LEGISLAÇÃO PORTUGUESA

Ciberhigiene na Legislação Nacional de Transposição da NIS2

Análise detalhada das obrigações de ciberhigiene estabelecidas na transposição portuguesa da Diretiva (UE) 2022/2555 e requisitos de conformidade para entidades essenciais e importantes

Enquadramento Legislativo

A Diretiva NIS2 e a sua transposição para o ordenamento jurídico português estabelecem um novo paradigma de responsabilização em cibersegurança.

A Diretiva (UE) 2022/2555 (NIS2)

A Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União Europeia (Diretiva NIS2), revoga a Diretiva (UE) 2016/1148 e estabelece um quadro regulatório significativamente mais exigente e abrangente.

A Diretiva entrou em vigor em 16 de janeiro de 2023 e os Estados-Membros tiveram até 17 de outubro de 2024 para proceder à sua transposição para o direito nacional. Portugal procedeu à transposição através de diploma legislativo publicado em setembro de 2024, estabelecendo o regime jurídico aplicável às entidades essenciais e importantes.

Objetivos Principais da NIS2

Harmonizar os requisitos de cibersegurança entre Estados-Membros, estabelecendo obrigações claras e sanções dissuasoras.

Alargar significativamente o âmbito de aplicação, abrangendo 18 sectores críticos e entidades de média e grande dimensão.

Responsabilizar diretamente os órgãos de administração pela supervisão das medidas de gestão de riscos de cibersegurança.

Estabelecer requisitos mínimos obrigatórios de formação e sensibilização em cibersegurança para administradores e colaboradores.

Enquadramento Legislativo

A Diretiva NIS2 e a sua transposição para o ordenamento jurídico português estabelecem um novo paradigma de responsabilização em cibersegurança.

A Diretiva (UE) 2022/2555 (NIS2)

A Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União Europeia (Diretiva NIS2), revoga a Diretiva (UE) 2016/1148 e estabelece um quadro regulatório significativamente mais exigente e abrangente.

A Diretiva entrou em vigor em 16 de janeiro de 2023 e os Estados-Membros tiveram até 17 de outubro de 2024 para proceder à sua transposição para o direito nacional. Portugal procedeu à transposição através de diploma legislativo publicado em setembro de 2024, estabelecendo o regime jurídico aplicável às entidades essenciais e importantes.

Objetivos Principais da NIS2

Harmonizar os requisitos de cibersegurança entre Estados-Membros, estabelecendo obrigações claras e sanções dissuasoras.

Alargar significativamente o âmbito de aplicação, abrangendo 18 sectores críticos e entidades de média e grande dimensão.

Responsabilizar diretamente os órgãos de administração pela supervisão das medidas de gestão de riscos de cibersegurança.

Estabelecer requisitos mínimos obrigatórios de formação e sensibilização em cibersegurança para administradores e colaboradores.

Âmbito de Aplicação

Identificação das entidades e sectores abrangidos pela legislação portuguesa de transposição da NIS2.

Entidades Abrangidas

A legislação portuguesa aplica-se a entidades públicas e privadas que prestam serviços ou desenvolvem atividades em sectores considerados críticos ou importantes, classificadas como entidades essenciais ou entidades importantes.

Critérios Dimensionais

Entidades Essenciais: Médias empresas (50-249 trabalhadores) e grandes empresas (250+ trabalhadores) que operam em sectores de elevada criticidade.

Entidades Importantes: Médias e grandes empresas que operam em sectores de criticidade importante, com exceções específicas para sectores altamente críticos onde todas as entidades são consideradas essenciais.

Nota: Independentemente da dimensão, podem ser identificadas entidades específicas como essenciais ou importantes quando a perturbação dos seus serviços tenha impacto significativo.

Sectores Críticos Abrangidos (Principais)

Sector

Classificação

Exemplos
Energia Essencial Produtores e distribuidores de eletricidade e gás
Transportes Essencial Operadores aéreos, ferroviários, marítimos
Banca Essencial Instituições de crédito, mercados financeiros
Saúde Essencial Hospitais, laboratórios de referência
Infraestruturas Digitais Essencial Prestadores DNS, cloud, centros de dados
Administração Pública Essencial Entidades centrais, regionais e locais críticas
Serviços Postais Importante Operadores de serviços postais e estafetas
Indústria Química Importante Produtores de substâncias perigosas

Âmbito de Aplicação

Identificação das entidades e sectores abrangidos pela legislação portuguesa de transposição da NIS2.

Entidades Abrangidas

A legislação portuguesa aplica-se a entidades públicas e privadas que prestam serviços ou desenvolvem atividades em sectores considerados críticos ou importantes, classificadas como entidades essenciais ou entidades importantes.

Critérios Dimensionais

Entidades Essenciais: Médias empresas (50-249 trabalhadores) e grandes empresas (250+ trabalhadores) que operam em sectores de elevada criticidade.

Entidades Importantes: Médias e grandes empresas que operam em sectores de criticidade importante, com exceções específicas para sectores altamente críticos onde todas as entidades são consideradas essenciais.

Nota: Independentemente da dimensão, podem ser identificadas entidades específicas como essenciais ou importantes quando a perturbação dos seus serviços tenha impacto significativo.

Sectores Críticos Abrangidos (Principais)

 

Setor  Classificação  Exemplos 
Energia  Essencial  Produtores e distribuidores de eletricidade e gás 
Transportes   Essencial  Operadores aéreos, ferroviários, marítimos 
Banca  Essencial  Instituições de crédito, mercados financeiros 
Saúde  Essencial  Hospitais, laboratórios de referência 
Infraestruturas Digitais  Essencial  Prestadores DNS, cloud, centros de dados 
Administração Pública  Essencial  Entidades centrais, regionais e locais críticas 
Serviços Postais  Importante  Operadores de serviços postais e estafetas 
Indústria Química  Importante  Produtores de substâncias perigosas 

Obrigações de Ciberhigiene e Formação

Requisitos específicos estabelecidos na legislação portuguesa relativos a competências, formação e sensibilização em cibersegurança.

Responsabilização dos Órgãos de Administração

A legislação portuguesa transpõe integralmente o princípio fundamental da NIS2 de responsabilização direta e pessoal dos órgãos de administração, direção ou gestão das entidades essenciais e importantes pela supervisão da gestão de riscos de cibersegurança.

Responsabilidade Pessoal dos Administradores

Os membros dos órgãos de administração são pessoalmente responsáveis pelo incumprimento das obrigações de supervisão em matéria de cibersegurança, podendo ser sancionados individualmente em caso de dolo ou negligência grave.

Esta responsabilização representa uma mudança paradigmática, transformando a cibersegurança de questão técnica delegável em responsabilidade indelegável de governance ao mais alto nível organizacional.

Obrigações Específicas dos Administradores

  • Aprovar as medidas de gestão de riscos de cibersegurança implementadas pela entidade;
  • Supervisionar a implementação efetiva dessas medidas;
  • Frequentar formação específica e regular em gestão de riscos de cibersegurança;
  • Garantir que a entidade dispõe de competências adequadas para identificar e avaliar práticas de gestão de riscos;
  • Assegurar que todos os colaboradores recebem formação adequada e regular;
  • Compreender o impacto das medidas de cibersegurança nos serviços prestados pela entidade.

Requisitos de Formação e Competências

A legislação portuguesa estabelece obrigações claras e auditáveis em matéria de formação e desenvolvimento de competências em cibersegurança.

Formação para Órgãos de Administração

Conteúdos Formativos Obrigatórios

Gestão de Riscos: Compreensão dos principais riscos cibernéticos relevantes para o sector da entidade.

Framework Regulatório: Conhecimento das obrigações NIS2 e regime sancionatório.

Responsabilização Pessoal: Compreensão do alcance da responsabilidade dos administradores.

Supervisão Eficaz: Metodologias para supervisão efetiva da gestão de riscos.

Atualização Contínua: Formação regular que reflita evolução de ameaças.

Formação para Colaboradores

Programa de Formação

Sensibilização Geral: Todos os colaboradores devem receber formação básica em ciberhigiene.

Formação Específica: Colaboradores com acesso a sistemas críticos requerem formação adicional.

Periodicidade: Formação regular, no mínimo anualmente.

Documentação: Registos auditáveis de todas as ações de formação.

Obrigações de Ciberhigiene e Formação

Requisitos específicos estabelecidos na legislação portuguesa relativos a competências, formação e sensibilização em cibersegurança.

Responsabilização dos Órgãos de Administração

A legislação portuguesa transpõe integralmente o princípio fundamental da NIS2 de responsabilização direta e pessoal dos órgãos de administração, direção ou gestão das entidades essenciais e importantes pela supervisão da gestão de riscos de cibersegurança.

Responsabilidade Pessoal dos Administradores

Os membros dos órgãos de administração são pessoalmente responsáveis pelo incumprimento das obrigações de supervisão em matéria de cibersegurança, podendo ser sancionados individualmente em caso de dolo ou negligência grave.

Esta responsabilização representa uma mudança paradigmática, transformando a cibersegurança de questão técnica delegável em responsabilidade indelegável de governance ao mais alto nível organizacional.

Obrigações Específicas dos Administradores

  • Aprovar as medidas de gestão de riscos de cibersegurança implementadas pela entidade;
  • Supervisionar a implementação efetiva dessas medidas;
  • Frequentar formação específica e regular em gestão de riscos de cibersegurança;
  • Garantir que a entidade dispõe de competências adequadas para identificar e avaliar práticas de gestão de riscos;
  • Assegurar que todos os colaboradores recebem formação adequada e regular;
  • Compreender o impacto das medidas de cibersegurança nos serviços prestados pela entidade.

Requisitos de Formação e Competências

A legislação portuguesa estabelece obrigações claras e auditáveis em matéria de formação e desenvolvimento de competências em cibersegurança.

Formação para Órgãos de Administração

Conteúdos Formativos Obrigatórios

Gestão de Riscos: Compreensão dos principais riscos cibernéticos relevantes para o sector da entidade.

Framework Regulatório: Conhecimento das obrigações NIS2 e regime sancionatório.

Responsabilização Pessoal: Compreensão do alcance da responsabilidade dos administradores.

Supervisão Eficaz: Metodologias para supervisão efetiva da gestão de riscos.

Atualização Contínua: Formação regular que reflita evolução de ameaças.

Formação para Colaboradores

Programa de Formação

Sensibilização Geral: Todos os colaboradores devem receber formação básica em ciberhigiene.

Formação Específica: Colaboradores com acesso a sistemas críticos requerem formação adicional.

Periodicidade: Formação regular, no mínimo anualmente.

Documentação: Registos auditáveis de todas as ações de formação.

Demonstração de Conformidade

Requisitos e boas práticas para documentação e evidenciação do cumprimento das obrigações de ciberhigiene.

Documentação Exigível

 

Tipo de Evidência

Conteúdo Requerido

Periodicidade
Programa de Formação Plano anual com objetivos, conteúdos e calendarização Anual
Registos de Formação Listas de presença, certificados, avaliações Cada ação
Competências Administradores Comprovação de formação específica Anual (mínimo)
Avaliação de Eficácia Métricas de mudança comportamental Trimestral/Anual
Políticas e Procedimentos Documentação completa aprovada Revisão anual

Consequências do Incumprimento

Contraordenações: Incumprimento constitui contraordenação punível com coima.

Coimas Elevadas: Valores significativos calculados em função do volume de negócios.

Responsabilização Pessoal: Administradores podem ser sancionados individualmente.

Impacto Reputacional: Incumprimentos graves podem ser tornados públicos.

Demonstração de Conformidade

Requisitos e boas práticas para documentação e evidenciação do cumprimento das obrigações de ciberhigiene.

Documentação Exigível

 

Tipo de Evidência  Conteúdo Requerido  Periodicidade 
Programa de Formação  Plano anual com objetivos, conteúdos e calendarização  Anual 
Registos de Formação   Listas de presença, certificados, avaliações  Cada ação 
Competências Administradores  Comprovação de formação específica  Anual (mínimo) 
Avaliação de Eficácia  Métricas de mudança comportamental  Trimestral/Anual 
Políticas e Procedimentos  Documentação completa aprovada  Revisão anual 

 

Consequências do Incumprimento

Contraordenações: Incumprimento constitui contraordenação punível com coima.

Coimas Elevadas: Valores significativos calculados em função do volume de negócios.

Responsabilização Pessoal: Administradores podem ser sancionados individualmente.

Impacto Reputacional: Incumprimentos graves podem ser tornados públicos.

Precisa de Apoio para Conformidade NIS2?

O Ciberhigiene.pt oferece consultoria especializada para implementação de programas de ciberhigiene organizacional conformes com a legislação portuguesa de transposição da NIS2.

Conhecer o PAC Ciberhigiene
Agendar Consulta
Ciber Higiene
Powered by  GDPR Cookie Compliance
Politica de Proteção de Dados

Consoante o seu consentimento, os Cookies neste sítio eletrónico podem ser utilizados (i) para melhorar a sua navegação e desempenho, (ii) para analisar a sua utilização, (iii) para possibilitar a criação de conteúdos de publicidade direcionada ou (iv) para integrar com a gestão de redes sociais.

Por defeito, só os Cookies estritamente necessários se encontram ativos.

Poderá aceitar ou rejeitar todos os Cookies nos botões apresentados ou gerir ou desativar alguns destes Cookies selecionando as opções “Configurar Cookies”.

Para mais informações sobre tratamento de dados, visite, por favor, a [Política de Cookies] ou a [Política de Proteção de Dados].