O novo regime jurídico de cibersegurança, que transpõe a diretiva NIS2 [Network and Information Security], alarga o conjunto de entidades abrangidas, priorizando, por um lado, a generalização da prevenção dos riscos de cibersegurança, mas graduando a exigência regulatória em função da dimensão da entidade e da importância da sua atividade, bem como privilegiando a proporcionalidade das medidas aplicáveis.
Antes de terminar o prazo para a transposição da NIS2, em 25 de setembro, a APDC tinha entregado ao Governo a sua posição -- um 'position paper' --, pedindo que se tivesse em consideração a consulta pública e a harmonização europeia.
Entretanto, quando a consulta pública foi prolongada até 31 de dezembro, "ficámos bastante felizes", diz Sandra Fazenda Almeida, salientando que a entidade está ainda a ultimar a recolha de contributos dos seus associados.
Entre as preocupações já manifestadas estão "os prazos de entrada em vigor" do diploma, diz, dando o exemplo de que há artigos que entram em vigor 30 dias após a publicação do decreto-lei e depois há outros que têm um prazo de 18 meses.
Acontece "que a aplicabilidade de muitas destas obrigações depende de regulamentação que ainda não foi publicada, o que vai criar, na verdade, alguma dificuldade prática se não for publicada antes de terminar o prazo de implementação", refere a diretora executiva.
"Uma das questões que vamos propor é que os prazos só comecem a contar após a publicação da regulamentação necessária", sublinha.
Outra das preocupações assenta no processo de autoidentificação que está previsto neste regime jurídico da cibersegurança.
"Achamos que o princípio está ótimo", na ótica de "melhorar a proatividade das empresas, de facilitar o trabalho do CNCS [Centro Nacional de Cibersegurança] naquilo que é a sua atividade", considera.
"É uma obrigação que é imposta a certas entidades que têm de avaliar e têm de declarar por iniciativa própria se se classificam como entidade essencial ou como uma entidade importante", até porque as entidades essenciais têm "mais obrigações neste contexto que as importantes", enquadra a responsável.
"Achamos que era importante clarificar qual é o papel destas entidades e do CNCS no processo de autoidentificação, que ficasse bastante claro quais são os prazos ajustados, os mecanismos alternativos para submissão dos dados sensíveis que as empresas vão ter de pôr", defende.
Outro dos pontos é que as empresas consideram "a obrigatoriedade de registo de gamas IP excessiva e impraticável", elenca.
Relativamente à notificação de vulnerabilidades, o artigo 38 do diploma diz que "as entidades essenciais, importantes e públicas devem comunicar, sem demora injustificada, ao CERT.PT qualquer vulnerabilidade identificada nas suas redes e sistemas de informação, produtos ou serviços de tecnologias da informação ou comunicação".
Ora, "a obrigatoriedade de notificar qualquer vulnerabilidade vai gerar um volume excessivo de relatórios e muitos de baixo impacto e a diretiva apenas prevê comunicações voluntárias e não obrigatórias para vulnerabilidades", salienta a diretora executiva da APDC.
"E no contexto do nosso [diploma] tem obrigatoriedade", prossegue, recordando que a APDC, no seu 'position paper', já tinha pedido que não se fosse "para além daquilo que estava na diretiva".
Em suma, "que não fossemos mais exigentes", até porque o reforço na área da cibersegurança "vai acarretar mais custos", além de ser preciso ter "em conta a escassez de talento" nesta área no mercado, aponta.
Relativamente à gestão da reputação das marcas e das empresas, a APDC considera que os prazos de 24 horas para notificação de incidentes "sejam consistentes com a diretiva NIS2".
As notificações "só devem ser obrigatórias após a publicação das instruções do CNCS, até porque tem que se gerir os danos reputacionais e a burocracia de fazer notificações que possam não ser necessárias", diz.
Um outro aspeto transversal tem a ver com o facto de "já termos atualmente entidades certificadas por normas como a ISO271001 [padrão e a referência Internacional para a gestão da Segurança da informação] que deviam estar dispensadas de auditorias adicionais para evitar redundâncias e custos para as empresas".
Para Sandra Fazenda Almeida, o novo regime jurídico de cibersegurança deve ser "mais claro" para haver menos margem de erro, de outras interpretações, e "alinhado com princípios europeus".
Leia Também: Elevado recurso à Internet representa exposição ao risco, diz relatório
