Por António Madureira, advogado e consultor em legislação sobre protecção de dados, privacidade electrónica, cibersegurança e ciberespaço
A segurança da internet e de todos os que nela navegam é tão fundamental como a segurança da navegação no mar, da circulação nas vias de comunicação terrestre ou da navegação aérea. O ser humano conseguiu criar um espaço virtual de comunicação que se tornou mais importante para o funcionamento da sociedade que qualquer outra via de comunicação. Quase todos os serviços públicos e privados estão dependentes desse “sistema” e quando esse “sistema” não funciona quase tudo bloqueia.
A segurança do ciberespaço sendo vital para o funcionamento do mercado único da UE não podia deixar de ser objeto de regulamentação. A UE publicou a Diretiva 2016/1148 relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e sistemas de informação em toda a UE.
No essencial, nessa diretiva, a UE estabeleceu a obrigação para todos os estados-membros de adotarem estratégias nacionais de segurança do ciberespaço, designarem autoridades nacionais com competências e atribuições específicas e estipularem obrigações de segurança.
Essa diretiva foi transposta para Portugal em Agosto de 2018 através da Lei 46/2018, que implementou a estratégia nacional de segurança do ciberespaço com as seguintes autoridades e suas atribuições: o Conselho Superior de Segurança do Ciberespaço como órgão consultivo, o Centro Nacional de Cibersegurança como a autoridade nacional de cibersegurança e a Equipa de Resposta a Incidentes de Segurança Informática Nacional com atribuições de reação, análise e mitigação de incidentes de segurança.
Esta lei de segurança do ciberespaço transpôs também as obrigações de segurança e de notificação de incidentes de segurança para:
- Prestadores de serviços digitais: Serviços de mercado em linha (e-commerce), serviços de motor de pesquisa em linha e serviços de computação em nuvem.
- Prestadores de Serviços essenciais: Energia (eletricidade, petróleo, gás), transportes (aéreo, ferroviário, marítimo, rodoviário), serviços bancários e mercados financeiros, serviços de saúde; fornecimento e distribuição de água potável e infraestruturas digitais.
- Operadores de infraestruturas críticas: Sistemas essenciais para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social.
- Administração Pública: Estado; regiões autónomas; autarquias locais; entidades administrativas independentes; institutos públicos; empresas públicas e associações públicas.
As obrigações de segurança incluem: medidas técnicas e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação utilizadas, assegurar um nível de segurança adequado ao risco tendo em conta os progressos técnicos mais recentes e medidas adequadas para evitar os incidentes que afetem a segurança das redes e dos sistemas de informação utilizados para reduzir ao mínimo o seu impacto.
Por sua vez, as obrigações de notificação de incidentes incluem: a notificação ao Centro Nacional de Cibersegurança dos incidentes com um impacto relevante na continuidade da atividade, com informação que permita determinar o impacto dos incidentes.
Para além das consequências para a própria atividade e dos prejuízos daí resultantes, o incumprimento dessas obrigações, incluindo por negligência, tem como consequência a prática de contraordenações punidas com coima de € 5000 a € 25 000, tratando-se de uma pessoa singular, e de € 10 000 a € 50 000, no caso de se tratar de uma pessoa coletiva.
Os prejuízos resultantes do incumprimento das medidas previstas nesta legislação superam seguramente os custos da sua implementação.
António Madureira é advogado e consultor em legislação sobre proteção de dados, privacidade eletrónica, cibersegurança e ciberespaço.