NIS2 em Portugal: aprovação no Parlamento abre caminho, mas os desafios estão só a começar

A Assembleia da República votou esta sexta-feira a favor da proposta de lei que autoriza o Governo a transpor para o direito nacional a Diretiva NIS2, que representa o novo quadro europeu destinado a reforçar a cibersegurança nos Estados-Membro. Embora seja um passo decisivo, não significa que a transposição esteja já concluída, uma vez que a sua concretização só ocorrerá com a publicação do decreto-lei autorizado em Diário da República.

A proposta foi aprovada com os votos favoráveis do PSD (89), CDS-PP (2), PAN (1) e JPP (1); contra votaram PS (58), Livre (6) e PCP (3); e registaram-se abstenções do Chega (60) e da Iniciativa Liberal (9).

O que acontece a seguir e prazos em jogo

Daniel Reis, sócio da DLA Piper, esclarece que a lei aprovada no Parlamento “é apenas uma autorização legislativa e não a transposição em si”. Essa autorização terá validade de 180 dias, período durante o qual o Governo deverá aprovar o decreto-lei que concretiza a NIS2. Só após a publicação desse diploma em Diário da República começa a contar um novo prazo: 120 dias até à sua entrada em vigor efetiva.

A complexidade do processo legislativo é evidente, dado que a proposta de lei de autorização em discussão na Assembleia da República visa “definir o objeto, sentido e a extensão do regime jurídico da cibersegurança”. Catarina Mascarenhas, Consultora, e Catarina Rodrigues Rocha, Advogada Estagiária da Abreu Advogados, descrevem este passo como preliminar, que “condiciona” o diploma do Governo e exige que a lei de autorização “abranja o seu objeto e conteúdo”. As especialistas alertam para a possibilidade de o Governo ainda realizar alterações ao anteprojeto de decreto-lei face ao que for discutido.

A execução prática do regime jurídico de cibersegurança “depende também de atos de execução da Comissão Europeia e de regulamentos técnicos do Centro Nacional de Cibersegurança”, incluindo “regras de funcionamento da plataforma eletrónica para identificação e registo das entidades e para a notificação de incidentes, e as regras relativas ao formato, procedimento de notificações e à taxonomia de incidentes”.

Com a entrada em vigor do regime e a criação da plataforma eletrónica, “as entidades abrangidas devem, no prazo de 60 dias, fazer o seu registo e, em 24 meses, adotarem medidas para a adaptação às novas exigências estabelecidas”, explica Martim Bouza Serrano, Sócio e Coordenador da área de prática de TMT (Tecnologia, Media & Telecomunicações) da CCA.

Impacto para empresas e gestores

A NIS2 vai alargar significativamente o conjunto de entidades obrigadas a cumprir regras de cibersegurança. Daniel Reis considera que esta é a mudança mais relevante, uma vez que as “empresas que até agora não estavam abrangidas terão de definir políticas internas, nomear responsáveis e investir em tecnologia, sob pena de enfrentarem sanções em caso de incumprimento”.

A Abreu Advogados destaca também que os órgãos de administração passam a assumir responsabilidades diretas pelas infrações cometidas, “a título de dolo ou culpa grave”. Além disso, os administradores das entidades essenciais e importantes terão de frequentar ações de formação e promover programas semelhantes para os colaboradores.

Do lado regulatório, está previsto um reforço do quadro institucional, com várias autoridades competentes a poder fiscalizar e sancionar, incluindo aplicar coimas, suspensões temporárias da atividade ou sanções pecuniárias compulsórias. O quadro sancionatório é também mais severo: no caso das entidades essenciais, as multas podem variar entre dois mil euros e dez milhões de euros, ou até 2% do volume de negócios global anual.

Desafios jurídicos

Entre os principais desafios identificados está a necessidade de harmonizar a NIS2 com a legislação já existente. Martim Bouza Serrano sublinha que a transposição da diretiva “irá alterar e obrigar à revisão de várias legislações nacionais, incluindo a Lei do Cibercrime e a Lei do Ciberespaço”. Um exemplo concreto é a “introdução de uma exceção à ilicitude penal para ethical hacking”, regime que, segundo o especialista, “propõe a exclusão da ilicitude penal para atividades de hacking ético, ou seja, permite que quem encontra falhas de segurança em sistemas – desde que realizadas sem fins lucrativos, com respeito pela privacidade e com comunicação responsável das vulnerabilidades identificadas – não seja punido”.

Joana Mota Agostinho, Sócia e Coordenadora da Área de Propriedade Intelectual e Tecnologia e Telecomunicações da Cuatrecasas, alerta ainda que “um dos principais desafios consiste na ampliação significativa do leque de entidades abrangidas, que obriga a clarificar critérios de identificação e a articular este regime com outros já vigentes, nomeadamente o RGPD, a legislação sobre proteção de infraestruturas críticas e normas setoriais específicas”. A jurista acrescenta que será necessário “reforçar os poderes das autoridades competentes, como o Centro Nacional de Cibersegurança, ao mesmo tempo que se asseguram mecanismos eficazes de cooperação interinstitucional e de reporte de incidentes, evitando sobreposição ou conflito de obrigações”.

Diferenças face à versão europeia

Questionados sobre eventuais alterações introduzidas em Portugal, os advogados sublinham que a maioria das diferenças é de natureza técnica. “Há, sobretudo, clarificação do texto, sendo de notar a redução do montante das coimas das contraordenações muito graves”, observa Daniel Reis.

Já a Abreu Advogados lembra que a NIS2 é uma diretiva de harmonização mínima, pelo que os Estados-Membros podem adotar disposições adicionais. “No caso português, a legislação já tinha introduzido diferenças em relação ao regime anterior”, referem Catarina Mascarenhas e Catarina Rodrigues Rocha. Entre os exemplos da atual proposta está a definição de categorias de entidades públicas relevantes e um processo de notificação de incidentes mais detalhado.

A transposição da NIS2 insere-se numa estratégia mais vasta da União Europeia para reforçar a resiliência digital. “Na prática, uma entidade poderá ter de responder em simultâneo a várias obrigações, como as do DORA ou do Cyber Resilience Act”, recorda Daniel Reis que, refere, é um quadro regulatório acumulado que exige das organizações “uma estratégia integrada de compliance, evitando incumprimento”.