Para lá da definição de regras na área da cibersegurança, o desafio está na sua aplicação, na coordenação entre países da União Europeia e na preparação das organizações para responder a ambientes cada vez mais complexos, apontam especialistas e responsáveis do sector no 35º Congresso da APDC.
Defender o espaço digital europeu é cada vez mais uma prioridade estratégica e, num contexto de crescente exposição e de sofisticação das ameaças, a segurança é também uma questão de soberania. “Soberania digital e cibersegurança são duas faces da mesma moeda”, afirma Lino Santos, coordenador do Centro Nacional de Cibersegurança (CNCS) no palco do 35º Congresso da APDC.
Para o responsável, a capacidade de um Estado definir regras e, acima de tudo, de as executar, é a base da soberania no espaço digital, sublinhando que, sem essa capacidade, não há verdadeiro exercício do Estado de Direito no ciberespaço.
Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt
O quadro regulatório da União Europeia em matéria de cibersegurança e digital é “bastante complexo”, admite, embora o considere necessário para aplicação do Estado de Direito no espaço digital.
Apesar disso, o Coordenador do CNCS sublinha que esta complexidade deve ser acompanhada por esforços de simplificação de uma maior articulação entre diplomas e entidades, tendo em vista uma evolução para modelos de governação mais integrados e holísticos.
Ter uma maior contenção na produção legislativa é outro dos aspectos destacados pelo responsável, dando mais prioridade à implementação das regras que já existem e verificando a sua eficácia antes de introduzir nova regulamentação. “Senão nem sequer conseguimos medir a eficácia do que já foi produzido”, alerta.
Como aponta Luís Bernardino, presidente do Observatório dos Ecossistemas e Infraestruturas Digitais, a “UE deu, de facto, um salto qualitativo enorme” no que respeita à segurança, regulamentação e conectividade. No entanto, os avanços ainda não se traduziram numa prioridade estratégica consistente.
A segurança ainda não é uma prioridade no quadro da UE. É preciso mudar essa mentalidade e aceitar esse desafio de que a segurança digital é fundamental a própria segurança da UE
No que respeita à aplicação das regras, Nuno Medeiros, diretor de sistemas críticos e CISO da E-REDES, acrescenta que há uma “distância muito grande” entre a legislação e a execução, com grandes assimetrias na implementação, tanto a nível dos Estados-Membros, como dos sectores e das organizações. “Isto é algo que não pode acontecer, porque estamos a falar de setores críticos para a sociedade”, realça.
Enquanto alguns sectores já evoluiram para modelos mais maduros de responsabilização, outros ainda não conseguiram avançar nesse caminho e estão ainda “muito expostos e suscetíveis aos riscos de segurança”.
Já Luís Lobo, diretor de cibersegurança da NTT Data Portugal, destaca as assimetrias estruturais que existem dentro das organizações, tendo em conta que nem todas sabem quais são os ativos críticos que devem proteger. “Se eu não sei o que tenho de proteger, não posso ter resiliência efetiva”, realça.
NIS2
Preparação, literacia e cooperação. O que as empresas devem fazer para cumprir o novo Regime Jurídico da Cibersegurança?
Com a entrada em vigor do novo Regime Jurídico da Cibersegurança está a aumentar o alarmismo sobre as exigências para…
A implementação de diretivas como a NIS2, que, em Portugal foi transposta para o Regime Jurídico da Cibersegurança, torna ainda mais visíveis essas assimetrias. Com a diretiva a englobar novos sectores de atividade, há “muito trabalho para fazer por parte das organizações que estão debaixo do guarda-chuva da NIS2”, afirma o responsável.
A IA amplia a crescente complexidade do ecossistema da cibersegurança, com novas dinâmicas do lado da defesa como dos atacantes. Por um lado, a tecnologia poderá a “democratizar algumas atividades” e acelerar a defesa, afirma Luís Lobo, apontando para o potencial que tem para ajudar a fazer face à escassez de talento no sector.
Por outro, nesta fase, “é mais fácil para um atacante usufruir da IA para atacar e obter proveitos do que quem defende”, alerta o responsável, acrescentando que a própria tecnologia “abre uma nova superfície que, por si só, pode ser explorada e alavancada para atacar”.