O novo regime de cibersegurança, que alarga as entidades abrangidas e prevê que o membro do Governo com esta área pode "determinar a aplicação de restrições" de equipamentos ou serviços considerados "de elevado risco", já está em consulta pública.

O regime, seguindo a Diretiva NIS2 [Network and Information Security], "expande o conjunto de entidades abrangidas, priorizando, por um lado, a generalização da prevenção dos riscos de cibersegurança, mas graduando a exigência regulatória em função da dimensão da entidade e da importância da sua atividade, bem como privilegiando a proporcionalidade das medidas aplicáveis".

De acordo com o artigo 18.º, "o membro do Governo responsável pela área da cibersegurança pode determinar a aplicação de restrições provisórias à utilização, a cessação de utilização ou exclusão de equipamentos, componentes ou serviços de tecnologias de informação e comunicação, utilizados em redes e sistemas de informação públicos ou privados, considerados de elevado risco para a segurança do ciberespaço de interesse nacional, mediante proposta da Comissão de Avaliação de Segurança do Ciberespaço".

A avaliação de segurança "deve ter em conta os riscos técnicos dos equipamentos, componentes ou serviços, o seu contexto de utilização e a exposição dos seus fabricantes ou fornecedores à influência indevida de países terceiros, incluindo informação relevante emitida pelas entidades competentes nacionais e da União Europeia ou constante das avaliações nacionais ou europeias de risco para a segurança das redes e sistemas de informação, bem como outros riscos securitários relevantes", lê-se no documento.

Para avaliar o nível de exposição dos fabricantes ou fornecedores à influência indevida de um país terceiro, a proposta de lei de autorização legislativa prevê que podem ser considerados cinco elementos.

Entre eles o fabricante ou fornecedor estar, direta ou indiretamente, "sujeito à interferência do governo ou administração de um país terceiro"; "vinculado a países reconhecidos por Portugal, pela União Europeia, pela Associação Europeia de Comércio Livre ou pela Organização do Tratado do Atlântico Norte, como responsáveis ou envolvidos em ações hostis à segurança interna e defesa nacional de Portugal ou dos seus aliados, designadamente atos de espionagem ou de sabotagem";

Outro é o "fabricante ou fornecedor estar, direta ou indiretamente, vinculado a países que não dispõem de legislação ou acordos diplomáticos com Portugal ou com a União Europeia em matéria de proteção de dados, de cibersegurança e de proteção de propriedade intelectual".

A avaliação tem ainda em conta se o fornecedor ou fabricante está associado "a práticas de introdução de vulnerabilidades ou acessos ocultos" ou se adota "modelos de governação corporativa que não esclareçam sobre o grau de influência ou vinculação a países terceiros nas condições das alíneas anteriores".

As avaliações de segurança "podem ser realizadas ou revistas a pedido do membro do Governo responsável pela área da cibersegurança, bem como, em aplicação do mecanismo português de salvaguarda de ativos estratégicos essenciais, pelo membro do Governo responsável pela área em que o ativo estratégico em causa esteja integrado".

E a Comissão de Avaliação de Segurança do Ciberespaço pode pedir a qualquer entidade, pública ou privada, a prestação de qualquer informação necessária à elaboração de avaliações de segurança, sendo que a decisão do membro do Governo responsável por esta pasta "define os prazos razoáveis e, quando aplicável, o âmbito geográfico da medida a aplicar, de forma que as entidades públicas ou privadas em causa procedam à sua implementação".

No âmbito da legislação em vigor, a Huawei foi retirada das redes 5G em Portugal, o que levou, em setembro de 2023, a tecnológica chinesa a entrar com uma ação administrativa contra a deliberação sobre equipamentos 5G da Comissão de Avaliação de Segurança (CAS).

A entrada em vigor do novo regime jurídico de Cibersegurança "não prejudica a validade das decisões tomadas pela Comissão de Avaliação de Segurança ao abrigo do regime anterior, que continuam a produzir efeitos pelo período de 180 dias", durante "o qual deve ser realizada nova avaliação de segurança", segundo norma transitória.

"Com base na nova avaliação de segurança referida no número anterior, e ao abrigo do regime aprovado em anexo ao presente decreto-lei, o membro do Governo responsável pela área da cibersegurança pode decidir pela renovação, modificação ou substituição das decisões adotadas pela Comissão de Avaliação de Segurança no âmbito do regime anterior", refere o documento.

A consulta pública, iniciada na quinta-feira, termina em 15 dias, segundo informação divulgada.