O anterior Governo já tinha aprovado uma proposta de Lei para transposição da diretiva NIS2, mas a queda do executivo, depois de uma moção de confiança, fez com que a legislação acabasse por não chegar à fase final no Parlamento, onde baixou à Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias e foi submetida a pedidos de parecer a várias entidades. Agora o Conselho de Ministros aprovou a nova proposta de Lei de cibersegurança, que o Ministro da Presidência, António Leitão Amaro, disse ontem que coloca Portugal no "grupo de países restrito com um regime de cibergurança mais exigente". 

A proposta de lei foi apresentada ontem, em conjunto com medidas para a proibição do uso de telemóveis nas escolas e mudanças na disciplina de educação para a cidadania, que só serão conhecidas em detalhe na próxima semana, e acabou por gerar menos perguntas na conferência de imprensa que se segue ao Conselho de Ministros. 

António Leitão Amaro começou por explicar que apesar de Portugal não estar em guerra, "os portugueses sabem  e têm tido várias experiencias, que há momentos de agressões no ciberespaço a entidades relevantes públicas e privadas [...] experimentaram como ataques no ciberespaço se podem transformar em paralizações na vida física”, indicando o setor financeiro, as telecomunicações e até comunicação social. O ministro referiu ainda casos de ataques aos serviços do Estado, na área da saúde, e o ataque informático à AMA que no ano passado bloqueou o acesso a vários serviços. 

Assumindo o "desafio de transformar Portugal num país mais seguro também no ciberespaço", António Leitão Amaro defende que é importante reforçar a capacidade de prevenção de empresas e entidade públicas, e "a capacidade de recuperação rápida em caso de incidentes".

O que é a NIS2, quais são os impactos para as empresas e como Portugal quer transpor a diretiva europeia?
O que é a NIS2, quais são os impactos para as empresas e como Portugal quer transpor a diretiva europeia?
Ver artigo

As novas medidas previstas na proposta de Lei, cujo texto ainda não é conhecido, pretende "aumentar as medidas de segurança mas sem criar um regime altamente complexo" e é dentro do possível, "o menos burocrático possível", refere o ministro.

Sem aprovações, sem licenças prévias e validação pública, "optámos por uma matriz de risco em função da dimensão e nível de criticidade", destacou na conferência de imprensa, detalhando que as empresas serão "auto classificadas em função dos critérios da matriz" e adoptam mais ou menos medidas, obrigações de reporte, prevenção e recuperação de acordo com esses critérios.

Para Leitão Amaro este é um "sistema de confiança baseado numa estrutura de riscos em vez de sistemas complicados burocráticos de licenciamento ou controle prévio".

A lógica está assente em parcerias entre o sector público e privado, com certificações de cibersegurança, e o ministro destaca ainda a exclusão de ilicitude penal do ethical hacking, os hackers éticos que ajudam a identificar vulnerabilidades. 

Para o ministro, pretende-se que Portugal entre "no grupo restrito de países com um regime de cibersegurança mais exigente, mas construído com flexibilidade e simplicidade", refere, admitindo que isso mitiga os custos de contexto das empresas.

O texto da proposta de lei ainda não é conhecido, nem as diferenças em relação à Proposta de Lei 50/XVI/1, que tinha sido aprovada em fevereiro  e deverá agora dar entrada na Assembleia da República para discussão e aprovação.

Objetivo deve ser de criar cultura de cibersegurança e não de conformidade

Ainda na semana passada durante o C-Days, Lino Santos, coordenador do Centro Nacional de Cibersegurança, destacou os desafios mas também as oportunidades que se abrem com a implementação do novo regime de cibersegurança que está a ser preparado, avisando que um regime de cibersegurança "baseado na conformidade como objetivo" é um erro a evitar

Com a implementação de um regime único para todas as empresas, independentemente da sua dimensão e maturidade digital, Lino Santos defende que é essencial garantir o nível de proporcionalidade e adequar a exigência ao nível de risco de cada uma das entidades, promovendo uma eficiente gestão de recursos.

Recorde-se que um estudo da Frontier Economics indicava no ano passado que os custos estimados de implementação da NIS2 em Portugal podem chegar a 529 milhões de euros, com um impacto proporcionalmente maior nas pequenas e médias empresas.

Para o coordenador do CNCS, os desafios são claros e "precisamos de estar atentos e evitar criar um regime de cibersegurança baseado na conformidade como objetivo e não na criação de uma cultura de cibersegurança nas organizações e no país".

Em declarações ao TEK, David Grave, Security Director da Claranet Portugal, sublinha que "A transposição da NIS2 representa um momento-chave para elevar o patamar da cibersegurança em Portugal - mas só terá impacto real se for encarada como um instrumento de transformação estratégica e não apenas como mais uma obrigação regulamentar", admite.

"O reforço da responsabilização, a exigência de reporting estruturado e o alargamento do âmbito a mais entidades são medidas importantes, mas aquilo que fará a diferença será a forma como as organizações integram estes requisitos na sua governação e cultura de risco", destaca David Grave. 

Avisando que "o tempo de reagir já passou" e que agora é preciso agir com visão, compromisso e pragmatismo, o security director da Claranet Portugal admite que "a grande preocupação, neste momento, é que muitas empresas que ainda estão a tentar perceber o que a diretiva implica não têm recursos, competências ou processos preparados para dar resposta ao que a NIS2 exige - e corremos o risco de cair no erro habitual: cumprir a lei à letra, sem cumprir o seu espírito".