Oito Estados-membros da União Europeia, incluindo Portugal, continuam sem aplicar as normas de cibersegurança exigidas pela Diretiva NIS2, quase um ano depois do prazo estabelecido por Bruxelas.
A legislação, aprovada em 2022, obriga os países a transpor para a lei nacional medidas de proteção para setores essenciais como energia, transportes, banca, abastecimento de água e infraestruturas digitais.
O prazo terminou a 17 de outubro de 2024, mas Bulgária, França, Irlanda, Luxemburgo, Países Baixos, Portugal, Espanha e Suécia ainda não concluíram o processo.
Em maio, a Comissão Europeia abriu processos de infração contra 19 países e concedeu dois meses para a adoção das regras. Desde então, 11 regularizaram a situação. Os restantes oito arriscam ser levados ao Tribunal de Justiça da UE.
A NIS2 prevê que incidentes graves sejam comunicados no prazo de 24 horas, com relatório detalhado em até 72 horas. As sanções por incumprimento podem atingir 10 milhões de euros ou 2% do volume de negócios global das empresas, optando-se pelo valor mais elevado.
O executivo comunitário está a avaliar as respostas dos países e, caso estas sejam consideradas insuficientes, poderá avançar para novas ações.
Em dezembro, será apresentado um pacote legislativo para simplificar obrigações de reporte e reduzir encargos para as empresas, incluindo PME.