A Comissão Europeia (CE) publicou esta segunda-feira um relatório que avalia a coerência das abordagens adotadas pelos Estados-Membros na identificação dos operadores de serviços essenciais (OSE). O documento surge depois da implementação da diretiva de cibersegurança na União Europeia e revela alguma disparidade no número de operadores identificados, sendo a Finlândia, com mais de 10 mil, e Portugal, com 1.250, os mais numerosos. Comparativamente, a Espanha identificou apenas 132 e a França 127.

Designado por Diretiva (UE) 2016/1148 e por Diretiva SRI, o documento de 6 de julho de 2016 é relativo a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União Europeia (EU). O objetivo passa, por isso, por “melhorar a resiliência da UE contra os riscos de cibersegurança”, como explica a CE no documento.

Para isso, a Diretiva introduz medidas concretas destinadas a reforçar as capacidades em matéria de cibersegurança em toda a UE e a atenuar as ameaças crescentes às redes e aos sistemas de informação utilizados para a prestação de serviços essenciais em setores-chave.

Lei portuguesa sobre segurança do ciberespaço já está em vigor
Lei portuguesa sobre segurança do ciberespaço já está em vigor
Ver artigo

Na sequência da sua entrada em vigor em agosto de 2016 os Estados-Membros deveriam adotar até 9 de maio de 2018 as medidas nacionais necessárias para dar cumprimento às disposições da Diretiva SRI. No entanto, apenas em setembro deste ano é que todos os 28 Estados-Membros notificaram a sua transposição na íntegra. Em Portugal a lei que estabelece o regime jurídico da segurança do ciberespaço em Portugal, e que transpõe a diretiva, foi publicada em Diário da República em agosto de 2018.

Portugal destaca-se pelo número de OSE identificados

Dos 28 Estados-Membro, Portugal foi o segundo país a identificar mais OSE, 1.250, sendo apenas ultrapassado pela Finlândia, que definiu 10.897. No caso dos restantes países, o número de OSE estabelecidos não chegou sequer aos milhares. Para além de se destacar pelo número considerável de OSE identificados, Portugal também merece uma boa classificação por estar entre os 15 “bons alunos”, que apresentaram os seus dados dentro do prazo estabelecido.

O que tem sido feito de bom e quais são os desafios que precisam de ser ultrapassados?

No capítulo relativo à conclusão, a CE explica que a análise revela que a "Diretiva SRI tem servido de catalisador em muitos Estados-Membros, abrindo a via para uma verdadeira mudança no panorama institucional e regulamentar no que diz respeito à cibersegurança". Para além disso, a Comissão refere ainda que a obrigação da identificação dos OSE "desencadeou uma avaliação exaustiva dos riscos associados a operadores que desenvolvem atividades de importância crítica e a redes e sistemas de informação modernos em quase todos os Estados-Membros". "Tal pode ser considerado um sucesso para a União no seu conjunto, em consonância com os objetivos da Diretiva", pode ler-se no documento.

No entanto, a CE também identifica alguns problemas. Os Estados-Membros desenvolveram uma série de metodologias no que respeita à abordagem global de identificação de OSE, mas também no que se refere à definição de serviços essenciais e à fixação de limiares, e ao que parece "têm interpretações divergentes quanto ao que constitui um serviço essencial nos termos da Diretiva SRI".

Ainda no que diz respeito a incoerências, o documento frisa algumas "significativas na forma como os limiares são aplicados pelos Estados-Membros", considerando que "um maior alinhamento dos limiares a nível da UE poderá contribuir para atenuar este problema". O documento nota ainda que há outros setores potencialmente vulneráveis a ciberincidentes, além dos contemplados pela Diretiva SRI.

Ciberameaças continuam a crescer e passam cada vez mais despercebidas pelo utilizador
Ciberameaças continuam a crescer e passam cada vez mais despercebidas pelo utilizador
Ver artigo

Desta forma, a CE considera que o atual nível de diversidade pode ter um impacto negativo na prossecução dos objetivos da Diretiva. Para exemplificar esta premissa a CE refere que, embora o documento tenha desencadeado um processo crucial de intensificação e melhoria das práticas de gestão dos riscos dos operadores em setores críticos, a identificação de operadores de serviços essenciais encontra-se “consideravelmente fragmentada na União Europeia”.

Entre os vários problemas identificados no relatório, a CE destaca o facto de muitos Estados-Membros não terem concluído o processo de identificação dos OSE nos prazos fixados na Diretiva. Dos 28 países, 15 apresentaram os dados dentro do prazo, mas 13 não o fizeram.

Para além de identificar as maiores incoerências, a CE também propõe soluções de melhoria, sugerindo aos Estados-Membros que procurem aplicar as disposições da Diretiva SRI de uma forma tão coerente quanto possível, “utilizando plenamente os documentos de orientação elaborados pela Comissão e pelo Grupo de Cooperação”.

Newsletter

Receba o melhor do SAPO Tek. Diariamente. No seu email.

Notificações

Subscreva as notificações SAPO Tek e receba a informações de tecnologia.

Na sua rede favorita

Siga-nos na sua rede favorita.