NIS2: Lei da Cibersegurança prevê coimas até 10 milhões para incumprimento das entida

O novo regime jurídico de Cibersegurança diferencia o tratamento a dar às entidades essenciais e às importantes em função dos riscos e prevê coimas até 10 milhões de euros em caso de contraordenações muito graves para as primeiras.

O regime transpõe a diretiva NIS2 (sigla para Network and Information Security) - cuja consulta pública termina em 15 dias - "💥️prevê um regime dual, diferenciando o tratamento a dar às entidades essenciais e importantes em função dos riscos de cibersegurança associados a cada categoria, em cumprimento, mais uma vez, do princípio da proporcionalidade".

A energia, os transportes, o setor bancário, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestruturas digitais, gestão de serviços TIC (entre empresas) e Espaço fazem parte da lista de setores críticos. De acordo com o documento, outros setores críticos são ainda os serviços postais e de estafetas, a produção, fabrico e distribuição de produtos químicos ou investigação, entre outros.

💥️São contraordenações muito graves o incumprimento do dever de adoção das medidas de cibersegurança e são punidas, quando se trate de uma entidade essencial, com coimas de 2.500 euros a 10 milhões de euros ou "2% do volume de negócios anual a nível mundial, no exercício financeiro anterior, da entidade essencial em causa, consoante o montante que for mais elevado, se praticadas por uma pessoa coletiva". 💥️Se for praticado por uma pessoa singular, a coima vai 500 euros a 250 mil euros.

💥️Se for uma entidade importante, a coima pode ir de 1.750 euros a sete milhões de euros ou num montante máximo não inferior a 1,4% do volume de negócios anual a nível mundial, no exercício financeiro anterior, da entidade importante em causa, consoante o montante que for mais elevado, se praticada por pessoa coletiva. "De 500 a 250.000 euros, se praticadas por uma pessoa singular", lê-se no documento.

💥️O regime prevê ainda coimas no caso de incumprimento de entidades públicas relevantes integradas no Grupo A ou no Grupo B.

Opinião: NIS2 - os desafios e o impacto nas cadeias de abastecimento

Ver artigo

Entre as entidades essenciais estão "prestadores de serviços de confiança qualificados e registo de nomes de domínio de topo, e 💥️os prestadores de serviços de sistemas de nomes de domínio, independentemente da sua dimensão" e "empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público que sejam consideradas médias empresas".

Inclui ainda 💥️entidades da Administração Pública que tenham como atribuições a prestação de serviços nas áreas do desenvolvimento, manutenção e gestão de infraestruturas de tecnologias de informação e comunicação ou aquelas que apresentem um grau particularmente elevado de integração digital na prestação dos seus serviços e as identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557 relativa a` resiliência das entidades críticas, entre outras.

A atribuição das qualificações de entidades essenciais e entidades importantes tem mecanismos próprios: 💥️as entidades "procedem à sua autoidentificação como entidade essencial, importante ou pública relevante, de acordo com o respetivo grupo, em plataforma eletrónica disponibilizada pelo CNCS [Centro Nacional de Cibersegurança], no prazo de um mês após o início da sua atividade ou, caso a entidade já se encontre em atividade aquando da entrada em vigor do presente decreto-lei, 💥️no prazo de 60 dias após a disponibilização da referida plataforma eletrónica". As entidades são "ainda responsáveis por manter essa informação devidamente atualizada", de acordo com o diploma.

Independentemente destes mecanismos, 💥️"o CNCS propõe a lista de entidades essenciais, importantes e públicas relevantes, nos termos e de acordo com os critérios legalmente previstos, para aprovação, pelo menos de dois em dois anos, em portaria do 💥️membro do Governo responsável pela área da cibersegurança, a qual é precedida de parecer das autoridades nacionais setoriais de cibersegurança". 💥️A primeira lista "deve entrar em vigor até ao dia 17 de março de 2025", refere a proposta de lei.

Com este diploma,💥️ o CNCS "reforça a sua função de autoridade nacional de cibersegurança, destacando-se ainda o estabelecimento de autoridades de supervisão setoriais e especiais, que exercem supervisão sobre setores específicos da economia, assim se garantindo a estabilidade na supervisão de cada um dos setores abrangidos, bem como aliviando as tarefas transversais cometidas" ao Centro Nacional de Cibersegurança.

O que você está lendo é [NIS2: Lei da Cibersegurança prevê coimas até 10 milhões para incumprimento das entida].Se você quiser saber mais detalhes, leia outros artigos deste site.