A 3 de Abril entra em vigor, em Portugal, o novo Regime Jurídico da Cibersegurança, que transpõe a Directiva (UE) 2022/2555 e inaugura uma fase em que a protecção digital deixa de ser um assunto técnico e passa, de forma explícita, para a agenda da gestão de topo das organizações. Mais do que um mero exercício de adaptação legislativa, este novo quadro coloca a cibersegurança ao nível das grandes obrigações estruturantes das empresas e entidades públicas, lado a lado com a conformidade regulatória e a gestão financeira. «Abrangendo 17 sectores e a Administração Pública, o que se traduz em cerca de seis mil entidades, há condições para tornar o ecossistema nacional mais resiliente face ao aumento do número e sofisticação das ameaças e à crescente utilização das tecnologias de informação e comunicação», enquadrou à businessIT o Centro Nacional de Cibersegurança (CNCS).
No entender do CNCS, o novo Regime Jurídico da Cibersegurança (RJC) «pretende assegurar a generalização da cibersegurança na cultura organizacional do tecido empresarial português e nas entidades que constituem a Administração Pública», elevando a segurança do ciberespaço a requisito transversal de operação. Isto significa que deixará de ser aceitável circunscrever este tema às equipas técnicas ou a projectos pontuais, passando a ser uma dimensão estrutural da própria forma como as organizações se definem, planeiam e executam o negócio. Ao mesmo tempo, o novo regime reforça o papel da autoridade nacional, que passa a ter mais poderes de supervisão e sanção, mas também uma responsabilidade acrescida de capacitação, num quadro em que milhares de entidades entram, pela primeira vez, no perímetro regulatório.
Uma das ideias‑chave deste enquadramento é a proporcionalidade. O CNCS sublinha que «a abordagem transversal à cibersegurança, com exigências proporcionais à dimensão das entidades e à importância das suas actividades que está na base do RJC, leva‑nos a considerar que o esforço de conformidade por parte das entidades essenciais e importantes, sobretudo para entidades já abrangidas pela NIS 1, não vai ser substancial». Ou seja, para quem já vinha a trabalhar a segurança de forma estruturada não parte do zero, mas quem até aqui esteve fora do radar regulatório terá de dar um salto qualitativo significativo. O centro recorda, aliás, que o princípio da proporcionalidade indexada ao risco já tinha sido adoptado em 2018, com a Lei n.º 46/2018, e reforçado em 2021, pelo que a transposição da NIS2 vem consolidar um caminho e não apenas inaugurar um modelo totalmente novo.
Mas é na governação interna que se joga uma das mudanças mais sensíveis. «Com o novo RJC, os órgãos de gestão, direcção e administração das entidades abrangidas pelo RJC passam a ter responsabilidades que reforçam a sua obrigação de diligência, alinhando a governança interna com o novo quadro legal», alerta o CNCS. Deixa de haver espaço para que a administração alegue desconhecimento ou delegação informal em equipas técnicas: os titulares podem «responder por acção ou omissão pelas infracções previstas no RJC», um salto que coloca a cibersegurança ao nível das responsabilidades clássicas de gestão de risco, compliance e reporte financeiro. A expectativa do regulador é explícita: «Espera‑se que esta responsabilização ajude a garantir uma maior efectividade às estratégias de capacitação das organizações, assim alinhadas com o nível decisório». Em última análise, o que está em causa é que a decisão de investir, ou não, em segurança deixa de ser apenas um tema de eficiência operacional e passa a ter consequências legais directas para quem decide.
