Workshop reservado APDC - GNS / CSCS
Regime Jurídico da Segurança do Ciberespaço
A transposição da Diretiva SRI está em marcha e aguarda votação final no Parlamento. A versão 2.0 da Estratégia Nacional de Segurança do Ciberespaço (ENSC) está a ser ultimada e será entregue ao Executivo em maio. Em preparação estão já medidas adicionais. Há governance, uma estratégia e medidas bem definidas. Até novembro, Portugal devera ter todas as ferramentas necessárias para garantir a segurança no mundo digital. Mas é preciso mais parcerias e maior cooperação entre setores público e privado. Assim como reforçar as medidas de consciencialização para os perigos do online.
No workshop reservado, sobre o “Regime Jurídico da Segurança do Ciberespaço”, que resultou de uma parceria entre a APDC e o Centro Nacional de Cibersegurança (CNCS), que decorreu ontem nas instalações deste organismo, estiveram em debate dois temas críticos: a proposta de lei sobre o Regime Jurídico da Segurança do Ciberespaço, aprovada em Conselho de Ministros a 15 de março e que transpõe para a legislação nacional a Diretiva SRI, com as medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a Europa, e a nova versão da Estratégia Nacional da Segurança.
Este encontro representou, segundo o Presidente da APDC, Rogério Carapuça, uma oportunidade para as empresas das TIC e media. “a tecnologia traz consigo um conjunto de oportunidades, mas também de ameaças. Não é por isso que a vamos deixar de usar. Mas remos muita coisa nos nossos negócios dependentes do ciberespaço e estamos expostos a um novo conjunto de ameaças que é preciso antecipar e evitar. Um sistema legislativo adequado e a prevenção têm que ser apostas e é fundamental saber qual o enquadramento jurídico que vai vigorar e as ações que serão encetadas”, destacou na abertura.
São vários os processos em andamento, com ficou bem claro com a intervenção de Alexandre Leite, do CNCS, que explicou as metas e objetivos da Diretiva SRI (2016/1148), as opções feitas no âmbito da definição do Regime Jurídico da Segurança do Ciberespaço, que transpõe para Portugal uma Diretiva que é obrigatória em todo o espaço europeu, e as implicações da nova legislação de cibersegurança, que entrará em vigor este ano.
A proposta de lei foi aprovada em Conselho de Ministros em março e aguarda agora a votação final na Assembleia da República. Estão já em preparação dois diplomas complementares: um sobre requisitos de segurança e outro sobre requisitos de notificação de incidentes.
Cooperação formal entre países no reporte de incidentes e na partilha de informação, construindo-se uma rede europeia de entidades nacionais com competências na matéria, foram objetivos de Bruxelas. A estratégia a adotar em cada país terá que endereçar temas como a governance, responsabilização e capacitação. Assim como a criação de formas de colaboração ao nível comunitário.
Passam a ter que adotar requisitos de segurança e de notificação de incidentes todas as entidades que prestam serviços digitais e serviços essenciais, como estabelece a diretiva. Incluem os prestadores de serviços digitais (cloud, mercados online e motoros de busca); e os operadores de serviços essenciais, entidades públicas ou privadas que prestam serviços essenciais à sociedade em 7 setores distintos (transportes, energia, água, saúde, banca, serviços financeiros e estruturas digitais). E há um regime sancionatório, embora o valor das coimas seja “relativamente baixo”, porque a preocupação foi de “não aumentar os custos de contexto das empresas”, referiu Alexandre Leite.
Teve ainda que ser definida a governance nacional, numa área que está sob direta do Primeiro-ministro e da ministra da Presidência e da Modernização Administrativa. Sob a sua alçada estão o Conselho Superior de Segurança do Ciberespaço, criado em meados do ano passado com objetivo de assegurar a coordenação político-estratégica para a segurança do ciberespaço assim como o controlo da execução da Estratégia Nacional de Segurança do Ciberespaço (ENSC) e da sua revisão. Tem na sua composição representantes das várias entidades que atuam nestes domínios. Seguem-se o Gabinete Nacional de Segurança e o CNCS, assim como o CERT.PT, serviço que coordena a resposta a incidentes no ciberespaço nacional.
Prestes a ser concluído pelo CNCS está o processo de revisão da Estratégia Nacional de Segurança do Ciberespaço (ENSC), que é uma realidade desde 2015. A versão 2.0 do documento deverá ser entregue ao Executivo ainda em maio, de acordo com o timeline definido no próprio documento. Segundo Gameiro Marques, Diretor Geral do Gabinete Nacional de Segurança, a nova proposta é mais abrangente e diferente, até porque se aprendeu com o que foi feito para agora fazer diferente. Envolve também já contributos do setor privado e de entidades ligadas à I&D e inovação. Objetivo: “garantir que Portugal seja um pais seguro e próspero, através de uma ação inovadora, inclusiva e resiliente”.
Ter recursos humanos em número suficiente para os desafios da economia digital, fomentar a ligação entre I&D e inovação e a economia real e tornar Portugal capaz de suster, identificar e combater ameaças no ciberespaço são as metas, como explicou Gameiro Marques. Que antecipa que o documento seja fechado até 16 de maio, para ser enviado à tutela e iniciar-se o respetivo processo legislativo. Até 7 de maio podem ser apresentados contributos por escrito ao documento.
No debate que se seguiu, que contou com a intervenção de Pedro Veiga, coordenador do CNCS, detalharam-se algumas as alterações que foram introduzidas na ENSC 2.0, nomeadamente passar a considerar as autarquias e as regiões autonomias como estruturas essenciais, tais como outras entidades, como os portos ou empresas como a ANA, REN, EDP e Galp. O gestor referiu que a aposta passa por protocolos e parcerias, o que nem sempre é um processo fácil, particularmente no caso dos municípios.
É ainda dado muito enfâse à cooperação com outras entidades, acrescentou Gameiro Marques, porque “a partilha de informação é fundamental”. A capacitação de pessoas e empresas para o digital e o tema da cibersegurança é outro desafio, onde se espera contar com o apoio da sociedade e de associações como a APDC. “Estamos disponíveis para parcerias”, garantiu. Até porque as maiores ameaças nem sempre vêm dos cibercriminosos. Vêm também de dentro das organizações, que não adotam medidas preventivas.
Vai acontecer na APDC
2024-11-19
Decorre a 19 de novembro, envolvendo várias entidades, como a APDC
2024-11-20
3º webinar do ciclo Metopia | APDC & XRSI