Atualmente, a segurança da informação digital (habitualmente referida como Cibersegurança) contribui para a solidez das sociedades modernas, na medida em que é um pilar fundamental para a gestão e proteção dos bens mais importantes das pessoas, das empresas e até das sociedades.
Num contexto global onde decorrem várias guerras entre nações, todos os dias se conhecem episódios de ataques informáticos a empresas, hospitais, universidades, instituições sem fins lucrativos e até a infraestruturas críticas, com objetivos de danificar, condicionar ou impedir o uso de sistemas informáticos.
Mesmo fora do contexto da guerra, os ataques informáticos estão cada vez mais presentes no dia-a-dia das sociedades, colocando em causa a justiça, a educação, a saúde, a liberdade de expressão e até infraestruturas críticas como fornecimento de água, telecomunicações, combustíveis ou energia elétrica.
É por isso necessário tomar medidas preventivas no combate aos riscos tecnológicos, através de formação e sensibilização das pessoas, da criação de legislação adequada, da adoção de tecnologias adequadas e da implementação e monitorização de processos de gestão que se demostrem verdadeiramente eficazes.
Cibersegurança: o que diz a legislação em vigor?
No que concerne à legislação, temos observado uma grande preocupação dos países mais desenvolvidos, na adoção de regulamentos que pretendem orientar ou até mesmo forçar as empresas e organizações a adotar comportamentos, defesas e mecanismos de resposta que mitiguem os riscos associados a ataques informáticos.
NIS1
Apresentada na estratégia europeia de Cibersegurança, a Diretiva (UE) 2016/1148 (conhecida como NIS) foi adotada na União Europeia (UE) a 6 de julho de 2016 com o objetivo de reforçar a resiliência do espaço europeu de Cibersegurança. Esta diretiva propôs um vasto conjunto de medidas para reforçar o nível de segurança das redes e sistemas de informação com vista a proteger serviços vitais para a sociedade e economia da União Europeia. A diretiva teve como foco assegurar que os países da UE passariam a estar devidamente preparados e prontos para fazer face e reagir a ciberataques através da designação de autoridades competentes, da criação de equipas de resposta a incidentes de segurança informática (CSIRT) e através da adoção de estratégias nacionais de Cibersegurança.
Em Portugal, esta diretiva foi transposta pela Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço e que define um conjunto de regras a aplicar à administração pública, aos operadores de infraestruturas críticas, aos operadores de serviços essenciais, aos prestadores de serviços digitais, bem como a quaisquer outras entidades que utilizem redes e sistemas de informação (nomeadamente no que respeita à notificação voluntária de incidentes). Naturalmente que esta lei se compatibilizou com outras leis e regulamentos entretanto publicados, como é o caso do Regulamento Geral sobre a Proteção de Dados (Regulamento 2016/679 do Parlamento Europeu, publicado em 27 de abril de 2016 e cuja aplicação se iniciou em maio de 2018).
Mais tarde, em 2019, foi aprovado um novo Regulamento (UE) 2019/881 no Parlamento Europeu que veio clarificar o âmbito de intervenção da ENISA (Agência da União Europeia para a Cibersegurança) e definiu um conjunto de normas relativas à certificação nos domínios da Cibersegurança. Através da transposição desse regulamento para o regime jurídico nacional, foi definido que o Centro Nacional de Cibersegurança (CNCS) seria a Autoridade Nacional de Certificação da Cibersegurança. Foram também definidas, através do Decreto-Lei n.º 65/2021 de 30 de julho, um conjunto de regras a serem cumpridas pelas organizações, tais como:
- A definição de um ponto de contacto permanente e responsável de segurança;
- A obrigatoriedade da comunicação da lista dos ativos essenciais;
- A necessidade de execução de análises dos riscos globais e parciais;
- A necessidade de elaborar e manter atualizado um plano de segurança, assim como a produção de um relatório anual;
- E a implementação de meios que permitam detectar, classificar e notificar incidentes de segurança ao CNCS.
NIS2
Mais recentemente, em dezembro de 2022, foi emitida pela UE uma nova diretiva (NIS2) que vem alargar o âmbito de aplicação da diretiva anterior, acrescentando à lista de setores críticos outras organizações da administração pública, serviços postais e transportes, empresas do setor alimentar, indústria transformadora, empresas que façam gestão de resíduos ou tratem águas residuais, prestadores de serviços digitais, entidades de investigação entre outros prestadores de serviços de IT (isentando algumas organizações com base no número de empregados ou volume de negócios).
Algumas das obrigações decorrentes da nova diretiva (que tem o dia 17 de outubro de 2024 como data limite para transposição para a legislação nacional) são:
- Análise sistemática dos riscos e de segurança;
- Tratamento de incidentes relacionados com tecnologias de informação;
- Desenvolvimento de planos de continuidade das atividades, onde se incluem novos requisitos associados a políticas de backups;
- Implementação de mecanismos de segurança na cadeia de fornecimento e abastecimento;
- Avaliação da eficácia das medidas de gestão dos riscos;
- Desenvolvimento de práticas de “ciber-higiene” e formação nos domínios da Cibersegurança aumentando o nível de segurança associados aos recursos humanos;
- Utilização de mecanismos de criptografia e cifragem;
- Utilização de soluções de autenticação multifator ou de autenticação contínua.
A NIS2 vem assim redefinir o âmbito original para ser mais claro no que diz respeito à cobertura de “serviços essenciais” e ampliar a tipologia de entidades cuja resiliência cibernética se considera essencial.
Pretende ainda reduzir inconsistências e aproximar os órgãos de gestão do tema da segurança da informação obrigando a criar canais de comunicação mais eficazes com as equipas técnicas. Ao mesmo tempo, cria a obrigatoriedade da resposta a incidentes, com redução do tempo de comunicação às entidades competentes (que passou a ser de 24h para a comunicação inicial).
Refere o artigo 20º desta diretiva, que “the management bodies of essential and important entities approve the cybersecurity risk-management measures taken by those entities in order to comply with Article 21, oversee its implementation and can be held liable for infringements by the entities of that Article” (em português: “os órgãos de direção das entidades essenciais e importantes aprovam as medidas de gestão dos riscos de Cibersegurança tomadas por essas entidades em cumprimento do disposto no artigo 21.o, supervisionam a sua aplicação e podem ser responsabilizados por infrações cometidas pelas entidades referidas nesse artigo”).
Quer isto dizer que as equipas de gestão nas organizações deverão estar conscientes dos riscos de segurança, devendo assegurar que todos os planos e políticas de gestão (sejam na área de gestão de incidentes, avaliação das cadeias de fornecimento, utilização de multifator de autenticação) estão conforme os requisitos da legislação, sob pena de penalizações significativas (à semelhança do que já acontecia com o tratamento de dados pessoais).
Setorialmente, existem ainda outros ecossistemas legislativos, como é o caso do DORA (Digital Operational Resilience Act), aplicável ao setor financeiro, que se relaciona com diversos outros diplomas, iniciativas, orientações, recomendações, normas e princípios em matéria de finanças digitais, Cibersegurança, dados e serviços digitais. Este tema tem vindo a ganhar destaque depois do Banco Central Europeu ter anunciado a sua intenção de desenvolver exercícios para testar a resiliência dos Bancos a ataques informáticos.
A certificação como caminho para a maturidade e segurança digital
Apesar de todas as obrigações decorrentes da legislação e regulamentação europeia sobre o ciberespaço, estas devem ser usadas como instrumentos capazes de fornecer linhas orientadoras para que os países e as organizações desenvolvam os seus modelos de maturidade, criando recursos institucionais capazes de produzir ferramentas, partilhar conteúdos e criar dinâmicas relevantes no domínio da Cibersegurança.
Neste contexto, têm vindo a ser desenvolvidas em Portugal várias iniciativas, como por exemplo, o Quadro Nacional de Referência para a Cibersegurança (emitido pelo Centro Nacional de Cibersegurança – CNCS), o observatório de Cibersegurança, os Centros de Análise e Partilha de Informação (ISAC) e diversos programas de formação e certificação.
Um dos exemplos mais recentes em Portugal é o programa de Certificação de Maturidade Digital em Cibersegurança, que concretiza uma das medidas do Plano de Ação para a Transição Digital para promover a transformação digital da economia. Esta iniciativa, financiada no âmbito do Plano de Recuperação e Resiliência (PRR) é desenvolvida em parceria com o Instituto Português de Acreditação, Instituto Português da Qualidade, Imprensa Nacional Casa da Moeda e com as entidades certificadoras e está acessível a qualquer organização, do setor privado ou público, que pode verificar a sua conformidade e certificar-se num de três níveis: Bronze, Prata ou Ouro, de acordo com o seu estágio de maturidade.
Desde a sua conceção, o DataCoLAB assumiu um forte compromisso com a Cibersegurança e avançou de imediato com o processo de Certificação de Maturidade Digital em Cibersegurança, tendo obtido esse reconhecimento em junho de 2022. Já este ano, foi realizada a primeira auditoria de acompanhamento que nos permite confirmar a manutenção do grau de conformidade e ajustar de forma dinâmica a nossa estratégia neste domínio.
Pela nossa experiência, consideramos que o caminho da certificação em matéria de Cibersegurança permitirá uma melhoria significativa no nível de maturidade digital das empresas e organizações pois permitirá identificar e proteger ativos críticos, criará mecanismos de resposta a incidentes e consolidará processos de gestão de risco garantindo um nível de resiliência adequado.
No final desse processo, os órgãos de gestão das organizações poderão focar-se nos objetivos das mesmas, com confiança e tranquilidade pois têm consciência plena de que cumprem todos os requisitos legais e regulamentares.
Também as equipas técnicas poderão reagir de forma mais rápida e eficaz a qualquer incidente, pois os mecanismos necessários foram atempadamente identificados e estarão disponíveis no momento de crise. E na eventualidade de um ataque consumado, o seu impacto poderá ser mais facilmente controlado, porque todas as medidas preventivas foram asseguradas e todos os interlocutores estão alinhados.
Por outro lado, a verificação regular do cumprimento dos requisitos da certificação, protegerá a reputação das organizações (e das pessoas que a constituem) porque em caso de ataque informático todos os stakeholders reconhecerão que apesar do impacto do mesmo, os mecanismos de proteção e resposta estavam devidamente implementados.
Carlos Domingues
Coordenador de TI e Segurança da Informação