Milhares de empresas em Portugal (e nos restantes países da União Europeia) vão ser obrigadas a ter planos de cibersegurança, reforçando medidas e procedimentos para enfrentarem ataques informáticos, uma exigência decorrente de novas regras europeias que deviam ter sido transpostas para o direito português até 17 de outubro.

O novo normativo vai aplicar-se a empresas de diferentes dimensões e de diferentes setores de atividade, que sejam considerados críticos para a vida diária, como a saúde, banca, transportes, energia, infraestrutura digital, administração pública ou indústria, entre outros. E pode apanhar muitas PME. Grande parte das empresas, indicam ao Observador responsáveis de tecnológicas, não está sequer consciente que existe esta diretiva e que pode obrigar a investimentos grandes.

O aviso é, no entanto, claro para quem não cumprir: multas avultadas e responsabilização da gestão. As novas regras estão inscritas numa diretiva, a NIS2, que pretende garantir um nível mais elevado de resiliência e cibersegurança nos 27 países da União Europeia.

Com maior frequência, os ataques informáticos não dão tréguas e os impactos são cada vez mais imprevisíveis, o que levou a União Europeia a criar em 2016 um conjunto de regras para as Redes e Sistemas de Informação, conhecida pela sigla em inglês NIS. Vários anos depois, foi atualizada e eleva o patamar de exigência.

Ainda que a Comissão Europeia tenha reconhecido que a NIS original permitiu alcançar “progressos significativos” no aumento da ciber-resiliência, as obrigações foram “aplicadas de forma significativamente diferente a nível nacional”, fragmentando o mercado interno, o que afetou “a prestação transfronteiriça de serviços e o nível de ciber-resiliência”.

Para eliminar as “divergências tão profundas” na aplicação da diretiva, fez-se então evoluir a NIS, com a NIS2 a ser aprovada pelas instituições europeias em novembro de 2022. A atualização, que entrou em vigor em janeiro de 2023 mas que só a partir desta quinta-feira, 17 de outubro, se tornou obrigatória, não apenas alagar os setores de atividade que vão ter de cumprir com as regras como obriga ao reporte dos incidentes informáticos no prazo máximo de 24 horas após a deteção de qualquer constrangimento.

Sendo uma diretiva, os Estados-membros tiveram até quinta-feira para transpor o texto da diretiva para a sua legislação nacional, 21 meses desde que a diretiva entrou em vigor. Mas poucos países asseguraram até agora a adaptação do texto. Portugal é um dos casos que falhou o prazo de transposição.

O que muda com o salto de NIS para NIS2?

A atualização à lei europeia foi proposta em dezembro de 2020, depois de os Estados-membros serem confrontados com o aumento do uso serviços digitais durante a pandemia de Covid-19. “A rápida transformação digital e interligação da sociedade catapultou a ocorrência de ciberameaças, criando novos desafios que exigem respostas mais abrangentes e mais bem apetrechadas para responder à realidade do mundo novo”, contextualiza o advogado Flávio Tribuna Santos, da Santiago Mediano e Associados.

Como resposta, o texto da NIS foi adaptado para elevar o patamar de cuidados e obrigações para as empresas. “Basicamente inclui uma nova série de requisitos a cumprir e também tem um público-alvo diferente”, diz Gabriel Coimbra, country manager da IDC Portugal. “Ou seja, enquanto a NIS1 era sobretudo dirigida a entidades que tinham infraestruturas críticas, agora a NIS2 alarga a outros serviços”, como a gestão de resíduos, indústria, correio e distribuição ou a produção alimentar.

Além da expansão dos setores abrangidos, o que aumenta o leque de empresas a ter de garantir a conformidade com a lei, há mais obrigações para as organizações. “Pretende-se também reforçar as medidas de segurança que se quer que as entidades abrangidas implementem, o que inclui a gestão de riscos, a segurança das redes de sistemas de informação e, essencialmente, também a gestão e reporte de incidentes de segurança”, enumera Ricardo Henriques, sócio da Abreu Advogados.

As novas regras obrigam as empresas a adotar medidas técnicas e operacionais para proteger de forma adequada os seus sistemas de incidentes que possam penalizar os serviços críticos. Por exemplo, são obrigadas a ter políticas de análise de riscos e da segurança dos seus sistemas, a ter políticas claras para o tratamento de incidentes informáticos e a ter um plano para a continuidade da atividade, assegurando a manutenção de cópias de segurança e planos de recuperação em caso de incidente. Também passa a ser obrigatório ter procedimentos para avaliar a eficácia das medidas de gestão de risco adotadas, promover práticas básicas de cibersegurança e dar formação aos trabalhadores nesta área.

As organizações têm ainda de garantir que usam soluções de autenticação multifator, que, além da combinação do nome de utilizador e da palavra-passe, exigem mais um passo para confirmar a autenticidade, quer seja através de um código enviado por SMS ou email, ou sistemas de comunicação por voz, vídeo e texto. Internamente passa a ser uma obrigação a adoção de criptografia ou, em alguns casos, de cifragem, para que informação considerada crítica não seja automaticamente acessível.

Menos tempo para comunicar incidentes de segurança e responsabilização da gestão

Com a NIS2, as companhias vão ter prazos mais apertados para comunicar incidentes de segurança aos reguladores, que em Portugal deverá ser o Centro Nacional de Cibersegurança (CNCS). Quem detetar um incidente de cibersegurança deve comunicá-lo no prazo de 24 horas a contar do momento em que tomam conhecimento do incidente. Devem “apresentar um alerta rápido à autoridade competente”, que deve ser seguido de uma notificação mais detalhada nas 72 horas seguintes. E, no prazo máximo de um mês, deve ser feito um relatório final sobre o incidente.

Carla Zibreira, diretora da área de cibersegurança da tecnológica Axians em Portugal, enumera ainda obrigações como a necessidade de aplicar “metodologias de avaliação de risco para gerir a segurança, ter controlos de resiliência contra ataques e planos para continuidade da gestão de topo”. Ou seja, muitas das questões que já são vistas como boas práticas para as empresas. “Não é por ser uma NIS2 que, de repente, vamos inventar a roda para a cibersegurança”, nota.

Um dos grandes temas para esta especialista é mesmo a questão da responsabilização da gestão em caso de ataque informático. “Acho que este é um tema extremamente importante: a gestão de topo não pode lavar as mãos, tem mesmo que ser um pilar responsável”, vinca. O ónus deixa, assim, de estar apenas na equipa de tecnologias de informação (TI).

Em caso de infração das regras, a entidade de supervisão pode solicitar a uma empresa a “imposição de uma interdição temporária” de funções de direção, por exemplo a um diretor executivo. Segundo o texto da diretiva, uma vez que são medidas com alguma “severidade” e “impacto nas atividades das entidades” e dos clientes, as suspensões devem ser usadas com tato e “de modo proporcional à gravidade da infração”, nomeadamente o grau de negligência.

As organizações que sejam consideradas essenciais (energia, transportes, banca, etc) vão ter de estar disponíveis para inspeções por parte da entidade de supervisão, que podem acontecer através de controlos aleatórios, com inspeções no local ou supervisão remota. Também estão previstas auditorias de segurança “regulares e específicas”, feitas por “um organismo independente ou uma autoridade competente”. As empresas ficam ainda sujeitas a auditorias ad hoc, incluindo em casos justificados por um incidente informático significativo ou por uma infração à diretiva.

A diretiva faz outra distinção entre empresas, separando entre entidades essenciais e entidades importantes, para a aplicação de sanções. As multas mais pesadas ficarão reservadas às entidades essenciais: um máximo de dez milhões de euros ou 2% do volume de negócios anual total a nível mundial do exercício anterior, consoante o que for mais alto. Já as entidades importantes estão sujeitas a sanções máximas de sete milhões de euros ou, pelo menos, 1,4% do volume de negócios anual total a nível mundial do exercício anterior, consoante o que for mais alto.

“É uma moldura bastante mais gravosa do que a que existia anteriormente, um pouco ao estilo do RGPD [Regulamento Geral de Proteção de Dados], até com valores um pouco mais expressivos”, reconhece Ricardo Henriques, sócio da Abreu Advogados. Na transposição da diretiva anterior para a lei portuguesa (lei n.º 46/2018, de 13 de agosto), o universo de coimas é bastante diferente: nas infrações muito graves varia entre 5 mil a 25 mil euros para pessoa singular e 10 mil a 50 mil euros para uma empresa.

Empresas vão ter de gerir o risco de toda a sua cadeia de abastecimento

A NIS2 implica que as empresas façam uma avaliação da sua cibersegurança mas que também tenham a capacidade de analisar com quem fazem negócio, nomeadamente com os fornecedores.

Fica explícito no texto da diretiva que as empresas devem ter consciência de que os ataques na cadeia de abastecimento “não só têm impacto nas pequenas e médias empresas e nas suas operações isoladamente, como também podem ter um efeito em cascata em ataques de maior dimensão contra entidades das quais são fornecedoras”.

Tendo em conta essa realidade, tanto as entidades essenciais como as entidades importantes “deverão avaliar e ter em conta a qualidade e a resiliência globais dos produtos e serviços, as medidas de gestão dos riscos de cibersegurança neles integradas e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os respetivos procedimentos de desenvolvimento seguro”. As organizações são também incentivadas a incluir medidas de gestão de riscos informáticos nos contratos que assinam com os fornecedores e prestadores de serviços.

O texto da diretiva dá algumas sugestões de que fatores devem ser tidos em conta nas avaliações dos riscos da cadeia de abastecimento: Como é que uma entidade usa e depende de produtos, sistemas ou serviços TIC (tecnologias de informação e comunicação)? Que papel tem a tecnologia no desempenho de funções críticas e sensíveis? Há produtos e serviços TIC alternativos? É uma cadeia de abastecimento que tem resiliência caso haja perturbações? Qual é a importância dos sistemas tecnológicos para as atividades? Outro dos critérios sugeridos é o pedido de uma “especial atenção” aos serviços, sistemas e produtos de TIC que tenham requisitos específicos decorrentes de países terceiros.

“Se o meu negócio depende de um conjunto de entidades tenho que gerir o risco que essas entidades representam para mim”, resume Carla Zibreira, da Axians. A gestão pode ser feita de “várias formas”, nota, mas “obviamente o contrato acaba por ser a maneira de formalizar os controlos em prática”.

Para esta especialista, o tema da gestão da cadeia de abastecimento tem importância acrescida tendo em conta o tecido empresarial português.

Não nos podemos esquecer de que, num contexto nacional, dependemos muitas vezes de cadeias de abastecimento que são pequenas e médias empresas, que muitas vezes não têm a maturidade para o tema, ou também não têm a capacidade de investimento que tem uma organização grande”, contextualiza Carla Zibreira.

“Cada vez mais vemos as organizações a ser atacadas através de ambientes de terceiros. Os atacantes sabem que as organizações grandes têm dinheiro, que têm pessoas para olhar para o tema da segurança — e, portanto, o ponto mais fraco é a sua cadeia de abastecimento.” Dá como exemplo fornecedores que tenham menos recursos, menos competência nesta área, que podem ser “mais suscetíveis de ser atacados e, depois, a partir daí, é um salto para outras organizações”.

Nova lei poderá afetar mais de 160 mil empresas na Europa. Em Portugal, não se sabe

Um estudo feito pela Uniqkey refere que a evolução da NIS para NIS2 vai obrigar mais de 160 mil empresas europeias a reforçar as medidas de segurança. Em Portugal, há quantificações diferentes devido ao desconhecimento de como vai ser transposta para a lei nacional.

Se Gabriel Coimbra, country manager da IDC, refere que estas regras poderão afetar “quase mais quatro mil empresas” com o alargamento dos setores abrangidos, há quem continue com dúvidas. João Ricardo Serra, consultor de negócio sénior da área de ITOps, e David Santos, especialista sénior de IT da consultora Noesis, apontam para o poder ser “muito mais”, dependendo dos “requisitos de implementação” que sejam usados na transposição da diretiva, tais como a dimensão da empresa ou o seu volume de negócios.

O texto da diretiva refere alguns critérios para enquadrar as empresas, como o número de trabalhadores, faturação ou um balanço:

• Entidades essenciais: varia consoante o setor, mas geralmente com 250 trabalhadores, volume de negócios de 50 milhões ou ativos de 43 milhões de euros;

• Entidades importantes: segundo dados da Comissão Europeia pode chegar a empresas com mais de 50 empregados, volume de negócios ou ativos de 10 milhões de euros.

Mas não há informação sobre se estes critérios vão ser adaptados à realidade do mercado português, composto principalmente por empresas de pequena e média dimensão.

“Há um desafio enorme”, reconhece o country manager da IDC. “Acho que todos estão, de alguma forma, à espera da transposição, que vai deixar muito claro quais vão ser as regras, quais vão ser as penalizações e como é que se vai monitorizar e acompanhar todo esse processo.”

Com mais ou menos certezas sobre a transposição, as empresas não devem ficar à espera da lei nacional para atingir a conformidade. “Há muitas organizações que sabem, nomeadamente dos setores essenciais, que a NIS2 lhes é aplicável e têm que trabalhar, ou seja, não esperar pela regulamentação nacional. Não há motivo para não continuarem a trabalhar na regulamentação do NIS2”, aconselha Carla Zibreira, da Axians.

“Uma grande parte das empresas ainda não está sequer consciente da implementação ou da diretiva existente”, realça David Santos, da Noesis. Não resiste a fazer um paralelismo com o RGPD, de 2018. “Portugal atravessou uma fase em que havia um perfeito desconhecimento e, de um momento para o outro, houve uma necessidade de mercado de implementação urgente deste regulamento. A NIS2 está precisamente a passar pelo mesmo.”

Médicos sem receitas, emissão de documentos suspensa e escrituras adiadas. Os danos colaterais do ataque informático à AMA

Portugal atrasado na transposição. Não é o único: na UE, poucos países concluíram os trabalhos

Sendo a NIS2 uma diretiva, os Estados-membros tinham um prazo para transpor os princípios base das regras para a sua própria legislação — 17 de outubro de 2024. Portugal falhou o prazo de transposição.

Ao longo dos dias que antecederam o fim do prazo, o Observador questionou o Ministério de António Leitão Amaro, que tutela o tema, sobre o ponto de situação dos trabalhos, mas as questões ficaram sem resposta. No Parlamento, na quarta-feira, 16 de outubro, o ministro da Presidência indicou que o Governo pretende discutir “o novo regime de cibersegurança e a transposição da diretiva NIS2 após o fim do processo orçamental”, atirando para o “início de dezembro” a discussão sobre o assunto.

Durante o verão houve sinais de que o processo estaria em desenvolvimento. Em agosto, foi anunciada a constituição do grupo de trabalho para elaborar a proposta de lei para a transposição. No despacho, era dado até 30 de setembro para o grupo apresentar um projeto legislativo. O grupo inclui Lino Alves, coordenador do Centro Nacional de Cibersegurança (CNCS).  Contactado, o CNCS também não respondeu às questões sobre o desenvolvimento dos trabalhos, nomeadamente sobre se o relatório foi entregue ou não.

A NIS2 é referida na proposta de Orçamento do Estado para 2025, com o Governo a indicar que “está já em curso a revisão do regime jurídico de segurança do ciberespaço, através da transposição da diretiva NIS2”. Mas, mais uma vez, sem referência a prazos.

“Há um atraso grande em Portugal”, nota Gabriel Coimbra, country manager da consultora IDC, que lamenta o desconhecimento sobre a diretiva no país. Após a elaboração do projeto de proposta de lei, costuma seguir-se um período de consulta pública, até à decisão em Conselho de Ministros que levará o diploma para o Parlamento. Só depois do debate e aprovação na Assembleia da República é que chegará à Presidência para promulgação. Um processo que leva o seu tempo.

Flávio Tribuna Santos, advogado da Santiago Mediano e Associados, nota que não é a primeira vez que o país se atrasa a transpor diretivas da UE — até a NIS original teve um atraso “de cerca de três meses”. “O fenómeno não é novo, nem tampouco pode ser considerado apanágio exclusivo do legislador nacional”, referindo que “Portugal apresenta, de forma preocupante e recorrente, atrasos na implementação de diretivas”.

A crise política do fim de 2023 e a mudança de Governo são alguns dos fatores que terão contribuído para o atraso na transposição. No verão de 2023, a mais de um ano do prazo, Mário Campolargo, o anterior secretário de Estado da Digitalização e da Modernização Administrativa, acreditava que seria possível “fazer a transposição bastante antes” da data limite.

Portugal não é o único país atrasado — a esmagadora maioria dos 27 países da União Europeia não finalizou a transposição. Um porta-voz da Comissão Europeia indicou ao Observador que, “até agora, a Comissão só recebeu notificações de uma transposição completa da NIS2 para a lei nacional da Bélgica e Itália e uma transposição parcial da Croácia e Lituânia”. A instituição europeia não teceu comentários sobre se equaciona avisos ou medidas aos Estados-membros que se atrasem, justificando que os “trabalhos ainda estão em curso”.

(Atualizado às 18h53 para corrigir cargo de Carla Zibreira)