095 - Digital Union: NIS 2: Cibersegurança na União Europeia

Evento híbrido
NIS 2:
Cibersegurança
na
União Europeia
#95
Abr.
2024

9ª Sessão | Digital Union | NIS 2: Cibersegurança na União Europeia
Ir muito além da teia
regulatória
A NIS 2 é a mais abrangente legislação de sempre em matéria
de cibersegurança no espaço europeu. Tem como prazo final de
transposição o dia 17 de outubro de 2024 e implicará alterações de
tal forma profundas que as organizações têm de se preparar desde
já para a mudança.
Perante o acelerado desenvolvimento
tecnológico e a crescente digitalização, que
trouxeram consigo inúmeras vantagens,
mas também muitas ameaças, Bruxelas
avançou no final de 2020 com uma nova
Estratégia de Cibersegurança para a Década
Digital. Objetivo: criar uma economia digital
segura, aumentar a ciber-resiliência na
UE, melhorar a capacidade de resposta
a incidentes e melhorar a proteção das
infraestruturas críticas. A Diretiva NIS 2 faz
parte desta resposta legislativa e implicará
uma profunda alteração, pelo que não há
tempo a perder nas organizações.
Esta diretiva foi o centro do debate na 9ª
sessão do Digital Union, uma parceria entre
a APDC e a VdA, que se realizou a 2 de abril
em formato híbrido, a partir da sede da .PT,
em Lisboa. A estratégia de cibersegurança
do espaço europeu e os impactos esperados
no mercado nacional também estiveram
em destaque.
“Os sistemas de informação são cada vez
mais um elemento fundamental da nossa
vida coletiva” e de todas as organizações,
incluindo do Estado. Todas “tratam dos
nossos dados, que assumem um papel
relevante e são o ‘sangue’ das empresas”. Por
isso, como afirma Fernando Resina da Silva
- Sócio da Área Comunicações, Proteção de
Dados & Tecnologia e Sócio Responsável da
Área PI Transacional da VdA, “a segurança
no mundo digital é fundamental”. Até
porque estamos a entrar numa nova era,
com a legislação a tentar seguir as evoluções
tecnológicas, garantindo os direitos
fundamentais em tempos incertos, em que
“ainda desconhecemos o que se vai passar”.
Tendo em conta que “todas as tecnologias
podem ser mal ou bem usadas”, como a
história tem vindo a ensinar à Humanidade,
o presidente da APDC, Rogério Carapuça,
adianta que o determinante é a forma como
vão ser usadas. Sobretudo tendo em conta
que a evolução tecnológica é cada vez mais
2

rápida, pelo que “há que analisar como
fazer bem. É um imperativo civilizacional”,
garante.
ULTRAPASSAR CATALIZADORES
DE RISCO
Ciente de que vive um contexto de
aceleração da digitalização da economia e
da sociedade, com vários catalisadores de
risco - como a utilização de novas tecnologias
e ferramentas, a sofisticação dos incidentes
e ciberataques, a maior dependência de
terceiros, ambientes de armazenamento
e transferência de dados mais complexos,
preservação de informação sensível,
partilha de grandes volumes de dados e a
sua transferência para países terceiros - a
Comissão Europeia (CE) anunciou no final
de 2020 a sua Estratégia de Cibersegurança
para a Década Digital.
Esta “resposta legislativa”, como explica
Inês Antas de Barros, Sócia da Área de
Comunicações, Proteção de Dados &
Tecnologia da VdA, teve como meta criar um
ambiente propício à economia digital segura,
aumentar a ciber-resiliência na UE, melhorar
a capacidade de resposta a incidentes e
melhorar a proteção das infraestruturas
críticas. É neste âmbito que se enquadra
a Diretiva NIS 2, já que a NIS 1, ainda em
vigor, a par da Lei da Cibersegurança, se
relevaram “insuficientes, na perspetiva do
decisor público e do legislador comunitário,
para fazer face a todo o desenvolvimento
tecnológico do mercado”.
Como refere a responsável da VdA, “quando
falamos em cibersegurança, temos várias
camadas de legislação que podem ser
aplicadas, sem prejuízo de legislação
setorial”. Por isso, além da NIS 2, que traz
um alargamento do âmbito, tanto dos
setores abrangidos, como da dimensão
das empresas incluídas, permitindo ainda
a cada país fazer uma seleção adicional, foi
criada uma Diretiva sobre a resiliência das
infraestruturas críticas e o Regulamento
DORA, para a resiliência digital nos setores
financeiro e segurador.
A NIS 2, que entrou em vigor no espaço
europeu a 16 de janeiro de 2023, tem como
data-limite de transposição nos estadosmembros
o próximo dia 17 de outubro. E
Inês Barros avisa: “as alterações provocadas
por esta diretiva são de tal forma profundas
que a preparação deve iniciar-se o mais
cedo possível”.
No seu âmbito, terá de ser criada uma
Estratégia Nacional de Cibersegurança,
processo que está a ser liderado pelo CNCS
e que obriga a uma divulgação coordenada
de vulnerabilidades, assim como à criação
de um Grupo de Cooperação e de uma
Rede Europeia de Organizações para crises
cibernéticas (CyCLONe). Preconiza-se ainda
um reforço da supervisão e da partilha de
Fernando
Resina da Silva
Sócio da Área
Comunicações,
Proteção de Dados
& Tecnologia, Sócio
Responsável da Área
PI Transacional, VdA
Rogério
Carapuça
Presidente,
APDC
Inês Antas de
Barros
Sócia da Área de
Comunicações,
Proteção de Dados &
Tecnologia, VdA

9ª Sessão | Digital Union | NIS 2: Cibersegurança na União Europeia
informação que, para já é voluntária, mas
deverá passar a ser obrigatória.
Entre as principais alterações que a NIS 2 vem
introduzir, a oradora destaca o alargamento
do seu âmbito de aplicação a mais setores,
assim como a definição de operadores de
serviços digitais, desaparecendo a distinção
entre operadores de serviços essenciais e
de serviços digitais. Passa é a haver uma
distinção entre operadores de serviços
essenciais e entidades importantes, sendo
que as do primeiro caso têm um conjunto
de obrigações mais apertado. Há ainda
um reforço dos requisitos de segurança,
com uma lista mínima que depende
sempre da avaliação de risco, e uma maior
proteção das cadeias de abastecimento
e relação com fornecedores. Por fim, as
regras de supervisão vão ser mais estritas,
harmonizando as sanções aplicáveis.
Na sua intervenção, destacou ainda as
disposições que considera serem mais
importantes na NIS 2. A começar pela
necessidade de adoção de medidas de
gestão dos riscos de cibersegurança
aprovadas pela administração, com
obrigações de formação. Destacou ainda
as avaliações coordenadas a nível da UE
dos riscos de segurança de cadeias de
abastecimento críticas e das obrigações
de notificação de incidentes com impacto
significativo. Os sistemas europeus de
certificação da cibersegurança podem ser
ainda ser impostos às entidades abrangidas.
André Baptista (Founder, Ethiack) interveio
remotamente numa sessão moderada
por Sandra Fazenda Almeida (Diretora
Executiva, APDC) e Tiago Bessa (Sócio, VdA)
onde participaram ainda Joel Guerreiro
(Diretor, Município de Lagos) e Pedro Pinto
(Responsável de Cibersegurança, IPL)
A ideia por detrás da NIS 2 é que as
organizações adotem uma abordagem
proativa na gestão dos riscos de
cibersegurança, que inclua a adoção de
políticas de segurança da informação.
Terão de implementar medidas de
cibersegurança em três domínios distintos:
prevenção, deteção e resposta a incidentes;
continuidade do negócio e gestão de crises;
e segurança da cadeia de abastecimento.
E estabelece-se um reforço substancial da
responsabilidade das administrações no
âmbito da aprovação das políticas e da sua
supervisão.
ANTECIPAR, ANTECIPAR
As novas regras vêm ainda reforçar as
obrigações em termos de notificação
de incidentes, distinguindo quatro
fases distintas, assim como as regras de
supervisão e as sanções por incumprimento.
As infrações graves podem dar origem
à aplicação de coimas de, pelo menos,
10 milhões de euros ou 2% do volume
de negócios anual total a nível mundial,
consoante o montante mais elevado.
4

Por isso, a oradora não tem dúvidas que
que, para fazer face à “complexa teia
regulatória”, as organizações terão de
antecipar, monitorizando e acompanhando
todos os desenvolvimentos regulatórios
e tecnológicos, assim como capacitar
os stakeholders internos e planear e
implementar as mudanças necessárias, a
nível estratégico, jurídico e tecnológico.
José Capote
Cyber Security and
Privacy Officer
(CSPO), Huawei
E qual é a perspetiva de um provider
tecnológico sobre as novas regras? José
Capote, Cyber Security and Privacy Officer
(CSPO) da Huawei, defende a necessidade
de começar a trabalhar de imediato: “Tem
de se estar consciente da regulação, tendo
em conta a situação de cada empresa, e de
se saber quais as obrigações que se aplicam
à organização e aos seus fornecedores”.
Depois, há que apostar na certificação,
apesar de ainda não estar disponível ao
nível comunitário uma nova certificação
harmonizada de produtos e serviços. A
colaboração vertical é também estratégica e
um “exemplo de como a indústria trabalha
em domínios similares, partilhando os seus
pontos de vista”.
Já ao nível das competências das autoridades
de mercado que vão implementar a NIS 2, o
gestor defende que “nos estados-membros,
a cibersegurança deve ser gerida de acordo
com as entidades, a sua dimensão e os
serviços que disponibilizam. Não se podem
usar os mesmos tipos de exigências, tem
de haver níveis distintos, para permitir às
empresas gerir melhor o processo”. Mas
não será fácil, já que terão de reforçar a sua
resiliência e, em paralelo, assegurar que
conseguem competir no mercado europeu.
Para o grupo Huawei, a NIS 2 representará
“mudanças enormes e com um custo
importante. As obrigações de compliance
são duras e o seu custo não poderá ser
canalizado para o investimento no mercado”,
diz o mesmo responsável. Por isso, defendese
uma abordagem de acordo com o risco,
sendo que as certificações poderiam reduzir
os níveis dos gastos. Mas, para isso, será
necessário definir standards harmonizados
ao nível europeu.
No debate que se seguiu, moderado por
Sandra Fazenda Almeida, Diretora Executiva
da APDC, e Tiago Bessa, Sócio da Área
de Comunicações, Proteção de Dados &
Tecnologia e da Área de PI Transacional
da VdA, foi dada a perspetiva de vários
players de mercado. Todos confirmam que
implementar as regras da NIS 2 será tudo
menos fácil. Neste processo, consideram
essencial contar com o apoio total das
lideranças das organizações, conhecer bem
as novas regras, assim como os requisitos
e obrigações e estabelecer um roadmap
de implementação. Apostar na formação
dos colaboradores é também essencial
para a consciencialização e a tomada de
medidas preventivas. Mas, mais do que
dificuldades tecnológicas ou até físicas, há
um problema: a falta de talento qualificado
em cibersegurança.
Na Autarquia de Lago, já se está a proceder
à migração para a NIS 2. Foi realizada uma
“reengenharia infraestrutural de todo
o município, tentando securizar tudo
ao máximo”, e Joel Guerreiro, diretor de
Modernização Administrativa e Financeira
do município, admite que o que mais
o preocupa é a crescente preparação
para garantir capacidade de resposta às
diferentes vulnerabilidades e aos prazos de
reporte, muito mais curtos.

9ª Sessão | Digital Union | NIS 2: Cibersegurança na União Europeia
Admitindo que “vamos todos precisar de
ajuda, porque ninguém está a salvo em
termos de cibersegurança”, destaca a
importância de ter um executivo municipal
que está presente e apoia a implementação
de todas as medidas. Acresce a capacidade
de realização dos investimentos necessários,
tanto ao nível da infraestrutura como em
termos de segurança.
Já a experiência de Pedro Pinto, responsável
de Cibersegurança do Instituto Politécnico
da Guarda, é distinta. Admite que uma
das maiores dificuldades é a de colocar os
projetos no terreno, se a gestão de topo não
está envolvida. Mas com a responsabilização
das administrações, haverá muito a fazer,
implicando um verdadeiro processo de
“mudança de cultura nas organizações”,
já que terão de ser criados novos
departamentos e a colaboração será
essencial para o sucesso da implementação
das novas regras.
André Baptista, founder da Ethiack,
startup especializada na prevenção da
cibersegurança e proteção de ativos
digitais das empresas, confirma que a sua
experiência mostra que ainda subsiste uma
“distância entre as administrações e quem
trabalha”, quando deveria haver proximidade
e maior facilidade de comunicação dentro
das organizações. Só assim “os topos ficam
mais conscientes relativamente aos riscos e
as vulnerabilidades que possam surgir nos
seus sistemas”.
Mas as maiores dificuldades com que
todos se defrontam são as humanas. Não
só em encontrar talento qualificado em
cibersegurança, para responder aos novos
desafios de um mundo digital, mas também
em termos de capacitar as pessoas para não
cometerem erros dentro nas organizações.
Joel Guerreiro não tem quaisquer dúvidas:
“o grande problema atualmente é humano”.
A pensar no talento na área, Pedro Pinto
destaca que o Politécnico da Guarda foi
o primeiro do país a criar um CTESP em
cibersegurança que, se no início não tinha
grande adesão, agora regista uma enorme
procura. E será ainda lançado este ano um
mestrado na área. Mas admite que “o que se
sente é que a questão ainda não é prioritária
para as organizações”.
“Num contexto de aceleração
da digitalização da economia
e da sociedade, com vários
catalisadores de risco, Bruxelas
deu a sua resposta legislativa,
com a NIS2. A meta é criar um
ambiente propício à economia
digital segura, aumentar a
ciber-resiliência e melhorar
a capacidade de resposta a
incidentes e a proteção das
infraestruturas críticas”
Também André Batista assegura que
“o fator humano ainda é extremamente
significativo. Estamos a assistir a uma
transição digital muito acelerada e focamonos
muito no problema da indústria de
identificar vulnerabilidades e corrigi-las.
As dores ou dificuldades dos clientes são
realmente muitas, desde a clara falta de
consciencialização para o tema aos recursos
limitados na área”. Há ainda problemas
como a tecnologia desatualizada, onde
é muito dificil corrigir vulnerabilidades.
Ou o receio que persiste na utilização de
tecnologias de hacking ético. Ainda assim,
“nos setores mais críticos, acredito que
esta nova legislação venha trazer bastantes
benefícios. Pelo menos é essa a esperança”.
Tendo em conta que as novas regras estão
a chegar, Inês Barros não tem dúvidas sobre
os passos a dar nas empresas: antecipar,
capacitar e implementar. Primeiro, há
que conhecer as regras que aplicáveis em
termos de cibersegurança, mapear muito
bem os requisitos que se aplicam e conhecer
as obrigações. Depois, perceber o que já
está aplicado e o que é necessário fazer,
estabelecendo um roadmap de obrigações.
Certa de que quando o NIS 2 entrar em
vigor, “naturalmente, as empresas não vão
estar totalmente preparadas”, destaca que
já terão de ter “identificado medidas que
sejam realistas para capacitar a organização.
Isto é um ponto muito importante”.
6

Reportagem
Veja o vídeo
do evento aqui
Patrocinadores Gold
Patrocinadores Silver
Parceiros Talento
Patrocinadores Bronze
Parceiros
digital business
community
o UPDATE tem como objetivo disponibilizar informação estruturada sobre cada uma das iniciativas promovidas pela APDC.
Pretemde-se facilitar, a todos os interessados, um arquivo com os conteúdos mais relevantes de cada evento, que poderá ser
consultado em www.apdc.pt