António Gameiro Marques participou na quarta-feira num painel-debate com Jorge Libório, líder de cibersegurança da EY Portugal, sobre os principais desafios da NIS2 (diretiva de cibersegurança), no âmbito do Club dos CIO (Beyond: The EY Digital Club), na sede da consultora, em Lisboa.
Questionado sobre qual é o maior desafio da cibersegurança, o diretor-geral do GNS afirma que é "garantir que a transposição não só vê a luz do dia em Diário da República, como também depois na sua implementação".
"Já estamos a fazer o que está ao nosso alcance para adiantarmos serviço, porque pese embora a legislação ainda não tenha sido publicada, nós sabemos já as grandes linhas", refere o responsável.
Portanto, "já iniciámos um processo que vai levar a que nós consigamos, junto da população abrangida ou das entidades abrangidas, e usando uma infraestrutura que já existe, que é a C-Academy, levar esse conhecimento a todas as entidades, assinei o processo aquisitivo desse serviço de criação de conteúdos específicos na semana passada", avança.
Além disso, "estamos neste momento a desenvolver um caderno de encargos que vai ter impacto num portal específico que no CNCS [Centro Nacional de Cibersegurança] vai existir só para a NIS2, um portal transacional onde as entidades que vão estar no âmbito podem aferir se estão ou não no âmbito e, se sim, quais são as matrizes de risco e quais são os controlos e os requisitos que têm que implementar para esse efeito", explica Gameiro Marques.
E "estamos também a desenvolver um normativo do regulador, do CNCS, que vai ter um novo quadro nacional de referência em cibersegurança, já há um, e este agora vai ser atualizado em conformidade com requisitos da NIS2, a lista de itens que têm de ser cumpridos e também as matrizes de ricos, já estamos a trabalhar nesses três campos", refere.
Isto para que quando a legislação for publicada "não estejamos à espera para desenvolver estas coisas".
A NIS2 tem 18 áreas e "depois, através de uma forma interativa, as empresas, respondendo a um conjunto de questões, fazem uma 'self-declaration', uma auto-declaração, se estão ou não estão" na lista de essenciais ou importantes.
Isto sem prejuízo -- e a NIS2 prevê isso de, por exemplo, haver um serviço que é considerado importante ou essencial e que tem que ser tratado daquela maneira -- e o regulador informar essa entidade que é contemplada neste contexto.
A consulta pública do novo regime de cibersegurança, que transpõe a diretiva NIS2, terminou em 31 de dezembro e, de acordo com o Governo, assim que for concluída a análise dos contributos, o executivo irá submeter à Assembleia da República a proposta de Lei de autorização legislativa.
O novo regime jurídico de cibersegurança, que transpõe a diretiva NIS2 [Network and Information Security], alarga o conjunto de entidades abrangidas, priorizando, por um lado, a generalização da prevenção dos riscos de cibersegurança, mas graduando a exigência regulatória em função da dimensão da entidade e da importância da sua atividade, bem como privilegiando a proporcionalidade das medidas aplicáveis.
Entre outras medidas, o regime diferencia o tratamento a dar às entidades essenciais e às importantes em função dos riscos e prevê coimas até 10 milhões de euros em caso de contraordenações muito graves para as primeiras.
Leia Também: Portuguesa de cibersegurança Visionware planeia reforço em Cabo Verde
