Opinion
O Conselho de Ministros aprovou recentemente uma nova proposta de lei de cibersegurança para reforçar a proteção dos sistemas digitais em Portugal, transpondo a Diretiva NIS 2, que recebeu 149 contributos em consulta pública. A proposta carece de aprovação, mas é expectável que não seja alvo de uma alteração substancial
Por Alexandra Palma, Information Security Consultant da Devoteam Cyber Trust . 05/03/2025
Embora não seja conhecida, publicamente, uma data para a aprovação deste novo diploma legal, é tempo de atuar sobre as novas obrigações já conhecidas. A proposta de lei ajusta as exigências regulatórias às entidades abrangidas em consonância com a dimensão e a criticidade da sua atividade, amplia as obrigações de vários setores e atribui ao Centro Nacional de Cibersegurança uma supervisão mais abrangente. É criado um novo Regime Jurídico de Cibersegurança que determina que, para as entidades abrangidas pela anterior regulamentação (Regime Jurídico do Ciberespaço), a resposta à sua conformidade consubstancia-se na continuação das iniciativas tomadas anteriormente, com as especificidades decorrentes do robustecimento de medidas que surgem com o novo regime, em tópicos como a notificação de incidentes, regime de supervisão e sancionatório, avaliação da cadeia de abastecimento e adoção de medidas de âmbito técnico, operacional e organizacional. O Quadro Nacional de Referência para a Cibersegurança (QNRCS) ganha um protagonismo que, à luz do Regime Jurídico da Segurança do Ciberespaço, ainda não tinha tido lugar, apenas referido com aparecimento posterior através do Decreto-Lei 65/2021. A atual proposta de lei avança com um modelo que “fomenta a criação de um mercado de certificação em cibersegurança” que permite “generalizar uma presunção de conformidade das entidades” e adota do QNRCS como instrumento nacional de referência de forma explícita, afirmando que “as entidades essenciais e importantes devem ter em conta o QNRCS”, podendo o CNCS “exigir às entidades essenciais, importantes e públicas relevantes, a obtenção de certificação, nacional, europeia ou internacional, que ateste o cumprimento das medidas de cibersegurança”. Coloca-se a questão de saber se para organizações que têm algum tipo de sistema de gestão de segurança implementado/certificado é o suficiente para estar em conformidade com as exigências legais. A transversalidade da nova regulamentação estende a sua aplicabilidade a toda a organização envolvendo diretamente o Negócio na Cibersegurança, obrigando a que a comunicação seja promovida não só entre entidades supervisoras competentes, entre setores, como, também, dentro das próprias organizações. A adoção do princípio “tone from the top” responsabiliza diretamente a administração por estas temáticas, elevando a abrangência holística deste normativo. Não basta, por isso, conformarmo-nos com o cumprimento do anterior regime, nem tão pouco com uma eventual certificação (que pela sua génese tem um âmbito de aplicabilidade definido), mas precisamos de olhar para o panorama da cibersegurança como uma preocupação de todos, dentro e fora de portas. As organizações, ao adotar uma abordagem proativa, asseguram a conformidade regulatória, mas também o reforço da sua resiliência face às ciberameaças. |