A Diretiva NIS 2 (Network and Information Security 2) representa um marco crucial para o reforço da resiliência cibernética na União Europeia (UE). Em Portugal, a implementação desta diretiva enfrenta desafios significativos devido à instabilidade política decorrente da recente mudança de governo. Este atraso poderá acarretar consequências severas para organizações de infraestruturas críticas e entidades empresariais abrangidas pela diretiva.

NIS 2: Fundamentos e Objetivos

A NIS 2, sucessora da Diretiva NIS de 2016, expande o escopo das organizações sob regulamentação, eleva os requisitos de segurança e estabelece sanções mais rigorosas para incumprimento. O enfoque reside na proteção de infraestruturas vitais, tais como energia, transportes, setor financeiro, saúde e abastecimento de água, bem como setores digitais primordiais.

Transposição da NIS 2 em Portugal: Desafios e Implicações

O prazo estabelecido para a transposição da Diretiva NIS 2 para a legislação nacional é 17 de outubro de 2024. Contudo, a recente reconfiguração governamental e a necessidade de reestruturação de ministérios e entidades responsáveis pela cibersegurança colocam em risco o cumprimento deste prazo. A rejeição da moção de confiança apresentada pelo Governo a 11 de março de 2025, resultando na caducidade da autorização legislativa necessária para a aprovação da proposta de lei de transposição, exacerbou esta situação. Conforme elucida Mafalda de Brito Fernandes, advogada da Cuatrecasas, a caducidade ocorreu “não pelo decurso do prazo, mas por rejeição da moção de confiança apresentada pelo Governo no mesmo dia”.

A ausência de legislação clara e de mecanismos de fiscalização adequados expõe o país a sanções por parte da UE e aumenta a vulnerabilidade a ataques cibernéticos.

Consequências do Atraso na Implementação

• Insegurança Jurídica para o Setor Empresarial: As organizações abrangidas pela NIS 2 necessitam de orientações precisas para adaptar as operações aos novos requisitos. O atraso gera incerteza e pode comprometer investimentos em cibersegurança.
• Aumento da Vulnerabilidade a Ataques: Sem um quadro regulamentar atualizado, as empresas e infraestruturas críticas poderão não estar preparadas para mitigar ameaças emergentes, incrementando o risco de incidentes cibernéticos de grande magnitude.
• Sanções da União Europeia: O incumprimento do prazo poderá resultar em penalizações para Portugal, afetando a credibilidade do país na implementação de normas europeias.
• Impacto no Setor Privado: A presença de numerosas empresas multinacionais em Portugal exige alinhamento regulamentar com o resto da UE. Atrasos na implementação poderão dificultar a conformidade e as operações destas empresas.

Medidas de Mitigação

Para minimizar os impactos do atraso, o governo deverá acelerar a transposição da diretiva através de consultas com stakeholders relevantes, incluindo o CNCS (Centro Nacional de Cibersegurança), empresas e associações do setor. Adicionalmente, é fundamental desenvolver guias práticos e fornecer apoio técnico para auxiliar as organizações na adaptação às novas exigências.

Em suma, a implementação da NIS 2 é imperativa para fortalecer a cibersegurança nacional e garantir a resiliência digital das infraestruturas críticas. O atraso na transposição, decorrente da instabilidade política, poderá ter consequências nefastas para a segurança do país e das suas empresas. O governo deverá priorizar esta questão para evitar impactos negativos e assegurar que Portugal esteja preparado para enfrentar os desafios do panorama cibernético atual.