A proteção e a resiliência de infraestruturas críticas são fatores fundamentais para o normal funcionamento das sociedades modernas. Nos planos nacional e europeu, a atual legislação em vigor sobre esta matéria (1) veio alargar a um maior leque de setores (2) a obrigatoriedade de identificação e designação de infraestruturas e entidades críticas.
Comum a este acervo é a necessidade das entidades e infraestruturas críticas de cada Estado terem planos de resiliência, onde se incluem os respetivos planos de segurança, sempre partindo de avaliações de risco que devem, também, incluir ameaças especialmente graves provenientes de ações humanas hostis, como o terrorismo, a sabotagem ou a espionagem, entre outras.
A produção de informações sobre estas ameaças, bem como a sua avaliação, são missões do Serviço de Informações de Segurança (SIS), cuja partilha externa, incluindo com as entidades operadoras de infraestruturas críticas, obedece às regras sobre segurança das matérias classificadas.
Porém, como a resiliência de uma organização só é possível se todos os seus membros estiverem cientes das ameaças que sobre elas impendem e das melhores práticas para a sua prevenção e proteção, é fundamental difundir o conhecimento relevante sobre estas realidades, incluindo junto de funcionários não credenciados.
Para colmatar esta necessidade, o SIS, através dos seus programas Krítica e de Proteção do Conhecimento e da Informação Sensível, realiza ações de sensibilização, de carácter “Reservado” (3) , sobre as ameaças acima referidas, incluindo entre os seus destinatários os operadores de infraestruturas críticas, contribuindo desta forma para a melhoria da cultura de segurança destas organizações e para a redução dos seus riscos.
1 O DL nº 20/2022, de 28JAN22, e a Diretiva (EU) 2022/2557 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022, cuja transposição para a legislação nacional deverá ocorrer este ano.
2 No plano nacional, para além da Energia e dos Transportes, passaram a ser incluídos os setores de: Comunicações; Infraestruturas digitais e prestadores de serviços digitais; Abastecimento público de água e tratamento de resíduos; Alimentação; Saúde; Indústria; Serviços financeiros; Órgãos de Soberania e
Governação; Segurança; e Defesa. No plano europeu, estão excluídos estes três últimos setores e é acrescentado o Espaço.
3 Não obrigando à credenciação dos destinatários.
Por Manuel Gonçalves, Coordenador do Programa Krítica do SIS (Serviço de Informações de Segurança)