O novo regime jurídico de cibersegurança, que transpõe a diretiva NIS2 [Network and Information Security], alarga o conjunto de entidades abrangidas, priorizando, por um lado, a generalização da prevenção dos riscos de cibersegurança, mas graduando a exigência regulatória em função da dimensão da entidade e da importância da sua atividade, bem como privilegiando a proporcionalidade das medidas aplicáveis.
“Acho que as empresas portuguesas estão a fazer um esforço considerável, acho que estão a preparar-se. Se estão preparadas? Acho que estão a fazer por isso, à semelhança de outras das empresas da União Europeia e diria do mundo”, afirma o advogado de tecnologia, media e comunicações (TMC) da CMS Portugal.
Questionado sobre se o novo regime, que está em consulta pública até final do mês, é claro, o jurista admite que “há sempre questões ligadas à ambiguidade legal e que podem ser melhoradas”.
No que respeita “às cadeias de abastecimento há, de facto, esta norma e temos aqui esta questão das decisões relativas à aplicação de restrições (…) de exclusão de equipamentos que fica no ar, percebo que isto possa causar ambiguidade”, admite.
Contudo, “vejo com bons olhos a questão da cadeia de abastecimento e que se fale nela, é fundamental que existam normas claras sobre a cadeia de abastecimento e sobre os prestadores de serviços de TI e ainda bem e aqui, de facto, é preciso clareza e normas reforçadas sobre as cadeias de abastecimento, muitas vezes há grandes dependências de prestadores”, refere o jurista.
Ricardo Pintão defende a existência de “regras claras, obrigações reforçadas, obrigações de escrutínio e de auditoria sobre estes prestadores de serviços, sobre a qualidade de produtos, sobre avaliações de riscos e decisões sobre aplicações de restrições”.
Neste âmbito, “diria que não há ambiguidade, não há é absoluta certeza sobre quais vão ser as restrições”, salienta Ricardo Pintão.
“Vivemos hoje num mundo com alguma complexidade, onde começam a proliferar algumas tendências protecionistas, onde o ciberespaço começa a evidenciar tendências de uma agressividade ostensiva”, pelo que “diria não ser má ideia ter este tipo de normas, mas é uma opinião”, afirma.
Aliás, o tema da cibersegurança veio para ficar e com os últimos avanços da computação quântica será ainda “mais desafiante”.
O jurista concorda que a consulta pública tenha sido alargada, até para que depois de “tudo esclarecido a lei seja aplicada”.
Quanto ao valor das coimas aplicadas no âmbito da NIS2, classifica de “relevantes”.
O novo regime diferencia o tratamento a dar às entidades essenciais e às importantes em função dos riscos e prevê coimas até 10 milhões de euros em caso de contraordenações muito graves para as primeiras.
“Na minha opinião, a sensibilização, a advertência devem ser a regra, mas de facto esta é uma matéria preocupante, tem um significativo impacto nos consumidores e utilizadores”, assume.
Instado a destacar uma medida que caracterize a NIS2 face à anterior, o jurista aponta a questão da responsabilidade dos órgãos de gestão, de direção e de administração.
Isto vem a colocar “uma pressão enorme sobre quem desempenha cargos de gestão, de direção e de administração das entidades obrigadas” e “causar mudanças de comportamento, nos países do Sul da Europa este tipo de normas causam mudanças por variadíssimas razões”, afirma.
Ricardo Pintão destaca ainda o artigo 31, que mostra “claramente uma vontade do legislador de colocar na gestão, direção ou administração um responsável de cibersegurança”.
Ou seja, “há uma clara tendência de promover pessoas capacitadas nestes órgãos”.
Já sobre a maior dificuldade do diploma – que “apresenta um esforço claramente relativamente à NIS [regime anterior] de condensar tudo no mesmo diploma”, algo que vê com “bons olhos” – aponta a “implementação efetiva”, remata.
