Foi submetido para consulta pública um novo Regime Jurídico da Cibersegurança, que transpõe a Diretiva sobre a Segurança das Redes e da Informação 2 (NIS 2), destinada a garantir um elevado nível comum de cibersegurança em toda a União Europeia.

A proposta de lei alarga o número de entidades abrangidas pelo quadro regulatório da cibersegurança, bem como os poderes de supervisão do Centro Nacional de Cibersegurança, e fixa o grau de exigência do cumprimento das medidas de cibersegurança em função da dimensão das entidades e da importância da respetiva atividade.

As novas regras serão aplicáveis tanto ao setor privado como ao público, impondo novos padrões e obrigações a vários setores “essenciais e importantes”, incluindo a gestão mais rigorosa de riscos de cibersegurança e a necessidade de coordenação entre entidades públicas e privadas.

Neste sentido, os titulares dos órgãos de administração, gestão e direção de entidades que sejam consideradas “essenciais e importantes” serão responsáveis por aprovar e implementar medidas de gestão de risco, bem como promover formação sobre as mesmas.

É, também, prevista a possibilidade de os dirigentes terem de responder diretamente pelas infrações cometidas, nas situações em que os mesmos não verificam o cumprimento das regras ou atuam de forma negligente. 

Para além disso, é reforçada a segurança quanto a prestadores de serviços e fornecedores, particularmente, no que refere ao dever de diligência na escolha do terceiro, tendo de ser avaliado e monitorizado se o mesmo oferece as mesmas garantias que a entidade tem implementadas na sua organização.

Em caso de incumprimento, estão previstas coimas até 250 mil euros para pessoas singulares e até 10 milhões de euros ou o equivalente a 2% do volume de negócios anual a nível mundial (consoante o que for mais elevado) para as pessoas coletivas.

Adicionalmente, podem ser aplicadas sanções acessórias, nomeadamente, a proibição de participar em contratação pública ou a suspensão da prestação do serviço enquanto a situação não se encontrar regularizada.

O diploma aprofunda, ainda, três instrumentos fundamentais para as políticas públicas de cibersegurança: 

• A Estratégia Nacional de Segurança do Ciberespaço, definindo as prioridades e os objetivos estratégicos nacionais em matéria de cibersegurança;
• O Plano Nacional de Resposta a Crises e Incidentes de Cibersegurança em grande escala, regulando e aperfeiçoando a gestão deste tipo de incidentes;
• O Quadro Nacional de Referência para a Cibersegurança, que irá reunir e permitir a divulgação de normas, padrões e boas práticas na gestão da cibersegurança.

O novo Regime Jurídico da Cibersegurança entrou em consulta pública a 22 de novembro, tendo o respetivo prazo sido alargado até 31 de dezembro.