NIS2
A Diretiva NIS2 (Network and Information Security Directive) é a nova legislação europeia que reforça as regras de cibersegurança em toda a União Europeia. O seu objetivo principal é garantir um nível elevado e comum de proteção das redes e dos sistemas de informação que suportam serviços críticos para a sociedade e a economia.
Deriva da NIS1 (2016) e entra em vigor num contexto de aumento de ciberataques, exigindo por isso uma abordagem bem mais estruturada, preventiva e responsável à cibersegurança.
A NIS2 vem designada por Directiva (EU) 2022/2555 e entra na decorrência do DL n.º 125/2025
O que muda?
- Abrangência de mais setores e entidades classificados como essenciais ou importantes
- Obriga a uma série de ações: implementação de medidas técnicas e organizativas adequadas, adoção de políticas internas de segurança da informação, gestão de incidentes e continuidade dos serviços e formação e envolvimento da gestão de topo
- Um dos pontos centrais é a notificação obrigatória dos incidentes, que devem ser comunicados às autoridades competentes em prazos definidos
Proteção dos Hackes éticos
- Ainda no decorrer e vigência da NIS2, além do CNCS passar a ser a autoridade nacional para assegurar o cumprimento das normas europeias, os hackers éticos passam também a ser protegidos aquando da identificação responsável de vulnerabilidades.
Quando deixa de ser crime a atividade de hacking? Desde que cumpridos os seguintes requisitos:
- Onde a intenção principal é a identificação de vulnerabilidades e a sua divulgação responsável, sem ter o propósito de obter vantagem económica (ao contrário dos black-hat hackers),
- Onde haja proporcionalidade, isto é, não hajam danos decorrentes da atividade do hacker
- Onde proceda à comunicação das falhas não só ao proprietário do sistema como também à autoridade nacional de cibersegurança, neste caso, o CNCS.
"(...), a Proposta de Lei em apreço autoriza ainda o Governo a alterar a Lei do Cibercrime, em matéria estritamente penal (artigo 2º, alínea d) e artigo 5º). Por via destas normas, fica o Governo autorizado, numa visão geral, a “proceder à despenalização de factos suscetíveis de consubstanciar os crimes de acesso ilegítimo e de interceção ilegítima mediante a verificação cumulativa de um conjunto de circunstâncias”
"Artigo 66.º
Determinação da medida da coima 1-A determinação da coima concreta faz-se em função da gravidade da ilicitude concreta do facto, da culpa do agente, da sua situação económica e do benefício económico que este retirou da prática da contraordenação.
2-Na determinação da ilicitude concreta do facto e da culpa do agente atende-se às seguintes circunstâncias:
a) A gravidade da infração;
b) A duração da infração;
c) O caráter ocasional ou reiterado da infração;
d) Os danos causados, incluindo quaisquer prejuízos financeiros ou económicos, os efeitos noutros serviços e o número de utilizadores afetados;
e) As medidas tomadas pela entidade para prevenir ou atenuar os danos referidos na alínea anterior;
f) O nível de cooperação das pessoas singulares ou coletivas responsáveis com a autoridade de cibersegurança competente."
https://dre.tretas.org/dre/6367664/decreto-lei-125-2025-de-4-de-dezembro
https://eur-lex.europa.eu/eli/dir/2022/2555/oj