Eleições legislativas podem atrasar transposição da diretiva NIS2 em Portugal

Todos os estados-membros deverão transpor a nova Diretiva Network and Information Security (NIS2) até dia 17 de outubro de 2024. No entanto, face as eleições legislativas marcadas para março do próximo ano, Portugal estará numa corrida contra o tempo para assegurar que esta transposição não atrasa.

A transposição é um processo moroso, sendo que, após a aprovação e implementação de uma legislação da União Europeia (UE), o governo português deverá seguir os procedimentos estabelecidos pela Constituição da República Portuguesa e pelas leis nacionais. Isto significa que a diretiva NIS2 terá de ser aprovada pelo parlamento, passar por uma ratificação presidencial antes de se tornar lei e só depois será implementada.

Num evento da IDC, que teve como mote “NIS2: Qual o impacto para a sua organização?”, o possível impacto da mudança de governo na transposição da diretiva foi um dos temas discutidos. António Gameiro Marques, Diretor-Geral do Gabinete de Segurança Nacional (GNS), revelou que o setor público desempenhará um papel importante para ajudar as entidades e organizações portuguesas a transpor a NIS2.

“A C-Network será composta por 7 centros de competências distribuídos pelo país (incluindo ilhas), integrando especialistas com competências diversas para apoiar as organizações locais”, explica António Gameiro Marques. “Aliás, para dar resposta vamos quase que duplicar o número de colaboradores. Na minha perspetiva, temos de ser ágeis, pois o hacker aplaude a complexidade, porque, enquanto estamos a descomplicar, o hacker tem tempo para atacar”.

O Diretor-Geral do GNS acrescentou ainda que uma das alterações mais significativas é a abrangência do número de organizações da NIS2, que será dez vezes maior do que a sua diretiva antecessora, devido à introdução de um critério de dimensão. O responsável destacou que o GNS e o Centro Nacional de Cibersegurança (CNCS) apresentaram a proposta de realizar uma consulta pública para ouvir a opinião das empresas sobre esta matéria.

“Hoje mais de 30% do negócio das organizações é proveniente de produtos, serviços e experiências digitais, e prevemos que seja mais de 40%, em 2025”, explicou Gabriel Coimbra, Vice-Presidente do Grupo e Country Manager da IDC. “Neste contexto, os temas relacionados com a Gestão de Risco e Segurança de Informação são cada vez mais relevantes, e a Diretiva NIS 2 será fundamental para garantir uma maior resiliência digital das organizações europeias, mas exigirá um esforço significativo por parte das grande e médias empresas, que terão de aumentar os seus investimentos em segurança da informação em mais 10 a 20%”.

A nova diretiva NIS2 abrange 15 setores e introduz a classificação das entidades como “importantes” ou “essenciais”, segundo os critérios da UE. Um exemplo é o facto de as empresas com mais de 50 colaboradores e mais de 10 milhões de euros de volume de negócios serem abrangidas pela NIS 2.

“No recente Relatório da EY, “O futuro da cibersegurança na Europa. Desafios relacionados com a Diretiva NIS2”, frisámos que a falta de recursos nas empresas (33% da cibersegurança é feita pelo IT e não por uma identidade independente e específica) tem de ser uma preocupação nesta fase de transposição para as entidades”, sublinhou Jorge Libório, Partner Cyber Security da EY Portugal. “Melhorar a maturidade nas organizações e ver a cibersegurança como uma alavanca de crescimento e não um obstáculo, é essencial. As pessoas estão “cansadas” da regulamentação e veem-na como um obstáculo. É importante utilizar a regulação de forma proativa como um aliado”. 

Jorge Libório afirmou também que “as partes interessadas deverão ser envolvidas na transposição da diretiva, de forma a serem ouvidas, e conseguirem expor os seus pontos de vista e preocupações. Além disso, a preparação é fundamental, e é muito importante que estas entidades tenham guidance sobre como se podem preparar, bem como quanto tempo terão para provar a conformidade depois de transposta a lei, e de que forma podem provar essa conformidade”.