“Queremos que as empresas cresçam na sua maturidade, que a cibersegurança esteja colocada ao nível da decisão de topo”

Com a entrada em vigor da NIS2, quando se prevê a transposição da diretiva para a legislação nacional?

A transposição da diretiva é um processo que em Portugal começou ainda em 2023 e grande parte do trabalho foi feito durante esse ano. O CNCS contratou um centro de investigação da Universidade de Lisboa para preparar e fazer uma avaliação de impacto dessa transposição, avaliar quais são as novidades e qual é que é o grau de conformidade que o atual regime jurídico já tinha com a NIS2 e entregamos uma primeira proposta ao anterior governo que, obviamente, tendo em conta aquilo que se passou, foi transitada para o novo governo, que entendeu, como todos sabem, criar um grupo de trabalho para preparar um novo diploma. Grupo de trabalho esse que apresentou no final do mês passado [setembro] uma proposta. Agora, esta proposta seguirá o processo legislativo normal, portanto, primeiro com uma ronda da auscultação das diferentes áreas governativas e numa segunda fase no Parlamento.

Que mudanças – numa perspetiva prática e cultural e não naquilo que são as obrigações da diretiva – é que o Centro Nacional de Cibersegurança espera ver das entidades abrangidas pela NIS2, em comparação com a abordagem da NIS original?

Como sabem, a abordagem que nós temos no atual regime jurídico prevê a implementação de um conjunto de medidas e controlos de cibersegurança numa abordagem baseada no risco. A obrigação é que aquilo que são as entidades ou os prestadores de serviços essenciais, na terminologia atual, façam uma análise de risco numa base anual e implementem um conjunto de medidas adequadas para mitigar esses riscos ou reduzir esse risco a um nível aceitável. Uma das novidades que queremos introduzir neste processo é trazer um pouco mais de previsibilidade para as organizações.

Temos obviamente um alargamento. Vamos ter de lidar, provavelmente, com dez vezes mais entidades do que temos no atual regime jurídico. Tivemos uma preocupação – aliás foi a orientação do senhor ministro da Presidência – para de alguma forma simplificar para as organizações estarem conforme esta lei.

Uma grande alteração que vamos ter, com certeza – a não ser que o Parlamento altere a proposta de lei – é termos uma abordagem, vamos chamá-la, a dois tempos, ou seja, definirmos aquilo que é uma matriz de risco por setor de atividade – e o Centro Nacional de Cibersegurança já está a trabalhar, através do Observatório de Cibersegurança, na produção do que poderá ser uma matriz de risco para o setor na energia, da distribuição de água potável, da saúde. Com base nessa matriz de risco, é possível identificar qual é que é o nível de conformidade relativamente ao referencial que temos, que também precisa de ser atualizado, o Quadro Nacional de Referência e Cibersegurança, para identificação daquilo que são as medidas mínimas a implementar. Isto traz previsibilidade ao modelo.

As organizações passam a perceber, a partir do momento em que aplicam a matriz de risco à sua organização – e as variáveis são o tamanho da organização e pouco mais do que isso –, quais são as medidas que têm de implementar para mitigar os riscos que impendem sobre o seu setor de atividade. Isto traz previsibilidade ao sistema. Eu, enquanto empresa, assim que a lei for publicada, farei um autorregisto num site, é-me mostrado qual é que é a matriz de risco para o meu setor de atividade e diz-me ‘este é o seu nível de garantia que tem de implementar e são estes os controlos e o grau de maturidade para cada um dos controlos que tem de estar implementado num prazo definido’. Isto traz previsibilidade ao sistema.

A segunda fase serve para tratar o risco residual. Ou seja, é óbvio que há entidades que são diferentes na dimensão e diferentes no grau de exposição aos agentes de ameaça. Aquilo que vamos fazer é definir o que é que é o mínimo. Depois as organizações ainda assim têm de fazer uma análise de risco residual e implementar, se necessário, medidas adicionais, se tiverem, obviamente, uma grande disposição ou um risco diferente daquele que está harmonizado por todas as empresas do setor.

Há recursos humanos suficientes para fazer face à necessidade de supervisão e de fiscalização das entidades abrangidas pela NIS2?

A diretiva traz desafios para as organizações, obviamente, principalmente devido ao alargamento. Acho que, do ponto de vista da abordagem a que me referi, vamos ter uma abordagem mais simples, mais previsível e com um nível de proporcionalidade mais adequado e certeiro, mas também traz aqui um grande desafio para as autoridades. Refiro-me a autoridades porque, com o alargamento do número de setores, porventura vamos ter de alterar o modelo de governação da cibersegurança para alguns setores específicos. Ou seja, os setores que já têm hoje tradição de regulação e supervisão na área da cibersegurança, vão ter um papel ativo no âmbito deste novo regime jurídico de segurança do ciberespaço.

É óbvio que cada uma destas entidades que têm responsabilidades de regulação e de supervisão tem de ver os seus recursos humanos e os seus instrumentos capazes de lidar com dez vezes mais entidades do que temos hoje.

Temos vindo a reforçar o quadro de pessoal; o Centro Nacional de Cibersegurança fez dez anos e começámos com 15 pessoas e neste momento temos cerca de 65. Diria que é um tamanho adequado para o conjunto das entidades que são reguladas por nós hoje, mas não é um tamanho suficiente para tratar dez vezes mais entidades.

No entanto, também previmos alguns instrumentos que podem facilitar a vida do regulador-supervisor. Por exemplo, vai haver uma forte aposta em esquemas de certificação para verificação ou para apuramento de presunção de conformidade através do mercado e do mercado de certificação. Aquilo que temos de ter pronto quando a lei estiver publicada e quando lançarmos o site de autorregisto, também é um conjunto de esquemas de certificação que podem ser usados no mercado para obter presunção de conformidade com a lei. Isto, de alguma forma, também vem facilitar a vida do regulador porque aí recebe um papel a dizer que uma entidade certificadora fez o trabalho de verificação e não encontrou nada de desconforme. Isso dá, de alguma forma, paz à entidade e também nos dá paz a nós naquilo que podem ser as prioridades de supervisão.

Outra aposta que vamos fazer, e que acho que é extremamente importante – aliás, vamos arrancar durante o mês de outubro com o atual regime jurídico –, é uma forte aposta naquilo que é supervisão prudencial. O nosso objetivo efetivamente não é passar multas – não é esse o nosso objetivo. Aquilo que nós queremos é que as organizações cresçam a sua maturidade, tenham bons modelos de governance e tenham as medidas de segurança implementadas que sejam adequadas ao seu grau de risco. Aquilo que nós nos propusemos fazer ainda com o anterior governo – e por isso é que recebemos um reforço do nosso quadro de pessoal – foi avançar com um serviço que vai arrancar em outubro de supervisão prudencial. Isto significa que nós vamos fazer auditorias preventivas, vamos produzir relatórios com recomendações e prazos de implementação daquilo que entendemos que não está conforme o regime jurídico ou que precisa de ser melhorado.

A ideia é trabalhar com as organizações para que haja esta cultura de cibersegurança e este crescimento na maturidade de cibersegurança. Esta é uma das dificuldades que acho que a NIS nos traz e que nós queremos evitar a todo o custo e precisamos das empresas para o fazer, que é: nós não queremos transformar este modelo da NIS2 num regime de compliance. Sei que isto para os escritórios de advogados pode fazer confusão, mas não queremos que seja dessa forma. Queremos que as empresas cresçam na sua maturidade, queremos que as empresas tenham os meios, os recursos, que a cibersegurança esteja colocada ao nível da decisão de topo. A NIS é clara quanto a isso, responsabilizando a administração pela não conformidade, e não uma mera checklist em que alguém, dois meses antes de haver uma auditoria, vai lá verificar que está tudo certinho e a papelada está toda direita. Esse é um grande desafio que nós temos como autoridade e é um desafio que vocês, como responsáveis de cibersegurança, têm dentro das organizações: evitar que isto aconteça. Achamos que este modelo da supervisão prudencial pode ajudar neste processo.

Como é que as empresas podem colaborar melhor com Centro Nacional de Cibersegurança para partilha de informações e resposta a incidentes? Há planos para melhorar essa cooperação?

Uma das coisas que tem sido muito falada e pedido é que exista uma consulta pública relativamente à NIS 2. Antes de mais, isto é uma decisão política do processo legislativo; se o Governo assim entender, assim o fará. Aquilo que gostava de dizer aqui é que a transposição da diretiva cria um quadro regulatório; não define, nem é prescritiva relativamente às medidas que têm de ser adotadas, não é prescritiva relativamente ao quadro ou à matriz de risco, não é prescritiva relativamente às formas de comunicação entre o Centro Nacional de Cibersegurança e as organizações. Tudo isso, como aliás faz sentido porque a realidade é dinâmica e temos de ter uma lei que nos permita responder a esta dinâmica, vai ser feito por legislação secundária.

Essa legislação secundária, como é óbvio, terá consulta pública, estamos a falar de código de processo administrativo, como uma entidade administrativa independente tem a obrigação de o fazer, qualquer regulamento que saia com estas medidas, com estas formas de comunicação, com a definição das matrizes de risco, isto vai ser sujeito a consulta pública.

Mais do que isso, aquilo que nós queremos ter são comunidades de cibersegurança setoriais. Já temos para a área da saúde, já temos para a área da energia, já temos para a área da distribuição de água potável, estamos a criar agora para o setor da aviação. Queremos ter comunidades setoriais que vão trabalhar connosco na definição destes documentos. Queria deixar aqui uma palavra de apaziguamento relativamente a esta necessidade de saber o que é que vem com a diretiva NIS.

Aquilo que vai, de facto, na prática implicar as organizações vai ser tratado em legislação secundária e vai ser trabalhado com as diferentes comunidades de cibersegurança. Os esquemas de certificação que referi já estão hoje a ser trabalhados com a Aliança para a Cibersegurança. A cibersegurança do supply chain está a ser trabalhado com a Aliança para a Cibersegurança. Portanto, sim, nós temos essa necessidade de trabalhar convosco e contamos convosco na definição do que é o melhor modelo para a implementação desta diretiva.