Opinião: NIS e NIS2 - o que vai mudar. A cibersegurança na mira do legislador comunitário - Opi
💥️Por Marta Moreira Dias(*)
Partimos de um ambicioso horizonte comum: uma europa mais segura, mais forte e resiliente em matéria de cibersegurança. Numa visão puramente holística, diria ser esta a essência de ambos os diplomas.
A ideia de mobilização generalizada dos estados-membros para a preparação e implementação de estratégias nacionais de cibersegurança, assentes em princípios de forte colaboração do ponto de vista nacional e internacional e a perceção de que as matérias da segurança devem ter uma abordagem transnacional e de alargada horizontalidade sectorial, são bases comuns de dois instrumentos de fonte comunitária que distam entre si sete anos, e que são parte de um já longo pipeline legislativo da regulação do espaço digital europeu.
A Diretiva NIS, transposta a nível nacional pela Lei n.º 46/2018, teve o mérito indefetível de contribuir para alertar para o impacto e necessidade do tratamento das matérias de segurança dos sistemas de rede e informação, reforçando-lhes a dignidade normativa. Com isso, foi iniciado um caminho de mudança de mentalidades – onde tudo começa -, ao qual se seguiu um tímido, porque também dispendioso, reforço de infraestruturas internas, de capacitação de equipas, a implementação de centros de operação de segurança - de que é exemplo o PTSOC -, e a criação de grupos de cooperação e de rede de equipas nacionais de resposta a incidentes de segurança informática (CERTs, CSIRTs, etc.).
Com os desafios a que todos fomos e continuamos sujeitos, entre 2016 e 2023 os ataques de cibersegurança aumentaram exponencialmente em volume, sofisticação e impacto, a resiliência e preparação de pessoas, empresas e Estado revelou-se insuficiente e com falhas facilmente exploradas.
Acresce a falta de uma estratégia comum, dialogante e eficaz de resposta a mais esta guerra. Hoje, o estádio de evolução, as expectativas e o impacto são diversos, estamos todos vários degraus acima, há uma curva de aprendizagem que deve ser observada e entendida. É maioritariamente esse o grande desafio a que a NIS 2 quer dar resposta.
Partimos, portanto, da identificação dos pontos de interceção entre ambas as diretivas, percebemos o racional subjacente ao processo que presidiu a revisão da NIS, e de onde resultou a publicação da NIS 2. Olhemos agora para aquelas que são as alterações mais marcantes entre ambos os diplomas, especialmente sob a lente do registo de nome de domínio de topo .pt.
No imediato identificam-se cinco grandes alterações: alargamento do âmbito subjetivo de aplicação, nomeadamente a nível sectorial; abordagem orientada à gestão do risco, com enfoque na prevenção e mitigação indo, portanto, além das medidas puramente reativas (acompanhada com novas obrigações de reporte); responsabilidade dos órgãos de gestão das empresas e organizações; reforço do papel da colaboração; e, por fim, sob o manto inspiracional do RGPD, definição clara de um quadro contraordenacional pesado.
O alargamento do âmbito e dos sectores abrangidos pela NIS 2 implica que mais organizações terão de abordar e tratar formalmente o tema da cibersegurança, sendo efetuada uma distinção entre "entidades essenciais” e "entidades importantes”. Para além da questão semântica, são residuais as diferenças entre ambas as categorias. Destaca-se o facto de, em relação às primeiras, a supervisão poder ser realizada ex ante (a título preventivo) e ex post (pós verificação de um incidente). Para as entidades importantes, a supervisão será feita apenas ex post.
O .PT, hoje qualificado à luz da NIS, e subsequentemente da Lei n.º 46/2018, como operador de serviços essenciais assumirá a natureza de entidade essencial. Esta categorização vem acompanhada de uma outra, igualmente nova, a de "sectores de importância crítica” e "outros sectores críticos”. O enquadramento de uma entidade num destes sectores é independente da sua qualificação como entidade essencial ou importante.
O .PT, na qualidade de registo de nome de domínio de topo (TLD), vai passar a enquadrar-se como sector de importância crítica integrado nas infraestruturas digitais. Descendo o foco aos TLD e aos seus registrars, novas obrigações ganham eco normativo. Referimo-nos em concreto às que decorrem da gestão da base de dados WHOIS, importante ferramenta sobretudo para ações de investigação criminal e, por isso, capazes de contribuir para o chamado elevado nível comum de cibersegurança em toda a UE. Aqui emergem pesadas obrigações de recolha, verificação, monitorização e disponibilização de contactos associados aos responsáveis dos nomes de domínios, que, numa análise crítica, vão ao arrepio do cumprimento de regras de proporcionalidade e de minimização de dados que mergem como princípios basilares do RGPD.
A NIS 2 estende o seu âmbito de aplicação territorial a entidades que não estando sedeadas no espaço europeu prestam os seus serviços nesta circunscrição. Se, mais uma vez, vemos os TLD europeus a cair numa malha acrescida de regras que não são comuns às restantes mais de 1 000 entidades que com eles diariamente concorrem, pelo menos esta salvaguarda parece atenuar, ainda que residualmente, esse mesmo desequilíbrio.
Priorizar a cibersegurança ao nível da liderança, é outro vetor de inovação da NIS 2. Espelho disso é a responsabilização da gestão de topo pelas inconformidades identificadas relativamente à adoção das medidas de gestão dos riscos de cibersegurança e a própria obrigação de formação e capacitação na área.
Esperamos que a NIS 2, e sobretudo a transposição para a ordem jurídica nacional, venha a constituir-se como um instrumento gerador de mais confiança e segurança jurídica para os cidadãos, empresas e organizações em geral e que tenha a virtude de controlar esta escalada que diariamente belisca a segurança das nossas redes e sistemas e que se afigura altamente inibidora da inovação, da liberdade de circulação de dados e ideias e potenciadora de uma internet fragmentada.
O novo quadro regulatório parece ter menos regras do que a NIS, mas há realmente uma simplificação nas regras?
A NIS 2 vem claramente reforçar o standard de medidas aplicáveis em matéria de cibersegurança e que estavam já cristalizadas a nível nacional em dois diplomas centrais, a Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço, e o Decreto-Lei n.º 65/2021 que regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2023/881 do Parlamento Europeu.
Paralelamente, e para além de diversa legislação avulsa, há diretrizes e boas práticas emanadas de fonte diversa como são, a título de exemplo, as recentes "Technical Guideline: Security Measures for Top-Level-Domain Name Registries”, do NIS Cooperation Group, recomendações diversas emitidas pela ENISA e, dentro fronteiras, a Diretriz/2023/1 da CNPD no âmbito do RGPD "Sobre medidas organizativas e de segurança aplicáveis aos tratamentos de dados pessoais”, assim como os guias e recomendações técnicas produzidos pelo Centro Nacional de Cibersegurança.
Não estamos claramente numa situação de vazio legal, num espaço de ninguém, onde se impusesse um novo ou diametralmente oposto quadro normativo.
A auscultação realizada aos Estados Membros da NIS revelou, nas palavras do legislador comunitário, "deficiências intrínsecas que a impedem de responder de forma eficaz a desafios atuais e emergentes no domínio da cibersegurança”. Se tivermos presente que o ciberespaço, para além da sua natureza transnacional, capaz de desafiar qualquer princípio de territorialidade ou de soberania nacional, é uma realidade dinâmica, cada vez mais complexa e em constante mutação, facilmente percecionamos a dificuldade de criar um edifício legislativo com menos e mais simples regras. Em boa verdade, as nossas reservas atenuam-se ao verificar que houve uma preocupação em, por exemplo, simplificar a comunicação de informações e adotar mecanismos de comunicação automática e direta, ou em promover o uso de ferramentas de código aberto, que tendencialmente podem facilitar a interoperabilidade entre as ferramentas de segurança, ou estimular a cooperação para, designadamente, facilitar a divulgação coordenada de vulnerabilidades, otimizando tempo e recursos.
Numa análise mais fina, chegamos a um ponto sem retorno onde o objetivo de promoção de um ciberespaço mais seguro, aberto e resiliente, esbarrou, literalmente, num leque exaustivo e desproporcionado de obrigações que nada têm de simples.
Olhemos para dois casos concretos, parte do ecossistema de registo de domínios: os TLD – por exemplo, o .pt – e os prestadores de serviços de DNS – por exemplo, um agente de registo (registrar) - para além do cumprimento estrito de novas medidas de gestão dos riscos de cibersegurança, tipificadas no artigo 21.º, até 17 de outubro de 2024, a Comissão deve adotar atos de execução que estabeleçam requisitos técnicos e metodológicos a eles associados, e que deverão ser objeto de cumprimento estrito. Mas reitera-se, em especial para os TLD, que o caminho não foi o da simplificação. Porém, e em abono da verdade, as obrigações que decorrem hoje do artigo 28.º [sobre a base de dados relativos ao registo dos nomes de domínio] resultaram de um processo negocial longo e altamente debatido.
Relembre-se o Parecer da Autoridade Europeia para a Proteção de Dados a este propósito sobre este artigo, muito em linha com o posicionamento dos registries europeus materializado no comentário público do CENTR, onde se alertava para a importância da clarificação de conceitos como "informação relevante” e pedido "lícito e devidamente justificado” e, sobretudo, para o facto do RGPD, per si, já conceder a devida tutela aos dados pessoais, nomeadamente os que são tratados no WHOIS.
A NIS 2 veio trazer obrigações adicionais aos TLD e registrars, que devem recolher e manter dados exatos e completos relativos ao registo de nomes de domínio, numa base de dados específica, com a devida diligência, e em conformidade com o direito da EU em matéria de proteção de dados. Este tratamento de dados constitui uma obrigação jurídica na aceção do RGPD. Mas o legislador comunitário foi mais longe e, inclusivamente, elencou a tipologia de dados que deve ser tratada - muito para além do que acontece hoje - impondo aos TLD que disponham de políticas e procedimentos de verificação, e mecanismos céleres de disponibilização de informação solicitada neste âmbito sem demora injustificada e, em qualquer caso, no prazo de 72 horas a contar da receção dos pedidos de acesso. Menos regras e mais simplificação? A resposta perentória de um TLD não pode ser outra: não.
Como antecipar a aplicação da NIS 2 em Portugal, quais os potenciais problemas e desafios?
Para que a diretiva NIS 2 produza efeitos a nível nacional, Portugal tem de adotar uma lei com vista à sua transposição, devendo tal acontecer até 17 de outubro de 2024. Por regra, as diretivas só produzem efeitos após a sua transposição.
No entanto e desde logo acautelando eventuais atrasos nos processos legislativos internos, o Tribunal de Justiça da União Europeia tem vindo a considerar que uma diretiva que não foi objeto de transposição possa produzir diretamente efeitos na ordem jurídica interna. Neste pressuposto, e de resto à semelhança do que aconteceu com a transposição da NIS, teremos de aguardar aquelas que sejam as opções de harmonização do legislador nacional e esperar que o processo de transposição seja já, ele próprio, inspirado no princípio de colaboração interinstitucional tão enfatizado no articulado da própria Diretiva.
Caberá ainda ao Estado, na própria letra da diretiva, "salvaguardar a funcionalidade e a integridade da Internet e promover a segurança e a resiliência do DNS”, garantir que as partes interessadas pertinentes, nomeadamente as entidades do setor privado da UE, sejam incentivados a adotar uma estratégia de diversificação da resolução do DNS, assim como de um serviço europeu, público e seguro de resolução do DNS. Matéria que obviamente é cara ao .PT.
A NIS 2 remete ainda para o legislador nacional a criação de um sistema que preveja sanções efetivas, proporcionadas e dissuasivas nos casos, por exemplo de infrações graves.
Também a vigente Estratégia Nacional de Segurança do Ciberespaço (2019-2023) terá de ser revisitada no sentido de, nomeadamente, reforçar as políticas de promoção da ciberproteção ativa como parte de uma estratégia defensiva mais ampla e repensar políticas eficazes de resposta ao aumento dos ataques de ransomware. Também neste campo são identificadas ações a desenvolver e implementar a nível nacional. Figura interessante trazida pela NIS 2 para a área da cibersegurança é a criação de parcerias público-privadas (PPP) para fins de troca de conhecimentos, alertas, exercícios em matéria de ciberameaças e de incidentes, gestão de crises e partilha de boas práticas.
Outro grande desafio será garantir que pessoas, empresas e Estado estão adequadamente equipados, em termos de capacidade técnica e organizativa, para evitar, detetar, enfrentar e atenuar os incidentes e os riscos. Sendo que, ao lado de uma infraestrutura técnica reforçada, deverá estar sempre uma equipa devidamente capacitada e preparada para mitigar e tratar, e, sobretudo, prevenir e antecipar a crescente sofisticação das ciberameaças. Tudo isto tem custos e vai ter um impacto sério nos orçamentos das entidades abrangidas. O quadro contraordenacional previsto e o nível e impacto da responsabilidade dos órgãos de gestão, provavelmente vai conduzir à procura de seguros de responsabilidade civil na área da cibersegurança.
Muitos outros desafios se perspetivam. Deixava um último que tem a ver com o enforcement, em concreto a importância de serem definidos mecanismos e competências efetivos, acompanhados dos necessários recursos para controle e monitorização da aplicação da lei, das boas práticas e das diretrizes que derivem da NIS 2.
Em suma, antecipam-se desafios mais do que problemas. Estou confiante que o novo quadro legal, completo com a transposição da NIS 2, poderá contribuir decisivamente para um ciberespaço mais seguro, aberto e resiliente. Como representante do .PT, que pela sua natureza jurídica será fortemente impactado com as novas regras e obrigações da NIS 2, fica um sentimento de expectativa, aliada a um elevado comprometimento e sentido de responsabilidade.
💥️(*) Vogal do Conselho Diretivo do .PT
O que você está lendo é [Opinião: NIS e NIS2 - o que vai mudar. A cibersegurança na mira do legislador comunitário - Opi].Se você quiser saber mais detalhes, leia outros artigos deste site.
Wonderful comments