Lomba, advogado e sócio da PLMJ, que esteve envolvido no grupo de trabalho que ajudou o Governo a preparar o diploma que transpõe o NIS 2 e cria um novo regime jurídico de cibersegurança.
O advogado, que também foi secretário de Estado nos governos de Pedro Passos Coelho, irá participar na Conferência sobre o Novo Regime Jurídico da Cibersegurança em Portugal, que decorrerá no próximo dia 9, no Auditório da Fundação Oriente, em Lisboa. O evento pretende debater a nova legislação e respetivos impactos no país.
É relevante compreender o impacto das novas regras europeias em Portugal, uma vez que, de acordo com um estudo da Frontier Economics, deverá implicar um custo de 529 milhões de euros às entidades e empresas que terão de se adaptar às novas normas.
“Para garantir uma transição equilibrada, é crucial que haja uma implementação faseada do regime nas empresas, com prazos de transição e o alargamento progressivo das obrigações”, defende Pedro Lomba, indicando que “estabelecer prazos realistas, acompanhar o impacto das medidas e ajustá-las quando necessário”, será essencial “para assegurar o equilíbrio entre o rigor regulatório, conformidade jurídica e competitividade económica”.
Ainda que questionado, o antigo governante não revela que casos o grupo de trabalho que apoiou o Governo usou para sustentar o diploma que está em consulta pública até dia 12 de dezembro, mas confirma terem sido considerados “o estado da arte noutros Estados europeus”.
O novo quadro jurídico que o Governo quer implementar vem alargar o âmbito de uma decisão tomada pelo anterior Governo, em 2023, que acabou por afastar das redes telecomunicações investidores não-ocidentais, através de uma avaliação da Comissão de Avaliação de Segurança. Agora, o atual Governo dá força de lei àquela decisão e alarga-a a outros setores. Energia, transportes, setor bancário, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestruturas digitais, gestão de serviços TIC (entre empresas) e Espaço fazem parte da lista de setores críticos.
O novo regime jurídico diferencia o tratamento a dar às entidades essenciais e às importantes em função dos riscos e prevê coimas até 10 milhões de euros em caso de contraordenações muito graves para as primeiras.
Pedro Lomba explica que a NIS 2 “é uma obrigação nacional”, cujo objetivo é “dotar Portugal e os restantes Estados-membros de um novo regime jurídico nacional de cibersegurança que melhore os sistemas de gestão e supervisão de riscos e reforce a solidez e resposta das organizações a ciberataques cada vez mais sofisticados”.
Ou seja, o ideal é harmonizar a proteção a nível da UE, segundo o responsável, “uma vez que o número, o alcance e as consequências dos incidentes têm vindo a aumentar bem como a exploração de vulnerabilidades e ameaças, também num plano transfronteiriço, com perturbações muitas vezes em atividades vitais para a economia e para a cadeia de abastecimento”.
“A NIS 2 reflete a necessidade de reforçar a segurança em setores críticos da economia digital, pelo que o seu âmbito de aplicação é agora alargado a mais setores económicos a partir da distinção entre entidades essenciais e entidades importantes. Futuramente, será necessário que as empresas percebam a categoria em que devem ser colocadas, de forma a perceber as medidas de gestão de riscos que terão de adotar”, argumenta.
A primeira diretiva europeia para harmonizar normas para a cibersegurança surgiu em 2016. Foi transposta em Portugal em 2018, dando ao Centro Nacional de Cibersegurança (CNCS) poderes de supervisão e às entidades a obrigação de registar e notificar o CNCS sobre incidentes relevantes. Em 2021, surge um decreto-lei que definiu requisitos a cumprir pelas entidades, com o CNCS a assumir uma postura pedagógica. Apesar dos alertas e avisos de coimas, até hoje não conhecidas sanções que tenham sido aplicadas no contexto da NIS.
Com a NIS 2, o propósito será mais efetivo. Por exemplo, o número de entidades a serem fiscalizadas vai disparar das cerca de 400 para mais de mil. Por outro lado, as abordagens à diretiva são diferentes entre países da UE.
Haverá riscos jurídicos no caso português? “Creio que o principal risco não está no facto de o novo regime ser mais restritivo na sua comparação com outros países europeus, porque estamos a falar de uma diretiva exigente embora de harmonização mínima, o que significa que os Estados podem adotar até outras regras no sentido de uma maior proteção. Pode haver riscos na nossa capacidade e recursos administrativos e financeiros para concretizar, a curto e médio prazo, os objetivos ambiciosos da estratégia nacional de cibersegurança, que agora ganhará mais âmbitos de atuação”, responde Pedro Lomba.
“O quadro administrativo para a cibersegurança em Portugal será também reforçado, com vários níveis e estruturas de decisão pública que terão de cooperar entre si. A criação de uma cultura de cibersegurança nas entidades públicas continuará a ser um desafio. E, para além disso, há também a governação e formação no âmbito das empresas. São objetivos claros da NIS 2 no sentido de reforçar os órgãos de direção das empresas pela adoção das medidas de segurança, promovendo também a formação dos seus trabalhadores”, conclui.