Nova lei da cibersegurança entra oficialmente em vigor a 3 de abril

A nova legislação em matéria de cibersegurança foi esta quinta-feira publicada em Diário da República, introduzindo em Portugal um “dos mais modernos” regimes em matéria de prevenção e resposta a ciberataques da União Europeia, na ótica do Governo. Entra oficialmente em vigor a 3 de abril.

Com mais de um ano de atraso, em flagrante incumprimento das regras europeias, o “regime jurídico da cibersegurança” e as diversas alterações legislativas necessárias visam transpor para a jurisdição nacional uma diretiva europeia conhecida por NIS2. A diretiva pretende alcançar um nível comum de cibersegurança no continente europeu, perante o aumento das ameaças cibernéticas ao nível global.

Trata-se de uma lei muito abrangente, que obriga um conjunto de entidades públicas e privadas a adotarem medidas de prevenção e de redução das vulnerabilidades, incluindo na respetiva cadeia de abastecimento. No entanto, as regras “não são iguais para todos”, como explicou em novembro o ministro da Presidência, António Leitão Amaro. É que “nem todas as organizações, nem todas as infraestruturas, nem todos os serviços têm a mesma dimensão e o mesmo grau de vulnerabilidade e de criticidade para a nossa vida coletiva”.

Desde logo, o diploma define os critérios para a identificação de “entidades essenciais e entidades importantes”. Exemplos de entidades consideradas essenciais são as operadoras de telecomunicações ou entidades públicas que façam desenvolvimento, manutenção e gestão de infraestruturas de tecnologias da informação. A tecnologia não é o único setor abrangido, dado que a lei contempla uma lista de setores críticos, como é o caso do setor do abastecimento energético. O diploma aplica-se ainda às médias empresas.

Várias entidades públicas também passam a ser consideradas “essenciais ou importantes” com base no decreto-lei, mas muitas que não preencham estes critérios podem ser, ainda assim, categorizadas de “entidades públicas relevantes”, sujeitas a outro nível de medidas. É o caso, por exemplo, das entidades da administração indireta do Estado com mais de 250 trabalhadores nos quadros.

O Centro Nacional de Cibersegurança (CNCS), coordenado por Lino Santos, terá um papel central na aplicação e supervisão desta lei, alcançando o estatuto de autoridade nacional de cibersegurança, com poderes reforçados. Por exemplo, o centro passa a poder “adotar medidas de execução corretivas ou restritivas, incluindo a ordem de suspensão” de um determinado serviço em Portugal, no caso de um prestador que não tenha sede em Portugal “não ofereça as medidas adequadas de cibersegurança”.

Outro aspeto relevante prende-se com a redefinição daquilo que era a Comissão de Avaliação de Segurança (CAS), a entidade do Estado que, em 2023, decidiu impedir as operadoras recorrerem a tecnologia e serviços de empresas que preencham certos critérios, o que veio a determinar a proibição do recurso à empresa chinesa Huawei no desenvolvimento do 5G. A CAS era enquadrada juridicamente pela Lei das Comunicações Eletrónicas, mas passa a dispor agora de um enquadramento próprio. A lei obriga ainda a CAS a realizar uma nova avaliação de segurança no prazo de 180 dias.

Outros domínios introduzidos por este novo regulamento versam sobre a resposta a incidentes graves e “fomentam a criação de um mercado de certificação em cibersegurança”, o que, de acordo com o preâmbulo da lei, “terá utilidade económica e permitirá generalizar uma presunção de conformidade das entidades”.

Ao nível contraordenacional, as multas podem ir, nos casos muito graves, aos dez milhões de euros ou 2% do volume de negócios anual mundial de uma dada companhia. E mesmo as contraordenações leves podem valer multas de 45 mil euros se praticadas por uma pessoa coletiva ou 3.750 euros no caso das pessoas singulares.

Discursando numa conferência organizada pelo ECO esta quarta-feira, o secretário de Estado da Presidência do Conselho de Ministros, Tiago Macieirinha, destacou que “mais difícil do que fazer uma boa lei é a tarefa da sua aplicação ponderada, diligente, atenta à realidade e fiel ao espírito que animou a sua conceção”. O governante também garantiu que a cibersegurança não foi o único valor que o Executivo pretendeu proteger, “tendo sido “atento à necessidade de eliminação de custos inúteis, desnecessariamente impostos às entidades abrangidas”.

Outro aspeto central desta nova lei é a regulação de uma atividade que vem sendo designada pelo Governo de ethical hacking — a atividade de procurar ativamente vulnerabilidades nos sistemas das empresas no sentido de os reportar e estes serem corrigidos: “Não são puníveis factos suscetíveis de consubstanciar os crimes de acesso ilegítimo e de interceção ilegítima (…) quando o agente atue com a intenção única de identificar a existência de vulnerabilidades (…), não atue com o propósito de obter vantagem económica (…) e comunique, imediatamente após a sua ação, as eventuais vulnerabilidades identificadas”.

O novo regime entra em vigor no prazo de 120 dias, ou seja, a 3 de abril de 2026. A lei foi introduzida por via de uma alteração legislativa pedida ao Parlamento, depois de a iniciativa anterior ter caducado com a dissolução da Assembleia da República e queda do primeiro Governo de Luís Montenegro.