Portugal e a NIS2: um novo capítulo para a cibersegurança nacional

A diretiva NIS2 visa estabelecer um elevado “nível comum” de cibersegurança em toda a União Europeia, alargando o número de entidades abrangidas e reforçando as obrigações relativamente à prevenção, à mitigação dos riscos e à resposta a incidentes. 

Esta proposta nacional está diretamente alinhada com este objetivo, apostando numa matriz de risco que adapta o grau de exigência à dimensão e à criticidade das organizações, o que não só torna o sistema mais eficiente, como também reduz a burocracia, incentivando uma cultura de autorresponsabilização nas entidades.

Outro aspeto inovador é a proteção das práticas de cibersegurança ofensiva com intenção benigna. Este novo regime jurídico propõe a exclusão da ilicitude penal para atividades de hacking ético, ou seja, esta nova lei permite que quem encontra falhas de segurança em sistemas — desde que realizadas sem fins lucrativos, com respeito pela privacidade e com comunicação responsável das vulnerabilidades identificadas — não seja punido. O que é um sinal claro da maturidade legislativa e uma forma inteligente de envolver a comunidade técnica na defesa dos sistemas nacionais.

Além disso, a legislação prevê ainda mecanismos para excluir fornecedores e tecnologias que representem um risco para a segurança nacional, uma medida fundamental num contexto internacional marcado por tensões geopolíticas, dependência tecnológica e ameaças persistentes à integridade das infraestruturas críticas.

Com esta nova lei, Portugal reforça o caminho que já vinha a percorrer no campo da cibersegurança. O país tem sido reconhecido internacionalmente pela sua preparação na matéria e esta nova legislação vem consolidar essa base sólida, elevando o grau de exigência de forma equilibrada e progressiva.
 
Apesar disso, é importante estar consciente dos esforços que esta legislação exige. Por isso, acredito que é uma necessidade premente dispor de ferramentas adequadas para apoiar este processo de transição nas entidades abrangidas. Na prática, as organizações terão de implementar sistemas eficazes de monitorização e comunicação de incidentes. Complementarmente, deverão atualizar de forma regular os seus planos de segurança e garantir uma formação contínua das suas equipas para cumprir com as novas obrigações legais.

Mais do que responder a uma diretiva europeia, esta proposta mostra visão e responsabilidade. Numa era em que os ataques informáticos são cada vez mais frequentes, proteger o ciberespaço não é apenas um desafio técnico, mas sim uma prioridade coletiva. Através da adoção deste novo modelo jurídico, Portugal dá um sinal claro de que quer liderar com segurança e confiança o seu futuro digital.

Ao reconhecer que a cibersegurança é uma responsabilidade partilhada, esta legislação convida empresas, instituições e profissionais a fazerem parte de uma estratégia comum. É este sentido de compromisso coletivo entre setor público, setor privado e sociedade civil que poderá transformar boas intenções em resultados duradouros e reforçar, de forma sustentável, a confiança no digital.