Evento APDC

18.04
Outras iniciativas



Workshop reservado APDC - GNS / CSCS

Regime Jurídico da Segurança do Ciberespaço

A transposição da Diretiva SRI está em marcha e aguarda votação final no Parlamento. A versão 2.0 da Estratégia Nacional de Segurança do Ciberespaço (ENSC) está a ser ultimada e será entregue ao Executivo em maio. Em preparação estão já medidas adicionais. Há governance, uma estratégia e medidas bem definidas. Até novembro, Portugal devera ter todas as ferramentas necessárias para garantir a segurança no mundo digital. Mas é preciso mais parcerias e maior cooperação entre setores público e privado. Assim como reforçar as medidas de consciencialização para os perigos do online.

No workshop reservado, sobre o “Regime Jurídico da Segurança do Ciberespaço”, que resultou de uma parceria entre a APDC e o Centro Nacional de Cibersegurança (CNCS), que decorreu ontem nas instalações deste organismo, estiveram em debate dois temas críticos: a proposta de lei sobre o Regime Jurídico da Segurança do Ciberespaço, aprovada em Conselho de Ministros a 15 de março e que transpõe para a legislação nacional a Diretiva SRI, com as medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a Europa, e a nova versão da Estratégia Nacional da Segurança.

Este encontro representou, segundo o Presidente da APDC, Rogério Carapuça, uma oportunidade para as empresas das TIC e media. “a tecnologia traz consigo um conjunto de oportunidades, mas também de ameaças. Não é por isso que a vamos deixar de usar. Mas remos muita coisa nos nossos negócios dependentes do ciberespaço e estamos expostos a um novo conjunto de ameaças que é preciso antecipar e evitar. Um sistema legislativo adequado e a prevenção têm que ser apostas e é fundamental saber qual o enquadramento jurídico que vai vigorar e as ações que serão encetadas”, destacou na abertura.

São vários os processos em andamento, com ficou bem claro com a intervenção de Alexandre Leite, do CNCS, que explicou as metas e objetivos da Diretiva SRI (2016/1148), as opções feitas no âmbito da definição do Regime Jurídico da Segurança do Ciberespaço, que transpõe para Portugal uma Diretiva que é obrigatória em todo o espaço europeu, e as implicações da nova legislação de cibersegurança, que entrará em vigor este ano.

A proposta de lei foi aprovada em Conselho de Ministros em março e aguarda agora a votação final na Assembleia da República. Estão já em preparação dois diplomas complementares: um sobre requisitos de segurança e outro sobre requisitos de notificação de incidentes.

Cooperação formal entre países no reporte de incidentes e na partilha de informação, construindo-se uma rede europeia de entidades nacionais com competências na matéria, foram objetivos de Bruxelas. A estratégia a adotar em cada país terá que endereçar temas como a governance, responsabilização e capacitação. Assim como a criação de formas de colaboração ao nível comunitário. 

Passam a ter que adotar requisitos de segurança e de notificação de incidentes todas as entidades que prestam serviços digitais e serviços essenciais, como estabelece a diretiva. Incluem os prestadores de serviços digitais (cloud, mercados online e motoros de busca); e os operadores de serviços essenciais, entidades públicas ou privadas que prestam serviços essenciais à sociedade em 7 setores distintos (transportes, energia, água, saúde, banca, serviços financeiros e estruturas digitais).  E há um regime sancionatório, embora o valor das coimas seja “relativamente baixo”, porque a preocupação foi de “não aumentar os custos de contexto das empresas”, referiu Alexandre Leite.

Teve ainda que ser definida a governance nacional, numa área que está sob direta do Primeiro-ministro e da ministra da Presidência e da Modernização Administrativa.  Sob a sua alçada estão o Conselho Superior de Segurança do Ciberespaço, criado em meados do ano passado com objetivo de assegurar a coordenação político-estratégica para a segurança do ciberespaço assim como o controlo da execução da Estratégia Nacional de Segurança do Ciberespaço (ENSC) e da sua revisão. Tem na sua composição representantes das várias entidades que atuam nestes domínios. Seguem-se o Gabinete Nacional de Segurança e o CNCS, assim como o CERT.PT, serviço que coordena a resposta a incidentes no ciberespaço nacional.

Prestes a ser concluído pelo CNCS está o processo de revisão da Estratégia Nacional de Segurança do Ciberespaço (ENSC), que é uma realidade desde 2015. A versão 2.0 do documento deverá ser entregue ao Executivo ainda em maio, de acordo com o timeline definido no próprio documento. Segundo Gameiro Marques, Diretor Geral do Gabinete Nacional de Segurança, a nova proposta é mais abrangente e diferente, até porque se aprendeu com o que foi feito para agora fazer diferente. Envolve também já contributos do setor privado e de entidades ligadas à I&D e inovação. Objetivo: “garantir que Portugal seja um pais seguro e próspero, através de uma ação inovadora, inclusiva e resiliente”.

Ter recursos humanos em número suficiente para os desafios da economia digital, fomentar a ligação entre I&D e inovação e a economia real e tornar Portugal capaz de suster, identificar e combater ameaças no ciberespaço são as metas, como explicou Gameiro Marques. Que antecipa que o documento seja fechado até 16 de maio, para ser enviado à tutela e iniciar-se o respetivo processo legislativo. Até 7 de maio podem ser apresentados contributos por escrito ao documento.

No debate que se seguiu, que contou com a intervenção de Pedro Veiga, coordenador do CNCS, detalharam-se algumas as alterações que foram introduzidas na ENSC 2.0, nomeadamente passar a considerar as autarquias e as regiões autonomias como estruturas essenciais, tais como outras entidades, como os portos ou empresas como a ANA, REN, EDP e Galp. O gestor referiu que a aposta passa por protocolos e parcerias, o que nem sempre é um processo fácil, particularmente no caso dos municípios.

É ainda dado muito enfâse à cooperação com outras entidades, acrescentou Gameiro Marques, porque “a partilha de informação é fundamental”. A capacitação de pessoas e empresas para o digital e o tema da cibersegurança é outro desafio, onde se espera contar com o apoio da sociedade e de associações como a APDC. “Estamos disponíveis para parcerias”, garantiu. Até porque as maiores ameaças nem sempre vêm dos cibercriminosos. Vêm também de dentro das organizações, que não adotam medidas preventivas.
 

Programa