NIS2: One Size Fits All?

A tão aguardada Proposta de Lei permite avistar no horizonte os próximos passos no paradigma da cibersegurança em Portugal e surge para dar resposta às ameaças emergentes, com rigor e transparência e ao mesmo tempo com foco na desburocratização do processo.

Relativamente às medidas concretas introduzidas, a proposta vem estabelecer os instrumentos estruturantes da Segurança do Ciberespaço, nomeadamente a Estratégia Nacional de Segurança do Ciberespaço (ENSC), o Plano nacional de resposta a crises e incidentes de cibersegurança, em grande escala, o Quadro Nacional de Referência para a (QNRCS) e a Estratégia Nacional de Ciberdefesa e Conceito Estratégico de Defesa Nacional. Mas por si só, estas diretrizes não garantem resultados. A diferença estará na forma como os requisitos legais são operacionalizados pelas entidades responsáveis e, sobretudo, na sua capacidade de chegar às organizações com clareza e aplicabilidade.

É estabelecido um modelo de Gestão de Riscos, neste âmbito, as medidas de cibersegurança a adotar devem ter em consideração a matriz de risco em que cada entidade estiver inserida, por forma a garantir um nível de segurança das redes e dos sistemas de informação adequado ao risco em causa e ser proporcionais ao grau de exposição ao risco, a dimensão e a probabilidade de ocorrência de incidentes e sua gravidade, incluindo o seu impacto social e económico, segundo os critérios técnicos a ser definidos pelo CNCS (Centro Nacional de Cibersegurança).

Os órgãos de gestão, direção e administração das organizações assumem um papel de responsabilidade acrescida, neste sentido, devem ser responsáveis pela aprovação de medidas, supervisão da sua aplicação, assegurando o seu cumprimento, existindo a possibilidade de responderem por eventuais infrações praticadas.

No respeitante ao regime sancionatório, a proposta estabelece um regime contraordenacional consequente ao incumprimento do dever de adoção das medidas de cibersegurança, dos deveres previstos, da obrigação de comunicação e notificação, sendo as contraordenações referidas punidas com coimas. A determinação da coima concreta faz-se em função da gravidade da ilicitude do facto, da culpa do agente, da sua situação económica e do benefício económico retirado da prática da contraordenação.

Importa ainda mencionar, que as entidades essenciais, importantes e públicas relevantes, podem mediante pedido fundamentado requerer a dispensa da aplicação das coimas, desde que de acordo com os pressupostos para tal, com fundamento na inexistência de um procedimento interno de adaptação dessas entidades ao novo regime jurídico.

Uma novidade que consubstancia uma evolução notória é a alteração à Lei do Cibercrime, na medida em que é introduzida a não punibilidade de atos de acesso ilegítimo e interceção ilegítima em certas circunstâncias, nos casos em que o agente atua com a intenção de identificar vulnerabilidades para contribuir para a segurança do ciberespaço (Ethical hackers), comunicando as vulnerabilidades identificadas, desde que enquadrado nos pressupostos estabelecidos.

Terminado o processo de transposição da Diretiva, caberá às organizações garantir os requisitos mencionados, com vista ao cumprimento das respetivas obrigações.

Relativamente à estratégia a adotar, não existe um “one size fits all”, cada organização deverá ter em consideração os seus recursos e riscos, e adotar a estratégia que melhor assegura os seus objetivos, devendo ter em consideração os esquemas de certificação mencionados no documento e futuras indicações técnicas do CNCS, tendo em consideração os progressos técnicos mais recentes e, se aplicáveis, as normas europeias e internacionais relevantes.

Em suma, se por um lado sabemos que nem todas as organizações no tecido empresarial e indústrias portuguesas estão preparadas para a NIS2, por outro lado, podemos afirmar que estas devem olhar para a legislação como uma ajuda valiosa na sua segurança, segurança dos seus ativos e na sua reputação. Devendo assim assumir este percurso como uma simbiose entre a transparência e o rigor com vista à evolução, encarando a legislação como um benefício e não como um entrave, mantendo assim uma postura proativa por forma a maximizar os benefícios que advêm dos requisitos estabelecidos.