CiberSegurança: conhece a lei e as regras a que estamos obrigados?

Portugal é um dos 27 países da União Europeia (UE) e nesse sentido também segue as diretrizes da UE em várias áreas. Na área da cibersegurança Portugal tem acompanhado as indicações da UE, transpondo "as regras" para a lei nacional. Saiba quais as leis aplicadas à ciberSegurança em Portugal.

Em 2016, mais concretamente a 6 de julho, foi lançada a 💥️Diretiva 2016/1148 (Diretiva NIS - Network And Information Security) do Parlamento Europeu e do Conselho  relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a UE.

Lei nº46/2018 (NIS1)

A 13 de agosto de 2018, Portugal procedeu à transposição da Diretiva 2016/1148, para a 💥️Lei n.º 46/2018 - Estabelece o regime jurídico da segurança do ciberespaço.

O regime jurídico da segurança do ciberespaço aplica-se às entidades da Administração Pública, aos operadores de infraestruturas críticas, aos operadores de serviços essenciais, aos prestadores de serviços digitais, bem como a quaisquer outras entidades que utilizem redes e sistemas de informação, nomeadamente, no âmbito da notificação voluntária de incidentes.

O regime jurídico da segurança do ciberespaço estabeleceu a Estrutura de Segurança do Ciberespaço, consagrando o:

Além das estruturas, também estabeleceu o normativo relativamente a fiscalização e sanções. Esta lei aplicou-se à Administração Pública​, Operadores de infraestruturas críticas​, operadores de serviços essenciais​, prestadores de serviços digitais​ e Outras entidades que utilizem redes e sistemas de informação​.

Decreto-Lei n.º 65/2021

Após três anos da transposição da Diretiva NIS para a lei nacional, a 30 de julho de 2023 foi publicado o Decreto-Lei n.º 65/2021 que regulamenta o Regime Jurídico da Segurança do Ciberespaço (RJSC) e definiu um conjunto de obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2023/881 do Parlamento Europeu, de 17 de abril de 2023.​

Segundo o DL 65/2021,  existe um conjunto de obrigações das entidades das quais se destacam:

O DL 65/2021 "impactou" cerca de 400 entidades em Portugal.

Regulamento n.º 183/2022

O Regulamento n.º 183/2022 do Gabinete de Segurança (GNS), configura uma instrução técnica relativa à comunicação e informação referentes a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes.

Segue-se a NIS2...

A Diretiva NIS2 foi publicada a 14 de dezembro de 2022 e vem substituir a Diretiva NIS. A transposição para legislação nacional da Diretiva NIS2 deve acontecer até 17 de outubro de 2024.

A diretiva relativa à segurança de redes e informações introduz novas regras para promover um alto nível comum de cibersegurança em toda a UE - tanto para as empresas como para os países. A legislação permite ainda fortalecer os requisitos de cibersegurança para entidades de média e grande dimensão que operam e prestam serviços em sectores-chave.

De um lado as entidades do tipo essenciais e do outro as entidades importantes. A diferença entre estes dois tipos de entidades, é que as entidades essenciais estão sujeitas a requisitos regulatórios mais rigorosos. Com a NIS2, passam a existir 67 tipos de entidades que têm de cumprir a nova diretiva (com a NIS 1 eram “apenas” 30). Em Portugal deverão ser impactadas cerca de 4 mil entidades. As eleições legislativas podem atrasar a transposição da Diretiva para Portugal - saber mais aqui.

O que você está lendo é [CiberSegurança: conhece a lei e as regras a que estamos obrigados?].Se você quiser saber mais detalhes, leia outros artigos deste site.