O Governo português aprovou hoje, em Conselho de Ministros, um novo regime jurídico de cibersegurança. O novo regime ainda tem de passar na Assembleia da República.

A Diretiva NIS 2 (Network and Information Security Directive) é a atualização da primeira Diretiva NIS (2016), aprovada pela UE em 2022 e em processo de transposição para os Estados-Membros, incluindo Portugal.
Este novo regime tem como principal objetivo reforçar a segurança digital nacional, criando regras mais claras para empresas e organismos públicos. Além disso, visa também simplificar procedimentos burocráticos, alinhando-se com a estratégia de redução de burocracia anunciada recentemente.

Principais medidas do novo regime de cibersegurança

Reforço das competências do Centro Nacional de Cibersegurança (CNCS);
Definição de novas obrigações para entidades essenciais e digitais (seguindo as diretivas NIS2 da UE);
Criação de procedimentos uniformes para gestão de incidentes, reporte e comunicação;
Maior integração com outros regulamentos, como RGPD e Diretiva CER.

O Ministro da Presidência, António Leitão Amaro, referiu que...

Se é verdade que Portugal não tem, no seu espaço físico, uma situação de guerra ou de conflitos e agressões no seu território, o mesmo não é verdade no seu ciberespaço. Os portugueses sabem – aliás, tem tido várias experiencias – que há momentos de agressões no ciberespaço a entidades relevantes públicas e privadas
É preciso reforçar as nossas capacidades de prevenção, empresas e entidades públicas. E por outro lado, capacidade de recuperação rápida em caso de incidentes de cibersegurança. Por outro lado, temos de aumentar os níveis de segurança e as medidas de segurança que as entidades adotam, mas temos de o fazer em linha com objetivo da guerra à burocracia, ou seja, sem criar um regime altamente complexo

António Leitão Amaro revelou também que, considerando a NIS 2, o Governo optou por "um regime menos burocrático possível".

Optámos por um regime, que poucos países europeus têm, de uma matriz de risco em função da dimensão e do nível de criticidade das empresas e instituições
As empresas são autoclassificadas em função dos critérios da matriz e adotam mais ou menos medidas e obrigações de reporte e de sistemas de recuperação

O Governo sublinha que o novo regime “garante maior segurança sem criar entraves desnecessários”, reforçando a confiança digital para cidadãos e empresas.