Todos temos consciência de que a nossa vida está cada vez mais dependente da tecnologia e da necessidade de estar sempre ligado.
Se por um lado temos inúmeros benefícios que vão desde o acesso quase instantâneo à informação, à comunicação fluida e multicanal, às conveniências da automação residencial, à interconexão digital de objetos através da internet (internet das coisas – IdC), ou mais recentemente dos grandes avanços e perspetivas colocadas pela inteligência artificial, do outro lado temos uma maior exposição ao risco e a novas ameaças.
Esta dependência cada vez maior de meios tecnológicos, quer pelas organizações, quer pelos cidadãos, associada à existência de um maior número de dispositivos conectados entre si através da internet, aumenta enormemente a exposição ao risco e às ameaças no ciberespaço, não sendo novidade que nos últimos anos se assiste a um crescimento dos cibercrimes quer junto das organizações -privadas ou públicas- como dos cidadãos.
É neste contexto, que a UE sentiu necessidade de criar uma estratégia europeia de cibersegurança para reforçar a resiliência do ciberespaço (europeu). Surgiu assim a Diretiva NIS (Network and Information Security) cujo o principal objetivo foi a introdução de medidas destinadas a garantir um elevado nível comum de segurança das redes dos sistemas de informação em toda a União.
Trata-se da Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho, relativa à segurança das redes e da informação.
Este diploma foi transposto para o direito nacional através da Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço em Portugal (RJCS). Este regime nomeia o CNCS (Centro Nacional de Cibersegurança) como responsável pela supervisão da adequada implementação da Diretiva NIS e as entidades ficam com obrigações de cumprir com requisitos de segurança da informação e Instruções do CNCS e de notificar incidentes de segurança relevantes.
Apesar da sua aplicação poder ser transversal, o diploma estabelece em particular requisitos para a Administração Pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais e os prestadores de serviços digitais.
Três anos mais tarde, é publicado o Decreto-Lei n.º 65/2021, a 30 de julho de 2021, que vem regulamentar o regime jurídico do ciberespaço e definir requisitos para as entidades, nomeadamente:
- comunicação do ponto de contacto permanente e responsável de segurança;
- comunicação do inventário dos ativos essenciais para a prestação dos serviços;
- execução de análises dos riscos globais e parciais;
- elaboração e atualização de um plano de segurança;
- comunicação do relatório anual; e
- implementação de meios que permitam detectar, classificar e notificar incidentes ao CNCS.
No final do ano de 2022, é publicada a NIS2. Esta é uma nova diretiva europeia (Diretiva (UE) 2022/2555, de 14 de dezembro de 2022, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União) que vem substituir a Diretiva NIS, sendo uma evolução da diretiva original.
Nesta nova diretiva, o âmbito e abrangência é aumentado, os princípios considerados essenciais à ciber-resiliência são reforçados e é criado um grupo de apoio à coordenação estratégica de iniciativas de cibersegurança entre Estados-membros.
A NIS2 passa também a abranger um número de entidades muito maior, criando obrigações em cibersegurança em novos sectores, públicos e privados, como o sector alimentar, empresas de transporte marítimo e de carga, fornecedores de telecomunicações e de dados, plataformas de meios de comunicação social, fornecedores de centros de dados, empresas envolvidas na gestão de resíduos e águas residuais, prestadores de serviços de IT, entre outros.
Outra aspeto a realçar é a criação de um grupo de cooperação para facilitar a coordenação estratégica no âmbito da diretiva (EU-CyCLONe - European cyber crisis liaison organisation network ), reconhecendo a necessidade de cooperação entre os Estados Membros porque as ameaças e incidentes em cibersegurança não conhecem fronteiras, pretendendo-se uma atuação mais integrada e maior cooperação entre os diferentes reguladores europeus.
A transposição para legislação nacional da Diretiva NIS2 tem um prazo limite até 17 de outubro de 2024, mas é recomendável que, durante este período de transposição, as entidades abrangidas preparem a sua implementação, adaptando as suas políticas de cibersegurança e gestão de riscos.
Na DQA podemos ajuda-lo neste processo. Contacte-nos e saiba como.