O Decreto-lei que concretiza várias medidas do regime jurídico da segurança do ciberespaço foi aprovado em Conselho de Ministros há duas semanas mas ainda aguarda publicação. Lino Santos, Coordenador do Centro Nacional de Cibersegurança (CNCS), explicou ao SAPO TEK que “a aprovação do presente Decreto-Lei constitui um importante passo para Cibersegurança em Portugal, uma vez que constitui um instrumento essencial para garantir a conformidade no âmbito da regulamentação do regime jurídico da segurança do ciberespaço, assim como da criação de um Quadro Nacional de Certificação da Cibersegurança”.

O diploma vem regulamentar alguns dos aspectos que tinham sido remetidos para legislação complementar na Lei n.º 46/2018, que aprovou o regime jurídico da segurança do ciberespaço, e que transpôs a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União – mais conhecida por Diretiva SIR (ou NIS na sigla em inglês Network and Information Security).

Em foco estão os operadores de infraestruturas críticas, operadores de serviços essenciais dos setores da energia, transportes, bancário, infraestruturas do mercado financeiro, saúde, fornecimento e distribuição de agua potável e infraestruturas digitais e pelos prestadores de serviços digitais, assim como as entidades da Administração Pública.

Quer saber o estado de cibersegurança da sua organização? Use esta ferramenta do CNCS
Quer saber o estado de cibersegurança da sua organização? Use esta ferramenta do CNCS
Ver artigo

Todas estas entidades vão ter de adotar “um conjunto de medidas técnicas e organizativas adequadas para a mitigação dos riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, baseadas no Quadro Nacional de Referência para a Cibersegurança ou em normativos complementares setoriais, devendo, para o efeito, realizar uma análise dos riscos”, sublinha Lino Santos.

Têm ainda de criar procedimentos para a notificação de incidentes, nomeando um ponto de contato permanente, com a função de assegurar os fluxos de informação de nível operacional e técnico com o Centro Nacional de Cibersegurança (CNCS) e um responsável de segurança.

Suporte para os sistemas de certificação em cibersegurança

O Coordenador do CNCS adianta ainda que com este decreto-lei é criado também o enquadramento institucional necessário à produção de vários esquemas de certificação de cibersegurança, entre os quais os que têm vindo a ser preparados por este organismo, com a certificação de conformidade com o Quadro Nacional de Referência em Cibersegurança (QNRC), e outro focado na iniciativa do Portugal Digital designado de Selo Digital, uma das medidas prioritárias do Plano de Ação para a Transição Digital

Este selo está que está em marcha no âmbito do Portugal Digital deve avançar em breve com várias componentes atestando a “maturidade digital” de uma empresa.

Com este diploma fica também definido que o CNCS é a Autoridade Nacional de Certificação da Cibersegurança, estabelecendo o respetivo regime contraordenacional, adianta ainda Lino Santos.

Uma questão que vai além da tecnologia

Em declarações ao SAPO TEK, Luís Lobo e Silva, da Focus2Comply (F2C), destaca também a importância do documento, realçando que “terá sobretudo um impacto de maior responsabilização, quer para os próprios Estados-Membros, quer para Organizações e Empresas, quer no espaço económico da UE, quer no relacionamento económico, social e político com Estados, Organizações e Empresas fora da UE, na medida em que o reforço inequívoco das competências e recursos da ENISA traduzem precisamente a necessidade de melhorar as matérias já mencionadas”

Para o Managing Partner da Focus2Comply a cooperação entre Estados, organizações e empresas e a ideia de que a cibersegurança não é só uma questão relacionada com a tecnologia são também pontos chave. Esta é uma área que a empresa “tem tentado evangelizar nos últimos 6 anos”. “O comportamento humano é igualmente importante. Promover activamente uma abordagem holística Pessoas-Processos-Tecnologia, de forma recorrente e numa óptica de melhoria contínua e de prevenção, que passa obrigatoriamente, quer pela implementação de mecanismos de gestão que permitam os Estados, Organizações e Empresas avaliarem e minimizarem os seus riscos de exposição ao ambiente digital, quer pela componente da Formação”, defende.

E as empresas e organizações estarão preparadas para as novas exigências? “Muitas Organizações e Empresas privadas estão já numa fase amadurecida destes processos [de notificação de incidentes] e este tipo de actividades estão já há alguns anos inseridas nos seus orçamentos de OPEX”, explica Luís Lobo e Silva.

A dúvida coloca-se mais em relação aos organismos públicos, mas o Managing Partner da Focus2Comply lembra que “no que respeita as Entidades do Estado, Organizações e Empresas que não estejam tão amadurecidas, tem sido proposto, e bem, pelo CNCS a adopção de um RCMCS - Roteiro das Capacidades Mínimas de Cibersegurança”.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.