00dias
00horas
00min.
00seg.

Opinion

Novo Regime Jurídico de Cibersegurança: mais obrigações, mais resiliência

O Conselho de Ministros aprovou recentemente uma nova proposta de lei de cibersegurança para reforçar a proteção dos sistemas digitais em Portugal, transpondo a Diretiva NIS 2, que recebeu 149 contributos em consulta pública. A proposta carece de aprovação, mas é expectável que não seja alvo de uma alteração substancial

Por Alexandra Palma, Information Security Consultant da Devoteam Cyber Trust . 05/03/2025

Novo Regime Jurídico de Cibersegurança: mais obrigações, mais resiliência

Embora não seja conhecida, publicamente, uma data para a aprovação deste novo diploma legal, é tempo de atuar sobre as novas obrigações já conhecidas. A proposta de lei ajusta as exigências regulatórias às entidades abrangidas em consonância com a dimensão e a criticidade da sua atividade, amplia as obrigações de vários setores e atribui ao Centro Nacional de Cibersegurança uma supervisão mais abrangente.

É criado um novo Regime Jurídico de Cibersegurança que determina que, para as entidades abrangidas pela anterior regulamentação (Regime Jurídico do Ciberespaço), a resposta à sua conformidade consubstancia-se na continuação das iniciativas tomadas anteriormente, com as especificidades decorrentes do robustecimento de medidas que surgem com o novo regime, em tópicos como a notificação de incidentes, regime de supervisão e sancionatório, avaliação da cadeia de abastecimento e adoção de medidas de âmbito técnico, operacional e organizacional. 

O Quadro Nacional de Referência para a Cibersegurança (QNRCS) ganha um protagonismo que, à luz do Regime Jurídico da Segurança do Ciberespaço, ainda não tinha tido lugar, apenas referido com aparecimento posterior através do Decreto-Lei 65/2021. 

A atual proposta de lei avança com um modelo que “fomenta a criação de um mercado de certificação em cibersegurança” que permite “generalizar uma presunção de conformidade das entidades” e  adota do QNRCS como instrumento nacional de referência de forma explícita, afirmando que “as entidades essenciais e importantes devem ter em conta o QNRCS”, podendo o CNCS “exigir às entidades essenciais, importantes e públicas relevantes, a obtenção de certificação, nacional, europeia ou internacional, que ateste o cumprimento das medidas de cibersegurança”.

Coloca-se a questão de saber se para organizações que têm algum tipo de sistema de gestão de segurança implementado/certificado é o suficiente para estar em conformidade com as exigências legais. A transversalidade da nova regulamentação estende a sua aplicabilidade a toda a organização envolvendo diretamente o Negócio na Cibersegurança, obrigando a que a comunicação seja promovida não só entre entidades supervisoras competentes, entre setores, como, também, dentro das próprias organizações. 

A adoção do princípio “tone from the top” responsabiliza diretamente a administração por estas temáticas, elevando a abrangência holística deste normativo. Não basta, por isso, conformarmo-nos com o cumprimento do anterior regime, nem tão pouco com uma eventual certificação (que pela sua génese tem um âmbito de aplicabilidade definido), mas precisamos de olhar para o panorama da cibersegurança como uma preocupação de todos, dentro e fora de portas. As organizações, ao adotar uma abordagem proativa, asseguram a conformidade regulatória, mas também o reforço da sua resiliência face às ciberameaças.


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº22 Fevereiro 2025

IT SECURITY Nº22 Fevereiro 2025

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.