O novo Regime Jurídico da Cibersegurança encontra-se em consulta pública até ao dia 31 de dezembro de 2024.
Este Diploma resulta da necessidade de transposição da Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho (Diretiva SRI 2), de 14 de dezembro de 2022, a qual visa atingir, à semelhança da Diretiva precedente nesta matéria, três objetivos:
– Exigir que os Estados-Membros garantam um elevado nível de cibersegurança;
– Reforçar a cooperação europeia entre as autoridades competentes pela cibersegurança;
– Exigir que os principais operadores dos sectores-chave da nossa sociedade adotem as medidas de segurança necessárias e notifiquem às autoridades competentes qualquer incidente que tenha um impacto significativo na prestação dos seus serviços.
Apesar de se manterem os objetivos centrais, esta nova Diretiva pretende, ainda, harmonizar as medidas de cibersegurança existentes em cada Estado-Membro:
1. Estabelecendo um quadro de regulação mínima;
2. Aumentando o escopo de entidades abrangidas e dividindo-as em dois setores: (i) Setor de Importância Crítica, no qual se inclui, a título de exemplo, o setor da Saúde e (ii) Outros Setores Críticos, nos quais se incluem, por exemplo, empresas do sector alimentar, relacionadas com qualquer das fases de produção, transformação e distribuição, e prestadores de serviços digitais;
3. Detalhando as regras de reporte de incidentes a respeitar; e
4. Intensificando o enquadramento sancionatório, quer no que diz respeito aos valores das coimas, quer no que concerne à atribuição de responsabilidade às pessoas singulares responsáveis.
A Diretiva em questão aplica-se às entidades públicas e privadas que preencham as características estabelecidas, cabendo a cada Estado-Membro a elaboração, até 17 de abril de 2025, de uma lista das entidades essenciais e importantes, bem como das entidades que prestam serviços de registo de nomes de domínio.
Prevê-se, no Diploma que vem estabelecer o novo Regime Jurídico da Cibersegurança em Portugal (que se encontra, ainda, em consulta pública), que as entidades deverão proceder à sua autoidentificação como entidade essencial, importante ou pública relevante, de acordo com o respetivo grupo, em plataforma eletrónica disponibilizada pelo CNCS, no prazo de um mês após o início da sua atividade ou, caso a entidade já se encontre em atividade aquando da entrada em vigor do presente decreto-lei, no prazo de 60 dias após a disponibilização da referida plataforma eletrónica, sendo ainda responsáveis por manter essa informação devidamente atualizada.
Já em matéria contraordenacional importa salientar que se encontram previstas contraordenações muito graves, graves e leves, cujos limites máximos podem ascender aos €10.000.000,00.
Uma vez que a proposta de lei se encontra em consulta pública, ainda poderá ser alvo de alterações, designadamente, no que diz respeito às obrigações que fixa para as entidades abrangidas, pelo que importa ter alguma cautela nestas considerações preliminares, pretendendo-se com a presente publicação apenas alertar os potenciais visados, de forma a poderem preparar-se devida e antecipadamente.
Veja-se que o novo Regime Jurídico da Cibersegurança pretende, ainda, salvaguardar a segurança interna e externa, a defesa nacional, a integridade do processo democrático e de outras funções de soberania, a operação de infraestruturas críticas e a prestação de serviços essenciais contra potenciais influências de países terceiros, pelo que cremos que as regras que virão a ser impostas serão tratadas com prioridade e seriedade.