Margarida Leitão Nogueira: Tendência regulatória europeia “comporta impacto económico e operacional para entidades” (com vídeo)

Margarida Leitão Nogueira, Partner da DLA Piper, debruçou-se sobre a tendência regulatória europeia sobre cibersegurança e o seu impacto nas organizações.

A advogada identificou os principais fatores de risco que estão “na base do aumento do risco em matéria de cibersegurança e, portanto, do aumento dos ciberataques”. A adoção massiva do trabalho remoto durante o período pandémico impulsionou “os acessos às redes e sistemas de informação a partir do exterior das organizações” e “o processo de transição digital”.

Esta transição digital nas organizações ocorreu “de forma repentina” e “sem que tivessem sido adotadas as medidas de segurança necessárias”. De igual modo, no que diz respeito às tecnologias emergentes, como a IoT, “nem sempre são ponderados devidamente os riscos associados” e “aplicadas as soluções técnicas necessárias”.

O “contexto geopolítico complexo” tem contribuído para o crescimento dos riscos. “Sabe-se que alguns dos agentes que levam a cabo ciberataques são agentes estatais que visam, por um lado, a recolha de informação e, por outro, perturbar setores-chave da economia”, afirma.

Neste sentido, a União Europeia sentiu a necessidade de “criar novos requisitos e obrigações legais para as organizações no sentido da proteção das suas redes e sistemas”, assim como de “estender a abrangência de alguns dos requisitos já existentes a novos setores”.

Em particular, a advogada destacou a Diretiva REC, referente à resiliência das entidades críticas; o Regulamento de Ciber-Resiliência, que vai impor requisitos a produtos com elementos digitais; a Diretiva NIS 2, que visa “garantir o elevado nível comum de cibersegurança”; e o Regulamento DORA, que aborda a resiliência operacional digital do setor financeiro.

Diretiva NIS 2

Em vigor desde janeiro, a NIS 2 deverá ser transposta para os estados-membros até outubro do próximo ano. Quando comparada com a diretiva anterior, a NIS 2 vem trazer uma “maior abrangência dos setores e entidades”, como a indústria de gestão de resíduos, dos serviços postais e do fabrico de dispositivos médicos.

A diretiva introduz a “distinção entre entidades essenciais e entidades relevantes”, a melhoria da gestão de risco e o estabelecimento de prazos de notificação de incidentes.

“Responsabilizam-se órgãos de direção e de gestão das entidades” em caso de infração, que devem não só “implementar medidas de gestão de risco”, mas também “supervisionar a sua implementação”. Já a criação da Rede Europeia de Organizações de Coordenação de Cibercrises visa “uma maior partilha de informação e cooperação entre todos os estados-membros”.

Regulamento DORA

Tratando-se de um regulamento e não de uma diretiva, o DORA “não necessita de transposição” e, a partir de 2025, “é aplicável diretamente em todos os estados-membros, sem prejuízo de legislação que venha a ser aprovada”. 

O regulamento aplica-se a entidades financeiras e empresas tecnológicas que prestam serviços de TIC a entidades financeiras, tendo como objetivo “harmonizar e criar requisitos uniformes para a resiliência e segurança das redes e sistemas de informação” do setor.

O DORA inclui a implementação de medidas de gestão de riscos, de “conteúdo específico conforme legalmente previsto” em contratos entre entidades financeiras e prestadores de serviços de TIC e de testes de resiliência.

Facilita ainda a partilha de informação entre estas entidades, “desde que tenha como objetivo reforçar a resiliência operacional digital”, e estabelece obrigações relativas à gestão e reporte de incidentes.

Regulação “comporta desafios”

“A tendência regulatória europeia tem vindo a impor uma maior exigência a todas as organizações no que respeita ao cumprimento de obrigações e requisitos legais”, refere Margarida Leitão Nogueira. “Esta exigência comporta desafios, comporta um impacto económico e operacional para as entidades abrangidas muito significativo”.

“É fundamental investir-se em cibersegurança enquanto pilar essencial do desenvolvimento do negócio”, sublinha. “Uma preparação adequada pode ser determinante”.

A IT Security Conference volta a 10 de outubro de 2024!