O Governo já fez chegar à Assembleia da República a proposta de lei que transpõe a Diretiva Europeia da Segurança das Redes da Informação (NIS). Caso não sofra alterações no Parlamento, a nova legislação dará ao Centro Nacional de Cibersegurança (CNCS) «funções de regulação, regulamentação, supervisão, fiscalização e sancionatórias» e ainda «o poder de emitir instruções de cibersegurança e de definir o nível nacional de alerta de cibersegurança». O diploma cumpre o previsto ao atribuir ao CNCS um papel de relevo na coordenação das ações de preparação e reação a ciberameaças, mas surpreende pelos valores previstos para as coimas aplicáveis a entidades incumpridoras: um máximo de 5000 euros para empresas que não apliquem as medidas de segurança necessárias; e um máximo de 1000 euros para as empresas que não cumpram o requisito de notificação. Estes valores podem ser reduzidos para metade no caso de se verificar que as infrações se deveram a negligência.
Os valores propostos para as coimas da diretiva NIS contrastam com os que foram apresentados recentemente, numa outra iniciativa legislativa, que visa transpor o Regulamento Geral de Proteção de Dados (RGPD). No caso das fugas de dados pessoais, a transposição do RGPD prevê coimas que, nos casos mais gravosos, chegam aos 20 milhões de euros ou quatro por cento da faturação anual.
O novo diploma não especifica as medidas ou dispositivos de segurança que terão de ser usados nos diferentes setores, mas refere que as notificações enviadas para o CNCS deverão revelar dados relacionados com a geografia, os números de pessoas afetadas, entre outros indicadores da extensão de um determinado incidente de cibersegurança.
A proposta de lei da cibersegurança tem por destinatários a Administração Pública, os denominados prestadores de serviços digitais, e ainda empresas que prestam serviços essenciais. O próprio diploma identifica numa adenda as entidades visadas: transportadores aéreos, ferroviários e rodoviários; entidades que gerem infraestruturas aeroportuárias, ferroviárias e rodoviárias; bancos e plataformas de transações; hospitais, distribuidores de água; pontos de tráfego de Internet; empresas de eletricidade, gás ou oleodutos; e ainda entidades de gestão de domínios de Internet. Nos prestadores de serviços digitais, figuram as empresas de cloud computing, motores de busca e «serviços de mercado em linha» (presumivelmente, sites de comércio eletrónico).
Os operadores de telecomunicações e alguns prestadores de serviços que operam em regime de subcontratação ficam de fora desta proposta de lei por já estarem abrangidos por requisitos definidos por outras leis, como o diploma que regula as Comunicações Eletrónicas. Atualmente, a Autoridade Nacional das Comunicações tem em funcionamento um centro de recolha de notificações de falhas e incidentes para operadores de telecomunicações..
De acordo com o que foi aprovado pelo Parlamento Europeu, a diretiva NIS deverá ser transposta para os estados-membros até maio de 2018. A proposta de transposição redigida pelo governo português prevê a entrada em vigor no dia seguinte à promulgação, mas contém um artigo que promete retardar a aplicação da lei no dia-a-dia: em duas alíneas, o Governo remete para legislação posterior a obrigatoriedade de notificação de ciberincidentes e dos requisitos que terão de ser aplicados pelas diferentes empresas e organismos públicos no que toca à proteção de informação e serviços de ciberameaças. A proposta de lei prevê que os futuros diplomas que regulam as notificações e especificam os requisitos de segurança sejam aprovados 150 dias depois de aprovada a proposta de transposição da diretiva NIS. Resultado: no caso de cumprir os prazos e ser aprovada em maio, apenas em novembro a nova legislação se tornará aplicável na plenitude.
Apesar deste compasso de espera de 150 dias, a proposta de lei já determina que, até 9 de novembro, os operadores de serviços essenciais deverão estar identificados junto do CNCS. Em contrapartida, os operadores de infraestruturas e serviços digitais terão de se identificar a partir do momento em que a nova proposta de lei entre em vigor. A proposta de transposição da diretiva NIS deixa de fora as pequenas e micro empresas – presume-se que esta regra será aplicada mesmo a entidades de que prestam serviços essenciais.
A leitura da proposta de lei permite concluir que o CNCS, que dirige a equipa de operacionais do CERT.pt, passa a ganhar um raio de ação reforçado, tornando-se o ponto de contacto único com outras entidades internacionais no que toca à troca de informação relacionada com incidentes de cibersegurança. Apesar de funcionar como principal referência no que toca à emissão de alertas, à definição de medidas de reação entre diferentes entidades, ou até ganhar o poder de emitir pareceres prévios a «qualquer disposição legal de cibersegurança», o CNCS terá de se coordenar «com as estruturas nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo, devendo comunicar à autoridade competente, no mais curto prazo, os factos de que tenha conhecimento relativos à preparação e execução de crimes».
