em destaque 30 A NIS2 está aí. Com um prazo-limite de 17 de outubro para a transposição e a entrada em vigor da legislação europeia mais abrangente de sempre de cibersegurança, a diretiva implica uma verdadeira mudança de cultura nas empresas. Com o país numa verdadeira corrida contra o tempo para cumprir os timings de Bruxelas, a APDC avançou com um Position Paper sobre a implementação das novas regras, que entregou ao Governo. É que os impactos são tantos que há que salvaguardar que as medidas, além de eficazes, sejam proporcionais aos riscos e adequadas à realidade nacional. Com colaboração estreita entre todas as partes envolvidas. Numa era cada vez mais digital, o tema da cibersegurança assume-se como uma prioridade absoluta e incontornável. As ameaças são crescentes e cada vez mais sofisticadas e nem mesmo as gigantes tecnológicas mundiais escapam aos ciberatacantes, como mostraram os últimos meses. Depois da aprendizagem com a implementação da NIS1 (Network and Information Security Directive) e perante a insuficiência da resiliência digital das empresas e a falta de compreensão comum das ameaças e da resposta conjunta às crises, Bruxelas quis ir muito mais além: com a NIS2 quer criar a mais abrangente e harmonizada diretiva europeia de cibersegurança. Assim, e no âmbito da aprovação da Estratégia de Cibersegurança da UE, aprovada em 2020, a Comissão Europeia (CE) avançou com diferentes iniciativas para assegurar um elevado nível comum de cibersegurança no espaço comunitário: a diretiva sobre a resiliência das infraestruturas críticas; o Regulamento DORA para a resiliência digital nos setores financeiro e segurador; e a NIS2. Em vigor desde 16 de janeiro de 2023, a nova diretiva vem alargar o conjunto de setores considerados essenciais e críticos, além de estabelecer regras muito mais apertadas para as organizações abrangidas, um nível de responsabilização elevado, um significativo investimento e coimas muito mais pesadas. O dia 17 de outubro foi prazo final estabelecido para a sua transposição nos estados-membros. CORRIDA CONTRA O TEMPO Portugal era, no início de outubro, dos países mais atrasados no processo de transposição. Um despacho Há um alargamento dos setores abrangidos e regras muito mais apertadas para as organizações. Com responsabilização direta das administrações do ministro da Presidência de 7 de agosto último dava conta da constituição de um grupo de trabalho responsável pela elaboração do texto legislativo para a transposição da diretiva, estabelecendo o dia 30 de setembro como prazo limite para a apresentação do projeto. A proposta teve como base um “extenso e exaustivo relatório, intitulado ‘Transposição da Diretiva NIS2’”, que foi adjudicado pelo Gabinete Nacional de Segurança (GNS) ao Instituto de Ciências Jurídico-Políticas da Faculdade de Direito da Universidade de Lisboa. A dúvida, no fecho desta edição, era se a data-limite definida por Bruxelas seria cumprida. “É a grande incógnita. De facto, já existia um projeto de transposição e havia trabalho desenvolvido há um tempo, mas o processo atrasou-se. É apertado, mas, eventualmente, até se pode conseguir cumprir. Contudo, ficará a faltar um conjunto de legislação que a vem regulamentar e que terá de ser aprovada. Aliás, isso aconteceu na transposição da NIS1, onde a necessária regulamentação só surgiu quase três anos depois”, refere Inês Antas de Barros, sócia da área de Comunicações, Proteção de Dados & Tecnologia da VdA. Mas essa realidade não impedirá a aplicação das normas que constam da diretiva, embora venha dificultar o processo, adverte. Dando como exemplo o que aconteceu com a NIS1, e ficando em falta ‘várias peças do puzzle”, as empresas terão de se ir alinhando com o que já está em vigor, procurando acomodar-se aos requisitos da legislação. E, tendo em conta o nível de maturidade que já existe no mercado nacional em torno da cibersegurança, a definição e aprovação da regulamentação específica deverá ser rápida. “Há um foco e uma preocupação do legislador e dos reguladores para fazer acontecer”, garante Inês Antas de Barros. Certo, para já, é que a expetativa das organizações abrangidas pela nova diretiva de serem consultadas sobre o documento de transposição, dados os múltiplos impactos da sua implementação, caiu por terra. Mas ainda poderá ser uma realidade no que respeita à regulamentação da NIS2. Nesse sentido, a APDC, em representação do seu ecossistema de empresas, apresentou ao Governo e aos responsáveis do grupo de trabalho da NIS2 no final de setembro um Position Paper com vários alertas e recomendações.
“A transposição desta diretiva tem de ser feita de forma cuidadosa e deve envolver todos os setores impactados. O objetivo principal é garantir que as novas regulamentações sejam claras, proporcionais e que promovam uma cibersegurança robusta, sem comprometer a competitividade das organizações”, diz Rogério Carapuça, presidente da APDC, na entrevista que poderá consultar na página”Prevenir” on page 35. “Se os setores impactados não forem adequadamente consultados, há o perigo de criar uma legislação que não reflita as realidades e necessidades das empresas. Isso pode levar a uma sobrecarga regulatória, a custos excessivos e, eventualmente, a uma menor eficiência na implementação das medidas de cibersegurança”, alerta. Bruno Marques, da CIIWA (Competitive intelligence & Information Warfare Association), associação na área da Competitive Intelligence e da Guerra de Informação, reforça a importância da colaboração: “A NIS2 é um desafio complexo que exige planeamento e, sobretudo, capacitação. A sua adoção e adaptação requerem um conjunto de competências internas. Uma vez que não se traduz em requisitos unívocos, há um espaço de análise de preparação e reformulação de prática e de comportamentos”. “A redução da incerteza operativa (e jurídica), que ainda subsiste, e que poderia ser colmatada por uma atempada audição, não traduz confiança a quem tem de desenvolver novos processo e transformar comportamentos. Essa colaboração iria beneficiar, em muito, o ecossistema das organizações e empresas, bem como outras entidades abrangidas”, acrescenta. ANTECIPAR, EIS O PROBLEMA Os desafios que decorrem da NIS2 para as empresas são múltiplos e nada fáceis de endereçar, sendo que o número das abrangidas aumentou exponencialmente. Além dos operadores de serviços essenciais e dos fornecedores de serviços digitais em áreas como a energia, transportes, saúde e infraestruturas digitais, incluem- -se agora a administração pública, telecomunicações, Inês Antas de Barros: “Há áreas com níveis de maturidade na NIS2 muito diferentes. Em setores como as comunicações, energia ou saúde, que são muito regulados, é um tema core. Por isso, estão um passo à frente. Já noutros setores, o caminho será muito mais penoso. Vai ser um choque. De facto, acho que as empresas têm um longo caminho pela frente” gestão de resíduos, indústria alimentar e PME de setores críticos. Todas passam a ter requisitos específicos e detalhados de segurança, alinhados com as melhores práticas, critérios harmonizados e processos claros de notificação de incidentes significativos. E estabelece- -se uma governança mais centralizada e robusta, com a criação de um grupo europeu de cooperação em cibersegurança. Está também prevista uma harmonização das medidas de segurança e dos requisitos, assim como uma implementação uniforme e eficaz em todos os estados-membros. O que implicará para as organizações uma aposta numa maior resiliência, com a definição de planos de 31
Loading...
Loading...