Debates Parlamentares - Diário 182, p. 7 (2025-02-14)

O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.

Não foi possivel carregar a página pretendida. Reportar Erro

14 DE FEVEREIRO DE 2025

Entre os aspetos relevantes do regime aprovado pelo presente decreto-lei, encontra-se ainda o

aprofundamento de três instrumentos fundamentais para as políticas públicas de cibersegurança: a Estratégia

Nacional de Segurança do Ciberespaço, definindo as prioridades e os objetivos estratégicos nacionais em

matéria de cibersegurança; o Plano Nacional de Resposta a Crises e Incidentes de Cibersegurança em grande

escala, regulando e aperfeiçoando a gestão deste tipo de incidentes; e o Quadro Nacional de Referência para a

Cibersegurança, que reunirá e permitirá a divulgação de normas, padrões e boas práticas na gestão da

Cibersegurança.

Acresce que o quadro institucional do regime aprovado pelo presente decreto-lei é alargado em relação ao

regime anterior, conforme imposto pela Diretiva a transpor. Nesse sentido, o Centro Nacional de Cibersegurança

(CNCS) reforça a sua função de autoridade nacional de cibersegurança, destacando-se ainda o estabelecimento

de autoridades de supervisão «setoriais» e «especiais», que exercem supervisão sobre setores específicos da

economia, assim se garantindo a estabilidade na supervisão de cada um dos setores abrangidos, bem como

aliviando as tarefas transversais cometidas ao CNCS.

No plano interadministrativo, o modelo proposto estabelece uma arquitetura de convergência, de cooperação

e de interoperabilidade entre as várias entidades nacionais competentes em matéria de cibersegurança e de

segurança interna e externa, fomentando, em particular, a transversalidade dos fluxos de informação relevante

e a partilha de contributos táticos na resposta a incidentes entre as entidades nacionais competentes em matéria

de cibersegurança, numa lógica de maximização das capacidades públicas portuguesas para a prevenção, a

deteção precoce, a mitigação, a repressão e a responsabilização de ciberameaças.

O fortalecimento da cooperação com o setor privado é outro dos eixos do desenho institucional previsto no

regime aprovado pelo presente decreto-lei, fomentando-se a colaboração entre as autoridades competentes e

os privados nas várias matérias relevantes.

Quanto ao modelo de gestão dos riscos previsto no regime aprovado pelo presente decreto-lei, este consiste

na fixação de padrões pré-definidos de risco, aplicáveis a cada setor e tipo de entidade, e na aplicação de

medidas de prevenção correspondentes, acrescendo ainda uma análise do risco residual. Este modelo permite

desonerar as autoridades de uma análise casuística do risco de cada entidade abrangida, facilitando ainda que

as entidades abrangidas conheçam a categoria em que se inserem e, assim, as medidas mínimas que devem

adotar. Nestes termos, o modelo proposto introduz simplicidade, previsibilidade e uma melhor adequação das

medidas obrigatórias ao quadro de ameaças aplicável a cada setor de atividade. Por outro lado, o modelo

fomenta a criação de um mercado de certificação em cibersegurança, o que terá utilidade económica e permitirá

generalizar uma presunção de conformidade das entidades.

Por fim, quanto ao modelo de supervisão previsto no regime aprovado pelo presente decreto-lei, este,

refletindo o disposto na diretiva a transpor, prevê um regime dual, diferenciando o tratamento a dar às entidades

essenciais e importantes em função dos riscos de cibersegurança associados a cada categoria, em

cumprimento, mais uma vez, do princípio da proporcionalidade.

O presente decreto-lei tem, assim, como objetivo a consagração do novo quadro jurídico aplicável em matéria

de cibersegurança, sem prejuízo de a entrada em vigor deste regime implicar necessariamente um reforço

significativo da capacidade do CNCS e uma nova reflexão sobre o seu enquadramento institucional.

O presente decreto-lei foi submetido a consulta pública entre 22 de novembro e 31 de dezembro de 2024.

[Foram ouvidos os órgãos de governo próprio das regiões autónomas, a Associação Nacional de Municípios

Portugueses e a Comissão Nacional de Proteção de Dados].

Assim:

No uso da autorização legislativa concedida pelo artigo […] da Lei n.º […], de […], e nos termos das alíneas

a) e b) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:

Artigo 1.º

Objeto

1 – O presente decreto-lei aprova o regime jurídico da cibersegurança, transpondo, para a ordem jurídica

interna, a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro, relativa a

medidas destinadas a garantir um elevado nível comum de cibersegurança na União, que altera o Regulamento

14 DE FEVEREIRO DE 2025 7 Entre os aspetos relevantes do regime aprovado pelo presente decreto-lei, encontra-se ainda o aprofundamento de três instrumentos fundamentais para as políticas públicas de cibersegurança: a Estratégia Nacional de Segurança do Ciberespaço, definindo as prioridades e os objetivos estratégicos nacionais em matéria de cibersegurança; o Plano Nacional de Resposta a Crises e Incidentes de Cibersegurança em grande escala, regulando e aperfeiçoando a gestão deste tipo de incidentes; e o Quadro Nacional de Referência para a Cibersegurança, que reunirá e permitirá a divulgação de normas, padrões e boas práticas na gestão da Cibersegurança. Acresce que o quadro institucional do regime aprovado pelo presente decreto-lei é alargado em relação ao regime anterior, conforme imposto pela Diretiva a transpor. Nesse sentido, o Centro Nacional de Cibersegurança (CNCS) reforça a sua função de autoridade nacional de cibersegurança, destacando-se ainda o estabelecimento de autoridades de supervisão «setoriais» e «especiais», que exercem supervisão sobre setores específicos da economia, assim se garantindo a estabilidade na supervisão de cada um dos setores abrangidos, bem como aliviando as tarefas transversais cometidas ao CNCS. No plano interadministrativo, o modelo proposto estabelece uma arquitetura de convergência, de cooperação e de interoperabilidade entre as várias entidades nacionais competentes em matéria de cibersegurança e de segurança interna e externa, fomentando, em particular, a transversalidade dos fluxos de informação relevante e a partilha de contributos táticos na resposta a incidentes entre as entidades nacionais competentes em matéria de cibersegurança, numa lógica de maximização das capacidades públicas portuguesas para a prevenção, a deteção precoce, a mitigação, a repressão e a responsabilização de ciberameaças. O fortalecimento da cooperação com o setor privado é outro dos eixos do desenho institucional previsto no regime aprovado pelo presente decreto-lei, fomentando-se a colaboração entre as autoridades competentes e os privados nas várias matérias relevantes. Quanto ao modelo de gestão dos riscos previsto no regime aprovado pelo presente decreto-lei, este consiste na fixação de padrões pré-definidos de risco, aplicáveis a cada setor e tipo de entidade, e na aplicação de medidas de prevenção correspondentes, acrescendo ainda uma análise do risco residual. Este modelo permite desonerar as autoridades de uma análise casuística do risco de cada entidade abrangida, facilitando ainda que as entidades abrangidas conheçam a categoria em que se inserem e, assim, as medidas mínimas que devem adotar. Nestes termos, o modelo proposto introduz simplicidade, previsibilidade e uma melhor adequação das medidas obrigatórias ao quadro de ameaças aplicável a cada setor de atividade. Por outro lado, o modelo fomenta a criação de um mercado de certificação em cibersegurança, o que terá utilidade económica e permitirá generalizar uma presunção de conformidade das entidades. Por fim, quanto ao modelo de supervisão previsto no regime aprovado pelo presente decreto-lei, este, refletindo o disposto na diretiva a transpor, prevê um regime dual, diferenciando o tratamento a dar às entidades essenciais e importantes em função dos riscos de cibersegurança associados a cada categoria, em cumprimento, mais uma vez, do princípio da proporcionalidade. O presente decreto-lei tem, assim, como objetivo a consagração do novo quadro jurídico aplicável em matéria de cibersegurança, sem prejuízo de a entrada em vigor deste regime implicar necessariamente um reforço significativo da capacidade do CNCS e uma nova reflexão sobre o seu enquadramento institucional. O presente decreto-lei foi submetido a consulta pública entre 22 de novembro e 31 de dezembro de 2024. [Foram ouvidos os órgãos de governo próprio das regiões autónomas, a Associação Nacional de Municípios Portugueses e a Comissão Nacional de Proteção de Dados]. Assim: No uso da autorização legislativa concedida pelo artigo […] da Lei n.º […], de […], e nos termos das alíneas a) e b) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte: Artigo 1.º Objeto 1 – O presente decreto-lei aprova o regime jurídico da cibersegurança, transpondo, para a ordem jurídica interna, a Diretiva (UE) 2022/2555, do Parlamento Europeu e do Conselho, de 14 de dezembro, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União, que altera o Regulamento

Descarregar páginas