Consulta Pública: Diretiva NIS2

Foi submetido a Consulta Pública o projeto de Decreto-Lei que transpõe a Diretiva (UE) 2022/2555 (Diretiva NIS2), e que repristina a Diretiva NIS. Este diploma visa fortalecer a cibersegurança nacional, alinhando-a com os objetivos europeus de um elevado nível comum de proteção no ciberespaço.

Principais alterações ao Regime Jurídico de Segurança do Ciberespaço:

i)            Ampliação do número de Entidades Abrangidas:

Inclusão de operadores de serviços essenciais adicionais e novos setores críticos.

Introdução das categorias de "entidades essenciais" e "entidades importantes", com responsabilidades distintas e medidas proporcionais aos seus riscos e impacto.

ii)           Medidas de Avaliação de Risco

Estabelecimento de medidas de avaliação de risco, análise de risco residual e medidas mínimas e claras de cibersegurança. Este modelo visa reduzir a subjetividade na avaliação e fomentar a simplicidade e previsibilidade.

iii)         Segurança da Cadeia de Abastecimento:

Foco na segurança da cadeia de abastecimento e nos critérios de escolha e segurança de prestadores de serviços.

iv)          Criação da Comissão de Avaliação de Segurança do Ciberespaço, responsável pela realização de avaliações de segurança de equipamentos, componentes ou serviços de tecnologia da informação e comunicação, com um foco especial em fornecedores considerados de “alto risco”, considerados os seguintes aspetos:

• Riscos técnicos dos equipamentos, componentes ou serviços;
• O contexto de uso e a exposição dos fabricantes ou fornecedores à influência indevida de terceiros países, incluindo informações relevantes emitidas por autoridades competentes nacionais e da União Europeia, ou incluídas em avaliações de risco nacionais ou europeias para a segurança de redes e sistemas de informação; e/ou
• Outros riscos relevantes à segurança.

v)           Imposição de Restrições e Cessação de Utilização:

Possibilidade de imposição de restrições e cessação da utilização, bem como da exclusão de equipamentos, componentes e serviços de TIC, como consequência de avaliações negativas da Comissão de Avaliação de Segurança do Ciberespaço.

vi)          Reforço e atualização da Estratégia Nacional de Segurança do Ciberespaço, incluindo prioridades nacionais, medidas de prevenção e resposta a incidentes;

vii)        Aprovação de um Plano Nacional de Resposta a Crises de Cibersegurança em Grande Escala, com coordenação interinstitucional e alinhamento com os quadros de gestão de crises;

viii)      Promoção da Certificação em Cibersegurança:

Promoção da certificação em cibersegurança, que estimula a conformidade das entidades abrangidas com normas reconhecidas, facilitando a presunção de conformidade regulatória.

ix)         Regime Processual claro para aplicação de Medidas e Execução e Coimas:

Definição de um regime processual claro relativo à aplicação de medidas de execução e coimas às entidades abrangidas, garantindo o direito a uma audiência prévia e estabelecendo procedimentos e regimes para a notificação, bem como para a prescrição, suspensão, revogação e extinção das coimas.

Principais temas mantidos com a proposta de transposição da Diretiva NIS2:

Permanecem inalteradas:

• as obrigações de notificação de incidentes,
• as figuras do Responsável pela Cibersegurança e do Ponto de Contacto Permanente, bem como
• o envio do Relatório Anual ao Centro Nacional de Cibersegurança (CNCS).

Mantém-se também a exclusão do âmbito de aplicação para entidades públicas com responsabilidades exclusivas nos domínios da segurança nacional, defesa, serviços de informações e segurança pública.

As entidades abrangidas (após a aprovação do documento de transposição) deverão proceder à sua autoidentificação numa plataforma eletrónica disponibilizada pelo CNCS no prazo de 60 dias após a sua disponibilização. O não cumprimento constituirá uma contraordenação grave, punível com coimas que variam entre 1.250,00€ e 5.000.000,00€ ou 1% do volume de negócios anual mundial no exercício financeiro anterior, consoante o valor mais elevado.

Regime sancionatório:

O novo regime sancionatório prevê três tipos de contraordenações:

• Muito graves: incluem o incumprimento de obrigações como a implementação de medidas de cibersegurança e notificações de incidentes. As coimas variam entre €2.500 a €10.000.000, ou 2% do volume de negócios anual, para entidades essenciais, entre €1.750,00 a €7.000.000,00, ou 1,4 % do volume de negócios anual, para entidades importantes, e entre €10.000,00 e €5.000.000,00, para entidades públicas relevantes;

• Graves: abrangem falhas como a falta de autoidentificação e o incumprimento de instruções da autoridade competente. As coimas variam entre e €1.250,00 a €5.000.000,00 ou a 1 % do volume de negócios anual, para entidades essenciais, entre €875,00 a €3.500.000,00, ou num montante máximo não inferior a 0,7 % do volume de negócios anual, para entidades importantes, e entre €5.000,00 e €2.500.000,00, para entidades públicas relevantes.

• Leves: incluem infrações relacionadas com certificação de cibersegurança, com coimas entre €875,00 e €45.000 para todas as entidades abrangidas.

A tentativa e a negligência também são puníveis, com redução das coimas a metade.

Os órgãos de gestão, direção e administração poderão também ser responsabilizados por ação ou omissão, com dolo ou culpa grave, nos termos da legislação aplicável, pelo não cumprimento do disposto na proposta de transposição da Diretiva NIS2.

Prazo de Consulta Pública:

O prazo para a apresentação de comentários ao projeto de diploma legislativo termina no próximo dia 12 de dezembro de 2024 e pode ser consultado no seguinte link.

Os stakeholders são convidados a analisar o texto e contribuir com sugestões, aditamentos e/ou comentários.