Há quase nove anos à frente do Gabinete Nacional de Segurança, a entidade responsável pelo Centro Nacional de Cibersegurança, (CNCS) António Gameiro Marques, 66 anos, militar da Marinha com o posto de contra-almirante, avisa que Portugal tem falta de profissionais capacitados para trabalhar na defesa dos ciberataques, e lança o repto às pequena e médias empresas (PME’s) que trabalham em setores críticos para que se prepararem já para a entrada em vigor da nova diretiva europeia, a NIS2, que, na área da cibersegurança, vai exigir grandes investimentos e prevê grandes multas para os incumpridores. Não vai ser fácil, alerta.
A nova diretiva europeia para a cibersegurança – a NIS2 – vai estabelecer o novo regime jurídico de segurança do ciberespaço. O que é que ela acrescenta em relação ao atual?
A NIS 2 aumenta o número de setores da economia que são contemplados: de oito para 18. Inclui o setor público, embora nós, na adaptação à lei portuguesa, já o tivéssemos contemplado na NIS1. Depois, além de tornar os requisitos de cibersegurança mais objetivos, e identificar com mais objetividade as empresas que consubstanciam cada setor, define a responsabilização dos CO’s, ou equivalentes, nas empresas pela não conformidade com as normas de cibersegurança.
Vai haver penalizações para quem não cumprir as normas?
Está prevista a responsabilização penal e pecuniária, inclusivamente para os CO’s, caso haja evidências de não conformidade.
Quantas empresas estão contempladas na obrigatoriedade cumprir normas de cibersegurança?
Na NIS1 temos 410 empresas contempladas em Portugal, mais o setor público. A Finlândia, que é demograficamente menor do que Portugal, tinha mais de quatro mil. A Alemanha, que é o maior país da UE, tinha menos do que quatro mil. Ou seja, a NIS1 permitia interpretações tão latas que fazia com que cada Estado membro tivesse operacionalizações diferentes.
A NIS2 resolve totalmente essa questão?
Não, mas uma diretiva tem de ser transposta e nessa transposição há alguma latitude.
Quem vai supervisionar a aplicação da NIS2?
É o CNCS. Depois, há duas outras entidades com supervisão específica: a ANACOM, para os operadores de telecomunicações, e o GNS para a área de identificação eletrónica. O GNS é o supervisor do Regulamento da UE e-IDAS – normas europeias que devem ser cumpridas no Cartão de Cidadão para se assegurarem serviços de confiança, como a assinatura eletrónica.
A NIS2 já deveria ter entrado em vigor em Portugal a 7 de outubro de 2024?
Sim. Começamos a trabalhar no assunto em maio de 2023, e em setembro tínhamos o projeto de diploma pronto. A ideia era que ainda nesse ano fosse submetido a processo legislativo para que a diretiva fosse transposta no início de 2024. Mas aconteceu o 7 de novembro de 2023 [queda do governo de António Costa] .
O processo parou?
Em agosto de 2024 o governo pegou no assunto e andou depressa. Realizou-se, inclusivamente, uma grande conferência a 9 de dezembro, no Museu Oriente, organizada pela Ordem dos Economistas, pela SEDES e pelo DN. Casa cheia. O senhor ministro António Leitão Amaro, ministro da presidência, presente no evento, anunciou que ia estender a consulta pública até 31 de dezembro.
Era necessário?
Em boa hora o fez porque foram muitos os contributos recebidos da sociedade civil, o que demonstra a pertinência do tema. O diploma foi entregue na Assembleia da República a 14 de fevereiro de 2025 após a aprovação em conselho de ministros. Mas, depois aconteceu o 12 de março [queda do governo de Luís Montenegro]. Mais uma vez o diploma não avança.
Há mais países na mesma situação?
Portugal faz parte de um grupo de 12 países que até à data não transpôs a diretiva. Podíamos ter estado no pelotão da frente, mas assim não aconteceu…
O Estado português pode ser penalizado pelo atraso?
Pode… a UE já enviou alertas aos 12 países que estão em falta…
As pequenas e médias empresas (PME’s) estarão preparadas para o impacto da NIS 2, mesmo ao nível do poder de investimento?
O diploma, tal como foi para a Assembleia, contempla um certo período para entrar em vigor visando possibilitar que as empresas quantifiquem o esforço financeiro e o agendem nos sucessivos orçamentos, incluindo o recurso a fundos europeus.Tenho dito: «Não deixem para amanhã o que podem fazer hoje». As empresas têm de começar já. Como costumo dizer, «se te preparares bem, executarás melhor».
De toda as maneiras, o novo governo ainda pode alterar a proposta de lei…
Não se vislumbra que o novo Governo faça alterações significativas no conteúdo técnico do diploma submetido a 14 de fevereiro.
Quais são então os desafios para as empresas?
As empresas, depois de olharem para o diploma, tem de perceber os objetivos a atingir, quantificar em termos orçamentais e incluir já algumas coisas no Orçamento de 2026. Se for 18 meses até o diploma entrar em vigor, significa que algures em 2027 tem de estar tudo nos ‘trinques’. As empresas grandes devem começar a trabalhar já com base no projeto de lei que foi para a Assembleia da República. Algumas já estão a trabalhar…
As PME’s terão capacidade para criar quadros especializados em cibersegurança?
Nem todas. Mas, se os menos fortes se juntarem, maiores serão as probabilidades de alcançarem o destino com segurança.
Existem profissionais qualificados em número suficiente?
Não há, não existem… As empresas com 60, 70 trabalhadores, tendo, se calhar, um serviço de informática já montado, poderão contratualizar alguns serviços de cibersegurança também externamente. Porque se calhar não conseguem suportar nem as despesas de capital nem as operacionais.
Os nossos setores estão críticos estão bem protegidos?
Os Operadores de Serviços Essenciais estão bem protegidos, mas não significa que se forem muitas vezes atacados e muitos dias seguidos não fiquem vulneráveis. O ataque à Vodafone foi um dos grandes entre os 25 ataques de 2022, mas a diferença entre as entidades que estão preparadas é que sendo atacadas conseguem reagir a tempo, e não perdem informação. A Vodafone foi completamente atacada, os servidores ficaram sem nada lá dentro, mas conseguiu recuperar em cerca de nove dias…. E não perdeu informação nenhuma.
Há quem fique sem nada?
Há empresas que têm tudo no digital, sem nenhum mecanismo de recuperação, e quando são atacadas perdem toda a informação, ficam como que sem identidade. Isso é que é dramático. Quando a documentação que é identitária da empresa é perdida, é um drama. Já vi responsáveis por instituições falarem de forma emocionada…
Esses ataques são frequentes?
De 2019 para 2020, os ataques duplicaram… porque de repente ficamos todos online… o problema é que a maior parte dos computadores estava comprometida… Há estudos (ver, por exemplo, www.statista.com) segundo os quais, em média, no mundo, cada pessoa mantém em conexão 3,6 ligações permanentes. A média só não é mais alta porque há países em África que não estão tão conectados. Mas, na Europa e na América do Norte isso é um facto medido. Assim, o ladrão além de uma porta para entrar, tem também as janelas todas a abertas, como se sentindo convidado a entrar…
É diretor-geral do GNS há quase nove anos. Quais têm sido as principais preocupações?
Comunicando, capacitando, trabalhando na regulação. Imagine duas retas: a capacitação aumenta a reta que está associada às pessoas; quanto mais sabemos mais capacidade temos para entender um determinado assunto; as sociedades mais capazes são aquelas que têm um nível de conhecimento mais elevado; até são mais resistentes a eventuais violações das democracias. A regulação o que faz é impedir que a tecnologia ganhe freio nos dentes… Temos de ser pedagógicos mas firmes. Foi o que eu tentei fazer, com as pessoas que me têm ajudado.
Já anunciou que sai a 31 de maio.
Formalmente já estou reformado. Sendo militar, a lei que enquadra o nosso regime – Estatuto Militar das Forças Armadas – tem lá um artigo que diz que quando um militar atinge os 66 anos passa à reforma obrigatoriamente. Até 31 de maio estou no regime de requisição por interesse público, é um lugar que não pode estar vazio. Tenho dois subdiretores-gerais, mas não deve estar vazio… No fim do mês entrego o ‘bastão’ a quem tiver de ser… O que não significa que passe à inatividade
