Cibersegurança: onde estamos e para onde vamos

Sem prejuízo da existência de legislação adicional relevante em matéria de cibersegurança, esta é especificamente regulada pela Lei 46/2018, de 13 de agosto (“Regime Jurídico da Segurança do Ciberespaço”), que procedeu à transposição para o ordenamento jurídico nacional da Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (Network and Information Security Directive - “NIS Directive”) e, mais recentemente, pelo Decreto-Lei 65/2021 de 30 de julho que veio, entre outros, regulamentar aspetos do Regime Jurídico da Segurança do Ciberespaço pendentes de desenvolvimento legislativo adicional.

Apesar de as obrigações legais resultantes da referida legislação terem um âmbito efetivo de aplicação limitado a determinadas organizações - operadores de infraestruturas críticas, operadores de serviços essenciais, Administração Pública e prestadores de serviços digitais -, aqueles diplomas são instrumentos legislativos relevantes no sentido do reforço da proteção das redes e sistemas de informação de organizações nas quais a ocorrência de um incidente de segurança pode pôr em causa o interesse público, económico e social, fruto dos setores em que operam e da atividade desenvolvida.

Não obstante os exigentes desafios com que as organizações se deparam no âmbito do cumprimento do quadro legal atualmente existente (designadamente, económicos, operacionais, comunicacionais e de (in)suficiência de recursos humanos), as obrigações legais impostas implicam o aprofundamento do conhecimento, por parte destas, da sua própria realidade em matéria de cibersegurança. 

Efetivamente, o cumprimento das obrigações legais existentes, exige às organizações uma análise do seu nível de maturidade em matéria de cibersegurança, sendo necessário avaliar vulnerabilidades, riscos e a adequação das medidas técnicas e organizativas implementadas no sentido da prevenção, mas também tendo em vista um reforço da resiliência das redes e sistemas de informação. Por outro lado, e não sendo a realidade subjacente à cibersegurança uma realidade estática, encontrando-se, pelo contrário, em permanente evolução, as organizações devem proceder à atualização e ajuste de tais medidas técnicas e organizativas com regularidade e considerando a evolução do risco.

No entanto, mais do que cumprir as obrigações legais existentes para evitar as consequências decorrentes do respetivo incumprimento, é essencial que a cibersegurança seja abordada pelas organizações (e não apenas por aquelas sobre as quais impendem obrigações legais específicas) tendo em conta fatores adicionais, nomeadamente: (i) os potenciais danos de reputação resultantes de um incidente de segurança; (ii) o esforço económico inerente à recuperação de um incidente de segurança com consequências na atividade desenvolvida e/ou nos serviços prestados; e (iii) o impacto, na perspetiva de potenciais investidores, da não adoção de práticas de cibersegurança adequadas.

Sem prejuízo, o enquadramento regulatório deve, ele próprio, acompanhar e ser ajustado à evolução da realidade, existindo já, ao nível da União Europeia, diversas iniciativas legislativas em curso no sentido do reforço da proteção e aumento da resiliência das redes e sistemas de informação, de entre as quais se destacam o Cyber Resilience Act que visa determinar as regras para colocação no mercado europeu de produtos com elementos digitais e a NIS2 Directive, que estabelece as medidas destinadas a garantir um elevado nível comum de cibersegurança na União e que revogará a NIS Directive.

Atendendo à existência de cada vez mais setores dependentes de tecnologias digitais, a proposta para o Cyber Resilience Act pretende introduzir regras de proteção de produtos com elementos digitais - definidos como “qualquer produto de software ou hardware e as suas soluções de tratamento remoto de dados, incluindo componentes de software ou hardware a colocar no mercado separadamente” -, impondo que estes cumpram determinados requisitos de segurança para poderem ser disponibilizados no mercado europeu. Procura, nomeadamente, aumentar a segurança e diminuir a vulnerabilidade de tais produtos, responsabilizar fabricantes pela cibersegurança dos mesmos e garantir que os consumidores são adequadamente informados quanto a aspetos relacionados com a respetiva cibersegurança.

A NIS2 Directive surge, nomeadamente, com o propósito de dar resposta a um conjunto de aspetos reportados à Comissão Europeia no âmbito de consulta realizada sobre a NIS Directive. Nesta medida, por um lado, pretende ajustar aspetos que, fruto da margem de adaptação de cada Estado-Membro aquando da transposição da NIS Directive para os respetivos ordenamentos jurídicos, originaram uma falta de harmonização significativa. Por outro lado, reforça o atual quadro legal vigente sobre cibersegurança, no sentido de melhorar a resposta aos crescentes desafios nesta matéria. Entre outros aspetos, elimina-se a distinção entre “operador de serviços essenciais” e “prestador de serviços digitais” e existe um alargamento significativo dos setores abrangidos pelo seu âmbito de aplicação, dos quais se destacam os serviços postais, gestão de resíduos e produção, transformação e distribuição de produtos alimentares. 

Estas são apenas algumas das várias iniciativas legislativas em curso em matéria de cibersegurança. Apesar do caminho a ser percorrido neste contexto ser, certamente, longo e exigente (quer de um ponto de vista legislativo, quer de um ponto de vista de consciencialização por parte das organizações), começa a caminhar-se de forma visível e, aparentemente, na rota certa.