Em 2.011, a grande maioria das pessoas tomou conhecimento de que a Espanha enfrentava um novo desafio para proteger certas infra-estruturas essenciais à nossa vida quotidiana: as infra-estruturas críticas. A 28 de abril desse ano foi publicada uma lei, que todos conhecemos como PIC, que definia as questões que tinham de ser estabelecidas para certos tipos de entidades em instalações específicas. Seria um organismo criado em 2.007 que determinaria o que era ou não uma infraestrutura crítica. O que foi peculiar na altura foi o facto de esta ter sido precedida por uma Diretiva 2.008/114 do Conselho da UE. Atualmente, esta situação parece bastante normalizada, o que não era tão comum há mais de uma década.

Anos mais tarde, e com a evolução lógica, também em termos de ataques e riscos, a União Europeia decidiu lançar um novo olhar sobre as infra-estruturas críticas. Com processos de normalização como o DORA, o NIS2 ou o CRA, para dar exemplos, não seria possível que as entidades-chave para a Europa não fossem homogeneizadas ao nível da segurança, embora com as particularidades das caraterísticas físicas destes ambientes. Assim, em 2.022, através da Diretiva 2.557 sobre a resiliência das entidades críticas, foi dado o sinal de partida para que, a partir de janeiro de 2.023, os países membros a pudessem transpor.

Se houver sectores que já sejam regulados por outra lei, a futura lei não lhes será aplicável

Isto parece-se com o NIS2 em muitos aspectos, não é? O anteprojeto de lei para esta transposição foi recentemente tornado público. Trata-se, de facto, de uma via paralela à da NIS2, uma vez que ambas as normas são necessárias para falar de uma forma homogeneizada numa escala de criticidade das entidades. Liderado pelo Ministério do Interior, o projeto coloca uma forte ênfase na avaliação orientada para o risco. Trata-se de algo que já existia na lei ainda em vigor, mas talvez não de uma forma tão pronunciada. Também aqui se verifica a necessidade de homogeneização com o conjunto de diretivas emanadas da União Europeia nos últimos anos, onde a orientação para o risco é uma máxima.

Há particularidades na determinação de quem está ou não sujeito a esta lei. O mesmo que em NIS2. Se houver sectores que já sejam regulados por outra lei, a futura lei não lhes será aplicável, mesmo que estejam atualmente abrangidos pela Lei relativa às infra-estruturas críticas. É o caso do sector bancário, em que o regulamento DORA, que lhe é específico, permite evitar a aplicação simultânea de duas leis homogeneizadas. Já discutimos com o NIS2 a noção de lei especial ou específica que prevalece sobre a lei geral. O mesmo se passa aqui.

O projeto de lei estabelece ainda a alteração do atual organismo do Ministério da Administração Interna responsável pela promoção, coordenação e supervisão de todas as actividades cometidas ao Secretário de Estado da Segurança em matéria de Proteção das Infra-estruturas Críticas no território nacional: o CNPIC. Passará a designar-se CNPREC: Centro Nacional de Proteção e Resiliência das Entidades Críticas, sendo o ponto de contacto único para as entidades críticas, com exceção das entidades públicas, que, na sua dependência de uma Administração Pública, podem utilizá-lo como autoridade de comunicação. Este organismo desenvolverá o Plano Nacional de Proteção e Resiliência das Entidades Críticas.

Esse ponto de resiliência parece não ser o caso, mas muda algumas coisas. Um aspeto importante é não só a necessidade de recuperar de um impacto, mas também de aprender a sair mais forte, a antecipar quando possível e também a comunicar. E outro aspeto que também pode passar despercebido num primeiro momento, mas que tem um impacto muito sério, é que não estamos a falar de infra-estruturas críticas, estamos já a falar de entidades críticas. Portanto, há uma mudança de ação, expandindo a aplicação da norma em um conceito muito mais amplo do que anteriormente focado em instalações específicas de uma entidade.

Definirá igualmente o sistema nacional de certificação da resiliência das entidades críticas e as regras de normalização. Este regime substituirá os documentos, processos e governação que atualmente as entidades designadas como infra-estruturas críticas têm desenvolvido através dos Planos de Segurança dos Operadores (PSO) e dos Planos de Proteção Específica (PPE). Embora o regime ainda não seja conhecido, é provavelmente fácil deduzir que será alinhado com outras normas existentes, que muitas entidades privadas e públicas já estão a aplicar. 

As semelhanças com o NIS 2 são mais do que óbvias, mas existem alguns problemas próprios devido à sensibilidade deste tipo de infra-estruturas:

• Consideração dos riscos físicos, incluindo os riscos meteorológicos e de catástrofes naturais.
• A possibilidade de efetuar um pedido de verificação da aptidão de uma pessoa, através dos seus antecedentes pessoais, para operar numa entidade crítica.
• Considerar como prováveis os riscos de natureza híbrida. Ou seja, podem provir de um ataque físico e lógico de forma interligada.

Assim, com esta futura lei teremos estabelecido os requisitos, a regulamentação e a comunicação das Entidades Críticas. E, com a também futura aprovação da transposição do SNI2, das entidades essenciais e importantes. Tudo harmonizado e regulamentado. Com a cadeia de abastecimento também em foco, parece que nenhuma empresa em toda a Europa deixará de ser afetada por estas normas.