Inês Antas de Barros veio citada no especial de cibersegurança da Advocatus, onde analisa o impacto do novo regime jurídico que transpõe a Diretiva NIS2 para o ordenamento jurídico nacional e que entrará em vigor em abril, sublinhando os desafios acrescidos que se colocam às empresas portuguesas, em especial no que respeita à governação, à gestão do risco e ao reporte de incidentes. Segundo a advogada, “no regime, aplica-se a entidades de setores listados no diploma, sobretudo aquelas que tenham dimensão média ou grande”, embora admita que “as micro e pequenas empresas encontram-se, por princípio, excluídas, salvo quando a criticidade da atividade imponha a sua inclusão, designadamente por incidência do prestador num setor crítico, impacto sistémico, efeitos transversais ou papel indispensável em cadeias de serviços essenciais”.
No que toca às obrigações práticas, Inês Antas de Barros destaca que o novo regime introduz “prazos, formatos e taxonomias de incidentes e estabelece procedimentos de cooperação com a autoridade competente e o Computer Security Incident Response Team (CSIRT) nacional”, reforçando a responsabilidade dos órgãos de gestão. Para as pequenas e médias empresas, o diploma representa uma mudança significativa, já que “as PME, que até agora não tinham de cumprir normas tão exigentes de cibersegurança, novos desafios práticos impõem-se”.
Nesse contexto, defende que o primeiro passo passa por “mapear com rigor as novas obrigações aplicáveis num ‘ecossistema regulatório denso e interligado’, identificando lacunas e priorizando ações”. A conformidade, porém, não se deve limitar a um exercício formal. “É essencial assegurar conformidade material, com atenção à gestão da cadeia de fornecimento, contínuo processo de avaliação de riscos, gestão de incidentes e vulnerabilidades, princípios de security-by-design, formação contínua e cultura organizacional de segurança”, aponta.
Inês Antas de Barros alerta ainda para os riscos de abordagens minimalistas ao novo regime, considerando que “o principal risco é a deriva para uma abordagem de ‘mera conformidade formal’, assente em checklists, dissociada da melhoria efetiva do nível de segurança”. Pelo contrário, sustenta que “os planos de conformidade devem ser concebidos como instrumentos estratégicos de gestão do risco, alinhados com requisitos legais, objetivos de negócio e resiliência operacional”.
Num cenário de maior escrutínio regulatório e reputacional, entende que a nova lei pode também constituir uma oportunidade estratégica. “Organizações que transformem as exigências do regime em vantagem competitiva estarão melhor posicionadas para competir e inovar com segurança”, sublinha, acrescentando que uma implementação consistente “pode reforçar de forma significativa a resiliência dos setores críticos, melhorar a coordenação nacional na resposta a incidentes, integrar definitivamente a cibersegurança na esfera da gestão de topo e aumentar a confiança no ecossistema digital português”.
Este artigo está disponivel para consulta na versão impressa da Advocatus de fevereiro.
