O regime transpõe a diretiva NIS2 (sigla para Network and Information Security) - cuja consulta pública termina em 15 dias - "prevê um regime dual, diferenciando o tratamento a dar às entidades essenciais e importantes em função dos riscos de cibersegurança associados a cada categoria, em cumprimento, mais uma vez, do princípio da proporcionalidade".

São contraordenações muito graves o incumprimento do dever de adoção das medidas de cibersegurança e são punidas, quando se trate de uma entidade essencial, com coimas de 2.500 euros a 10 milhões de euros ou "2% do volume de negócios anual a nível mundial, no exercício financeiro anterior, da entidade essencial em causa, consoante o montante que for mais elevado, se praticadas por uma pessoa coletiva". Se for praticado por uma pessoa singular, a coima vai 500 euros a 250 mil euros.

Se for uma entidade importante, a coima pode ir de 1.750 euros a sete milhões de euros ou num montante máximo não inferior a 1,4% do volume de negócios anual a nível mundial, no exercício financeiro anterior, da entidade importante em causa, consoante o montante que for mais elevado, se praticada por pessoa coletiva. "De 500 a 250.000 euros, se praticadas por uma pessoa singular", lê-se no documento.

O regime prevê ainda coimas no caso de incumprimento de entidades públicas relevantes integradas no Grupo A ou no Grupo B.

Opinião: NIS2 - os desafios e o impacto nas cadeias de abastecimento
Opinião: NIS2 - os desafios e o impacto nas cadeias de abastecimento
Ver artigo

Entre as entidades essenciais estão "prestadores de serviços de confiança qualificados e registo de nomes de domínio de topo, e os prestadores de serviços de sistemas de nomes de domínio, independentemente da sua dimensão" e "empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público que sejam consideradas médias empresas".

Inclui ainda entidades da Administração Pública que tenham como atribuições a prestação de serviços nas áreas do desenvolvimento, manutenção e gestão de infraestruturas de tecnologias de informação e comunicação ou aquelas que apresentem um grau particularmente elevado de integração digital na prestação dos seus serviços e as identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557 relativa a` resiliência das entidades críticas, entre outras.

A atribuição das qualificações de entidades essenciais e entidades importantes tem mecanismos próprios: as entidades "procedem à sua autoidentificação como entidade essencial, importante ou pública relevante, de acordo com o respetivo grupo, em plataforma eletrónica disponibilizada pelo CNCS [Centro Nacional de Cibersegurança], no prazo de um mês após o início da sua atividade ou, caso a entidade já se encontre em atividade aquando da entrada em vigor do presente decreto-lei, no prazo de 60 dias após a disponibilização da referida plataforma eletrónica". As entidades são "ainda responsáveis por manter essa informação devidamente atualizada", de acordo com o diploma.

Independentemente destes mecanismos, "o CNCS propõe a lista de entidades essenciais, importantes e públicas relevantes, nos termos e de acordo com os critérios legalmente previstos, para aprovação, pelo menos de dois em dois anos, em portaria do membro do Governo responsável pela área da cibersegurança, a qual é precedida de parecer das autoridades nacionais setoriais de cibersegurança". A primeira lista "deve entrar em vigor até ao dia 17 de março de 2025", refere a proposta de lei.

Com este diploma, o CNCS "reforça a sua função de autoridade nacional de cibersegurança, destacando-se ainda o estabelecimento de autoridades de supervisão setoriais e especiais, que exercem supervisão sobre setores específicos da economia, assim se garantindo a estabilidade na supervisão de cada um dos setores abrangidos, bem como aliviando as tarefas transversais cometidas" ao Centro Nacional de Cibersegurança.