Foi publicado há alguns meses o Regime Juridico da Cibersegurança, que transpõe em Portugal a Diretiva europeia NIS2 e que constitui um marco legislativo. Este regime pretende elevar consideravelmente o nível de exigência para um grande número de organizações públicas e privadas no país.
A NIS2 é uma Diretiva da União Europeia sobre segurança das redes e dos sistemas de informação, que veio alargar âmbito das obrigações ao nível da cibersegurança, alargando-as a mais setores e prevendo consequências muito mais severas em caso de incumprimento.
O Regime divide as entidades em essenciais e importantes. As essenciais incluem setores como os da energia, saúde, transportes, banca e infraestruturas digitais. As importantes abrangem, nomeadamente, serviços postais, gestão de resíduos, alimentação e fornecedores digitais. Em regra, estão abrangidas médias e grandes empresas, mas em certos setores críticos não existe qualquer limite de dimensão.
É igualmente importante sublinhar que as entidades públicas também estão abrangidas. As administrações públicas centrais e, em determinados casos, regionais e locais, ficam sujeitas a este regime. O setor público não está isento, e os organismos do Estado que ainda não iniciaram o processo de conformidade devem fazê-lo o quanto antes.
As entidades abrangidas pelo Regime devem adotar medidas técnicas e organizativas, designadamente:
- Políticas de gestão de riscos e segurança da informação;
- Planos de continuidade de negócio e gestão de crises;
- Segurança na cadeia de abastecimento e nos fornecedores;
- Controlo de acessos e autenticação multifator;
Duas das principais obrigações das entidades obrigadas, e cujo prazo é relativamente curto, são as seguintes:
1. Inscrição na plataforma do Centro Nacional de Cibersegurança (CNCS) – todas as entidades abrangidas devem registar-se na plataforma do CNCS. Este registo não é facultativo, sendo a porta de entrada para o cumprimento das restantes obrigações legais e condição sine qua non para interagir com esta autoridade.
2. Designação e comunicação do Responsável de Cibersegurança e do Ponto de Contacto Permanente – o CNCS fixou prazos concretos para esta comunicação, mais concretamente 20 dias úteis a contar da data da notificação da qualificação da entidade como essencial ou importante.
Estes registos/comunicações serão realizados numa plataforma própria (Plataforma MyCiber) a ser disponibilizada pelo CNCS.
O regime sancionatório é rigoroso. As entidades abrangidas arriscam coimas até 10 milhões de euros ou 2% do volume de negócios global anual, prevalecendo o valor mais elevado.
Um aspeto que deve preocupar muitos gestores: este diploma legal prevê a responsabilização pessoal dos membros dos órgãos de administração e de direção. Os administradores não se podem escudar na empresa. São ainda possíveis a suspensão temporária de atividades e a proibição de exercer funções de gestão.
A NIS2 não é apenas mais uma Diretiva. É um regime legal importante e exigente, aplicável a privados e ao Estado, com sanções pesadas e que pode conduzir à responsabilidade pessoal dos administradores. Impõe, assim, que as entidades apurem se se econtram sob a alçada das obrigações, implementando as alterações, quer jurídicas quer técnicas, que a NIS2 exige.
