A nova diretiva europeia para a cibersegurança alarga substancialmente o número de entidades que terão de cumprir as normas de proteção contra eventuais ciberataques. Vão ser muitas as PME’s abrangidas, havendo poucas com capacidade financeira e organizativa para cumprir os requisitos, nomeadamente a contratação de técnicos especializados para controlo dos serviços informáticos. O diretor-geral do Gabinete Nacional de Segurança, António Gameiro Marques, aconselha as PME’s a começarem já a preparar orçamentos e, em caso de necessidade, a unirem-se em associações empresariais para racionalizarem os custos.
Comparativamente à anterior diretiva, a NIS1, a atual, a NIS2, ainda não transposta em Portugal, aumenta de oito para 18 os setores críticos que têm de ser protegidos de ciberataques. Estes 18 setores estão divididos em entidades essenciais e em entidades importantes.
São entidades essenciais: a energia; transportes; saúde; água potável; águas residuais; infraestrutura mercados financeiros; infraestrutura digital; administração pública; ciberespaço; e gestão de serviços de telecomunicações. São entidades importantes: a alimentação; a indústria química; a investigação; os prestadores de serviços digitais; gestão de resíduos; serviços de correio; e manufaturação. Além destes 18 setores críticos, que abrangem milhares de PME’s, a diretiva alarga os requisitos de cibersegurança às ‘Entidades Públicas Relevantes’, dividindo-as em ‘Grupo A’ e ‘Grupo B’.
Assim, quase toda a administração pública será também obrigada a cumprir os requisitos de cibersegurança impostos pela diretiva, incluindo a Provedoria de Justiça, o Conselho Económico e Social, os serviços técnicos e administrativos da Presidência da República, da Assembleia da República, dos Tribunais e das secretarias com competência para a tramitação de procedimentos, do Conselho Superior da Magistratura, do Conselho Superior dos Tribunais Administrativos e Fiscais e do Conselho Superior do Ministério Público. E também todos os organismos e entidades administrativas independentes, com exceção do Banco de Portugal, da Comissão do Mercado dos Valores Mobiliários e da Autoridade de Supervisão de Seguros e Fundos de Pensões.
Quem não cumprir a lei imposta pela UE sujeita-se a um regime sancionatório pecuniário pesado. Segundo a diretiva, as entidades essenciais poderão pagar coimas até 10 milhões de euros ou até 2% do volume de negócios anual global – opta-se pelo montante que for maior. As entidades importantes poderão ter de pagar até sete milhões de euros ou 1,4% do volume anual de negócios. Prevê-se uma abordagem mais dura para organizações que repetidamente falhem as obrigações.
Mas, além da empresa, serão também responsabilizados os órgãos de gestão, de direção e de administração das entidades essenciais e importantes. Ou seja, os CEO’s, ou os responsáveis máximos equivalentes, poderão ser responsabilizados pessoalmente pelos incumprimentos.
A diretiva exclui do seu âmbito apenas as entidades públicas nos domínios da segurança nacional, da segurança pública, da defesa e dos serviços de informações.
Sendo a diretiva aprovada, e terá mesmo de ser, com urgência, parte significa da administração publica, incluindo tribunais e magistraturas, fica sujeita aos olhares indiscretos dos hackers éticos que poderão entrar em cada um dos respetivos sistemas informáticos sem pedirem licença. Esta espionagem pode detetar vulnerabilidades, mas também incumprimentos de que resultarão coimas com consequências na saúde financeira de muitas PME’s. Recorde-se que, segundo a CNCS, apenas cerca de uma em cada 10 empresas em Portugal tem trabalhadores diretamente envolvidos em cibersegurança. Por outro lado, há mais empresas em Portugal do que a média da UE a ter dificuldades em encontrar e contratar profissionais com competências em cibersegurança.
Segundo a CNCS, entre 2016 e 2023 registaram-se em Portugal 9509 ciberataques a empresas e instituições públicas. Só no setor dos transportes, entre 2019 e 2023, registaram-se 471 ataques. A operadora Vodafone e a Impresa, dona da SIC e do Expresso, sofreram os mais graves ciberataques registados em Portugal, ambos em 2022. Neste mesmo ano também a TAP foi um alvo, tendo os atacantes obtido dados de cerca de 1,5 milhões de clientes.
EDP, Hospital Garcia de Orta, Hospitais CUF, Hospital de Ponta Delgada, Cofina, Câmara Municipal de Lisboa, estão entre os alvos conhecidos porque os desconhecidos, por razões de segurança, e por ameaças dos atacantes, são muitos mais. «Estão sempre a acontecer, só não sabemos onde nem quando», disse fonte policial ao Nascer do SOL. Segundo o Relatório Anual de Segurança Interna, no ano passado registaram-se cerca de 2500 crimes informáticos, tendo sido constituídos quase dois mil arguidos.
