A nova lei alarga o âmbito de aplicação a mais setores e impõe obrigações mais rigorosas a entidades públicas e privadas para aumentar a resiliência nacional contra ciberataques.

O novo regime, que visa harmonizar a legislação nacional com as exigências europeias, expande o leque de setores considerados críticos, passando a abranger áreas como o espaço, a indústria transformadora e o setor alimentar. Segundo Lino Santos, coordenador do Centro Nacional de Cibersegurança (CNCS), estas são áreas que, “se forem alvo de ataque informático que provoquem grande disrupção, podem ter um impacto muito grande na sociedade”. Uma das principais novidades é a introdução de um conjunto de medidas de segurança de caráter obrigatório, como a implementação de sistemas de autenticação multifator, que visam responder às tipologias mais comuns de incidentes. Outra alteração fundamental é a responsabilização direta das administrações e direções pelo cumprimento das novas regras, com a previsão de um regime sancionatório para as organizações e responsabilidade individual para os seus gestores.

Esta medida pretende elevar o tema da cibersegurança ao nível da gestão de topo.

Após a promulgação, as entidades terão um período de 24 meses para se adaptarem às novas exigências. A diretiva NIS2 é vista como uma oportunidade para as empresas tornarem os seus processos mais robustos e implementarem uma gestão de continuidade de negócios como ferramenta preventiva.