A transposição da Diretiva (UE) 2022/2555 (NIS2) para a ordem jurídica portuguesa, consubstanciada no projeto de diploma que ratifica o novo Regime Jurídico da Cibersegurança e que foi aprovada em Conselho de Ministros no passado dia 5 de novembro, marca um momento decisivo para o digital em Portugal. Esta iniciativa legislativa surge em resposta ao aumento da sofisticação e quantidade das ciberameaças, que representam um elevado potencial disruptivo para o funcionamento do Estado, dos agentes económicos e assim da sociedade. No entanto, a ambição do governo português transcende a mera obrigatoriedade de conformidade, assentando num pilar fundamental: a busca pelo equilíbrio entre a exigência de segurança e a garantia da eficiência económica e preservação da liberdade.

A Segurança como Valor Primordial e Vantagem Competitiva

Para os decisores políticos, a defesa da segurança, seja física ou no ciberespaço, é um valor primordial do contrato social e um dos objetivos principais da governação. Sem segurança, o exercício da liberdade — de falar, agir, investir e empreender — torna-se muito limitado e os mais vulneráveis ficam desprotegidos. Portugal já se posiciona como um dos países mais seguros a nível mundial, tanto no plano físico como no ciberespaço (1). Todavia, a manutenção deste estatuto requer um esforço permanente e determinado.

O novo regime visa, assim, não só manter Portugal entre os países mais seguros no ciberespaço, mas também transformar a cibersegurança numa oportunidade económica. Esta área é encarada como uma política industrial que pode ser explorada para tornar o país um local de referência e de destino de investimento na indústria de serviços digitais, aproveitando o ambiente seguro que oferece.

O Princípio da Proporcionalidade: Evitar Custos Burocráticos Excessivos

O desafio inerente a qualquer regulamentação de segurança é evitar que as obrigações impostas submerjam a atividade económica com custos desproporcionais e as empresas e os atores com entraves burocráticos que onerem em excesso e que desequilibram o ecossistema. A experiência internacional mostra que a imposição de proibições e obrigações máximas tende a aniquilar a economia, inibir a atividade, e coartar a liberdade.

Para contornar esta armadilha, o regime jurídico de cibersegurança é desenhado sob um princípio de proporcionalidade na gestão de riscos e nos custos regulatórios exigidos. Isto é alcançado através de vários mecanismos estruturais previstos no diploma:

• Graduação Regulatória: O regime expande significativamente as entidades abrangidas (incluindo uma parte substancial da Administração Pública e entidades privadas dos setores críticos). Contudo, a exigência regulatória é graduada em função da dimensão da entidade e da importância da sua atividade, privilegiando a proporcionalidade das medidas aplicáveis. As entidades são classificadas como Essenciais ou Importantes, sendo as exigências preventivas ajustadas em função do grau de risco que representam.
• Matriz de Risco: O modelo de gestão de riscos baseia-se na fixação de padrões pré-definidos de risco e na aplicação de medidas de prevenção correspondentes. Esta abordagem, que diferencia as entidades pela sua dimensão e criticidade (como infraestruturas aeroportuárias, abastecimento de energia entre outras), introduz simplicidade, previsibilidade e uma melhor adequação das medidas obrigatórias, desonerando as autoridades de uma análise casuística do risco de cada entidade.

O princípio da proporcionalidade não só alivia o fardo desnecessário sobre as pequenas e médias empresas, como também permite que o foco da segurança seja concentrado onde o impacto sistémico é maior, garantindo que as leis são competentes e capazes de tornarem Portugal competitivo, seguro, e ainda economicamente atrativo.

Parceria Público-Privada e Oportunidades de Mercado

Um dos princípios orientadores da política definida é a lógica de parceria público-privada, que reconhece a necessidade de mobilizar as capacidades e o esforço do setor privado para construir o ecossistema de cibersegurança.

O regime incentiva o desenvolvimento de um mercado de certificação privada em cibersegurança. Em vez de se optar por um sistema de controlo público prévio, de licenciamento e autorização casuística (que aumenta a burocracia), o modelo proposto associa a matriz de risco a um mercado privado de certificação. Este mercado terá utilidade económica e permitirá generalizar uma presunção de conformidade, funcionando como um instrumento de liberdade e competitividade.

Adicionalmente, o diploma reforça a cultura de segurança, mobilizando os esforços privados de forma direta, nomeadamente através da despenalização de certas atividades de interesse público, como o ethical hacking. Mediante a verificação cumulativa de um conjunto apertado de circunstâncias (como a ausência de propósito de ganho económico, a comunicação imediata de vulnerabilidades, e a proporcionalidade da atuação, evitando danos ou interrupções), estes atos deixam de ser puníveis, incentivando os especialistas a contribuir para a segurança do ciberespaço e a detetar vulnerabilidades de forma benevolente.

Conformidade e Período de Transição

Para as empresas, a conformidade representa o custo de fazer negócios no século XXI. Contudo, a não-conformidade acarreta riscos de negação de serviços, perdas financeiras e reputacionais, para além do comprometimento da segurança nacional. O regime sancionatório, que responsabiliza diretamente o dirigente máximo da entidade, prevê coimas elevadas para as infrações muito graves (até 2% do volume de negócios anual global para entidades essenciais e 1,4% para entidades importantes), refletindo a gravidade da violação.

No entanto, o projeto de diploma reconhece a necessidade de um período de adaptação para que o tecido empresarial possa assimilar o novo quadro legal. As entidades essenciais, importantes e públicas relevantes podem solicitar a dispensa da aplicação de coimas durante 12 meses a contar da entrada em vigor do regime, caso a fundamentação seja baseada na inexistência de um procedimento interno de adaptação.

Em suma, a transposição da Diretiva NIS2 em Portugal reflete uma visão estratégica que entende que a cibersegurança não é um luxo, mas um fator de atratividade e desenvolvimento económico num mundo cada vez mais conectado. O sucesso deste regime reside na sua capacidade de manter um nível de segurança elevado sem asfixiar a economia, utilizando a proporcionalidade e a parceria com o setor privado como vetores de crescimento e inovação. Este sistema de defesa flexível, que ajusta o rigor regulatório à criticidade, contribui para que Portugal continue a ser um hub digital seguro e, consequentemente, um destino preferencial para investimentos estratégicos em serviços tecnológicos.


(1) Portugal posiciona-se no TIER 1 (Role-modelling) https://www.itu.int/en/ITU-D/Cybersecurity/pages/global-cybersecurity-index.aspx