Saiba tudo sobre as mudanças que o esperam com a nova legislação nacional de cibersegurança.
O novo regime jurídico da cibersegurança, aprovado pelo Decreto-Lei, transpõe para Portugal a Diretiva (UE) 2022/2555, mais conhecida como NIS2. Este decreto-lei vem substituir o anterior Regime Jurídico da Segurança do Ciberespaço (DL 65/2021), expandindo significativamente o conjunto de entidades abrangidas e reforçando a responsabilidade dos órgãos de gestão.
Este Decreto de lei vem dar resposta à crescente digitalização das organizações, e visa aumentar a resiliência operacional digital, definindo obrigações específicas de cibersegurança para organizações específicas em diversos setores. Esta diretiva impõe penalidades substanciais por não conformidades.
Quem é abrangido?
O novo Decreto-Lei de Cibersegurança amplia o âmbito das entidades que devem cumprir os requisitos de cibersegurança, substituindo o anterior Regime Jurídico da Segurança do Ciberespaço (DL 65/2021) e transpondo para a legislação nacional a Diretiva (UE) 2022/2555 (NIS2).
Este regime aplica-se a entidades públicas e privadas, incluindo as classificadas como médias empresas ou que excedam os limiares relativos a médias empresas (tal como definido na Recomendação 2003/361/CE). As entidades abrangidas dividem-se em três categorias principais: Entidades Essenciais (Setores de Importância Crítica), Entidades Importantes (Outros Setores Críticos), Entidades Públicas Relevantes (abrangendo parte significativa da Administração Pública, classificadas em Grupo A e Grupo B consoante a sua dimensão e função).
Setores de Importância Crítica (Entidades essenciais)
Energia
Transportes
Setor bancário
Infraestruturas do mercado financeiro
Saúde
Água potável
Águas residuais
Infraestruturas digitais
Gestão de serviços TIC (B2B)
Administração pública
Espaço
Outros Setores Críticos (Entidades importantes)
Serviços postais e de estafeta
Gestão de resíduos
Produção, fabrico e distribuição de produtos químicos
Produção, transformação e distribuição de produtos alimentares
Indústria transformadora
Prestadores de serviços digitais
Investigação
Todas as entidades abrangidas devem cumprir os mesmos requisitos de cibersegurança, embora a abordagem de supervisão varie consoante a sua categoria.
Para mais detalhes, pode consultar os artigos 2.º, 3.º e 4.º e os anexos I e II do Decreto-Lei.
Quais são os requisitos da NIS2?
O novo Decreto-Lei introduz requisitos mínimos de cibersegurança para todas as entidades abrangidas, com o objetivo de garantir uma abordagem uniforme e robusta à segurança digital (artigo 27º).
a) Tratamento de incidentes;
b) Continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises;
c) Segurança da cadeia de abastecimento, incluindo aspetos de segurança respeitantes às relações entre cada entidade e os respetivos fornecedores ou prestadores de serviços diretos;
d) Segurança na aquisição, desenvolvimento e manutenção das redes e sistemas de informação, incluindo o tratamento e a divulgação de vulnerabilidades;
e) Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança;
f) Práticas básicas de ciber-higiene e formação em cibersegurança, incluindo os titulares de órgãos máximos de gestão e trabalhadores;
g) Políticas e procedimentos relativos a utilização de criptografia e, se for caso disso, de cifragem, sem prejuízo das competências conferidas a outras entidades em matéria de criptografia no âmbito nacional ou perante outras organizações internacionais de que Portugal seja membro;
h) Segurança dos recursos humanos, políticas seguidas em matéria de controlo do acesso e gestão de ativos;
i) Utilização de autenticação multifator ou de autenticação contínua, comunicações seguras e sistemas seguros de comunicações de emergência no seio da entidade.
Notificação Obrigatória (artigo 40º)
1 - As entidades essenciais, importantes e públicas relevantes notificam qualquer incidente significativo à autoridade de cibersegurança competente.
2 - O cumprimento da mera notificação não gera responsabilidade acrescida para a entidade notificante.
3 - A fim de determinar se um incidente tem impacto significativo nos termos do n.º 1, as entidades em causa devem ter em consideração, designadamente, os seguintes parâmetros:
a) Número de utilizadores afetados pela perturbação do serviço;
b) A duração do incidente;
c) O nível da gravidade da perturbação do funcionamento do serviço;
d) A dimensão do impacto nas atividades económicas e sociais.
Obrigações dos órgãos de gestão, direção e administração (artigo 25º)
A cibersegurança passa a ser uma responsabilidade direta dos órgãos de gestão das entidades abrangidas.
Os órgãos de administração devem: Aprovar e supervisionar as medidas de gestão de risco de cibersegurança, assegurar conformidade com as exigências legais, sob risco de responsabilização direta por infrações, promover formação obrigatória em cibersegurança, garantindo que os membros do órgão de gestão e os colaboradores adquiram conhecimentos sobre identificação, avaliação e mitigação de riscos.
Esta exigência reforça a responsabilidade legal e operacional das direções executivas na proteção dos sistemas e dados críticos das organizações.
Coimas Aplicáveis
O Decreto-Lei estabelece um regime sancionatório rigoroso para as entidades que violem as suas obrigações.
As entidades essenciais que violem estas obrigações ficam sujeitas a coimas até: 10 000 000 EUR ou 2% do volume de negócios anual a nível mundial, no exercício financeiro anterior da empresa a que pertencem, consoante o montante mais elevado.
As entidades importantes que incumpram estas regras ficam sujeitas a coimas até: 7 000 000 EUR ou 1,4% do volume de negócios anual a nível mundial, no exercício financeiro anterior da empresa a que pertencem, consoante o montante mais elevado.
As Entidades Públicas Relevantes (classificadas nos Grupos A e B) que não cumpram os requisitos de cibersegurança ou falhem a notificação de incidentes podem ser sancionadas com coimas até 4 000 000 EUR para entidades do Grupo A e coimas até 350 000 EUR para entidades do Grupo B.
Não deixe que a cibersegurança seja um risco para o seu negócio. Descubra como a NOS Empresas pode ajudá-lo a cumprir a NIS2 e a proteger a sua empresa com soluções robustas e personalizadas aqui.