Com a cibersegurança no centro da agenda europeia e nacional, há um novo e vasto quadro legislativo definido por Bruxelas que terá de ser implementado na UE27. Incluindo em Portugal, onde se prepara a transposição da NIS2. Esta exigirá uma rápida adoção, assim como um investimento significativo e uma maior responsabilização. Mas se os desafios são muitos, a nova regulação é também vista como uma oportunidade para as organizações reforçarem a sua resiliência digital e competirem num mercado cada vez mais global e exigente. É preciso é garantirem capacidade para investir, recursos humanos à altura e, acima de tudo, o compromisso da gestão de topo.

Na 13ª edição do Digital Union, uma parceria entre a APDC e a VdA, analisaram-se os impactos do novo enquadramento regulatório europeu, com particular destaque para a NIS2, que vem alargar o âmbito de aplicação e as obrigações a um vasto conjunto de organizações. 

Como começou por destacar Inês Antas de Barros, sócia da VdA na área de Comunicações, Proteção de Dados & Tecnologia, está a verificar-se um crescimento exponencial da economia de cibersegurança, assim como um aumento da desigualdade cibernética e uma crescente e alarmante escassez de competências nesta área. E se a adoção de novas tecnologias, como a IA, traz claros benefícios para todas as organizações, o facto é que também está a exacerbar os desafios de longo-prazo em termos de resiliência cibernética. 

É neste contexto que surgiu, no final de 2020, a Estratégia Europeia para a Cibersegurança, com propostas concretas para três instrumentos principais: políticas, iniciativas de investimento e iniciativas regulamentares. O que mostra que o tema passou para o topo das prioridades do legislador e dos decisores europeus. 

Hoje, o quadro legislativo europeu é vasto. Desde a Diretiva NIS, que estabelece uma norma comum de medidas de cibersegurança para todos os operadores de serviços essenciais e prestadores de serviços digitais, que a NIS2 vem alargar, ao Cyber Resilience Act, que estabelece obrigações para os fabricantes, importadores e fornecedores de produtos digitais para todos os setores. Já o DORA cria um quadro regulamentar para garantir que as entidades financeiras sejam capazes de resistir, responder e recuperar de incidentes de TIC e a Resilience of Critical Industries Directive cria um quadro para garantir que as empresas críticas dos estados-membros sejam capazes de prevenir, resistir e recuperar de incidentes disruptivos. 

De referir ainda o EU Cybersecurity Act, que reforça os poderes da agência da UE para a cibersegurança (ENISA) e define um quadro de certificação da cibersegurança para produtos e serviços. E o Regulamento de Cibersolidariedade cria medidas para reforçar a solidariedade e as capacidades da UE para detetar, preparar e dar resposta a ciberameaças e incidentes de cibersegurança.  E se estes são os diplomas de cibersegurança, sendo que há muitas outras obrigações que decorrem, indiretamente, de normas na área do digital, como o RGPD. 

PRINCIPAIS NOVIDADES E IMPACTOS

Tendo em conta que o processo de transposição da NIS2 para o ordenamento jurídico nacional está na sua fase final e que a diretiva é a principal peça legislativa em matéria de cibersegurança, Inês Antas de Barros destacou as principais novidades e impactos deste novo regime jurídico para a cibersegurança.

Entre as principais medidas que constam da proposta de transposição da Diretiva NIS2, estão a ampliação do âmbito de aplicação do novo regime, que passa a incluir uma parte significativa do setor público, o alargamento a novos tipos de entidades e a adaptação às suas dimensões e tipologias. Há mais setores e empresas a serem abrangidos, classificadas em diferentes categorias, de acordo com as suas dimensões e os setores de atividade: entidades essenciais, entidades importantes e entidades públicas relevantes. A autoidentificação e a qualificação, que será uma obrigação inicial, será feita através de uma plataforma que será disponibilizada pelo CNCS.

Outra das novidades é que o novo diploma vai surgir "acompanhado de um conjunto de instrumentos estruturantes da segurança do ciberespaço", como a Estratégia Nacional de Segurança do Ciberespaço, o Plano Nacional de Resposta à Crise e Incidentes, o Quadro Nacional de Referência para a Cibersegurança, a Estratégia Nacional de Ciberdefesa e o Conceito Estratégico de Defesa Nacional. Os que já existiam serão revistos para alinharem com a NIS2. E todas as mudanças serão acompanhadas por um novo quadro institucional, no âmbito do qual o Centro Nacional de Cibersegurança (CNCS) terá os poderes de supervisão alargados, além de um conjunto de autoridades de supervisão setoriais e especiais e da criação de mecanismos de coordenação e cooperação interinstitucional. 

A responsável da VdA destaca que haverá todo um novo regime de gestão dos riscos de cibersegurança, com uma nova abordagem estruturada e sistemática para a identificação, avaliação e mitigação, assim como um novo regime de prevenção e tratamento de incidentes. Ambos serão muito mais exigentes, "não só em matéria de avaliação dos seus impactos, mas de comunicação e divulgação de incidentes".

A atribuição de responsabilidade pessoal às lideranças das organizações é uma das grandes novidades. Passam a ter "um conjunto de obrigações, quer na aprovação de medidas de gestão de risco, quer na supervisão da aplicação destas medidas e de garantia do seu cumprimento". Claramente, na sua perspetiva, está a ser passada a mensagem que esta é uma matéria que tem de estar no topo da agenda dos decisores e dos órgãos de gestão. 

Na cadeia de abastecimento, depois de se concluir que uma grande percentagem dos incidentes não ocorre dentro das organizações, mas nos seus prestadores, há também alterações. As organizações passam a ter de mapear os seus prestadores, identificar adequadamente os riscos e, eventualmente, definir obrigações acrescidas. Há ainda o  reforço das obrigações de prevenção de vulnerabilidades e da notificação de incidentes.

Associado a estas novas obrigações, a oradora assinala o novo regime de supervisão e execução que foi criado: uma supervisão ex-ante e proativa para entidades essenciais e ex-post para entidades importantes e públicas relevantes, aplicada quando há provas ou indícios de incumprimento. E um novo quadro sancionatório, com o reforço das coimas, além da aplicação de uma taxa de supervisão, que poderá ser cobrada às entidades essenciais e importantes, como contrapartida dos atos de supervisão praticados. 

Perante esta realidade, de um quadro complexo, o que podem fazer as organizações para se prepararem? Inês Antas de Barros deixa algumas sugestões para os passos imediatos: avaliar se a organização está ou não sujeita ao novo regime jurídico e se terá de fazer a respetiva qualificação; proceder ao levantamento das obrigações e benefícios e ao mapeamento de prioridades; adotar as medidas prioritárias; e por fim, fazer uma análise da situação e definir um roadmap de implementação. Porque, como deixa claro, esta é uma aplicação faseada das obrigações. Afinal, "as organizações devem ver este processo como uma oportunidade para inovar e gerar confiança junto de clientes, fornecedores e acionistas".

POTENCIAR NIS2 COMO VANTAGEM COMPETITIVA

No debate que se seguiu, entre protagonistas do setor público e privado, ficou claro que todos têm consciência dos desafios a enfrentar, mas também que a NIS2 e a restante regulamentação podem constituir uma verdadeira vantagem competitiva. Desde que se saiba como antecipar riscos, que se aposte no investimento em formação e se construa uma verdadeira cultura de confiança digital. 

Mas, para já, estão bem evidentes os desafios que as novas regras representam para as organizações, as mais maduras e as menos, que deverão ser as mais impactadas por esta nova era da cibersegurança, diz Sara Palma, Area Coordinator de Governance, Risk and Compliance da Worten Portugal. A começar pela responsabilização da gestão de topo, que terá de ficar mais consciente da exposição da própria organização perante o risco. Nesse sentido, considera ser importante que "as equipas de cibersegurança consigam converter os bits e os bytes numa linguagem mais de gestão, para sensibilizar a gestão de topo, além de todo um trabalho em conjunto em todas as áreas". Já a cadeia de parceiros, não sendo um tema novo, ganha uma nova importância e há que saber como avaliar o risco.

Pedro Matos, Coordenador do Departamento de Apoio à Coordenação do CNCS, começa por admitir que a dimensão do que está subjacente à nova regulamentação "pode assustar as entidades". Mas considera que o âmbito de aplicação da NIS2 é muito mais claro relativamente àquilo que era a anterior legislação. E, estando agora a Administração pública abrangida, há, tal como para os privados, diferenças em termos de dimensão das organizações e do tipo de serviços que presta. Não tem dúvidas de que a NIS2 "é o quadro de partida que vai permitir, pelo menos, termos um país um pouco mais seguro relativamente às matérias do ciberespaço".

"De facto, a manta legislativa à volta deste tema, nomeadamente no contexto do setor da saúde, é muito complexa", começa por salientar Luís Miguel Ferreira, administrador dos Serviços Partilhados do Ministério da Saúde (SPMS). É que neste caso, há ainda mais diplomas a respeitar, como o Plano de Ação para a Cibersegurança dos Hospitais e Prestadores de Cuidados de Saúde ou o Medical Device Regulation, para já não falar do IA Act, do Chips Act ou do Data Governance Act. Acresce o Espaço Europeu de Dados de Saúde, que apresenta também enormes preocupações na área da utilização primária e secundária da informação. 

"Portugal tem, à volta destes temas e no setor da saúde, enormes desafios pela frente", garante, sendo que "uma das questões que me preocupa, enquanto instituto público, é a responsabilização direta. Não nos podemos esquecer que estamos obrigados às regras de contratação pública. E isso coloca enormes constrangimentos". O tema dos recursos em cibersegurança é também uma prioridade, dada a escassez de talento do mercado e tendo em conta que o setor público paga muito pior que o privado.

Já Bruno Castro, fundador e CEO da VisionWare, uma das principais empresas de cibersegurança nacionais, desmistifica a complexidade do processo para as empresas: "O que temos é de montar um modelo de coordenação de segurança à medida da organização. Tudo o resto vem a seguir, de acordo com o risco envolvido, as obrigações legais, o ecossistema onde vive e as obrigações. Não há soluções mágicas para resolver tudo". 

 "O que é que é realmente a prevenção do risco em concreto? O que é que isso implica em termos de controle e de medidas? Temos de transformar as regras em algo que seja tangível, que seja efetivamente fácil e possível implementar no terreno", acrescenta, afirmando que, tendo em conta a experiência da VisionWare no terreno, a implementar projetos de cibersegurança nas empresas, tudo assentará em "equações multivariáveis, ou seja, a geografia, setor e ecossistema onde as organizações vivem".

CONSTRUIR CAMINHO

Como a única representante do setor privado neste debate e falando em nome de uma grande empresa de retalho e com uma forte posição no ecossistema digital, Sara Palma refere que considera a NIS2 desafiante. Isto porque no âmbito do projeto da Worten existem já muitos prestadores de serviços digitais, através do marketplace, além de operar noutras geografias. Com esta realidade, o grupo tem vindo a "construir o seu caminho para ganhar maturidade, não só internamente, mas para toda a cadeia de fornecedores. O que passa por formar equipas. A tecnologia por si só não é suficiente. Podemos ter toda a tecnologia do mundo e a mais avançada, mas se as pessoas não estiverem sensibilizadas e responsabilizadas, se a organização como um todo não melhorar, não se avança. Tem sido esse o trabalho que temos vindo a fazer, com todas as áreas, para fomentar o pensamento crítico orientado ao risco".

No caso de uma grande entidade pública como é a SPMS, os passos são similares. Para Luís Miguel Ferreira: "podemos ter uma casa altamente robustecida com soluções de cibersegurança muito avançadas, mas se não tivermos todos os colaboradores alinhados com uma cultura de segurança, as coisas não vão correr bem". Até porque este organismo, sendo o braço armado tecnológico do ministério da Saúde, trabalha com todas as entidades do setor.  Por isso, tem apostado em múltiplas soluções, destacando que no caso da cibersegurança, dispõem de oito milhões de euros de fundos do PRR, tendo sido criada uma unidade especificamente para essa área. Dão também apoio à proteção contra ameaças, assim como à mitigação de outras. E fazem sessões de sensibilização para toda a comunidade de profissionais do SNS.

"O PRR veio também dotar a SPMS de meios, com um envelope financeiro de 300 milhões de euros para tratar da modernização dos nossos sistemas de informação. Temos acompanhado tudo com enormes programas de capacitação e treino contínuo das nossas equipas e dos colaboradores de todo o SNS. Incluindo os pacotes de formação dirigidos aos gestores responsáveis pelas várias entidades", acrescenta, salientando ainda o tema da cooperação, seja nacional ou internacional, para contactos, troca de experiências, de ideias e de boas práticas. 

Mas será que perante esta manta legislativa, um puzzle complexo de regras e custos da regulação, as empresas mais pequenas correm o risco de ficar asfixiadas? Pedro Matos assegura que a CNCS está ciente desse risco e que já foi criada uma grande comunidade no país, a Aliança para a Cibersegurança, plataforma de cooperação destinada a promover uma cultura de cibersegurança nas organizações em toda a cadeia de fornecimento. A CNCS está ainda focada em disponibilizar guias, ferramentas e instrumentos que possam orientar as organizações de todas as dimensões, particularmente as mais pequenas, para garantir que "podem navegar nas questões e nas medidas da NIS2".

Uma das principais mensagens, segundo Pedro Matos, é "disponibilizar um conjunto de recomendações que permitam a essas organizações olharem para a cibersegurança não como um custo, mas como um investimento. Às vezes, o custo do incidente é largamente ultrapassado pelo investimento. É dificil calcular o retorno do investimento, mas o que sabemos é que os custos do incidente são bastante elevados". Destaca ainda a importância da partilha de informações e de boas práticas, assim como a sensibilização para os riscos e ameaças, mas também para as soluções e medidas que devem ser implementadas. 

Questionado sobre quais são os principais receios e dificuldades que as empresas têm quando tentam elevar o seu compromisso com a cibersegurança, para estar ao nível das novas exigências legais, Bruno Castro assegura que a palavra custo raramente já aparece associada às medidas em torno da ciberresiliência. Isto porque os gestores atuais já sabem perfeitamente que a segurança faz parte do negócio. Aliás, na sua perspetiva, a aposta nesta área tem de ser, cada vez mais, uma decisão top donw. "Tem de haver um claro e inequívoco compromisso do top management nas decisões que vão ter tomadas. Não apresento nenhum processo de auditoria de finance de segurança, que envolva risco, em que não esteja alguém presencialmente do top management para ouvir. Se acontecer depois algo, estiveram lá e sabiam", acrescenta.  

O responsável da SPMS concorda que é a responsabilização direta dos gestores que está a fazer ‘soar as campainhas' e que muitos estão mesmo "a ser empurrados à força para o tema da cibersegurança". E no setor público o tema ganha maior complexidade: "uma entidade privada tem total liberdade para pagar resgates, sejam de pequena ou grande dimensão. Numa entidade pública, como é que, ao abrigo do Código de Contratos Públicos, justificávamos o pagamento de um resgate? É um exercício muito complexo", ressalta, defendendo que a transposição da NIS2 deverá obrigar também o legislador a tomar uma série de iniciativas noutros diplomas. 

Esta posição é subscrita pela oradora da VdA, para quem existe uma série de limitações na contratação pública que deixam pouca margem da atuação e de manobra às entidades públicas. Esta é uma área onde "vamos ter alguns desafios na coordenação, adaptação e aplicação destes diferentes diplomas". Mas deixa uma nota final de otimismo, considerando que as organizações devem olhar para a NIS2 como uma oportunidade. Recomendando que "quando iniciarem este processo, não se fixem apenas na NIS2 mas sim em todos os diferentes diplomas, para garantirem uma abordagem global ao risco. Aproveitando para perceber o que existe internamente de mais inovador e gerar confiança aos consumidores, fornecedores e acionistas".

PROGRAMA

SIGA-NOS NO LINKEDIN

REVEJA SESSÕES ANTERIORES DESTE CICLO DE WEBINARS