A nova lei de cibersegurança, que visa proteger sistemas electrónicos, redes e dados contra ataques maliciosos, classifica as entidades em dois grupos: essenciais e importantes, dependendo dos riscos associados. As entidades essenciais, como os sectores de energia, transportes, bancos, saúde, infraestruturas digitais, entre outros, estão sujeitas às multas mais severas caso não implementem as medidas necessárias de protecção.

A legislação, que incorpora a diretiva europeia NIS2 ainda em consulta pública, prevê sanções que podem variar de 2500 euros a 10 milhões de euros ou 2% do volume de negócios anual global, dependendo de qual valor for maior, no caso de infrações muito graves cometidas por entidades essenciais. Para pessoas singulares, as multas vão de 500 a 250 mil euros.

Já para as entidades importantes, as penalidades oscilam entre 1750 euros e 7 milhões de euros, ou até 1,4% do volume de negócios anual global, enquanto para pessoas singulares as multas permanecem entre 500 e 250 mil euros.

O Centro Nacional de Cibersegurança será responsável por propor a lista de entidades essenciais, importantes e públicas relevantes. A nova legislação deverá entrar em vigor até 17 de março de 2025.