O DORS, que se realizou em Lisboa, contou com diversas intervenções de fornecedores de produtos e serviços de cibersegurança, debates sobre a importância da Lei da Resiliência Operacional Digital (DORA) e da Diretiva NIS 2. O evento contou ainda com uma intervenção do director-geral do Gabinete Nacional de Segurança, o contra-almirante António Gameiro Marques. Este responsável explicou o que o Centro Nacional de Cibersegurança (CNCS) está a fazer no âmbito da legislação europeia que actualiza a primeira Network and Information Systems Directive, transposta pelo Governo recentemente, que irá estar em consulta pública.
António Gameiro Marques salientou que o CNCS vai desenvolver, através da C-Academy e com os 28 universidades e politécnicos que fazem parte desse projecto, uma «campanha nacional para divulgar e capacitar todos os agentes que vão ser impactados» pela nova directiva, em 2025 e, ainda, criar e disponibilizar um «conjunto de ferramentas, a começar pela nova versão do Quadro Nacional de Referência em Cibersegurança, alinhado com este normativo», que vai «ajudar as entidades a perceber onde é que se posicionam no âmbito da transposição e se são abrangidas ou não».
O director-geral explicou qual é a estratégia do CNCS: «A nossa ideia é estarmos ao lado das empresas e não nos posicionarmos apenas como entidade que vai supervisionar. Queremos ajudar-vos, porque, com isso, estamos a contribuir para que a sociedade portuguesa cresça na sua maturidade em cibersegurança – em última instância, isto beneficia-nos, enquanto País».
O director-geral do GNS alertou que a maior ameaça é, actualmente, a «manipulação e a interferência estrangeira da informação» (‘FIMI’, na sigla em inglês) e que a «tecnologia é um amplificador quer na velocidade com que as coisas chegam ao seu destinatário quer no alcance», dando como exemplo disso, a IA e o seu poder de aumentar a desinformação. Assim, é preciso «cooperar activamente, fazer um centro em rede com pessoas e ter lideranças comprometidas».
É impossível eliminar o risco
No debate que falou de governança e das responsabilidades do conselho de administração no âmbito do DORA/NIS2, Pedro Barbosa (founder da Skill & Reach) sublinhou que os boards, com estas legislações, passam a ter de «aprovar as medidas de gestão de risco e de segurança, supervisionar a implementação dessas medidas, participar em formações e dar formações aos seus colaboradores».
Esta inclusão da responsabilidade da liderança, tem, segundo Pedro Lomba (partner da PLMJ), o intuito de «colmatar uma falha» da anterior NIS e «promover uma cultura de cibersegurança». O advogado disse acreditar que, em Portugal, apesar de ainda não estar decidido, que «violações graves vão envolver medidas de nível contra-ordenacional». Manuel Eanes, administrador da NOS, esclareceu que, como fornecedora de infraestrutura crítica, a empresa se «está a adaptar com alguma naturalidade», uma vez que «tem a obrigação de merecer a confiança dos cidadãos e empresas»; desta forma, a NOS tem de «antecipar os riscos, para que não haja consequências».
Agustin Lopez Lamadrid, security lead Iberia managing director da Accenture, lembrou que esta nova responsabilização dos órgãos de gestão «obriga a uma mudança cultural» e «não se trata apenas de tecnologia, mas também da forma como os diferentes processos são geridos». Por último, Ana Cristina Borges, executive director da MDS, referiu que é importante «perceber que não há risco zero» e que se deve tentar que a «cultura de ciberseguranca e resiliência estejam no DNA da própria empresa e sejam um objectivo do dia-a-dia». A responsável acrescentou que o compliance «não pode ser um obstáculo para o desenvolvimento das actividades e da inovação, mas sim uma ajuda» sendo que estas medidas «devem estar embebidas, desde o início, nos produtos e serviços».
