Lei da Cibersegurança prevê coimas até 10 ME para incumprimentos de entidades essenciais

O regime transpõe a diretiva NIS2 [Network and Information Security] - cuja consulta pública termina em 15 dias - "prevê um regime dual, diferenciando o tratamento a dar às entidades essenciais e importantes em função dos riscos de cibersegurança associados a cada categoria, em cumprimento, mais uma vez, do princípio da proporcionalidade".A energia, os transportes, o setor bancário, infraestruturas do mercado financeiro, saúde, água potável, águas residuais, infraestruturas digitais, gestão de serviços TIC (entre empresas) e Espaço fazem parte da lista de setores críticos.De acordo com o documento, outros setores críticos são ainda os serviços postais e de estafetas, a produção, fabrico e distribuição de produtos químicos ou investigação, entre outros.São contraordenações muito graves o incumprimento do dever de adoção das medidas de cibersegurança e são punidas, quando se trate de uma entidade essencial, com coimas de 2.500 euros a 10 milhões de euros ou "a 2% do volume de negócios anual a nível mundial, no exercício financeiro anterior, da entidade essencial em causa, consoante o montante que for mais elevado, se praticadas por uma pessoa coletiva". Se for praticado por uma pessoa singular, a coima vai 500 euros a 250 mil euros.Se for uma entidade importante, a coima pode ir de 1.750 euros a sete milhões de euros ou num montante máximo não inferior a 1,4% do volume de negócios anual a nível mundial, no exercício financeiro anterior, da entidade importante em causa, consoante o montante que for mais elevado, se praticada por pessoa coletiva."De 500 a 250.000 euros, se praticadas por uma pessoa singular", lê-se no documento.O regime prevê ainda coimas no caso de incumprimento de entidades públicas relevantes integradas no Grupo A ou no Grupo B. Entre as entidades essenciais estão "prestadores de serviços de confiança qualificados e registo de nomes de domínio de topo, e os prestadores de serviços de sistemas de nomes de domínio, independentemente da sua dimensão" e "empresas que oferecem redes públicas de comunicações eletrónicas ou serviços de comunicações eletrónicas acessíveis ao público que sejam consideradas médias empresas".Inclui ainda entidades da Administração Pública que tenham como atribuições a prestação de serviços nas áreas do desenvolvimento, manutenção e gestão de infraestruturas de tecnologias de informação e comunicação ou aquelas que apresentem um grau particularmente elevado de integração digital na prestação dos seus serviços e as identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557 relativa à resiliência das entidades críticas, entre outras. A atribuição das qualificações de entidades essenciais e entidades importantes tem mecanismos próprios: as entidades "procedem à sua autoidentificação como entidade essencial, importante ou pública relevante, de acordo com o respetivo grupo, em plataforma eletrónica disponibilizada pelo CNCS [Centro Nacional de Cibersegurança], no prazo de um mês após o início da sua atividade ou, caso a entidade já se encontre em atividade aquando da entrada em vigor do presente decreto-lei, no prazo de 60 dias após a disponibilização da referida plataforma eletrónica".As entidades são "ainda responsáveis por manter essa informação devidamente atualizada", de acordo com o diploma.Independentemente destes mecanismos, "o CNCS propõe a lista de entidades essenciais, importantes e públicas relevantes, nos termos e de acordo com os critérios legalmente previstos, para aprovação, pelo menos de dois em dois anos, em portaria do membro do Governo responsável pela área da cibersegurança, a qual é precedida de parecer das autoridades nacionais setoriais de cibersegurança".A primeira lista "deve entrar em vigor até ao dia 17 de março de 2025", refere a proposta de lei.Com este diploma, o CNCS "reforça a sua função de autoridade nacional de cibersegurança, destacando-se ainda o estabelecimento de autoridades de supervisão 'setoriais' e 'especiais', que exercem supervisão sobre setores específicos da economia, assim se garantindo a estabilidade na supervisão de cada um dos setores abrangidos, bem como aliviando as tarefas transversais cometidas" ao Centro Nacional de Cibersegurança.