C-Days 2025: “Uma entidade que já faz uma gestão madura não tem de mudar o seu modus operandi com a NIS2”

O segundo dia do C-Days 2025 – que se realiza entre 24 e 26 de junho no Centro de Congressos do Estoril e do qual a IT Security é Media Partner – começou com uma sessão dedicada à NIS2 e aos instrumentos operacionais do Centro Nacional de Cibersegurança (CNCS).

Lino Santos, Coordenador do CNCS, explicou que o objetivo é mostrar em que ponto é que a regulação está e qual é o roadmap para o futuro. “A regulação tem de permitir uma maior previsibilidade do que é esperado das organizações. O Regime Jurídico do Ciberespaço tem uma abordagem académica perfeita; no entanto, não traz previsibilidade. As organizações têm um vazio à sua frente e não sabem por onde começar ou avaliar os seus riscos”, referiu.

O que o legislador tentou fazer com a transposição da NIS2 foi trazer essa previsibilidade. Depois de passos de autoquantificação, a organização consegue perceber que medidas tem de implementar. Após a transposição da NIS2, o regulamento terá de estar em consulta pública durante 30 dias – algo que o CNCS está pronto para que aconteça.

“Um segundo princípio é o da proporcionalidade. O mesmo regime jurídico tem de ser aplicado a empresas de grande dimensão – com grande experiência e maturidade – e a pequenas empresas – que ainda não têm essa experiência”, afirma Lino Santos.

Por fim, o Coordenador do CNCS afirma que se procura a simplicidade por design. “O objetivo e aquilo que deve nortear o nosso trabalho é que haja uma coordenação entre autoridades competentes em cibersegurança e as autoridades setoriais para quando exigirmos uma determinada de cibersegurança estamos a cumprir com o regulamento NIS2 ou o regulamento do código da energia, por exemplo”, explica Lino Santos. 

“O objetivo é que haja uma plataforma que evite a duplicação da informação”, refere o Coordenador, dando como exemplo o ataque à AMA em outubro, que obrigou a organização a comunicar junto de cinco entidades diferentes que tinha sofrido o ciberataque. Assim, o CNCS procura que as organizações tenham um trabalho mais simples e apenas tenha de notificar uma única entidade.

Atualmente, há dez países com implementação total da NIS2, sete de forma parcial e dez sem nenhum tipo de transposição. Assumindo que Portugal se inspira nas lições dos países que já implementaram, o modelo português segue o modelo belga.

Depois de se transpor a NIS2, será lançado um portal onde as entidades vão fazer a auto identificação de que são entidades reguladas. “A data em que esse portal é publicado serve de base para uma série de prazos: a partir daí, as entidades têm 60 dias para fazer o registo e é a data a partir do qual as organizações têm 24 meses para se adaptarem e estarem conforme a regulação”. Quando acabar o prazo de auto identificação, as organizações vão saber todos os requisitos mínimos que têm de cumprir nos próximos 24 meses.

“O regulamento vai ter de contar com um novo quadro de referência para a cibersegurança – um processo que já realizamos – e não há é mais do que uma adaptação e atualização do Cybersecurity Framework do NIST”, diz Lino Santos.

Este regulamento também precisa da definição daquilo que é a matriz de risco típica para cada setor – saúde, energia ou transportes. “Esse trabalho foi feito no primeiro trimestre deste ano e trabalhamos com comunidades ou associações setoriais para construir essas matrizes de risco”, informa o Coordenador do CNCS.

“Uma entidade que já faz uma gestão madura não tem de mudar o seu modus operandi. Uma entidade nova que passa a ser alargada pelo regulamento, tem uma receita nova para seguir”, explica. Deste modo, o CNCS “espera aumentar a resiliência e a segurança do país”.

“Queremos fazer este caminho com as comunidades. O objetivo é ajudar-vos a crescer na maturidade de cibersegurança”, conclui.

A IT Security é Media Partner do C-Days 2025