Novo Regime Jurídico de Cibersegurança: mais obrigações, mais resiliência

Embora não seja conhecida, publicamente, uma data para a aprovação deste novo diploma legal, é tempo de atuar sobre as novas obrigações já conhecidas. A proposta de lei ajusta as exigências regulatórias às entidades abrangidas em consonância com a dimensão e a criticidade da sua atividade, amplia as obrigações de vários setores e atribui ao Centro Nacional de Cibersegurança uma supervisão mais abrangente.

É criado um novo Regime Jurídico de Cibersegurança que determina que, para as entidades abrangidas pela anterior regulamentação (Regime Jurídico do Ciberespaço), a resposta à sua conformidade consubstancia-se na continuação das iniciativas tomadas anteriormente, com as especificidades decorrentes do robustecimento de medidas que surgem com o novo regime, em tópicos como a notificação de incidentes, regime de supervisão e sancionatório, avaliação da cadeia de abastecimento e adoção de medidas de âmbito técnico, operacional e organizacional. 

O Quadro Nacional de Referência para a Cibersegurança (QNRCS) ganha um protagonismo que, à luz do Regime Jurídico da Segurança do Ciberespaço, ainda não tinha tido lugar, apenas referido com aparecimento posterior através do Decreto-Lei 65/2021. 

A atual proposta de lei avança com um modelo que “fomenta a criação de um mercado de certificação em cibersegurança” que permite “generalizar uma presunção de conformidade das entidades” e  adota do QNRCS como instrumento nacional de referência de forma explícita, afirmando que “as entidades essenciais e importantes devem ter em conta o QNRCS”, podendo o CNCS “exigir às entidades essenciais, importantes e públicas relevantes, a obtenção de certificação, nacional, europeia ou internacional, que ateste o cumprimento das medidas de cibersegurança”.

Coloca-se a questão de saber se para organizações que têm algum tipo de sistema de gestão de segurança implementado/certificado é o suficiente para estar em conformidade com as exigências legais. A transversalidade da nova regulamentação estende a sua aplicabilidade a toda a organização envolvendo diretamente o Negócio na Cibersegurança, obrigando a que a comunicação seja promovida não só entre entidades supervisoras competentes, entre setores, como, também, dentro das próprias organizações. 

A adoção do princípio “tone from the top” responsabiliza diretamente a administração por estas temáticas, elevando a abrangência holística deste normativo. Não basta, por isso, conformarmo-nos com o cumprimento do anterior regime, nem tão pouco com uma eventual certificação (que pela sua génese tem um âmbito de aplicabilidade definido), mas precisamos de olhar para o panorama da cibersegurança como uma preocupação de todos, dentro e fora de portas. As organizações, ao adotar uma abordagem proativa, asseguram a conformidade regulatória, mas também o reforço da sua resiliência face às ciberameaças.