Governo aprova regras para novo regime de cibersegurança. Hackers éticos protegidos na lei

O Governo aprovou esta quinta-feira, em Conselho de Ministros, a proposta de lei que regula o novo regime jurídico de cibersegurança, no âmbito da transposição da diretiva europeia sobre a Segurança das Redes e da Informação 2 (NIS 2).

O Executivo deu ‘luz verde’ às próximas regras que vão guiar empresas privadas e instituições do Estado a endereçar as ameaças e os ataques à segurança informática. O diploma em causa prevê a dinamização de um mercado de certificações de cibersegurança e benesses para os chamados “hackers éticos”.

O ministro da Presidência informou que está previsto o recurso e permissão da exclusão da ilicitude penal (exceção na ilegalidade) para ethical hacking (quando alguém se dedica a encontrar vulnerabilidades sem objetivos de aproveitamento financeiro). “Caso haja um trabalho de alguém para descobrir as vulnerabilidades e partilhar com as instituições sem violação de dados pessoais”, referiu António Leitão Amaro, no briefing.

“Se é verdade que Portugal não tem, no seu espaço físico, uma situação de guerra ou de conflitos e agressões no seu território, o mesmo não é verdade no seu ciberespaço. Os portugueses sabem – aliás, tem tido várias experiencias – que há momentos de agressões no ciberespaço a entidades relevantes públicas e privadas”, contextualizou o ministro, acrescentando que os incidentes abrangem empresas de todas as indústrias, desde o setor financeiro, às telecomunicações e até comunicação social.

Assim, o Governo aprovou uma proposta de lei – que terá de ser discutida e votada na Assembleia da República – que cria uma estrutura de riscos proporcional à dimensão e características dos serviços que as entidades prestam. Ou seja, se as infraestruturas são mais ou menos críticas.

“Afere-se o nível de perigosidade e, em função disso, as empresas são auto-classificadas e adotam mais ou menos medidas, mais ou menos obrigações de reporte”, adiantou António Leitão Amaro, após o Conselho de Ministros.

Segundo António Leitão Amaro, o que o Governo fez foi olhar para a diretiva NIS 2 e propôr “um regime o menos burocrático possível”, em linha com o plano de combate à burocracia. “Em vez de regimes de aprovações e licenças prévias, de complexos sistemas de pré-validação pública, optámos por um regime de uma matriz de risco em função da dimensão e do nível e criticidade das empresas e instituições”, explicou.

No final do ano passado, entrou em consulta pública o novo Regime Jurídico da Cibersegurança, que acabou por ser aprovado em Conselho de Ministros a 5 de fevereiro. A NIS 2 destina-se a garantir um elevado nível comum de cibersegurança em toda a União Europeia. “Portugal entra num grupo de países restrito com um regime de cibergurança mais exigente”, concluiu o ministro.