Foram aprovados em Conselho de Ministro dois diplomas ligados à cibersegurança: a proposta de transposição para a lei nacional da diretiva europeia de segurança de redes, a NIS2, e a proposta para a criação de um novo regime jurídico de cibersegurança.
“Creio que as últimas semanas demonstram bem a importância da vulnerabilidade dos sistemas, do espaço cibernético português, da existência de ameaças de várias origens e da importância de garantir a segurança do espaço português também no ciberespaço”, explicou o ministro António Leitão Amaro, durante o briefing após o Conselho de Ministros, uma referência ao ataque informático à Agência para a Modernização Administrativa (AMA).
Na semana passada, o ministro já tinha detalhado no Parlamento que o Governo iria avançar com os trabalhos nestas duas matérias da segurança informática.
Leitão Amaro explicou que, em relação a estas alterações, ainda “haverá uma reunião do Conselho Nacional de Segurança no Ciberespaço” antes de estas propostas serem colocadas na plataforma de consulta pública. Segundo o ministro, a consulta pública estará disponível “durante todo o mês de novembro”. O período de consulta é necessário para que a “proposta de lei possa ser enviada à Assembleia da República depois da discussão do Orçamento”.
O ministro referiu que, com um novo regime que tem em conta as regras europeias de cibersegurança, se “prevê um fortalecimento das medidas de segurança em função da dimensão” das entidades e “da natureza crítica dos serviços que gerem, como equipamentos de saúde, entidades da administração pública, infraestruturas e comunicações”.
[Já saiu o quarto episódio de “A Grande Provocadora”, o novo podcast Plus do Observador que conta a história de Vera Lagoa, a mulher que afrontou Salazar, desafiou os militares de Abril e ridicularizou os que se achavam donos do país. Pode ouvir aqui, no Observador, e também na Apple Podcasts, no Spotify e no Youtube. E pode ouvir aqui o primeiro episódio, aqui o segundo e aqui o terceiro.]
A diretiva europeia NIS2 entrou em vigor em janeiro de 2023, com o objetivo de uniformizar as medidas de cibersegurança nos países da União Europeia. Determina que as entidades que prestam serviços críticos ou essenciais para a população tenham medidas mais rígidas de segurança informática, como análises recorrentes à segurança dos sistemas, políticas para tratamento de incidentes informáticos e planos de recuperação em caso de incidente. Além disso, também estão previstas multas mais pesadas para quem não cumprir, que podem chegar até 10 milhões de euros ou 2% do volume de negócios anual total, consoante o que for mais alto.
A UE também definiu um prazo para que todos os países fizessem a transposição para a respetiva lei nacional: 17 de outubro de 2024, 21 meses depois da diretiva entrar em vigor. Portugal falhou o prazo, tal como outros países da UE.
Segundo Leitão Amaro, a proposta que foi aprovada prevê “poderes reforçados” para as autoridades de supervisão — o Centro Nacional de Cibersegurança (CNCS) e a Anacom, “no caso das comunicações eletrónicas”. Este reforço de poder pretende “promover a adoção de práticas de reforço de cibersegurança em cada uma” das empresas que seja abrangida pelas regras europeias de cibersegurança.
Aprovado diploma que executa regulamento europeu dos serviços digitais
O Conselho de Ministros aprovou também um diploma que, “na prática, executa um regulamento europeu dos serviços digitais”, revelou Leitão Amaro. Este regulamento, também conhecido como lei dos serviços digitais (DSA), estabelece “os deveres para os prestadores de serviços digitais, designadamente contra conteúdos ilegais, estabelecendo a Anacom como a entidade supervisora para acompanhar estas matérias”.
A 3 de outubro, a Comissão Europeia instou Portugal a cumprir este regulamento dos serviços digitais, nomeadamente a “conferirem poderes” aos coordenadores para aplicarem o regulamento, algo que deveria ter sido feito até 17 de fevereiro. Portugal também falhou na explicitação das sanções que são aplicadas em caso de infração, lembrou a Comissão.
