O decreto-Lei 65/2021 como uma ferramenta de reforço à resiliência das PME

Já passou mais de um ano desde o nascimento do decreto-Lei 65/2021. A 30 de julho do ano transato, a regulamentação foi publicada com o objetivo de regulamentar dois aspetos da Lei que aprovou o Regime Jurídico da Segurança do Ciberespaço. São eles a definição dos requisitos de segurança das redes e sistemas de informação e a definição das regras para a notificação de incidentes.

A IT Security já falou extensivamente do decreto no passado, inclusive colocando em palco na primeira edição da IT Security Conference um painel totalmente dedicado a compliance e ao decreto-Lei 65/2021. Numa primeira abordagem, focámo-nos no seu âmbito, obrigações, requisitos e oportunidades que surgem para as organizações e empresas nacionais. Na altura, João Alves, Coordenador do Departamento de Regulação, Supervisão e Certificação do Centro Nacional de Cibersegurança, afirmou que a aprovação e publicação do decreto constituía “um importante passo para cibersegurança em Portugal” para “promover o reforço da resiliência”.

Apesar da relevância do regulamento, o seu âmbito não se reflete na grande massa do tecido empresarial português, constituído, quase na totalidade, por Pequenas e Médias Empresas (PME) – maioritariamente microempresas – criadas em grande parte no século passado. A tendência estende-se por toda a UE, na qual as micro e pequenas empresas representavam 98,9% do tecido empresarial em 2019, com Portugal no top 5 onde a tendência é mais acentuada. Dados da Pordata indicam que desde 2004 até, pelo menos, 2020, 99,9% do total de empresas em Portugal são PME, as impulsionadoras da economia nacional.

O decreto-Lei 65/2021 institui que a sua aplicação é válida para entidades da Administração Pública, operadores de infraestruturas críticas, operadores de serviços essenciais e prestadores de serviços digitais (que não sejam micro ou pequenas empresas). Claro está que o nível de proteção exigido e necessário para uma PME não se assemelha ao de uma grande empresa, de uma organização governamental ou de infraestruturas que asseguram o funcionamento quotidiano do país, mas há muito a aprender. 

Aprender proativamente

	Margarida Leitão Nogueira, DLA Piper

Seja qual for a dimensão, na elaboração de um plano de segurança os princípios são os mesmos e há que ter em consideração os diversos fatores de abrangência das organizações. No decorrer da mesa-redonda da IT Security Conference, Margarida Leitão Nogueira, Senior Associate da DLA Piper, afirmou que “é interessante perceber que temos sido abordados por muitas empresas que, não estando abrangidas pelo diploma, têm muito interesse em perceber como se podem preparar para um incidente”.

Assim, o cumprimento do decreto poderá permitir a organizações de menor dimensão – que enfrentam, por norma, maior escassez de recursos – criar, assegurar ou manter uma maior maturidade em cibersegurança e consequente resiliência.

Para Sérgio Trindade, CIO da EPAL, a grande vantagem do decreto-Lei 65/2021 foi o facto de colocar o tema na agenda do IT e criar um calendário, por obrigação legal. Desta forma, a publicação do decreto forçou as organizações a terem uma maior consciência da sua cibersegurança, dizendo que “independentemente de estarem ou não conscientes, até as entidades mais pequenas que têm mais ou diferentes dificuldades, têm que o fazer e têm que avançar”, reflete Sérgio Trindade.

O CIO conclui: o decreto-Lei 65/2021 “impôs uma data, regulamentou uma forma de fazer e, não sendo ligeiro, foi aligeirado pelo regulador, o CNCS” e “toda a gente se mexeu”. O caminho para uma maior resiliência de cibersegurança “é complicado, não pelo decreto, mas por tudo o que se tem de fazer à volta”, alega o responsável da EPAL, uma vez que o diploma tem impactos económicos, operacionais e humanos, explica a advogada da DLA Piper.

Mais segurança, mais maturidade, mais resiliência 

Nesse sentido, é fundamental sensibilizar as várias partes constituintes da organização para a relevância das medidas tomadas, através de formação e da criação de canais eficazes de comunicação entre os vários departamentos, com linguagem simples e menos técnica, porque “não é o cumprimento da lei que motiva as pessoas”. “Se o mindset não for o certo, parece uma dificuldade e não uma oportunidade”, completa Sérgio Trindade.

Sérgio Trindade, EPAL

Para as PME, cumprir o decreto passa, essencialmente, por uma componente organizacional, pensando-se em fazer o máximo com os recursos existentes, pensando detalhadamente nos ativos, no que fazer com a tecnologia disponível e nas melhores práticas – que o decreto também apresenta – para se manterem protegidas ou estarem preparadas para quando o pior acontecer.

Embora o cumprimento do decreto levante uma série de desafios, proporciona às organizações um conhecimento mais profundo da sua própria realidade. É necessário que as organizações avaliem de forma constante as suas vulnerabilidades, riscos, medidas de segurança implementadas, e que as ajustem em função da monitorização – que deverá ser contínua – e da evolução do panorama do ciberespaço.

Tudo isto exige, acima de tudo, preparação, pelo que na sua grande parte, o cumprimento do diploma dá-se antes de qualquer incidente. “Para cumprir a obrigação de notificação há fases a serem consideradas, o que só é possível através da preparação antes de um incidente”, reitera Margarida Leitão Nogueira. Neste âmbito, as ISO e todos os requisitos de segurança da informação que as compõem, são, também, uma mais-valia, mesmo que não haja a possibilidade – ou a vontade – de prosseguir com a obtenção da certificação.

Mesmo não havendo obrigatoriedade, as PME poderão aproveitar todos os requisitos numa perspetiva proativa. Aprender com a legislação, com os standards (ISO), com os inúmeros exemplos de incidentes e com a informação permanentemente disponibilizada sobre o ciberespaço e a criminalidade que lhe é subjacente. No final de contas, aprender com o passado e com o presente para prever o futuro.