Portugal está em incumprimento no prazo de transposição da Diretiva Europeia da Segurança das Redes da Informação (também conhecida como NIS ou diretiva de cibersegurança). A diretiva europeia previa que todos os estados-membros procedessem à transposição até ao dia 9 de maio – mas, em Portugal, a proposta de lei ainda se encontra em fase de debate na Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias. Portugal já não escapa ao incumprimento, mas há uma questão que agora se coloca: quanto tempo falta para a transposição ser aprovada no Parlamento e seguir para promulgação do Presidente da República?
António Gameiro Marques, diretor-geral do Gabinete Nacional de Segurança (GNS), prefere manter o otimismo: «A transposição ainda não foi feita e o Estado Português terá de reportar isso à Comissão Europeia. Mas a avaliar pelas reações que recolhemos na Assembleia da República, acreditamos que, em breve, essa transposição será aprovada».
O GNS e o Centro Nacional de Cibersegurança foram os principais mentores dos primeiros esboços da transposição que trata dos contornos práticos da diretiva NIS em território nacional. A proposta de lei que faz a transposição foi aprovada pelo Governo e enviada para o Parlamento no final de março. Sem a transposição, o raio de ação do CNCS mantém-se limitado. Entre as principais novidades da proposta, destaca-se a obrigatoriedade de reportar ao CNCS todos os ciberincidentes que envolvam infraestruturas ou serviços essenciais que são prestados por entidades estatais ou privadas. Bancos, redes elétricas, distribuidores de combustível, e diferentes transportadoras passam a estar abrangidos por este regime de obrigatoriedade. De fora ficam a entidades que já têm de reportar incidentes à Autoridade Nacional de Comunicações (ANACOM) ou que põem em causa a soberania nacional (em caso de ciberguerra é o Centro de Ciberdefesa que entra em ação).
A proposta de transposição também atribui ao CNCS o poder de aplicar coimas num máximo de 5000 euros a entidades que não tomam as devidas medidas de proteção das redes.
Gameiro Marques relativiza o eventual impacto negativo que o incumprimento poderá ter para o dia-a-dia. «A maioria das coisas previstas na proposta de transposição já existe (na legislação nacional). Apenas a obrigatoriedade de reportar incidentes para o CNCS é que ainda não está prevista», explica.
Além dos dispositivos legais que já existem na lei nacional, há mais outro fator que ajuda o responsável do GNS a desvalorizar o atraso da transposição da diretiva de cibersegurança: «Apenas cinco dos 27 estados-membros da UE fizeram a transposição a tempo».
Este não é o único caso de atraso na transposição de normas europeias que se regista na área da proteção da informação. Portugal deverá transpor o Regulamento Geral de Proteção de Dados (RGPD) até 26 de maio, mas os trabalhos na Assembleia da República começaram a 3 de maio – e só com uma rapidez incomum será possível aprovar a transposição do Regulamento antes do data da prevista para toda a UE.
