Decreto-lei 65/2021: um pequeno passo para o homem, um salto gigante para as organizações nacionais

O decreto-Lei 65/2021 (DL65), de 30 de julho, veio regulamentar alguns aspetos na Lei 46/2018, de 13 de agosto, que aprovou o Regime Jurídico da Segurança do Ciberespaço, através da qual foi criado o Conselho Superior de Segurança do Ciberespaço, órgão específico de consulta do primeiro-ministro para os assuntos relativos à segurança do ciberespaço. O Regime veio transpor a Diretiva europeia 2016/1148, do Parlamento e do Conselho Europeu, de 6 de julho de 2016 – que pretende garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União Europeia – mais conhecida por Diretiva SRI.

A aprovação e publicação do DL65 e do posterior Regulamento 183/2022 “constituiu um importante passo para cibersegurança em Portugal”, afirma João Alves, Coordenador do Departamento de Regulação, Supervisão e Certificação do Centro Nacional de Cibersegurança (CNCS), representando um “instrumento essencial para garantir a conformidade” com as diretivas existentes. Da mesma forma, destaca ser “um instrumento jurídico importante para promover o reforço da resiliência”.

É de notar que o DL65 estabelece que o CNCS é a Autoridade Nacional de Certificação da Cibersegurança, e garante a conformidade com um Quadro Nacional de Certificação da Cibersegurança (QNCS), através do qual é estabelecido o “enquadramento institucional necessário à produção de vários esquemas nacionais de certificação de cibersegurança”, explica o CNCS no site oficial.

A missão do DL65

“A garantia de um elevado nível de segurança do ciberespaço é do interesse de todos os cidadãos e atores, públicos ou privados, envolvidos”, reitera João Alves (CNCS). Ficou definido que o DL65 se aplica a entidades da Administração Pública, operadores de infraestruturas críticas, prestadores de serviços digitais e a operadores de serviços essenciais.

“A garantia de um elevado nível de segurança do ciberespaço é do interesse de todos os cidadãos e atores, públicos ou privados, envolvidos” - João Alves, Coordenador do Departamento de Regulação, Supervisão e Certificação do Centro Nacional de Cibersegurnaça

O DL65 assenta sob as obrigações de aplicação de requisitos de segurança das redes e sistemas de informação e as regras para notificação de incidentes para as entidades no seu âmbito de aplicação. Assim, as diretivas do DL65, anteriores legislações e posteriores complementos, pretendem estabelecer uma abordagem holística pessoas-processos-tecnologia, permitindo às organizações a eficácia pretendida, com medidas que “vão desde o modelo de governação no que respeita à segurança da informação e das redes à atribuição das responsabilidades e papéis”, reflete Ricardo T. Martins, Coordenador do Gabinete de Cibersegurança da Universidade de Aveiro (UA).

Pontos Essenciais

João Alves, Centro Nacional de Cibersegurança

Segundo João Alves (CNCS), as organizações visadas devem prestar particular atenção “à implementação dos requisitos de segurança e de notificação de incidentes”, pelo que devem “designar um ponto de contacto permanente de modo a facilitar a comunicação com o CNCS” – através do qual o CNCS “pode assumir um papel mais proativo junto das entidades”, e a “partilha de informações relativas a incidentes”. A cooperação permanente entre as organizações e o CNCS surge numa perspetiva de aprender com o passado para prever o futuro, visto que a monitorização dos riscos permite “recolher informações que podem ser úteis para as entidades se protegerem e prevenirem potenciais incidentes”.

O DL65 estabelece, ainda, a necessidade de abordar proativamente as necessidades de segurança da informação e cibersegurança da entidade. Anualmente, a medida é transposta num relatório de balanço anual que relata as ações desenvolvidas, os incidentes e eventuais problemas encontrados, e os riscos associados aos ativos da organização, explica João Alves (CNCS).

Da mesma forma, o responsável de segurança da informação, que deverá ser uma força presente nas organizações visadas pelo DL65, será responsável pelas estratégias e procedimentos, como os “relativos à ativação e manutenção do ponto de contacto permanente, realização e atualização do inventário de ativos, elaboração e manutenção de plano de segurança”, nota João Alves (CNCS), medidas de segurança internas, garantir a implementação de boas práticas, e de promover ações de sensibilização.

Mais, João Alves sublinha que “a lista de ativos essenciais a enviar ao CNCS deve apenas incluir aqueles ativos que se encontrem diretamente acessíveis publicamente através da Internet”. Para a atividade do CNCS, a lista será essencial porque vai permitir “prestar assistência” e “adotar ações proativas quanto à possibilidade de ataques à entidade”.

“A maturidade e a preparação das organizações serão as características que lhes permitirão estar mais preparadas para responder a uma crise. Preparação que, no final, terá impacto conjunto no nível de resiliência do ciberespaço nacional” - Ricardo T. Martins, Coordenador do Gabinete de Cibersegurança da Universidade de Aveiro

João Alves ressalva, ainda, “a importância das notificações de incidentes”, tanto internamente como para outras entidades, e exemplifica: “no caso de um incidente causado por malware torna-se necessário isolar o sistema e conter a propagação, tanto a nível nacional como a nível transfronteiriço, o mais rápido possível”.

Neste ponto, “a maturidade e a preparação das organizações serão as características que lhes permitirão estar mais preparadas para responder a uma crise. Preparação que, no final, terá impacto conjunto no nível de resiliência do ciberespaço nacional”, completa Ricardo T. Martins (UA).

Ciberespaço livre, confiável e seguro

	Ricardo T. Martins, Universidade de Aveiro

Com as ameaças e ataques a infraestruturas críticas a aumentarem, a cibersegurança já não pode ser descurada e cada vez mais assume um papel core no day-today business das organizações. “O que determina o nível de segurança são as medidas implementadas pelas próprias organizações, o que requer investimento e método”, reflete Daniel Reis, Sócio da DLA Piper. Acrescenta: “ainda é cedo para perceber qual será o impacto da certificação no mercado, mas espera-se que potenciará o investimento na segurança da informação de forma geral”.

É frequente novas medidas de segurança levantarem resistências internas nas organizações, “mas esta legislação pode ser entendida também como uma oportunidade”, acredita Ricardo T. Martins (UA), pelo que “há, em geral, nas organizações uma lacuna substancial entre o entendimento dos especialistas em cibersegurança e o entendimento da gestão (C-Level) sobre o impacto, a necessidade e o alcance das medidas de segurança da informação, dos sistemas e dos serviços no negócio”. Todavia, de acordo com João Alves (CNCS), “até ao momento, o CNCS não se deparou com nenhum tipo de resistência da parte entidades abrangidas”, “existe uma consciência de que é preciso investir”.

O caso português

Daniel Reis, DLA

Em Portugal, para atingir um nível aceitável de maturidade, o passo que falta concerne as “organizações: a cultura e prática de segurança de informação está instalada num número reduzido de organizações (empresas e setor público). É preciso mais formação e sensibilização, por um lado, e investimento em produtos, sistemas e pessoas, por outro”, explicita Daniel Reis (DLA Piper).

Já Ricardo T. Martins (UA), que considera que o DL65 “deveria ter constituído há muito uma opção estratégica das próprias organizações”, espera que o DL65 “’incentive’ e contribua decisivamente para as organizações implementarem boas práticas de segurança”. Contudo, o “défice de perceção do risco de cibersegurança é ainda algo generalizado, assim como a maturidade desta área que é também incipiente”. Mais, acrescenta que normas como a ISO27001 são ainda do desconhecimento de muitas organizações, e “incorporar as exigências do quadro legal na atividade as organizações, será um fator de melhoria da sua qualidade e da sua competitividade”.

O passo final

É de notar que, de forma a melhor adaptar o DL65 às entidades, poderão ainda ser criados “instrumentos específicos a nível setorial”, explica João Alves (CNCS). “Em estreita colaboração com as entidades reguladoras e de supervisão setoriais, o CNCS encontra-se a realizar esta avaliação de forma a evitar sobreposição de requisitos e reportes”. A nível de supervisão, espera-se ainda em 2022 “iniciar o processo de desenho e implementação de procedimentos de supervisão das entidades abrangidas pelo Regime Jurídico de Segurança do Ciberespaço, conjuntamente com as entidades setoriais com poderes de regulação e de supervisão”, completa.

“A cultura e prática de segurança de informação está instalada num número reduzido de organizações (empresas e setor público). É preciso mais formação e sensibilização, por um lado, e investimento em produtos, sistemas e pessoas, por outro” - Daniel Reis, Sócio da DLA

Quanto aos prazos estabelecidos, o CNCS considera que são “adequados e suficientes” para que as entidades abrangidas adotem e se familiarizem com os requisitos, refere João Alves. Agora, que não haverá necessidade de aprovações adicionais do DL65, a principal preocupação do CNCS “consiste em acompanhar as entidades neste processo e de promover a cultura da cibersegurança em Portugal”.

Ricardo T. Martins (UA) considera que o “passo, não final, mas essencial, é a operacionalização”, uma vez que “todo o modelo preconizado no DL65 assenta numa eficaz e eficiente gestão do risco”, uma disciplina que, “essencial em qualquer área de negócio, não faz parte da prática de governação/gestão das organizações”.

Resumindo, em primeiro lugar, “a legislação está publicada”; em segundo, “a responsabilidade formal está enquadrada em termos de execução e de comunicação”; depois, o QNRCS “dá uma indicação holística e bastante precisa das temáticas a serem abordadas em cada domínio, desde a estratégia, até à operação”; “existe um quadro de avaliação de capacidades em cibersegurança”; e “existe um vasto conjunto de referenciais e boas práticas para quem quer aprofundar a sua capacidade de prevenção e resposta”, enumera Ricardo T. Martins (UA).

Por fim, é de relembrar “que os riscos de cibersegurança e a probabilidade de um ciberataque são reais, como foi constatado nos recentes ciberataques a organizações de grande dimensão nacionais, da área dos media, das telecomunicações, do ensino superior e do governo”, remata Ricardo T. Martins (UA), pelo que é “imperiosa a preparação para resistir e para responder às crises que certamente aparecerão”.