O Governo aprovou o novo regime jurídico de cibersegurança esta quinta-feira, em Juízo de Ministros, transpondo a diretiva europeia NIS 2, focada no reforço das regras de seguraça para Redes e Sistemas de Informação. 

O ministro da Presidência, António Leitão Amaro, adiantou, no “briefing” do Juízo de Ministros, que “Portugal não tem, no seu espaço físico, uma situação de guerra ou de conflitos e agressões no seu território, o mesmo não é verdade no seu ciberespaço”. Ainda assim, o governante lembrou que os “portugueses já experimentaram porquê ataques no ciberespaço podem transformar-se em paralisações”, dando porquê exemplo o ataque aos serviços da Escritório para a Modernização Administrativa em outubro do ano pretérito.

“É preciso substanciar as nossas capacidades de prevenção, empresas e entidades públicas. E por outro lado, capacidade de recuperação rápida em caso de incidentes de cibersegurança. Por outro lado, temos de aumentar os níveis de segurança e as medidas de segurança que as entidades adotam, mas temos de o fazer em traço com objetivo da guerra à burocracia, ou seja, sem gerar um regime altamente multíplice”, vincou Leitão Amaro.

Olhando para a NIS2, o Governo propõe “um regime menos burocrático provável”. “Optámos por um regime, que poucos países europeus têm, de uma matriz de risco em função da dimensão e do nível de criticidade das empresas e instituições”. Assim, o Executivo quer evitar um regime que se prende com aprovações e licenças prévias.

“As empresas são autoclassificadas em função dos critérios da matriz e adotam mais ou menos medidas e obrigações de reporte e de sistemas de recuperação”, dependendo das duas necessidades de segurança.

Apesar da “luz verdejante” do Governo, leste regime ainda vai ter de passar pelo crivo da Reunião da República. Na visão do Executivo, esta é uma abordagem de crédito, com base numa estrutura de risco. 

Oriente regime vem também restaurar a proteção dos “hackers” éticos perante a lei. Isto é, o “hacker” que deslindar vulnerabilidades e não tire “vantagem económica” da sua invenção e não viole os dados pessoais, é excluído de qualquer responsabilidade criminal. 

Esta diretiva deveria ter sido transposta até outubro de 2024, um prazo que falhou posteriormente as sucessivas crises políticas em solo pátrio. Um mês depois, em novembro do ano pretérito, Bruxelas instaurou um processo contra Portugal pelo tardança, que foi colmatado em fevereiro de 2025 com a aprovação do regime, embora não tenha sido discutido na Reunião da República.