O secretário de Estado da Digitalização e da Modernização Administrativa falava no âmbito da discussão do Orçamento do Estado para 2023 (OE2023), na comissão parlamentar conjunta de orçamento e Finanças, de Economia, Obras Públicas, Planeamento e Habitação e de Administração Pública, Ordenamento do Território e Poder Local, admitindo que há medidas do Regime Jurídico da Segurança do Ciberespaço que "não estão a ser seguidas" e que as "entidades relevantes" estão a ser informadas disso.

O Regime Jurídico da Segurança do Ciberespaço aplica-se às entidades da Administração Pública, aos operadores de infraestruturas críticas, aos operadores de serviços essenciais, aos prestadores de serviços digitais, bem como a quaisquer outras entidades que utilizem redes e sistemas de informação, nomeadamente, no âmbito da notificação voluntária de incidentes.

"Até agora temos feito um conjunto de atividades particularmente pedagógicas, mas devo dizer que nos últimos meses fizemos um diagnóstico da maneira como os operadores de serviços essenciais ou os operadores de infraestruturas críticas ou os prestadores de serviços digitais e as próprias entidades da Administração Pública estão ou não estão comprometidas a implementar as medidas que são importantes no contexto deste regime jurídico", disse Campolargo aos deputados.

Na sequência disso, foi detetado que nem todas as medidas de segurança no ciberespaço estão em conformidade com a lei. "Verificámos, aliás, que algumas delas não estão a ser seguidas", apontou.

Portanto, "estamos neste momento no processo de informar as entidades relevantes, aquelas que estão sob a jurisdição deste Regime Jurídico de Segurança do Ciberespaço da sua não conformidade e do risco que obviamente têm de serem sujeitos a coimas", rematou o governante.

Por exemplo, a Administração Pública, os operadores de infraestruturas críticas, de serviços essenciais e os prestadores de serviços digitais são obrigados a notificar o Centro Nacional de Cibersegurança (CNCS) da ocorrência de incidentes, de acordo com a lei.

Esta informação consta do decreto-lei n.º 65/2021, de 30 de julho, que regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança e prevê um regime sancionatório em caso de incumprimento, que pode ir até aos 44,8 mil euros para as entidades e 3,7 mil euros para as pessoas singulares.

O decreto-lei estabelece os requisitos de segurança das redes e dos sistemas de informação que devem ser cumpridos pela Administração Pública, pelos operadores de infraestruturas críticas e pelos operadores de serviços essenciais.

Estas entidades "devem implementar todos os meios e os procedimentos necessários à deteção, à avaliação do impacto e à notificação de incidentes com impacto relevante ou substancial", lê-se no diploma.

Incidentes de cibersegurança a crescer no 1º trimestre

No que respeita à área de cibersegurança, "e até pela situação concreta da guerra na Ucrânia, estamos neste momento com um diagnóstico que claramente mostra" que, "por exemplo, janeiro deste ano foi o mês com maior incidentes registados, da ordem de quase 300 incidentes registados pelo nosso CERT ['Computer Emergency Response Team'], ou seja, a equipa que responde precisamente a estas situações de emergência", disse o secretário de Estado aos deputados.

"Se compararmos o período de janeiro a abril com o mesmo período do ano passado, temos de facto aumento de 42% dos incidentes registados", sendo que "tudo isto mostra o esforço tem que ser contínuo para garantir que a sociedade digital tem os mecanismos desenvolvidos, quer ao nível individual, quer ao nível das empresas", acrescentou.

Mais de um terço destes incidentes, "cerca de 35% estão adjacentes àquela noção de 'phishing'", referiu o governante.

Mário Campolargo preside, por delegação do primeiro-ministro, ao Conselho Superior de Segurança do Ciberespaço, o qual reúne-se regularmente.

"Na última reunião que [este organismo] teve [foi feita] uma análise concreta da lições aprendidas e da definição de boas práticas que são passadas aos vários membros deste Conselho e que vão ser publicadas em breve", avançou, referindo que "faz parte da noção de higiene de cibersegurança, de informação a todas as pessoas e entidades muito para além daquilo que está consubstanciado no Regulamento Jurídico de Segurança do Ciberespaço e que obviamente tem a força de quadro legal".

Esta reflexão, enfatizou, "visa também que a nova Estratégia Nacional de Segurança do Ciberespaço, a desenvolver no próximo ano, integre já estas aprendizagens".

Além disso, Portugal está também a "tentar utilizar fundos da União Europeia para [ter] precisamente uma resposta mais articulada a estes ataques", prosseguiu.

Assim, "no contexto da Europa Digital, e em articulação com a Agência Europeia para a Cibersegurança, commumente chamada de Enisa, a Comissão Europeia vai pôr à disposição uma linha de 15 milhões de euros para que os Estados-membros possam de facto apoiar tanto na resposta a ciberacidentes como na prevenção".

Ou seja, "na prevenção fazendo testes de penetração aos vários sistemas, fazendo exercícios elaborados de cibersegurança e tendo uma ação de resposta rápida através de um conjunto de empresas certificadas que, quando as entidades públicas ou privadas tiverem que responder a um incidente e não tiverem capacidade," possam utilizar essas entidades, explicou.

Estas três linhas de atuação: "testes de penetração para ver o estado de maturidade das infraestruturas, a monitorização do risco e mitigação de incidentes vão ser acelerados também por esta disponibilização de dinheiros a nível europeu", sublinhou Mário Campolargo.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.