Por José Capote (*)

O risco digital existe nas nossas vidas individuais e comunitárias, a par de outros com os quais sempre lidámos, decorrentes da Natureza ou da ação humana. A crescente relevância das novas tecnologias sublinha a importância da segurança digital para fazer face aos riscos e ameaças, não catalogáveis em função de uma determinada origem, num contexto de forte mobilidade, volatilidade e globalização.

Neste quadro, a União Europeia (UE) adotou, em 28 de novembro de 2022, uma nova diretiva para reforçar a cibersegurança no espaço comunitário através da harmonização das regras nos Estados-membros.

Depois da primeira Diretiva NIS (EU 2016/1148, transposta em Portugal através da Lei 46/2018), de implementação difícil para empresas e entidades públicas, a Diretiva NIS2 – a transpor até Outubro deste ano – é uma oportunidade para reforçar as condições gerais de cibersegurança na UE, sem prejudicar as dinâmicas sociais e económicas, pelo acréscimo de impactos negativos nas empresas e nas vidas das pessoas.

Este é um desafio de equilíbrio entre a procura de ganhos das iniciativas de cibersegurança e a ponderação dos impactos das orientações.

A experiência das dificuldades de aplicação da anterior diretiva deixa-nos algumas pistas fundamentais para a conclusão positiva deste processo legislativo, com a sua transposição por cada Estado-Membro, e a sua aplicação, com inevitáveis reconfigurações das regulamentações, ajustes nas soluções e práticas assumidas por todos que recorrem às tecnologias de informação e comunicação (TIC).

É evidente que as entidades empresariais têm de reforçar a sensibilização sobre a legislação; deve haver um foco na certificação da cibersegurança e ser desenvolvida uma estreita cooperação intersectorial orientada para um sistema funcional, com mínimos de resiliência aos riscos e ameaças, dentro de cada empresa, nos países e no espaço da UE.

As autoridades dos Estado-Membros devem adotar critérios claros de avaliação dos dispositivos/aplicações críticos, em processos que devem ter pressupostos de transparência e previsibilidade mínimos, inteligíveis e escrutináveis por todos. Devem, ainda, abster-se de impor obrigações excessivas aos serviços públicos, às operadoras e às empresas, promover a utilização da certificação e ter uma abordagem racional do sistema de cibersegurança.

A avaliação da segurança dos produtos TIC deve ser conduzida sempre em resultado da aplicação de critérios objetivos, através de processos transparentes que permitam a compreensão das opções, classificações e riscos através dos designados “use cases”, que fornecem as orientações necessárias para uma implementação e configuração seguras dos equipamentos.

Impõe-se o equilíbrio na imposição de condicionalismos e obrigações aos serviços públicos e às empresas, pois o excesso induz custos de funcionamento e na competitividade, sem ganhos evidentes na redução dos riscos.

O aumento dos custos relacionados com a utilização das TIC aconselham a existência de sistemas de certificação validados pelas autoridades nacionais, com reconhecimento internacional para dispositivos e aplicações. A aplicação dos requisitos da diretiva NIS2 terá sempre impactos nas organizações públicas e privadas, podendo-se projetar na qualidade e nos preços dos serviços. No limite, nas opções mais radicais, o cidadão poderá ter impactos negativos no preço que paga por dispositivos e serviços.

As pessoas, as empresas e os países enfrentam crescentes desafios e constrangimentos, sendo a cibersegurança uma preocupação relevante a ser assumida com determinação e equilíbrio. Só uma abordagem racional permite um nível de compromisso com a aplicação das orientações, que não se projete significativamente nos custos e no acesso às TIC por todos.

Esse sentido de equilíbrio orientado para a eficácia das normas e o reforço da cibersegurança passa pela definição precisa das entidades e serviços sujeitos às normas de segurança específicas, num quadro de transparência, objetividade e proporcionalidade.

A cibersegurança é um desafio crescente e a NIS2 é uma resposta, mas a sua aplicação racional precisa de certificação conjunta da UE, que confere garantia de segurança a determinado produto/serviço; de objetividade na determinação do nível de maturidade da segurança (entidade e serviços); clareza na avaliação do risco da cadeia de abastecimento e promoção da diversificação dos fornecedores, limitando as dependências (e o risco do ponto único de falha) de fornecedores únicos.

A cibersegurança requer compromisso, adesão de todos e sentido de equilíbrio para que uma oportunidade não se transforme num problema para os países, as empresas e as pessoas pelos impactos negativos que possa gerar. Só o equilíbrio assegura esse resultado.

(*) Cyber Security and Privacy Officer na Huawei