Daniel Reis, Sócio Coordenador da área de Tecnologia e Privacidade PLMJ em 2019-10-23

OPINIÃO

Legal

2019 é o ano da cibersegurança?

Este artigo pretende explorar um dos lugares-comuns mais difundidos pela comunicação social e pelas redes sociais no último ano e meio: 2019 será o ano da cibersegurança

Daniel Reis, Sócio Coordenador da área de Tecnologia e Privacidade PLMJ

É indesmentível que as empresas portuguesas estão a recrutar mais trabalhadores para funções relacionados com cibersegurança, e que a oferta de soluções de formação nesta área tem vindo a crescer.

Não é seguramente irrelevante para esta tendência a visibilidade que o Regulamento Geral sobre a Proteção de Dados (Regulamento (EU) 2016/679) tem assumido, sobretudo desde o início de 2018, e as notícias recorrentes na comunicação social sobre incidentes de segurança (data breaches).

Ao nível legislativo, a Diretiva NIS (Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de Julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e informação em toda a União) foi transposta em Portugal pela Lei n.º 46/2018 de 13 de agosto, que aprovou o Regime Jurídico da Segurança do Ciberespaço (“RJSC”).

Mais recentemente, foi aprovado o Regulamento da Cibersegurança (Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação.

Não obstante toda esta atividade do legislador europeu, o impacto destes diplomas ainda não se sente no mercado. Por um lado, o RJSC ainda só está parcialmente em funcionamento. Por outro, o sistema europeu de certificação da cibersegurança, previsto no Regulamento da Cibersegurança, ainda não foi criado.

O RJSC prevê a publicação de legislação complementar no prazo de 150 dias após a entrada em vigor deste diploma; por esta razão os regimes relacionados com as obrigações de implementação de medidas de segurança técnicas e organizativas e de notificação de incidentes apenas entram em vigor 6 meses após a entrada em vigor do RJSC, ou seja, em fevereiro de 2019.

Ora, a legislação em causa, que definirá os requisitos de segurança aplicáveis, bem como os requisitos de notificação, ainda não foi publicada.

A Estratégia Nacional de Segurança do Ciberespaço 2019-2023, aprovada pela Resolução do Conselho de Ministros n.º 92/2019, de 5 de junho de 2019, identifica num dos seus eixos (“estrutura de segurança do ciberespaço”), a aprovação da legislação completar que o RJSC exige. O assunto está atrasado mas não esquecido.

A análise e comentário do RJSC tem-se centrado sobretudo nas obrigações de notificação de incidentes. Sem prejuízo da relevância destas obrigações – e da sua coordenação com as obrigações de notificação de incidentes à CNPD e à ANACOM – são muito interessantes as obrigações relacionadas com a observância de requisitos de segurança.

Isto porque o RJSC cria uma obrigação legal de gestão dos riscos relativos à cibersegurança. Este tipo de obrigação não é novo, o RGPD também cria obrigações legais relacionadas com a gestão de riscos, mas é invulgar e apresenta algumas dificuldades para as empresas abrangidas.

Relembre-se que esta obrigação de gestão do riscos que se colocam à segurança das redes e dos sistemas de informação afeta a Administração Pública, os operadores de infraestruturas críticas, os operadores de serviços essenciais (energia, transportes, setor financeiro, saúde, etc.), e os prestadores de serviços digitais (por exemplo as empresas de comércio eletrónico).

Como gerir os riscos associados à cibersegurança? Como fazer a demonstração da existência dessa gestão de riscos?

O Centro Nacional de Cibersegurança, no documento que publicou em junho de 2019 denominado “Quadro Nacional de Referência para a Cibersegurança”, sugere a criação de uma estrutura formal, com modelo de governança, criação de funções específicas de segurança e definição de políticas de segurança de informação, muito apoiada na norma ISO/IEC 27005.

Ora, este tipo de abordagem pode fazer sentido para grandes empresas, mas dificilmente será adequado para empresas médias ativas em comércio eletrónico, por exemplo. O RJSC não é aplicável apenas às micro e pequenas empresas.

A violação desta obrigação (não gerir os riscos) compreende uma contra-ordenação punível com uma coima máxima de 50 mil euros. 

Adicionalmente, pode gerar responsabilidade civil.

A cibersegurança é uma preocupação cada vez maior para as empresas e para a administração pública, mas o nível de maturidade nesta matéria em Portugal ainda é reduzido, e o enquadramento legal e regulamentar ainda não está completo. Porventura 2020 será o ano da cibersegurança.

 

por Daniel Reis, Sócio Coordenador da área de Tecnologia e Privacidade PLMJ

Recomendado pelos leitores

Tendências do Canal para 2021
OPINIÃO

Tendências do Canal para 2021

LER MAIS

Três pilares para construirmos uma Inteligência Artificial de confiança
OPINIÃO

Três pilares para construirmos uma Inteligência Artificial de confiança

LER MAIS

Employer Branding 2021
OPINIÃO

Employer Branding 2021

LER MAIS

IT CHANNEL Nº 74 FEVEREIRO 2021

IT CHANNEL Nº 74 FEVEREIRO 2021

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.