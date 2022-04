As alterações legislativas relacionadas com a cibersegurança terão um acrescido impacto no dia-a-dia das organizações e exigirão das mesmas um maior nível de investimento, mas também de responsabilização, acautelou esta terça-feira o sócio da Abreu Advogados, Ricardo Henriques, no Fórum Cibersegurança organizado pelo JE.

Assista aqui, em direto, a este fórum.

O advogado, que deu arranque à iniciativa que decorre no Auditório CGD, no ISEG, começou por recordar os acontecimentos dos últimos meses, que “foram evidentes para todos”. “Tivemos vários ciberataques em diferentes sectores de atividade da sociedade”, recorda. “As manchetes encheram-se destas notícias e infelizmente, nalguns casos [houve] impacto significativo na vida das pessoas”, diz Ricardo Henriques.

Além dos ciberataques dirigidos à Vodafone e ao Grupo Sonae, o sócio da Abreu Advogados sublinhou que houve diversos sectores afetados, como o energético e o da saúde, com ataques registados à Iberdrola e aos laboratórios Germano de Sousa. Esta noção de que nenhuma área está imune aos riscos de cibersegurança “colocaram aqui em foco os problemas que estão por detrás desta matéria”, explica, que se prendem com a crescente digitalização da vida quotidiana e da economia, mas também com a “falta de competências de resposta por parte das empresas e a falta de literacia” tanto dos utilizadores, como dos clientes.

“São temas que nos mostram (…) o caminho a percorrer e o investimento a fazer”, referiu Ricardo Henriques

Numa nota de abertura, a presidente do ISEG, Clara Raposo, deu também destaque à importância que a segurança tem na atualidade e sublinhou que este é um “tema que nos interessa e preocupa a todos (…) que queremos que passe a ser abordado pelas diversas organizações”.

A responsável máxima pela instituição de Ensino Superior alertou ainda que “todos os desenvolvimentos que vamos encontrar no sistema financeiro são essenciais” para o dia-a-dia sa sociedade e que é “crucial perceber o que se está a passar nesta área, e o que pode ser feito para todos sentirmos segurança naquilo que estamos a fazer”, diz.

Clara Raposo explica que se a ordem do dia passou por “recuperar confiança” após um período pandémico, em 2022 “passamos agora a ter como palavra de ordem ‘segurança'”, que é tanto militar, como de saúde, e energética.

Ricardo Henriques fez ainda um ponto de situação do estado atual da cibersegurança numa perspetiva legal, com um foco nas novidades legislativas que poderão entrar em vigor brevemente.

Aumento dos ciberataques justifica novidades legislativas

Segundo o advogado, um relatório recente da Procuradoria Geral da República nota que “houve um aumento significativo das denúnicas recebidas” face a 2020 ou 2021 – cerca do dobro. Isso mostra não só um aumento dos ciberataques, explica, “mas também um aumento das próprias denúncias por parte das entidades afetadas”.

A principal dificuldade na área dos ciberataques, de acordo com o sócio da Abreu, reside em “identifcar o ciberatacante e em imputar responsabilidade do ponto de vista legal”.

Seguiu-se uma classificação alargada dos agentes de ameaça existentes (bem como dos principais motivos que levam a ciberataques) desde os cibercriminosos aos insiders negligentes, ou seja, aqueles que de forma involuntária “compromentem a organização por atuarem de forma descuidada”. Quanto aos motivos, “há uma multiplicidade de possíveis causas e é preciso estar atendo”, acautela Ricardo Henriques.

Quanto a leis, o percurso entre o enquadramento atual e as leis que ainda não estão em prática obriga a um processo de adaptação por parte das organizações, em especial como foco no sector financeiro.

O Network and Information Security II (NIS II), por exemplo, “traz um âmbito de aplicação alargado” que abrange e deve preocupar o sector financeiro “porque visa um alargamento das entidades que estão sujeitas a este tipo de legislação”, explica. Por outro lado, traz também uma maior supervisão e partilha de informação e cooperação entre as diversas entidades de supervisão. Vamos assistir, segundo Ricardo Henriques, “a um reforço dos requisitos de segurança e de medidas, especificamente focadas na gestão de crise”, mas também a uma “maior responsabilização da gestão da empresa”, salienta.

O advogado reforça que as novidades legislativas não representam necessariamente uma “mudança de paradigma, mas sim um reforço de todas as medidas” com vista a criar um “ecossistema mais forte e resiliente, que é precisamente o tema de [outra] nova legislação”, o Digital Operational Resilience Act (DORA), diz. Este segundo pacote procura “prevenir e atenuar”, quando não é possível evitar, o impacto dos ciberataques. O DORA também abrange as entidades financeiras, e chegará até aos prestadores de criptoativos, às agências de cotação de risco e outros agentes do sector financeiro, se chegar a ser implementado na lei.