Vem aí uma nova lei de reforço da cibersegurança, que vai trazer um alargamento dos setores, das empresas e das entidades públicas sob escrutínio, mais poderes de intervenção das autoridades, e sanções mais pesadas para as “entidades essenciais” e “entidades importantes” abrangidas. O Governo passa a ter a última palavra sobre as decisões que resultem no afastamento de fornecedores de risco, de acordo com um projeto de lei que vai estar, a partir desta sexta-feira, dia 21, em consulta pública. A chamada diretiva NIS2 — lei comunitária agora transposta — visa garantir uma capacidade de resposta às novas ciberameaças, mas o Governo defende uma aplicação equilibrada da diretiva. O “caso Huawei”, esse, vai ser objeto de nova reavaliação no prazo de seis meses.

A transposição da NIS2 (Diretiva 2022/2555) já era aguardada, mas a dúvida dos agentes económicos, privados e públicos, tinha a ver com o alcance da forma como o Governo entendia transpor o que é definido no quadro europeu. E na avaliação do Governo — o ministro da Presidência, António Leitão Amaro, tem a tutela da cibersegurança –, o diploma que vai agora para consulta pública terá um ponto de equilíbrio entre as exigências de proteção e o âmbito, custos e execução da fiscalização do reforço da cibersegurança.

Havia, de qualquer forma, um “elefante na sala”. A tecnológica chinesa Huawei foi afastada do 5G precisamente por causa dos riscos de cibersegurança identificados. Em maio de 2023, a Comissão de Avaliação de Segurança, no âmbito do Conselho Superior de Segurança do Ciberespaço, divulgou uma deliberação sobre o “alto risco” para a segurança das redes e de serviços 5G do uso de equipamentos de fornecedores que, entre outros critérios, estejam sedeados em países que não pertençam à UE, NATO ou OCDE, e que “o ordenamento jurídico do país em que está domiciliado” ou ligado “permita que o Governo exerça controlo, interferência ou pressão sobre as suas atividades a operar em países terceiros”.

A decisão encaixou como uma luva na Huawei, fornecedora de redes de 5G. E esperava-se agora, na transposição desta diretiva, para avaliar se o Governo revertia, ou não, a decisão do Governo anterior de António Costa. Ora, uma norma transitória da proposta de lei define que, apesar das mudanças, a entrada em vigor desta lei “não prejudica a validade das decisões tomadas pela Comissão Nacional de Avaliação de Segurança“. Mas o Executivo abre a porta à sua reavaliação. Aquela decisão continua a valer por um prazo de 180 dias, mas nos referidos seis meses, “com base na nova avaliação de segurança (…), o membro do Governo responsável pela área de cibersegurança pode decidir pela renovação, modificação ou substituição das decisões adotadas pela Comissão de Avaliação de Segurança“.

Ou seja, passa a estar tudo em aberto num processo que está a ser, já hoje, impugnado em tribunal pela tecnológica chinesa. Mas assim o Governo garantiu o que considera ser essencial: a preservação da continuidade do Estado, independentemente de quem está em funções executivas.

Mais setores, empresas e entidades públicas abrangidas. E coimas mais pesadas

O novo regime de cibersegurança define os critérios que servem para determinar os riscos a que o país está exposto. Particularmente, no artigo 18.º — que especifica o papel e composição da Comissão de Avaliação de Segurança do Ciberespaço — é explicitado que o membro do Governo pode aprovar “restrições” à utilização de equipamentos de risco para a segurança do ciberespaço ou mesmo a exclusão desses equipamentos. E um dos critérios para avaliar o nível de exposição dos fabricantes ou fornecedores a influências indevidas é a dependência, “direta ou indiretamente (…), da interferência do Governo ou administração de um país terceiro“.

A proposta de lei que vai agora ser sujeita a consulta pública já foi discutida, no passado dia 5 de novembro, no âmbito do Conselho Superior de Segurança do Ciberespaço, e também foi alvo de consultas no quadro do CSIRT (Computer Security Incident Response Team), que inclui 64 entidades públicas e privadas. Nesta rede nacional de consulta e cooperação de incidentes digitais estão bancos, operadores de telecomunicações, consultoras e até um clube de futebol (o Benfica), além de entidades públicas como as universidades.

O Governo tinha uma preocupação central, além de cumprir o que decorre da segurança e integridade dos sistemas críticos determinados no quadro europeu: evitar custos pesados, especialmente para as empresas que não estão abrangidas pela atual NIS1 e que passam a ter de cumprir exigências de cibersegurança. A fórmula encontrada terá seguido o modelo da Bélgica, o primeiro Estado-membro a adotar a referida diretiva comunitária.

Por um lado, o Governo definiu o âmbito de aplicação da nova lei às médias empresas privadas (entre 50 e 249 trabalhadores) e às grandes empresas. Ou a entidades que, independentemente da sua dimensão, possam ser, por exemplo, fornecedores de redes públicas de comunicações eletrónicas, ou a entidades que sejam prestadores únicos de um serviço considerado essencial. Mas também a entidades do Estado, incluindo entidades independentes, mas excluindo o Banco de Portugal, a Comissão do Mercado de Valores Mobiliários (CMVM) e a Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF).

Além disso, o Governo tipificou dois tipos de empresas ou organismos públicos: entidades essenciais e entidades importantes. E, no caso do Estado, se os organismos não forem considerados em nenhuma destas categorias, podem entrar numa espécie de terceira categoria: Entidades Relevantes de Grupo A e Entidades Relevantes de Grupo B.

Como é que as empresas e os organismos públicos saberão a qual grupo pertencem? Uma das preocupações foi limitar os custos associados às novas exigências de reforço de cibersegurança, que necessariamente vão aumentar. Como referido, a proposta de lei segue o modelo da Bélgica. O Centro Nacional de Cibersegurança vai disponibilizar uma plataforma eletrónica na qual as empresas se inscrevem e poderão, assim, saber através de um mecanismo de autoidentificação, em que grupo se inserem.

Este passo é decisivo para a avaliação do respetivo risco e, sobretudo, das coimas a que poderão estar sujeitas em caso de incidente ou não cumprimento do novo regime. O objetivo, lê-se no diploma preliminar, “é garantir que as empresas e entidades abrangidas conheçam a categoria em que se inserem e as medidas mínimas que devem adotar“.

E que medidas são essas? Por exemplo, “as entidades essenciais e importantes são responsáveis por garantir a segurança das redes e dos sistemas de informação, tomando as medidas técnicas, operacionais e organizativas adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam nas suas operações e para impedir ou minimizar o impacto de incidentes nos destinatários dos seus serviços e noutros serviços“. Caso não o façam, “os titulares dos órgãos de gestão, direção e administração podem responder por ação ou omissão, com dolo ou culpa grave“. E neste diploma há outra novidade: as “entidades essenciais e importantes” têm de passar a ter um responsável pela cibersegurança.

As coimas a aplicar às empresas e pessoas singulares incumpridoras das novas regras de cibersegurança por contraordenações muito graves são pesadas. No caso de uma entidade considerada “essencial”, podem ir de 2,5 milhões a dez milhões de euros ou a 2% do volume de negócios anual a nível mundial, e, no caso de uma pessoa singular, a coima é definida entre os 500 euros e os 250 mil euros. Já para as chamadas entidades “importantes”, a coima vai de 1,75 milhões a sete milhões de euros, num valor não inferior a 1,4% da faturação anual a nível mundial. No caso de a contraordenação ser praticada por uma pessoa singular, a coima pode ir dos 500 euros aos 250 mil euros. Os valores a aplicar nas contraordenações graves são, claro, inferiores.

Uma das soluções possíveis para minimizar custos para as empresas abrangidas, particularmente as de média dimensão, que não tinham até agora quaisquer obrigações, e criar valor económico associado a estas novas regras, é aceitar a existência de um novo mercado de certificação de cibersegurança, como existe com outras exigências regulatórias, nomeadamente de qualidade. As empresas devidamente qualificadas — e terão elas próprias de passar os testes das autoridades de cibersegurança — poderão passar certificados que atestam o cumprimento das novas exigências e isso significará, para as empresas que as recebem, também uma vantagem competitiva de mercado.

Quais são os setores que passam a estar abrangidos pela nova lei?

1. Energia

a) Eletricidade
b) Sistemas de aquecimento e arrefecimento urbano
c) Petróleo
d) Gás
e) Hidrogénio

2. Transportes

a) Transporte aéreo
b) Transporte ferroviário
c) Transporte aquático
d) Transporte rodoviário

3. Setor bancário (instituições de crédito)

4. Infraestruturas do mercado financeiro (operadores de plataformas de negociação)

5. Saúde (prestadores de cuidados de saúde, laboratórios)

6. Água potável (fornecedores e distribuidores de água)

7. Águas residuais (empresas que recolhem e tratam águas residuais urbanas, domésticas ou industriais)

8. Infraestruturas digitais (Fornecedores de pontos de troca de tráfego, prestadores de serviços de centros de dados, fornecedores de redes de distribuição de conteúdos, fornecedores de redes públicas de comunicações eletrónicas)

9. Gestão de serviços TIC (entre empresas)

10. Espaço (operadores de infraestruturas terrestres)

O projeto lei define ainda, em anexo, outros setores críticos para reforço de cibersegurança:

1. Serviços postais e de estafeta

2. Gestão de resíduos

3. Produção, fabrico e distribuição de produtos químicos

4. Produção, transformação e distribuição de produtos alimentares

5. Indústria transformadora

a) Fabrico de dispositivos médicos e dispositivos médicos para diagnóstico in vitro
b) Fabricação de equipamentos informáticos, equipamentos para comunicação, produtos eletrónicos e óticos
c) Fabricação de equipamento elétrico
d) Fabricação de máquinas e equipamentos (não especificados)
e) Fabricação de veículos automóveis, reboques e semirreboques
f) Fabricação de outro equipamento de transporte

6. Prestação de serviços digitais

7. Investigação