Usar uma certificação de segurança inválida ou omitir informação nesse processo de certificação pode dar uma multa entre 1.000 e 44.891,81 euros, de acordo com o diploma que regulamenta o regime jurídico da segurança do ciberespaço.
O decreto-lei, esta sexta-feira publicado em Diário da República (DRE), estabelece contraordenações puníveis “com coima de (euro) 1.000,00 a (euro) 3.740,98, no caso de pessoa singular, ou de (euro) 5.000,00 a (euro) 44.891,81, no caso de pessoa coletiva”. Assim, segundo a legislação, as entidades poderão ser sancionadas pela “utilização de marca de certificação da cibersegurança inválida, caducada ou revogada” ou de “expressão ou grafismo que expressa ou tacitamente sugira a certificação da cibersegurança de produto, serviço ou processo que não seja certificado”.
Além disso, a lei prevê multas para os casos de “omissão dolosa de informação ou a prestação de falsa informação que seja relevante para o processo de certificação da cibersegurança que se encontre em curso, nos termos definidos em cada esquema de certificação”. O diploma veio regulamentar o regime jurídico da segurança do ciberespaço “e define as obrigações em matéria de certificação da cibersegurança”, concluindo a transposição de uma diretiva europeia.
“A referida lei remete para legislação complementar a definição, por um lado, dos requisitos de segurança das redes e sistemas de informação e, por outro lado, das regras para a notificação de incidentes, que devem ser cumpridos pela Administração Pública, operadores de infraestruturas críticas, operadores de serviços essenciais e prestadores de serviços digitais”, indicou o diploma.
Os requisitos previstos no decreto-lei são “um mínimo a assegurar pelas entidades abrangidas pela Lei n.º 46/2018, de 13 de agosto, não prejudicando as regras que, em função da natureza das entidades, de aspetos específicos da atividade desenvolvida ou do contexto em que esta se desenvolva, possam vir a ser estabelecidas por outras autoridades, nomeadamente pelo Ministério Público, pela Autoridade Nacional de Emergência e Proteção Civil, pelo Conselho Nacional de Planeamento Civil de Emergência, pela Autoridade Nacional de Comunicações, pela Comissão Nacional de Proteção de Dados, ou por outras autoridades setoriais”, lê-se no preâmbulo.
O regulamento recorda que “o ciberespaço é uma realidade dinâmica e fluida, em permanente mutação, colocando desafios de alcance transnacional e que atravessa vários setores de atividade” e, por isso, o decreto-lei “reconhece a necessidade de articular as disposições legais […] consagradas com a aplicação de normativos complementares setoriais”.
Por isso, “o Centro Nacional de Cibersegurança, enquanto Autoridade Nacional de Cibersegurança, nos casos em que se considere necessário e em articulação com as entidades reguladoras e de supervisão setoriais, procede a uma avaliação de equivalência, conferindo, assim, segurança jurídica aos requisitos constantes de legislação setorial que sejam considerados equivalentes aos consagrados no presente decreto-lei”, esclarece.
Além disso, fica implementado outro regulamento europeu, que permite “a implementação de um quadro nacional de certificação da cibersegurança pela Autoridade Nacional de Certificação da Cibersegurança”.