A nova legislação alarga o número de entidades com obrigações de cibersegurança e introduz a responsabilização individual para gestores de topo. Segundo Lino Santos, coordenador do Centro Nacional de Cibersegurança (CNCS), o novo regime irá alargar o seu âmbito para incluir novos setores como o espacial, a indústria transformadora e o alimentar.

Estes setores são considerados críticos, uma vez que uma grande disrupção poderia ter um impacto significativo na sociedade.

Após a promulgação, as entidades e empresas terão um período de 24 meses para se adaptarem. Uma novidade fundamental é a introdução de medidas de segurança obrigatórias para combater os tipos de incidentes mais comuns, o que se espera que "reduza drástica e substancialmente a probabilidade de sucesso dos ataques informáticos". Uma dessas medidas, simples mas eficaz, é a implementação de sistemas de autenticação multifator, que muitas entidades ainda não adotaram.

Outra alteração significativa é a responsabilização das administrações e direções pelo cumprimento das normas.

O novo enquadramento incluirá um regime sancionatório para as organizações e uma "responsabilidade individual dos administradores das empresas e diretores dos organismos públicos".

O objetivo é elevar a cibersegurança ao nível da gestão de topo.

Lino Santos afirmou não ter "dúvidas de que Portugal vai ficar mais seguro e mais bem preparado para fazer frente a ataques informáticos", numa altura em que os incidentes, particularmente na administração local, cresceram 36% em 2024.