Entidades com 60 dias úteis para registo no MyCiber no reforço da cibersegurança

O coordenador do Centro Nacional de Cibersegurança (CNCS) disse hoje à Lusa que as entidades têm 60 dias úteis para fazer registo e autoidentificação na plataforma MyCiber (cibersegurança) e que dispõem de instrumentos de apoio neste âmbito.

Este é o primeiro regulamento "que decorre do novo Regime Jurídico da Cibersegurança (...) e vem densificar um conjunto de aspetos que são estruturantes para implementação por parte das organizações, mas também por parte das autoridades de cibersegurança competentes desse regime jurídico", enquadrou Lino Santos.

Estabelece o funcionamento da "plataforma de comunicação com as entidades abrangidas" - myciber.gov.pt - e esta fase"de autoidentificação, qualificação e registo decorre nos próximos 60 dias úteis", começando também a contar "um prazo" de implementação do conjunto de medidas mínimas "que lhes é atribuída aquando da qualificação, para o qual tem 24 meses para se adaptarem e para cumprirem", explicou o coordenador do CNCS.

Nesta fase, "as entidades estão obrigadas a auto-declararem-se perante esta plataforma, perante as autoridades competentes, de que cumprem um conjunto de requisitos para serem qualificadas ou como entidades essenciais ou como entidades importantes, ou como entidades relevantes da Administração Pública", adiantou Lino Santos.

Estes diferentes tipos de qualificação determinam um grau de exigência ou um conjunto de medidas de segurança mínimas que têm que implementar nos próximos 24 meses.

"Esperamos cerca de 6.000 entidades abrangidas por este novo regime jurídico, em comparação com 450 que tínhamos no anterior", disse.

Este é "o primeiro passo de um caminho" para cumprirem o Regime Jurídico de Cibersegurança, cujo objetivo é assegurar que os serviços essenciais e críticos que as organizações prestam "têm um nível elevado de cibersegurança".

Até porque "temos um quadro de ameaças complexo que vai desde agentes de ameaça estatais, de agentes de cibercrime ou mesmo ativistas no ciberespaço, até desafios que são colocados por tecnologias disruptivas", como a inteligência artificial (IA) generativa.

O objetivo é que o conjunto de medidas que as diferentes entidades têm que implementar "reduza ao nível aceitável o risco a que elas estão expostas".

Entretanto, o CNCS tem preparado um conjunto de instrumentos para as apoiar neste processo.

Além desta fase de 60 dias úteis, há "um conjunto de sessões de esclarecimento, de 'workshops'" e também "um conjunto de instrumentos que estamos a desenvolver, ainda no âmbito do PRR, para ajudar as organizações para as quais este processo é completamente novo", salientou.

Por exemplo, a disponibilização de uma ferramenta gratuita para que as organizações possam realizar a análise de risco.

"Estamos a adaptar a nossa oferta na academia de cibersegurança para este novo regime jurídico da cibersegurança", bem como a trabalhar com centros de competências em cibersegurança, asseverou Lino Santos.

"Estamos a produzir guias e 'templates'" sobre as medidas mínimas exigidas, "numa lógica de suporte às entidades durante estes próximos 24 meses", sublinhou.

O novo regulamento contém as funcionalidades da plataforma eletrónica MyCiber e um conjunto de instrumentos estruturantes, entre os quais o Quadro Nacional de Referência para a Cibersegurança (QNRCS).

"Uma das novidades que este regime traz é a possibilidade de as entidades obterem um certificado de conformidade" com o QNRCS "ou com o selo de maturidade digital na componente de cibersegurança", apontou.

Trata-se de um "instrumento importante porque permite do lado da entidade e, principalmente, da pessoa que é responsável pela cibersegurança pela administração da empresa ter algum conforto de que está a cumprir com as obrigações legais" nesta matéria.

"Este quadro é extremamente importante porque define aquilo que são as boas práticas de cibersegurança" em Portugal.

Outro instrumento importante são "os conjuntos de medidas mínimas a que as entidades estão obrigadas, ou seja, é uma diferença substancial relativamente ao anterior regime jurídico".

Anteriormente, a obrigação "era que elas realizassem uma análise de risco e depois implementassem as medidas que considerassem suficientes e adequadas para mitigar os riscos identificados", o que "era um processo extremamente vago", com pouca previsibilidade.

Este modelo é "mais prescritivo", tem em conta "a dimensão da entidade e o nível de risco que nós definimos para aquele setor de atividade económica", pelo que "previne o sucesso de grande parte destes ataques", disse.

Lino Santos destacou que este trabalho foi realizado durante o último ano numa "uma forte colaboração", envolvendo a academia, as diferentes comunidades setoriais.