Framework de Cibersegurança da UE

Esta dependência intensificou-se ainda mais na pandemia, em que a transformação digital foi impulsionada em todos os sectores, muitas vezes dando prioridade ao serviço sem considerações de segurança e continuidade do mesmo (algo que já era muito habitual também antes da pandemia), o que trouxe, obviamente, riscos acrescidos.

Uma das formas de tentar aumentar a resiliência e robustez dos sistemas é através da legislação, algo que a União Europeia tem vindo a fazer. Com a Diretiva (UE) 2016/1148 relativa à segurança das redes e da informação (Diretiva SRI), e subsequentes transposições nacionais (no caso português com a Lei 46/2018, que estabelece o regime jurídico da segurança no ciberespaço) os países da União Europeia têm vindo a determinar uma série de obrigações e recomendações neste domínio. Apesar de necessárias, úteis e fundamentais, estas legislações ainda têm algumas deficiências, muitas já identificadas na proposta de revisão da Diretiva SRI (SRI 2), que destaca, logo no contexto: “A avaliação da aplicação da Diretiva SRI, realizada para efeitos da avaliação de impacto, identificou as seguintes questões problemáticas: 1) o baixo nível de ciber-resiliência das empresas que operam na UE; 2) as diferenças em termos de resiliência entre Estados-Membros e setores; 3) o baixo nível de conhecimento situacional comum e a inexistência de mecanismos de resposta conjunta a situações de crise. Por exemplo, alguns dos principais hospitais num Estado-Membro não estão abrangidos pelo âmbito da Diretiva SRI e, como tal, não estão obrigados a aplicar as medidas de segurança nela previstas, ao passo que, noutro Estado-Membro, praticamente todos os prestadores de cuidados de saúde do país estão sujeitos aos requisitos de segurança estabelecidos nessa diretiva.”

Um outro tema que a Diretiva SRI vem robustecer é a cooperação formal em matéria de Cibersegurança, um tópico fundamental para a adoção de melhores práticas internacionais e/ou setoriais. Esta cooperação, que sempre foi adotada e reconhecida pelos profissionais, veio tomar uma outra dimensão, com a transformação da Agência da União Europeia para a Segurança das Redes e da Informação em Agência da União Europeia para a Cibersegurança (mantendo o acrónimo ENISA) que passa a ter um papel reforçado e um mandato permanente.

No entanto, apesar do mérito de toda esta legislação, ainda temos um longo caminho para garantir a Cibersegurança transversal. Realço aqui quatro fatores que podem e devem ser melhorados:

• As diretivas focam-se, justificadamente, nas áreas e serviços considerados essenciais. No entanto, a dificuldade de elencar numa só definição realidades tão diferentes leva a que algumas definições sejam vagas, o que provoca incerteza nalgumas organizações sobre estarem ou não abrangidas. Idealmente, em caso de dúvida, deveriam adotar as medidas que oferecem mais segurança, mas, como sabemos, dada a dificuldade e os recursos necessários, muitas vezes a dúvida leva a optar pela solução (aparentemente) mais fácil. Além disso, com a capilaridade dos serviços digitais, a identificação de prestadores de serviços cujo desempenho pode comprometer também serviços críticos é um trabalho moroso, exaustivo e que muitas vezes não é feito.
• Outro aspeto que não ajuda prende-se com a impunidade que muitas vezes se nota e que leva as empresas a considerar o risco de não investir na Cibersegurança como aceitável. É claro que nenhuma empresa, independentemente da dimensão e do grau de preparação, está livre de sofrer um ciberataque e não deve ser penalizada por isso. Mas há incidentes de segurança amplamente conhecidos que podiam (e deviam) ter sido evitados ou cujas consequências podiam ter sido mitigadas, mas cuja inação não tem consequências para lá da reação do mercado.
• O ponto acima também está relacionado com o papel do Chief Information Security Officer (CISO) nas empresas. Se o CISO for considerado apenas como um técnico (muitas vezes integrado na estrutura técnica de IT) e com um papel apenas operacional, vai ser muito difícil, para não dizer impossível, ter consciência dos riscos a que a organização se sujeita. O CISO deve ser visto como um elemento estratégico que deve ter voz ativa em todas as decisões empresariais, por exemplo como membro executivo do órgão de gestão. No mundo atual e com o impacto dos sistemas de informação nas empresas, a opinião do CISO deve estar ao mesmo nível de um CFO. É claro que esta responsabilidade exige também uma crescente profissionalização do CISO para acompanhar as decisões estratégicas e de gestão.
• O último fator, talvez o mais difícil de mudar, é a mentalidade entranhada na sociedade e, por conseguinte, também na gestão das empresas. Pensamentos como “Não tenho nada a esconder, não preciso de ter passwords difíceis.”, “Ele é um pessimista, vê sempre o pior cenário, mas isso só acontece nos filmes.”, “Esse projeto de Cibersegurança é muito caro, não vale a pena”, “Não faz sentido envolver o CISO no projeto, porque não tem risco” e outras tantas constantemente ouvidas pelos CISO são resultado dessa mentalidade e exponenciam o risco. É meritório o trabalho, por exemplo, do Centro Nacional de Cibersegurança (CNCS) no sentido da sensibilização da sociedade, que deve ser fomentado e que, talvez, devesse passar a estar presente no currículo do sistema de ensino, para que seja apreendido e visto como natural.

Resumindo, a Framework de Cibersegurança da EU tem um papel fundamental na definição e articulação dos vários setores e das iniciativas necessárias em matéria de Cibersegurança, mas há ainda um longo trabalho a fazer para que, coletivamente, todos sejamos mais resilientes e a sociedade mais capaz de enfrentar os crescentes riscos e ameaças.