A nova lei da cibersegurança: entre o avanço e o desafio

Num contexto de ameaças informáticas cada vez mais complexas e sofisticadas, a iniciativa é, em princípio, necessária e oportuna. Ainda assim, a aplicação prática levanta desafios que merecem reflexão, sobretudo quanto ao equilíbrio entre segurança, proporcionalidade e capacidade de execução.

A nova lei alarga substancialmente o número de entidades abrangidas, estendendo as obrigações de segurança e notificação de incidentes a sectores e empresas que, até agora, estavam fora deste tipo de regime. O objetivo é criar uma cultura de segurança digital abrangente, que envolva tanto grandes operadores como pequenas e médias empresas. No entanto, este alargamento suscita dúvidas legítimas sobre a adequação das exigências a diferentes realidades organizacionais. O cumprimento das novas obrigações pode representar um esforço considerável para entidades com recursos limitados, que terão de investir em estruturas, formação e processos específicos.

Esta questão da proporcionalidade é essencial. A Diretiva NIS2 procurou estabelecer um quadro harmonizado na União Europeia, mas concedeu aos Estados alguma margem de adaptação. Portugal optou por uma abordagem ambiciosa, reforçando deveres e sanções. Essa opção demonstra seriedade e compromisso com a segurança, mas implica também um risco: o de criar um sistema demasiado pesado para as empresas de menor dimensão. A cibersegurança é uma necessidade, mas também um investimento, e o equilíbrio entre rigor e viabilidade será determinante para o sucesso da lei.

Outro ponto relevante é o reforço do papel das autoridades competentes, em especial do Centro Nacional de Cibersegurança, que assume novas responsabilidades na fiscalização, coordenação e acompanhamento das entidades abrangidas. Este reforço institucional é positivo se vier acompanhado de transparência, diálogo e apoio técnico. Mais do que um papel sancionatório, o Estado deve posicionar-se como parceiro das organizações na construção de práticas seguras e sustentáveis.

Do ponto de vista jurídico, o novo regime representa uma mudança de paradigma: passa-se de um modelo focado em sectores críticos para uma lógica de responsabilidade partilhada, onde a segurança digital é entendida como um bem comum. É uma evolução coerente com a tendência europeia de tratar a cibersegurança como um pilar da soberania e da confiança digital. Contudo, para que essa visão produza resultados concretos, será essencial garantir clareza normativa, estabilidade regulatória e uma implementação progressiva e pedagógica.

O grande desafio, portanto, não está apenas na letra da lei, mas na execução. A transposição da NIS2 oferece uma oportunidade para fortalecer a confiança entre Estado, empresas e cidadãos. Mas essa confiança só se consolidará se o novo regime for aplicado com sensatez, evitando tanto a rigidez burocrática como o laxismo regulatório. A cibersegurança eficaz nasce da cooperação, não do medo de sanções.

Portugal tem, assim, a oportunidade de transformar esta diretiva europeia num verdadeiro catalisador de maturidade digital. Se conseguir equilibrar ambição e realismo, poderá não apenas cumprir uma obrigação europeia, mas afirmar-se como um exemplo de boa governação digital. O sucesso da nova lei dependerá, em última análise, da capacidade de conjugar segurança com inovação — e de entender que proteger o digital é também proteger o futuro.