É inequívoco que o objectivo da Estratégia de Cibersegurança da União Europeia é o de aumentar a resiliência às ameaças no ciberespaço e garantir que os cidadãos e as empresas beneficiam das tecnologias digitais com confiança.
A estratégia de cibersegurança em curso na União Europeia (UE) não só se concentra na segurança de serviços essenciais (e.g. saúde, energia, ferrovias, ecossistema de IoT, telecomunicações, etc.), como cria as bases de trabalho e cooperação com parceiros a nível mundial para garantir a cibersegurança global e a estabilidade no ciberespaço. Isto para destacar a necessidade e os benefícios evidentes de uma unidade de cibersegurança conjunta, partilhando informações e permitindo uma alocação eficiente dos recursos, o que resultará num ecossistema capaz de responder às necessidades evolutivas da sociedade digital. É neste cenário que a regulação assume extrema relevância, para que os vários pontos se liguem e se implementem acções concretas e exequíveis. O que começou em 2018 com a aplicação da directiva NIS foi visto como uma das primeiras iniciativas estruturantes para forçar a implementação de legislação dedicada à cibersegurança transversal aos estados-membro. A promessa passava por fazer face à realidade tecnológica que se vivia, assim como aos agentes de ameaça cada vez mais transversais e impactantes. Mas se esse foi um marco importante, também não menos determinante foi a imediata percepção de que seria um passo com impacto reduzido e que necessitaria, rapidamente, de uma actualização com controlos mais adequados à realidade das ciberameaças. Facto é que, em Dezembro de 2020, já havia uma proposta de uma nova versão da directiva NIS, a NIS2, que passou a considerar quatro vectores: Capacidades, Cooperação, Gestão do risco de cibersegurança e Sectores em questão. Se na primeira versão tínhamos um aumento de cooperação ao nível da UE, a segunda versão da directiva NIS pretende ir mais além, nomeadamente através do estabelecimento do EU-CyCLONe, com o qual é ambicionada a criação de um grupo europeu de cibercrise, cujo objectivo consiste na gestão de incidentes de cibersegurança com grande impacto na Europa comunitária. Pretende-se promover o aumento da partilha de informação entre as autoridades de cada estado-membro, mas também um papel mais activo e relevante do grupo de cooperação da NIS, potenciando uma coordenação de gestão de vulnerabilidades de forma mais transversal entre estados, organizações e entidades de supervisão. Verificamos também um foco na adopção de práticas de gestão de risco e de notificação de incidentes de cibersegurança relevantes às autoridades nacionais. Daí que se procura agora um reforço dos requisitos de segurança com uma lista de medidas que vai desde a resposta a incidentes e gestão de crises, até à gestão de vulnerabilidades e publicação de vulnerabilidades, passando por testes de cibersegurança e o uso efectivo de mecanismos de encriptação. A NIS2, que veio trazer a tão esperada introdução no universo de fornecedores dos mais variados sectores, coloca a supervisão e obrigatoriedade de execução no centro das responsabilidades das autoridades nacionais competentes, estabelecendo um quadro holístico para a capacidade das actividades de supervisão e execução dos estados-membro. Com isto procura-se assegurar o cumprimento inequívoco das medidas NIS por parte das organizações dos sectores em causa, concedendo às autoridades nacionais um conjunto de capacidades como auditorias regulares e direccionadas, presenciais e remotas, pedidos de informações e acesso a documentação que evidencie o cumprimento das medidas estabelecidas. Como forma de reforço das intenções destas medidas, são definidas sanções que incluem instruções vinculativas, ordem para implementar as recomendações de uma auditoria de segurança, ordem para alinhar as medidas de segurança com os requisitos da NIS e multas administrativas. Este último ponto terá provavelmente maior poder de persuasão para as entidades: a proposta da directiva implica que os estados-membro estabeleçam uma coima de pelo menos €10.000.000, ou 2% do volume de negócios anual total mundial do exercício anterior, consoante o que for mais elevado. É, sem dúvida, um ponto de viragem, com uma atenção redobrada na gestão das ciberameaças e dos ciber-riscos, com um foco mais direccionado e específico, pretendendo atingir um aumento de maturidade de cibersegurança no contexto Europeu. |