
Um anteprojeto de lei para harmonizar a cibersegurança
O ano de 2016 marcou uma mudança de paradigma na União Europeia em termos de segurança da informação. Aconteceu também num momento complexo, com um aumento significativo de ciberincidentes. Consciente da necessidade de harmonizar as regras do jogo no domínio da cibersegurança, foi publicada a Diretiva 2016/1148 relativa à segurança das redes e dos sistemas da informação, que procurou criar uma homogeneização nesta área entre todos os estados membros da União Europeia.
A conhecida Diretiva NIS constituiu um grande passo em frente em aspetos importantes como a colaboração entre entidades e a transparência no tratamento de incidentes de cibersegurança. Também procurou estabelecer as bases para a aplicação de medidas para lidar com os riscos que estavam a surgir face ao aumento dos grupos de cibercrime. A Espanha implementou a sua aplicação através da transposição da Diretiva NIS com o Real Decreto Lei 12/2018 sobre a segurança das redes e dos sistemas de informação.
Apesar da importância e inovação da Diretiva, algo não estava bem. Com uma pandemia e alterações na metodologia com que os grupos de cibercrime impactavam as sociedades dos diferentes países da União Europeia, tornou-se evidente a necessidade de uma evolução. O ano de 2022 assistiu a dois acontecimentos significativos no domínio regulamentar da segurança da informação. Um deles foi a evolução da Diretiva NIS, através da sua revisão e substituição pela Diretiva 2022/2555, a NIS 2. No panorama espanhol, foi publicado o novo Esquema Nacional de Segurança, que, passados 12 anos desde o aparecimento do seu antecessor, também exigia uma evolução.
Ambas as normas convergiram na adoção de uma nova estratégia de cibersegurança centrada em pilares fundamentais:
-A necessidade de nos conhecermos através de uma avaliação “sincera” dos riscos. Durante muitos anos, a análise de risco parecia ser uma mera formalidade que era feita não por convicção, mas como algo que era exigido pelas regras e para o qual era necessário preencher um dossier.
Todos nós somos susceptíveis de ser atacados e as várias autoridades querem que colaboremos
-Adotar um verdadeiro modo preventivo. Ou melhor ainda, um modo de natureza preditiva. Não podemos esperar até termos de reagir apenas quando identificamos um incidente. Também não devemos aplicar medidas de forma empática porque a pessoa do lado o está a fazer. A pessoa do outro lado tem os seus problemas e as suas soluções, que não têm necessariamente de coincidir com os nossos. Temos de aplicar medidas de segurança e processos operacionais de acordo com quem somos, o que protegemos e o que oferecemos.
-Transparência e humildade em relação aos incidentes cibernéticos. Todos nós somos suscetíveis de ser atacados e as várias autoridades querem que trabalhemos em conjunto. Querem que lutemos juntos contra adversários cada vez mais fortes. Um dos elementos mais procurados é o da partilha para progredir, permitindo que a nossa experiência seja útil a outros. Algo semelhante acontece com a deteção de vulnerabilidades e a sua correção.
-Somos quem somos, por nós e as nossas circunstâncias. No mundo atual, qualquer entidade tem inúmeras empresas colaboradoras que lhe permitem crescer e, em alguns casos, são mesmo uma parte nevrálgica do seu funcionamento diário. No entanto, temos visto como os atacantes têm conseguido penetrar através desta cadeia de fornecimento, por vezes mais fraca. É por isso que os regulamentos, incluindo o NIS 2, se centram na necessidade de controlo e garantia na cadeia. Há um objetivo fundamental. Tornar difícil para um adversário encontrar facilmente um elo fraco.
O aparecimento da Diretiva NIS 2 em 2022 exigiu, tal como estabelecido pelas regras da UE, a necessidade de transposição para o sistema jurídico de cada país. Para essa transposição, foi dado um prazo aparentemente generoso. Outubro de 2024. Mas o novo regulamento implicava alterações significativas e acordos complexos, que não são propriamente fáceis de implementar.
Em meados de janeiro de 2025, e após um longo processo de análise e consulta, o Governo anunciou, ainda como anteprojeto, uma Lei de Coordenação e Governação da Cibersegurança, que transpõe para o direito espanhol a Diretiva NIS 2 da União Europeia.
Este anteprojeto inclui alterações importantes, que se inspiram, naturalmente, na NIS 2. Em primeiro lugar, o alargamento da sua aplicabilidade a um grande número de setores, muitos dos quais nem sequer estavam previstos no anterior Real Decreto-Lei de transposição da primeira Diretiva NIS. Além disso, é feita uma distinção entre entidades essenciais e importantes, que têm requisitos diferentes e, por conseguinte, um impacto diferenciado em termos de cumprimento da norma. A dimensão da empresa e a sua pertença a determinados setores definirão, em grande medida, o seu reconhecimento como entidade essencial ou importante. No entanto, a norma também deixa margem para que as autoridades exijam que uma entidade, seja por ser estratégica ou pela sua especialização, possa ser classificada como essencial ou importante, quando a priori não o deveria ser por setor.
O projeto de lei centra-se na criação de um novo organismo: o Centro Nacional de Cibersegurança.
Estabelece também as bases para a necessidade muito comum de um agente de segurança ou de um órgão colegial, ao qual são dadas as 10 funções fundamentais específicas para esse papel. Já não é preciso fazer rodeios para saber quais as funções que um responsável pela segurança, ou o órgão colegial que assume essas funções, deve ter. Entre elas está a de garantir que as empresas e os fornecedores externos cumpram os critérios de segurança da informação estabelecidos pela entidade. Incluem também ser o ponto de contacto e coordenação com as autoridades de controlo e as CSIRT nacionais de referência.
E esta coordenação com as autoridades e as CSIRT torna-se um elemento central do anteprojeto de lei. Sabemos que as relações são um dos pontos mais complexos de realizar. Requer uma estruturação correta e a atribuição de responsabilidades para que uma lei seja funcional. O anteprojeto de lei centra-se na criação de um novo organismo para levar a cabo a aplicação deste regulamento e para gerir a relação com os diferentes agentes, incluindo a União Europeia e os seus homólogos noutros países. Este novo organismo será o Centro Nacional de Cibersegurança, embora ainda não estejam totalmente definidas todas as competências.
O anteprojeto também aborda os aspetos fundamentais acima referidos:
- A análise da situação a partir da avaliação dos riscos.
-A aplicação de medidas em conformidade com a identificação desses riscos e a adoção de procedimentos de segurança operacional de acordo com normas atualizadas. Embora o regulamento não estabeleça medidas técnicas específicas, o artigo 15.º define os objetivos fundamentais a prosseguir, bem como a sua aplicabilidade através de framework de segurança contrastados a nível nacional e internacional, que serão determinados pelo Centro Nacional de Segurança. Um exemplo é a adoção do novo Sistema Nacional de Segurança em 2022 como elemento fundamental para o cumprimento do Regulamento NIS 2.
-A necessidade de reagir adequadamente a um incidente ou a algo que possa parecer um incidente. É introduzido um conceito interessante da Diretiva SRI 2: o “quase-incidente”. Além disso, são fixados prazos muito específicos para a informação das autoridades. O primeiro é um prazo máximo de 24 horas para notificar a existência de um incidente significativo através de um alerta. Estas 24 horas são contadas a partir do momento em que a entidade toma conhecimento do incidente. O segundo prazo é de 72 horas, no máximo, para uma notificação completa com detalhes do incidente, impacto e, se houver, potenciais indicadores de comprometimento. Como já foi referido, a importância da comunicação é muito importante neste anteprojeto, e a retenção de informação constitui uma violação direta.
-A cadeia de abastecimento é incluída como uma das medidas importantes a ter em conta. Temos, portanto, de pensar na cibersegurança como um todo, em que só ganhamos se nos reforçarmos em conjunto e se fizermos com que aqueles que colaboram connosco também o façam.
As organizações devem preparar-se para saber se se aplica diretamente a elas e se fazem parte da cadeia de abastecimento de uma entidade afetada
E, como é óbvio, qualquer lei que se preze estabelece dois conceitos fundamentais: a responsabilidade e as repercussões do incumprimento. No que diz respeito à responsabilidade, o artigo 35.º do anteprojeto de lei estabelece que os membros dos órgãos de gestão das entidades serão solidariamente responsáveis pelas infrações por eles cometidas. Tal como em muitos outros aspetos da evolução do regulamento, também o regime sancionatório foi alterado. A anterior Diretiva NIS estabelecia sanções que podiam ir até 1 milhão de euros para infrações muito graves. A nova diretiva, e, portanto, também refletida na sua transposição, eleva o montante para a não insignificante quantia de 10 milhões de euros ou 2% do volume de negócios. O que for mais elevado.
Estes números dizem-nos que se trata de algo muito grave e que as organizações têm de se preparar adequadamente. Em primeiro lugar, para saber se se aplica diretamente a si, mas também para saber se faz parte de uma cadeia de fornecimento de uma entidade afetada. Em abril deste ano, serão estabelecidas as listas de entidades essenciais e importantes. E, em segundo lugar, temos de nos adaptar ao que o projeto de lei propõe: realizar as análises de risco necessárias, estabelecer os mecanismos de comunicação, criar os organismos ou pessoas responsáveis pela segurança, caso não existam, estabelecer os procedimentos operacionais necessários, etc. Como podemos ver, os prazos a cumprir são muito apertados e não há tempo a perder.
Na Izertis, já estamos preparados. Estamos conscientes da necessidade e das vantagens de nos adaptarmos a normas como estas, porque infelizmente tivemos de ajudar muitas organizações que foram afetadas, por vezes por incidentes e outras vezes por “quase-incidentes”. Temos colaborado com muitas organizações na implementação de normas como o Sistema Nacional de Segurança, a Diretiva DORA ou a ISO 27001, para dar alguns exemplos. Mas como isto não pára, estamos também prontos para a adoção de outras que já estão em curso, como a diretiva CRA. E como parte do nosso ADN, estamos sempre a melhorar para o que o futuro nos reserva.