2025-7-04
O Conselho de Ministros aprovou a proposta de lei – que ainda irá passar pela Assembleia da República – que regula o novo regime jurídico de cibersegurança
Ministro da Presidência António Leitão Amaro (foto por Governo da República Portuguesa / Diana Quintela)
“Se é verdade que Portugal não tem no seu espaço físico uma situação de guerra ou de conflitos e agressões ao país e ao Estado, o mesmo não é verdade para o seu ciberespaço”, começou por dizer António Leitão Amaro, ministro da Presidência do XXV Governo Constitucional da República Portuguesa na conferência de imprensa onde foi anunciada a aprovação do novo regime de cibersegurança no âmbito da transposição da diretiva europeia NIS2 por parte do conselho de ministros. A proposta de lei terá de ser discutida e votada na Assembleia da República e procura criar uma estrutura de riscos proporcional à dimensão e características dos serviços que as entidades prestam. O governo olhou para a diretiva NIS2 e optou “por um regime de uma matriz de risco em função da dimensão e do nível e criticidade das empresas s instituições”, algo que também tinha sido partilhado por Lino Santos, Coordenador do Centro Nacional de Cibersegurança, durante o C-Days 2025. Durante o mais recente C-Days, Lino Santos explicou que o regulamento precisa da definição daquilo que é a matriz de risco típica para cada setor e que esse trabalho “foi feito no primeiro trimestre deste ano”. Na mesma sessão, o Coordenador do Centro Nacional de Cibersegurança referiu que quando a proposta de lei for aprovada e publicada em Diário da República, será lançado no dia seguinte um portal onde as entidades vão fazer a auto-identificação. Explicou Lino Santos que “a data em que esse portal é publicado serve de base para uma série de prazos: a partir daí, as entidades têm 60 dias para fazer o registo e é a data a partir do qual as organizações têm 24 meses para se adaptarem e estarem conforme a regulação”. Quando acabar o prazo de auto identificação, as organizações vão saber todos os requisitos mínimos que têm de cumprir nos próximos 24 meses. O ministro da Presidência também partilhou que está previsto o recurso e permissão da exclusão da ilicitude penal para ethical hacking. “Caso haja um trabalho de alguém para descobrir as vulnerabilidades e partilhar com as instituições sem violação de dados pessoais”, referiu António Leitão Amaro. De relembrar que o governo tinha apresentado a proposta de lei de transposição da diretiva NIS2 a 6 de fevereiro de 2025, após uma consulta pública no final de 2024 que contou com a opinião de 148 participantes. Na altura, a Assembleia da República foi destituída a poucos dias da proposta de lei apresentada pelo conselho de ministros ir a votação. A NIS2 deveria ter sido transposta para a lei nacional até 17 de outubro de 2024, mas muitos países – incluindo Portugal – não cumpriram essa data. |
NIS2 e o novo paradigma da cibersegurança: O Canal em aceleração para a conformidade (com vídeo)
Incerteza política ameaça transposição da NIS2 e pode expor Portugal a coimas da UE