Daniel Reis, Sócio Coordenador da área de Tecnologia e Privacidade PLMJ em 2019-10-23

OPINIÃO

Legal

2019 é o ano da cibersegurança?

Este artigo pretende explorar um dos lugares-comuns mais difundidos pela comunicação social e pelas redes sociais no último ano e meio: 2019 será o ano da cibersegurança

2019 é o ano da cibersegurança?

Daniel Reis, Sócio Coordenador da área de Tecnologia e Privacidade PLMJ

É indesmentível que as empresas portuguesas estão a recrutar mais trabalhadores para funções relacionados com cibersegurança, e que a oferta de soluções de formação nesta área tem vindo a crescer.

Não é seguramente irrelevante para esta tendência a visibilidade que o Regulamento Geral sobre a Proteção de Dados (Regulamento (EU) 2016/679) tem assumido, sobretudo desde o início de 2018, e as notícias recorrentes na comunicação social sobre incidentes de segurança (data breaches).

Ao nível legislativo, a Diretiva NIS (Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de Julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e informação em toda a União) foi transposta em Portugal pela Lei n.º 46/2018 de 13 de agosto, que aprovou o Regime Jurídico da Segurança do Ciberespaço (“RJSC”).

Mais recentemente, foi aprovado o Regulamento da Cibersegurança (Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação.

Não obstante toda esta atividade do legislador europeu, o impacto destes diplomas ainda não se sente no mercado. Por um lado, o RJSC ainda só está parcialmente em funcionamento. Por outro, o sistema europeu de certificação da cibersegurança, previsto no Regulamento da Cibersegurança, ainda não foi criado.

O RJSC prevê a publicação de legislação complementar no prazo de 150 dias após a entrada em vigor deste diploma; por esta razão os regimes relacionados com as obrigações de implementação de medidas de segurança técnicas e organizativas e de notificação de incidentes apenas entram em vigor 6 meses após a entrada em vigor do RJSC, ou seja, em fevereiro de 2019.

Ora, a legislação em causa, que definirá os requisitos de segurança aplicáveis, bem como os requisitos de notificação, ainda não foi publicada.

A Estratégia Nacional de Segurança do Ciberespaço 2019-2023, aprovada pela Resolução do Conselho de Ministros n.º 92/2019, de 5 de junho de 2019, identifica num dos seus eixos (“estrutura de segurança do ciberespaço”), a aprovação da legislação completar que o RJSC exige. O assunto está atrasado mas não esquecido.

A análise e comentário do RJSC tem-se centrado sobretudo nas obrigações de notificação de incidentes. Sem prejuízo da relevância destas obrigações – e da sua coordenação com as obrigações de notificação de incidentes à CNPD e à ANACOM – são muito interessantes as obrigações relacionadas com a observância de requisitos de segurança.

Isto porque o RJSC cria uma obrigação legal de gestão dos riscos relativos à cibersegurança. Este tipo de obrigação não é novo, o RGPD também cria obrigações legais relacionadas com a gestão de riscos, mas é invulgar e apresenta algumas dificuldades para as empresas abrangidas.

Relembre-se que esta obrigação de gestão do riscos que se colocam à segurança das redes e dos sistemas de informação afeta a Administração Pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais (energia, transportes, setor financeiro, saúde, etc.), e os prestadores de serviços digitais (por exemplo as empresas de comércio eletrónico).

Como gerir os riscos associados à cibersegurança? Como fazer a demonstração da existência dessa gestão de riscos?

O Centro Nacional de Cibersegurança, no documento que publicou em junho de 2019 denominado “Quadro Nacional de Referência para a Cibersegurança”, sugere a criação de uma estrutura formal, com modelo de governança, criação de funções específicas de segurança e definição de políticas de segurança de informação, muito apoiada na norma ISO/IEC 27005.

Ora, este tipo de abordagem pode fazer sentido para grandes empresas, mas dificilmente será adequado para empresas médias ativas em comércio eletrónico, por exemplo. O RJSC não é aplicável apenas às micro e pequenas empresas.

A violação desta obrigação (não gerir os riscos) compreende uma contra-ordenação punível com uma coima máxima de 50 mil euros. 

Adicionalmente, pode gerar responsabilidade civil.

A cibersegurança é uma preocupação cada vez maior para as empresas e para a administração pública, mas o nível de maturidade nesta matéria em Portugal ainda é reduzido, e o enquadramento legal e regulamentar ainda não está completo. Porventura 2020 será o ano da cibersegurança.

 

por Daniel Reis, Sócio Coordenador da área de Tecnologia e Privacidade PLMJ

TAGS

Daniel Reis PLMJ

Recomendado pelos leitores

As sanções americanas e a ascensão dos rivais chineses da Nvidia
OPINIÃO

As sanções americanas e a ascensão dos rivais chineses da Nvidia

LER MAIS

O papel da Inteligência Artificial no recrutamento de talento IT
OPINIÃO

O papel da Inteligência Artificial no recrutamento de talento IT

LER MAIS

Soberania dos dados europeus
OPINIÃO

Soberania dos dados europeus

LER MAIS

IT CHANNEL Nº 116 ABRIL 2025

IT CHANNEL Nº 116 ABRIL 2025

VER EDIÇÕES ANTERIORES

Mais visitadas

Canon: “a nossa ambição é clara: crescer”

VENUE 2025-3-26

Cegid distingue Parceiros em Portugal e África

BIZ 2025-3-27

Cisco anuncia novas soluções e abre caminho à colaboração de IA com agência

BIZ 2025-3-25

Colt conclui teste de criptografia quântica segura na sua rede de fibra ótica

REDES 2025-3-26

Grupo inCentea regista volume de negócios de 22,8 milhões de euros em 2024

BIZ 2025-3-28

IT Channel
Logo IT-Insight Logo IT-Channel Logo IT-Security Logo Smart Planet Logo Tecno Hotel
Logo Media Next Logo Linkedin
Copyright © 2013 - 2025 Media Next . All Rights Reserved
O nosso website usa cookies para garantir uma melhor experiência de utilização.