Faltam menos de dois meses para a entrada em vigor da NIS2 e, no setor empresarial português, a cibersegurança entrou numa fase de pré-cumprimento em que a margem para adiar decisões se tornou residual. Na IT Insight TALKS dedicada à cibersegurança, Margarida Leitão Nogueira, Partner na DLA Piper, sublinhou que esta proximidade pode transforma o tema num problema de gestão
|
No ano em que a diretiva NIS2 entra em vigor em Portugal, a discussão deixou de se centrar apenas na resiliência digital e passou a focar-se no cumprimento de obrigações concretas. O Decreto-Lei n.º 125/2025, que transpõe a diretiva para o ordenamento jurídico nacional, “foi publicado no dia 4 de dezembro de 2025 e entrará em vigor no dia 3 de abril de 2026”, recordou Margarida Leitão Nogueira, Partner na DLA Piper, na primeira edição de 2026 da IT Insight TALKS dedicada à cibersegurança. A cronologia, contudo, inclui um elemento relevante, já que “existe ainda um conjunto de normas regulamentares que deverão ser aprovadas pelo Centro Nacional de Cibersegurança”. De seguida, inicia-se “um período de 24 meses para que determinadas normas deste diploma produzam efeitos”. A partner sublinhou ainda que devido à aprovação destas normas materiais, “as organizações têm aqui um período de tempo para se prepararem”. Apesar desse período, o enquadramento traz mudanças estruturais. A diretiva e o novo diploma “trazem algumas diferenças significativas quando comparado com o anterior regime”, desde logo “um alargamento significativo dos setores abrangidos e, consequentemente, das entidades abrangidas”, bem como “uma maior exigência ao nível das medidas de gestão de riscos e de notificação de incidentes”. Âmbito e classificaçãoA primeira questão prática para as organizações é determinar se estão ou não abrangidas. “Este regime jurídico classifica as entidades como entidades essenciais, entidades importantes e entidades públicas relevantes”, explicou. Este enquadramento não se limita à dimensão das empresas, já que existem entidades que, “independentemente da sua dimensão, também são consideradas essenciais”. Além disso, “se uma organização se qualificar em mais do que uma deve escolher-se aquele que é mais exigente do ponto de vista das exigências”. A regra geral é apenas o ponto de partida, até porque, como foi sublinhado, “existe um conjunto de exceções” e pode suceder que “a resposta a algumas destas questões pode ser negativa e ainda assim, por via das exceções, a entidade estar abrangida”. Isto é, mesmo quando uma organização conclui que não está abrangida, a análise pode não terminar aí. Caso preste serviços ou forneça produtos a uma entidade regulada, “pode ter de cumprir obrigações” ao nível da cadeia de abastecimento. As entidades abrangidas “devem avaliar as vulnerabilidades destes prestadores de serviços e destes fornecedores” e “devem avaliar a qualidade global dos produtos do ponto de vista da cibersegurança”. Medidas e notificações de incidentesNo capítulo das medidas, o novo regime representa uma mudança de patamar. As medidas de gestão de riscos “são mais exigentes do que eram no passado” e devem assentar numa “abordagem sistémica”. Essas medidas, segundo a responsável, “devem incidir sobre um conjunto muito variado de áreas, nomeadamente o tratamento de incidentes, tratamento de vulnerabilidades, práticas de ciberhigiene”. É neste sentido que o reporte de incidentes assume particular relevância no novo regime. Perante um incidente significativo, “a notificação inicial deve ser feita no prazo de 24 horas após determinação que o incidente é significativo”. Um incidente significativo é descrito como “um incidente suscetível de causar graves danos operacionais à entidade e ou danos financeiros ou que seja suscetível de causar ou de afetar terceiras entidades, causando-lhes danos materiais ou imateriais”. Após a notificação inicial, há uma notificação de fim de impacto e um relatório final, podendo ainda ser exigido relatório intercalar caso o incidente se mantenha em curso. Ao nível da supervisão, a diferença entre categorias de entidades é clara. No caso das entidades essenciais, existe supervisão ex ante e ex post, o que significa sujeição a medidas “independentemente de existirem indícios, provas ou informações de incumprimento”. Já as entidades importantes estão sujeitas a supervisão ex post, exigindo que exista informação, provas ou indícios de incumprimento. Regime sancionatórioO impacto potencial das sanções coloca o tema no centro da gestão. O regime pode resultar na aplicação de “coimas avultadas” e, no caso de uma entidade essencial que pratique uma contraordenação muito grave, “as coimas podem ascender aos dez milhões de euros de euros ou a até ou 2% do volume de negócios anual global”. O regime vai mais longe ao prever que os órgãos de direção, gestão e administração “podem ser responsabilizados pelas infrações e podem ser responsabilizados por ação ou por omissão”, o que desloca o tema da cibersegurança para o centro da governação. A estes órgãos são atribuídos deveres concretos, nomeadamente que “devem aprovar as medidas de gestão de riscos, supervisionar a sua implementação” e que “devem ainda com uma periodicidade regular, realizar ações de formação em matéria de ciber cibersegurança”. Margarida Leitão Nogueira sublinhou “a urgência das organizações começarem a preparar-se” e a necessidade de “começarem a olhar para aquilo que é o âmbito de aplicação do diploma para determinar se estão direta ou indiretamente abrangidas e assim poderem preparar-se para o cumprimento destas obrigações”. |
Receba todas as novidades na sua caixa de correio!
