Esta é uma das propostas da Associação para o Desenvolvimento Económico e Social (SEDES) que consta no documento entregue no âmbito da consulta pública do regime jurídico que transpõe a diretiva NIS2 (cibersegurança), a qual terminou em 31 de dezembro.

O diploma é “bastante completo” e o “objetivo do nosso documento “foi justamente cobrir alguns ‘gaps’, mas sobretudo procurar melhorar algumas das áreas (…) que já estavam a ser endereçadas”, afirmou hoje à Lusa João Annes, membro do Observatório para a Segurança e Defesa da SEDES.

“Do nosso ponto de vista há aqui três pontos essenciais”, sendo que o primeiro tem em conta “o nível máximo de exigência que está a ser exigido às empresas, às organizações, por parte deste regime jurídico, que é algo que nós entendemos que é necessário e advém da própria diretiva NIS2” e que “é importante que exista paridade”.

Ou seja, “o Estado deve exigir para si próprio”, ministérios, gabinetes, empresas públicas e os responsáveis das mesmas entidades, “as mesmas regras e as mesmas responsabilidades e consequências que exige ao setor privado”, defendeu.

“Esse é um princípio que, aliás, o ministro da Presidência referiu, que era algo que era importante manter o equilíbrio do setor público e do setor privado neste regime jurídico e, portanto, fizemos propostas no sentido de não só acrescentar alguns artigos que pudessem melhorar essa componente, como também remover, por exemplo, uma componente que nos parece que vai contra essa mesma visão, que conferia algumas isenções a entidades do Estado que não existiam para o setor privado”, explicou.

Tendo em conta que “o ciberespaço e a sua segurança dependem da cooperação” e “de uma relação de interdependência entre o Estado e o setor privado, então, regras iguais para todos”, tal como responsabilidades e consequências, defendeu.

O segundo ponto, “que nos pareceu muitíssimo importante” é o de “olharmos para este regime jurídico também como uma oportunidade para o desenvolvimento económico e industrial de Portugal”, apontou.

O diploma define instrumentos estruturantes e “um deles vai ser a revisão da Estratégia Nacional de Segurança do Ciberespaço”, adiantou.

No documento de estratégia, “entendemos que também devem estar lá linhas relacionadas com incentivos e apoios ao investimento e à criação de capacidades nacionais”.

“Propusemos que fosse também acrescentado a esse artigo um objetivo ligado a políticas económicas e industriais de cibersegurança que inclua incentivos fiscais e ao investimento em empresas de cibersegurança”, porque “o mercado precisa de ser estimulado”, prosseguiu.

Ou seja, “se queremos que haja um investimento na hora dos 540 milhões, conforme apresentou o estudo da Frontier Economics, então esse investimento deve ser canalizado e deve ser estimulado por forma a que as empresas não entendam este investimento apenas como um custo afundado, mas sim como um investimento da qual podem tirar também vantagens”.

João Annes defendeu a necessidade de “robustecer as empresas de capital português que prestam serviços ou desenvolvem produtos” para se criar “uma economia nacional de cibersegurança que consiga depois criar uma manutenção de todos estes requisitos de segurança para o futuro”.

“Tem que haver sustentabilidade na implementação deste regime jurídico e para isso são precisas medidas de incentivo económico”, salientou, referindo “o artigo escrito ontem [quarta-feira] por parte do primeiro-ministro em que falou em investimento, investimento, investimento”.

Se estas propostas “forem adotadas, nós podemos tornar Portugal não só um dos países mais ciberseguros do mundo, verdadeiramente, mas também um dos países mais atrativos, com maior competitividade económica ao nível da economia de cibersegurança” e “do meu ponto de vista isso é um objetivo que deve estar neste regime jurídico”, defendeu.

O terceiro tópico é “a avaliação da cadeia de desabastecimento” que considerou que “tem que ser melhorada no regime jurídico” do ponto de vista técnico e jurídico.

Isto porque, “não define um âmbito completo para a empresa, ou seja, a empresa terá que avaliar o risco da sua cadeia de abastecimento, ponto final”.

Isso significa “avaliar em Portugal centenas de milhares de empresas, ou seja, que as empresas reguladas vão ter que avaliar centenas de milhares dos seus fornecedores, quando muitos desses fornecedores nada têm a ver, digamos, ou quando muito representam um risco muitíssimo baixo ou nulo, logo à partida, porque não acedem aos sistemas de informação das organizações reguladas”.

O que importa aqui, “do nosso ponto de vista, é que as empresas reguladas tenham que avaliar a sua cadeia de abastecimento que fornece os ativos essenciais”, pelo que “entendemos, da análise que fizemos”, que o âmbito deve ser delimitado e “devem ser estabelecidos dois ou três critérios de base” para que não se torne uma “confusão burocrática”, sustentou.

Apontou que estas regras são “muito exigentes” do regime jurídico “como nunca aconteceu na história da cibersegurança em Portugal”, com “muito mais entidades do que alguma vez foram abrangidas” e que “nunca vai reduzir na sua exigência”, quanto muito aumentar nos próximos anos.

Este é “um contributo construtivo” para que Portugal, “tal como é um dos países mais seguros do mundo”, seja “um dos países mais ciberseguros do mundo” e que “também seja visto como uma oportunidade económica e não como um custo ou um peso burocrático das organizações que só vai afetar a sua competitividade, quando pelo contrário, até pode reforçar a sua competitividade em Portugal e no estrangeiro”, rematou.