O Governo aprovou o novo regime jurídico de cibersegurança esta quinta-feira, em Conselho de Ministros, transpondo a diretiva europeia NIS 2, focada no reforço das regras de seguraça para Redes e Sistemas de Informação. 

O ministro da Presidência, António Leitão Amaro, adiantou, no "briefing" do Conselho de Ministros, que "Portugal não tem, no seu espaço físico, uma situação de guerra ou de conflitos e agressões no seu território, o mesmo não é verdade no seu ciberespaço". Ainda assim, o governante lembrou que os "portugueses já experimentaram como ataques no ciberespaço podem transformar-se em paralisações", dando como exemplo o ataque aos serviços da Agência para a Modernização Administrativa em outubro do ano passado.

"É preciso reforçar as nossas capacidades de prevenção, empresas e entidades públicas. E por outro lado, capacidade de recuperação rápida em caso de incidentes de cibersegurança. Por outro lado, temos de aumentar os níveis de segurança e as medidas de segurança que as entidades adotam, mas temos de o fazer em linha com objetivo da guerra à burocracia, ou seja, sem criar um regime altamente complexo", vincou Leitão Amaro.

Olhando para a NIS2, o Governo propõe "um regime menos burocrático possível". "Optámos por um regime, que poucos países europeus têm, de uma matriz de risco em função da dimensão e do nível de criticidade das empresas e instituições". Assim, o Executivo quer evitar um regime que se prende com aprovações e licenças prévias.

"As empresas são autoclassificadas em função dos critérios da matriz e adotam mais ou menos medidas e obrigações de reporte e de sistemas de recuperação”, dependendo das duas necessidades de segurança.

Apesar da "luz verde" do Governo, este regime ainda vai ter de passar pelo crivo da Assembleia da República. Na visão do Executivo, esta é uma abordagem de confiança, com base numa estrutura de risco. 

Este regime vem também recuperar a proteção dos "hackers" éticos perante a lei. Isto é, o "hacker" que descobrir vulnerabilidades e não tire "vantagem económica" da sua descoberta e não viole os dados pessoais, é excluído de qualquer responsabilidade criminal. 

Esta diretiva deveria ter sido transposta até outubro de 2024, um prazo que falhou após as sucessivas crises políticas em solo nacional. Um mês depois, em novembro do ano passado, Bruxelas instaurou um processo contra Portugal pelo atraso, que foi colmatado em fevereiro de 2025 com a aprovação do regime, embora não tenha sido discutido na Assembleia da República.