Compliance
A Comissão Europeia recorreu ao Tribunal de Justiça da União Europeia contra Irlanda, Espanha, França e Países Baixos por não transporem a Diretiva NIS2
13/07/2026
|
A Comissão Europeia avançou com processos contra a Irlanda, Espanha, França e Países Baixos no Tribunal de Justiça da União Europeia devido ao atraso na transposição da Diretiva NIS2, a principal legislação europeia em matéria de cibersegurança para infraestruturas críticas. Os quatro Estados-membros encontram-se mais de 20 meses atrasados na implementação da diretiva, que estabelece requisitos mínimos de segurança para setores essenciais como saúde, energia, transportes e administração pública. A Comissão solicita ao tribunal a aplicação de uma sanção financeira fixa, bem como multas diárias, até que cada país comunique formalmente a transposição integral da legislação. O prazo para integrar a NIS2 no direito nacional terminou em outubro de 2024. No entanto, em janeiro de 2025 apenas seis dos 27 Estados-membros da União Europeia tinham concluído esse processo. Em Portugal, a diretiva foi transposta no final de 2025. Na prática, este tipo de sanções raramente chega a ser aplicado, uma vez que os Estados-membros costumam aprovar a legislação durante o processo judicial, levando a Comissão a retirar a ação antes da decisão final do tribunal. O recurso surge numa altura em que a Agência da União Europeia para a Cibersegurança (ENISA) alerta para milhares de incidentes de cibersegurança registados no espaço europeu entre julho de 2024 e junho de 2025. Segundo a agência, a administração pública foi o setor crítico mais visado, concentrando 38% dos incidentes reportados, seguida pelo setor dos transportes, com 7,5%. A NIS2 atualiza a Diretiva de Segurança das Redes e da Informação de 2016, alargando o seu âmbito para 18 setores críticos e introduzindo novos requisitos de gestão de risco e de notificação de incidentes. A diretiva constitui ainda um dos pilares da estratégia europeia de cibersegurança, servindo de base para outras iniciativas legislativas, como o Cyber Resilience Act, que introduz obrigações de reporte de vulnerabilidades para produtos conectados a partir de 2027. Em paralelo, a Comissão Europeia propôs alterações ao Cybersecurity Act para reforçar o papel da ENISA e reduzir os riscos nas cadeias de fornecimento de tecnologias críticas, incluindo medidas para eliminar gradualmente fornecedores considerados de alto risco das infraestruturas críticas europeias. Bruxelas apresentou também propostas de ajustamento à NIS2 para clarificar alguns requisitos legais e simplificar o cumprimento da diretiva pelas empresas, reconhecendo que parte dos atrasos na transposição resulta da complexidade do novo enquadramento. A Irlanda afirmou que a sua nova Lei Nacional de Cibersegurança, que irá transpor a NIS2 e atribuir estatuto legal ao National Cyber Security Centre, se encontra em fase final de preparação, prevendo concluir a transposição até ao final de 2026. Espanha, França e Países Baixos não divulgaram, até ao momento, calendários equivalentes. |