Daniel Reis, Sócio Coordenador da área de Tecnologia e Privacidade PLMJ em 2019-10-23
Este artigo pretende explorar um dos lugares-comuns mais difundidos pela comunicação social e pelas redes sociais no último ano e meio: 2019 será o ano da cibersegurança
Daniel Reis, Sócio Coordenador da área de Tecnologia e Privacidade PLMJ
É indesmentível que as empresas portuguesas estão a recrutar mais trabalhadores para funções relacionados com cibersegurança, e que a oferta de soluções de formação nesta área tem vindo a crescer. Não é seguramente irrelevante para esta tendência a visibilidade que o Regulamento Geral sobre a Proteção de Dados (Regulamento (EU) 2016/679) tem assumido, sobretudo desde o início de 2018, e as notícias recorrentes na comunicação social sobre incidentes de segurança (data breaches). Ao nível legislativo, a Diretiva NIS (Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de Julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e informação em toda a União) foi transposta em Portugal pela Lei n.º 46/2018 de 13 de agosto, que aprovou o Regime Jurídico da Segurança do Ciberespaço (“RJSC”). Mais recentemente, foi aprovado o Regulamento da Cibersegurança (Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação. Não obstante toda esta atividade do legislador europeu, o impacto destes diplomas ainda não se sente no mercado. Por um lado, o RJSC ainda só está parcialmente em funcionamento. Por outro, o sistema europeu de certificação da cibersegurança, previsto no Regulamento da Cibersegurança, ainda não foi criado. O RJSC prevê a publicação de legislação complementar no prazo de 150 dias após a entrada em vigor deste diploma; por esta razão os regimes relacionados com as obrigações de implementação de medidas de segurança técnicas e organizativas e de notificação de incidentes apenas entram em vigor 6 meses após a entrada em vigor do RJSC, ou seja, em fevereiro de 2019. Ora, a legislação em causa, que definirá os requisitos de segurança aplicáveis, bem como os requisitos de notificação, ainda não foi publicada. A Estratégia Nacional de Segurança do Ciberespaço 2019-2023, aprovada pela Resolução do Conselho de Ministros n.º 92/2019, de 5 de junho de 2019, identifica num dos seus eixos (“estrutura de segurança do ciberespaço”), a aprovação da legislação completar que o RJSC exige. O assunto está atrasado mas não esquecido. A análise e comentário do RJSC tem-se centrado sobretudo nas obrigações de notificação de incidentes. Sem prejuízo da relevância destas obrigações – e da sua coordenação com as obrigações de notificação de incidentes à CNPD e à ANACOM – são muito interessantes as obrigações relacionadas com a observância de requisitos de segurança. Isto porque o RJSC cria uma obrigação legal de gestão dos riscos relativos à cibersegurança. Este tipo de obrigação não é novo, o RGPD também cria obrigações legais relacionadas com a gestão de riscos, mas é invulgar e apresenta algumas dificuldades para as empresas abrangidas. Relembre-se que esta obrigação de gestão do riscos que se colocam à segurança das redes e dos sistemas de informação afeta a Administração Pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais (energia, transportes, setor financeiro, saúde, etc.), e os prestadores de serviços digitais (por exemplo as empresas de comércio eletrónico). Como gerir os riscos associados à cibersegurança? Como fazer a demonstração da existência dessa gestão de riscos? O Centro Nacional de Cibersegurança, no documento que publicou em junho de 2019 denominado “Quadro Nacional de Referência para a Cibersegurança”, sugere a criação de uma estrutura formal, com modelo de governança, criação de funções específicas de segurança e definição de políticas de segurança de informação, muito apoiada na norma ISO/IEC 27005. Ora, este tipo de abordagem pode fazer sentido para grandes empresas, mas dificilmente será adequado para empresas médias ativas em comércio eletrónico, por exemplo. O RJSC não é aplicável apenas às micro e pequenas empresas. A violação desta obrigação (não gerir os riscos) compreende uma contra-ordenação punível com uma coima máxima de 50 mil euros. Adicionalmente, pode gerar responsabilidade civil. A cibersegurança é uma preocupação cada vez maior para as empresas e para a administração pública, mas o nível de maturidade nesta matéria em Portugal ainda é reduzido, e o enquadramento legal e regulamentar ainda não está completo. Porventura 2020 será o ano da cibersegurança.
por Daniel Reis, Sócio Coordenador da área de Tecnologia e Privacidade PLMJ |