O ser humano indissociado do seu dispositivo não é visto somente como utilizador final, mas como componente ativa na rede devido à simbiose de todas as partes interessadas.
Por Leonor Carvalho, Information Security Consultant da Integrity
A regulação vigente sobre a segurança do ciberespaço responde ao estabelecido pelo Parlamento Europeu (Diretiva 2016/1148), ao regime jurídico da segurança do ciberespaço por transposição desta diretiva (através da Lei 46/2018) e à necessidade de se estabelecerem regras sobre os requisitos de segurança das redes e sistemas de informação e para notificação de incidentes, determinadas pelo DL Nº 65/2021, aprovado pelo Conselho de Ministros.
Neste conspecto, a Administração Pública, os operadores de infraestruturas críticas, de serviços essenciais e os prestadores de serviços digitais são obrigados a notificar o Centro Nacional de Cibersegurança (CNCS) da ocorrência de incidentes, de acordo com a lei.
O mesmo decreto-lei define, também, as obrigações em matéria de certificação da cibersegurança e prevê um regime sancionatório em caso de incumprimento, que pode ir até aos 9.000,00 euros ou aos 50.000,00 euros, para as pessoas coletivas, dependendo se as infrações cometidas são graves ou muito graves, respetivamente.
Em traços gerais, este decreto-lei visa promover um ciberespaço mais seguro, assente no papel cada vez mais decisivo e ativo que as tecnologias de informação assumem no desenvolvimento da vida em sociedade, no desafio da transição digital e na emergência de novas tecnologias disruptivas – isto é, a inteligência artificial, a realidade virtual e aumentada e a Internet das coisas (loT). Contudo, tudo isto requer um novo paradigma de Internet: Internet das Pessoas (IoP).
O ser humano indissociado do seu dispositivo não é visto somente como utilizador final, mas como componente ativa na rede devido à simbiose de todas as partes interessadas. A IoP explora os serviços herdados da Internet para uma conectividade ponta-a-ponta em escala global. Assim, as questões de Cibersegurança devem ser perspetivadas de forma multidisciplinar, integrada numa abordagem holística pessoas-processos-tecnologias.
Os episódios dos últimos tempos revelam que a Internet – com todos os seus aspetos positivos – está a ser utilizada por atores com finalidades estratégicas e, até, ofensivas, que atuam indiscriminadamente no ciberespaço. Com as ações ofensivas no ciberespaço tendencialmente a aumentarem, atores externos conseguem obrigar governos, pessoas e organizações a cederem às suas vontades, que nem sempre podem ser tipificados pelo seu aspeto físico, características, dimensão ou identidade. Estas atuações traduzem-se em estratégias cada vez mais agressivas, disruptivas e de grande impacto para as organizações. Assim, torna-se imperativo adotar medidas e cumprir com as obrigações do DL 65/2021 para, por exemplo, conter a propagação dos danos causados por um eventual incidente causado por malware, quer a nível nacional como transfronteiriço.
Por outro lado, o ciberespaço trouxe uma maior consciência sobre o direito de acesso à informação e ao conhecimento, permitindo a perceção do ciberespaço como um novo espaço comum, que se quer seguro e resiliente. Para todos os efeitos, é do interesse de todos os cidadãos, atores, stakeholders, entidades – sejam elas públicas ou privadas -, a garantia de um elevado nível de segurança do ciberespaço.
A aprovação e publicação do DL n.º 65/2021 e do posterior Regulamento 183/2022 constituiu um notório passo para cibersegurança em Portugal, sendo este considerado um instrumento essencial para garantir a conformidade com as diretivas já existentes, que espelha um instrumento jurídico de relevo para a promoção do reforço da resiliência.