14 DE FEVEREIRO DE 2025

3

segurança interna e externa, fomentando, em particular, a transversalidade dos fluxos de informação relevante

e a partilha de contributos táticos na resposta a incidentes entre as entidades nacionais competentes em matéria

de cibersegurança, numa lógica de maximização das capacidades públicas portuguesas para a prevenção, a

deteção precoce, a mitigação, a repressão e a responsabilização de ciberameaças.

O fortalecimento da cooperação com o setor privado é outro dos eixos do desenho institucional previsto no

regime aprovado pelo decreto-lei autorizado, fomentando-se a colaboração entre as autoridades competentes e

os privados nas várias matérias relevantes.

Quanto ao modelo de gestão dos riscos previsto no regime aprovado pelo decreto-lei autorizado, este

consiste na fixação de padrões pré-definidos de risco, aplicáveis a cada setor e tipo de entidade, e na aplicação

de medidas de prevenção correspondentes, acrescendo ainda uma análise do risco residual. Este modelo

permite desonerar as autoridades de uma análise casuística do risco de cada entidade abrangida, facilitando

ainda que as entidades abrangidas conheçam a categoria em que se inserem e, assim, as medidas mínimas

que devem adotar. Nestes termos, o modelo proposto introduz simplicidade, previsibilidade e uma melhor

adequação das medidas obrigatórias ao quadro de ameaças aplicável a cada setor de atividade. Por outro lado,

o modelo fomenta a criação de um mercado de certificação em cibersegurança, o que terá utilidade económica

e permitirá generalizar uma presunção de conformidade das entidades.

Por fim, quanto ao modelo de supervisão previsto no regime aprovado pelo decreto-lei autorizado, este,

refletindo o disposto na Diretiva a transpor, prevê um regime dual, diferenciando o tratamento a dar às entidades

essenciais e importantes em função dos riscos de cibersegurança associados a cada categoria, em

cumprimento, mais uma vez, do princípio da proporcionalidade.

O decreto-lei autorizado concentrou-se na construção do quadro jurídico aplicável em matéria de

cibersegurança. Contudo, a entrada em vigor do novo regime implicará necessariamente um reforço significativo

da capacidade do CNCS e uma nova reflexão sobre o seu enquadramento institucional.

Assim:

Nos termos da alínea d) do n.º 1 do artigo 197.º da Constituição, o Governo apresenta à Assembleia da

República a seguinte proposta de lei:

Artigo 1.º

Objeto

Fica o Governo autorizado a aprovar o regime jurídico da cibersegurança, transpondo a Diretiva (UE)

2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro, destinada a garantir um elevado nível

comum de cibersegurança em toda a União.

Artigo 2.º

Sentido e extensão

A autorização referida no artigo anterior tem como sentido e extensão:

a) Aprovar o regime jurídico da cibersegurança, transpondo, para a ordem jurídica interna, a Diretiva (UE)

2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro, relativa a medidas destinadas a garantir

um elevado nível comum de cibersegurança na União, que altera o Regulamento (UE) n.º 910/2014 e a Diretiva

(UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 1);

b) Executar, na ordem jurídica interna, as obrigações decorrentes do Regulamento (UE) 2019/881, do

Parlamento Europeu e do Conselho, de 17 de abril, relativo à ENISA (Agência da União Europeia para a

Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga

o Regulamento (UE) n.º 526/2013 (Regulamento Cibersegurança), implementando um quadro nacional de

certificação da cibersegurança;

c) Proceder à nona alteração da Lei de Segurança Interna, aprovada pela Lei n.º 53/2008, de 29 de agosto,

na sua redação atual;

d) Proceder à segunda alteração da Lei do Cibercrime, aprovada pela Lei n.º 109/2009, 15 de setembro,