Portugal mais resiliente: Regime Jurídico de Segurança do Ciberespaço (RJSC)

Portugal mais resiliente: Regime Jurídico de Segurança do Ciberespaço (RJSC)

A transformação digital é, na verdade, uma transformação, mas não é só "digital", sentido para onde somos facilmente remetidos pela palavra

Trata-se sim de uma transformação da organização, dos seus processos produtivos, da tecnologia, dos procedimentos e, de algo que chega a reboque, mas que deve incorporar a mesma estratégia, que é a necessidade de transformação da própria força de trabalho das organizações.

Vem isto a propósito da estratégia de cibersegurança. Não é possível pensar em transformação digital sem pensar na segurança do ecossistema digital, sem a qual é impossível criar a confiança necessária ao mercado digital. Os exemplos que têm vindo parar à comunicação social sob as mais variadas formas de ciberincidentes que afetam as empresas pequenas e grandes, as infraestruturas críticas, os serviços essenciais, os serviços públicos, os estados e as próprias democracias, são o alerta para todas as organizações.

É urgente pensar (ciber)segurança em antecipação e não esperar que o incidente ocorra. Não existe segurança absoluta, mas existe uma enorme margem para adoção de medidas preventivas e adaptadas a cada contexto organizacional. A não adoção destas medidas só aumenta o risco de um ciberataque e facilita o trabalho dos atores maliciosos, quaisquer que estes sejam, onde quer que estejam.

O risco (e a sua gestão) deixou, há muito, de ser meramente tecnológico para passar a assumir um papel estratégico nas organizações, cuja reputação e a própria operação, quer por ataques de ransomware, quer por exfiltração de dados, quer por ataques à cadeia de fornecimento estão, cada vez mais, ameaçadas. A cibersegurança na transformação digital deve ser um pilar estratégico para o desenvolvimento e continuidade das organizações.

Portugal, através do Centro Nacional de Cibersegurança (CNCS) tem vindo a promover ativamente a adoção de medidas de cibersegurança. São de destacar quatro documentos referenciais e regulatórios e três áreas adicionais de intervenção de extrema importância para o conhecimento e capacitação do país. Dos documentos, tem destaque o Quadro Nacional de Referência em Cibersegurança (QNRCS), o Roteiro das Capacidades Mínimas, o Regime Jurídico de Segurança do Ciberespaço (RJSC) e o regulamento de execução da Segurança das Redes e da Informação em toda a União (NIS). Em termos de áreas de intervenção assumem particular relevo a sensibilização e formação para entidades e cidadãos, o Observatório de Cibersegurança com uma monitorização constante de indicadores de cibersegurança no país e o CERT.PT na resposta operacional e integrada a incidentes de cibersegurança no ciberespaço de jurisdição nacional. Não pode ser esquecido, porque é absolutamente interdependente, o Regulamento Geral de Proteção de Dados (RGPD) no quadro regulatório mencionado.

No que respeita ao RJSC, à sua regulamentação e à instrução técnica de comunicação ao CNCS (atualmente em consulta pública), assinala- se o seu relevo como instrumento jurídico com grande impacto organizacional e técnico e uma forte mensagem política para a necessidade do reforço das capacidades operacionais das organizações na prevenção e resposta a ciberincidentes. Esta regulamentação transpõe a Diretiva (EU) 2016/1148 do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União Europeia.

Pela primeira vez de forma alargada, englobando os operadores das infraestruturas críticas, os operadores de serviços essenciais, os operadores de serviços digitais e a Administração Pública, vem-se generalizar a obrigação de adoção de medidas de cibersegurança por um vasto conjunto de entidades, com um efeito difusor nas restantes entidades e empresas. Este efeito será particularmente significativo nas entidades que fazem parte das cadeias de fornecimento porque, por obrigação legal daquelas que fazem parte do âmbito do RJSC, terão também de cumprir com os critérios de qualidade em cibersegurança, enquanto prestadoras de serviços.

Ora, do ponto de vista prático, as organizações: 1) terão de dar destaque à cibersegurança, com o estabelecimento de uma política de segurança organizacional, envolvendo diretamente o c-level; 2) terão de se conhecer melhor, possuindo uma listagem de ativos críticos para o negócio; 3) terão de ter uma melhor perceção do risco a que estão expostas, fazendo uma avaliação e gestão contínua de risco; 4) poderão adotar medidas mais concretas e efetivas, porque conhecem melhor as ativos, os riscos e os potenciais controlos; 5) terão uma capacidade operacional maior, dada a obrigação de definirem o responsável pela segurança de segurança, cuja função é gerir o conjunto de medidas em matéria de requisitos de segurança e de notificação de incidentes e terão ainda de definir um contacto permanente; 6) terão de reportar à Autoridade Nacional de Cibersegurança (CNCS); 7) estarão sujeitas um regime de coimas por incumprimento.

A conformidade do RJCS, assim como da respetiva instrução técnica, tem como referência de implementação o QNRCS, que se constitui como ferramenta valiosa no apoio à operacionalização, a par com os referenciais e normas internacionais mais adequados a cada organização.

De notar que quando falamos deste regulamento, além das óbvias implicações tecnológicas, as implicações são essencialmente na organização, nas políticas, nos processos e nos procedimentos, algo que os referenciais internacionais, como a NIST 800-53 ou a ISO/IEC 27001, já recomendam ou obrigam para as entidades que ambicionarem a certificação.

É expectável que estas alterações legislativas e orientadoras, assim como as que decorrerão da NIS 2.0 atualmente em discussão, venham forçar uma melhorar significativa da resiliência das nossas organizações e do ciberespaço como um todo.

Nada do preconizado é propriamente novo, apenas vem forçar a acontecer algo que as organizações, para seu próprio benefício, já deveriam ter incorporado na sua estratégia e na sua operação.

Não pode, no entanto, deixar-se de salientar que a escassez de recursos humanos qualificados constitui um problema estrutural à implementação do quadro regulatório e das medidas já mencionadas. Será necessário estreitar a ligação entre a academia, as empresas e o estado no que respeita à estratégia de capacitação, que não é só um problema de quantidade e qualidade, mas é também um problema de competitividade do mercado de trabalho a nível global. É urgente procurar soluções integradas e colaborativas.

Há ainda um caminho longo para percorrer e muitas questões por resolver, mas há já muito trabalho feito e estão a ser criadas as condições favoráveis para que Portugal possa dar passos firmes e decisivos para uma maior resiliência e efetiva transformação digital dos diversos setores económicos.

As organizações devem assumir a sua responsabilidade na sua cibersegurança e na segurança do ciberespaço e o Plano de Recuperação e Resiliência (PRR) pode e deve ser uma oportunidade aproveitada de forma colaborativa por todos os atores deste complexo ecossistema.

Ricardo T. Martins

Ricardo T. Martins

Coordenador do Gabinete de Cibersegurança
U. Aveiro

Coordenador do Gabinete de Cibersegurança da Universidade de Aveiro, Coordenador do Grupo de Cibersegurança e Proteção de Dados da Metared Portugal, Membro da Comissão Executiva da Rede Nacional de CSIRT

Outros artigos deste autor


REVISTA DIGITAL

IT SECURITY Nº17 Abril 2024

IT SECURITY Nº17 Abril 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.