Uma nova oportunidade para a cibersegurança nacional

Nos últimos (quase) três anos, reconheceu-se a importância da cibersegurança, celebraram-se iniciativas, repetiram-se discursos sobre digitalização, transformação e resiliência, falou-se sobre a Diretiva NIS2 (na altura ainda em processo de transposição) e tornou-se evidente que coexistiam, no tecido empresarial português, realidades muito díspares.

Em três anos ficou espelhado o nível de maturidade, o interesse demonstrado em relação à cibersegurança e a polarização de mentalidades quanto à importância do tema. E, correndo o risco de dar, também eu, uma opinião polarizada sobre o tema (risco esse que considero residual e que vou tratar como tal, nos termos do RJC), não posso deixar de observar que ainda estamos num cenário em que grande parte das empresas: (i) não sabe que está abrangida e ainda não procurou informar-se sobre o assunto, (ii) sabe que está abrangida, mas não conhece o novo regime, ou (iii) sabe que está abrangida, conhece o regime mas considera que ainda tem muito tempo para agir. 

A sensibilização para esta Diretiva começou há três anos, mas cabe relembrar que, até agora, o Regime Jurídico da Segurança do Ciberespaço estava em vigor desde 2018, e a importância da cibersegurança já era uma preocupação há décadas. A verdade é que o culminar deste processo de transposição é um marco significativo para as empresas, mas também o é para todos os profissionais de cibersegurança, especialistas e entidades reguladoras que têm vindo a alertar para a necessidade e urgência deste tema.

Contudo, desengane-se quem considera que o processo “finalmente terminou” – o processo mais importante está finalmente a começar. Por isso, encare-se esta nova legislação com uma mistura saudável de pragmatismo e otimismo, não porque se espera que o RJC resolva, por si só, os problemas de cibersegurança das empresas, mas porque cria finalmente uma moldura mínima de esforço, atenção, estratégia e mudança.

Sem querer enumerar (mais uma vez) todas as medidas e obrigações que o RJC define, não posso deixar de frisar as ideias-chave deste novo regime: a centralização da gestão de risco como ponto de partida e de retorno contínuo, a adoção de um sistema de gestão de segurança da informação adequado e proporcional à dimensão da entidade, a implementação de medidas de segurança em linha com os cenários de risco, o investimento em recursos humanos e tecnológicos, o envolvimento dos órgãos de gestão, direção e administração, a monitorização da cadeia de abastecimento e a preparação adequada em caso de incidentes. Apesar de a cibersegurança ser frequentemente associada a tecnologias, ferramentas e soluções técnicas, a verdade é que o diploma enfatiza a necessidade de integrar a segurança digital na cultura organizacional através da governação, formação e da responsabilidade interna.

Estes princípios são necessários e fundamentais para atingir o propósito máximo da Diretiva NIS2: uma cultura de cibersegurança e “um elevado nível comum de cibersegurança em toda a União”.

Apesar de todas estas exigências, é fundamental adotar uma perspetiva equilibrada. O diploma não impõe requisitos desproporcionais nem pretende uniformizar todas as organizações num mesmo nível de rigor. A diferenciação entre entidades essenciais e importantes, bem como o princípio da proporcionalidade, demonstram que o legislador teve em consideração a diversidade do tecido económico nacional. Ao mesmo tempo, não se pode ignorar que uma falha numa PME prestadora de serviços críticos pode ter impacto sistémico. O regime procura, portanto, equilibrar prudência com responsabilidade, ajustando as exigências ao risco real.

É também importante realçar que este novo regime apresenta uma oportunidade notável para o desenvolvimento do ecossistema nacional de cibersegurança. A necessidade crescente de especialistas, auditores, consultores, fornecedores, formadores e serviços de resposta a incidentes poderá impulsionar o mercado da cibersegurança e contribuir para a maturidade não só do setor, mas de Portugal enquanto país agregador de conhecimento, capacidades e recursos humanos em cibersegurança.

A cibersegurança tem sido, durante demasiados anos, vista como um custo indireto ou como uma área de apoio – e para quem, ainda hoje, considera que o investimento que será necessário para a implementação do RJC é um estrangulamento económico das entidades abrangidas, certamente que nunca sofreu um incidente de cibersegurança de impacto financeiro, reputacional e/ou de continuidade de negócio suficientemente significativo. No entanto, não podemos ignorar que há um desafio substancial pela frente. Muitas organizações portuguesas ainda trabalham com infraestruturas obsoletas, sistemas sem manutenção adequada, práticas ad-hoc, ausência de processos estruturados e dependência excessiva de fornecedores externos sem verificações prévias de segurança. Para estas entidades, o RJC será particularmente exigente. E a verdade é que não existe uma solução rápida. A maturidade constrói-se com tempo, coerência e investimento. Ao mesmo tempo, é preciso reconhecer que a exposição ao risco atingiu níveis que já não se coadunam com abordagens minimalistas. A mudança, ainda que desafiante, é inevitável.

Enquanto profissionais da área, temos igualmente um papel a desempenhar. Devemos evitar uma postura punitiva ou tecnocrática. O desafio é complexo para muitas organizações e requer orientação clara, capacidade de simplificar o que é complexo e sensibilidade para contextos em que a maturidade em cibersegurança é ainda reduzida. Devemos ser facilitadores da mudança, não apenas guardiões de requisitos. A nossa responsabilidade é contribuir para que as organizações entendam o “porquê” antes do “como”, e para que tomem decisões sustentadas no risco, e não apenas no receio de sanções.

É com esse sentido de responsabilidade e com esperança neste novo regime que digo que, agora mais do que nunca, o caminho é a meta.