Entrevista/ “Portugal tem demonstrado um nível elevado de preparação para enfrentar os riscos cibernéticos”

“As empresas terão de implementar medidas de segurança mais robustas para se protegerem contra ciberameaças”, sugere Luís Martins, diretor-geral da Cipher Portugal. Defende também que um “marco jurídico unificado é essencial para defender a cibersegurança das empresas e organizações europeias”.

Integrada no grupo Prosegur, a Cipher Portugal é especializada em cibersegurança, com um diversificado leque de serviços direcionados para o setor empresarial. Agora que a NIS2, atualização da Diretiva europeia NIS (Network and Information Security), traz novos desafios às empresas e responsabilidades acrescidas no domínio da cibersegurança, Luís Martins, diretor-geral, aborda o impacto da norma na vida das empresas, no contexto nacional e europeu, e sublinha a necessidade de uma “vigilância constante e de melhorias contínuas”, onde não podem faltar sistemas de monitorização para detetar atividade suspeitas.

O que é que a NIS2 vai trazer de melhoria aos mecanismos europeus de cibersegurança?

A Norma NIS2 trará uma maior abrangência, requisitos de cibersegurança mais apertados, cooperação, resiliência e confiança reforçadas. Estas mudanças irão criar um nível comum mais elevado de cibersegurança em toda a União Europeia, respondendo aos desafios crescentes da digitalização e interconectividade.

“A implementação da NIS2 pode implicar custos adicionais (…). No entanto, estes investimentos são essenciais para garantir a resiliência e proteção contra ciberataques”.

Qual o impacto efetivo que espera que a diretiva NIS2 tenha nas empresas em Portugal?

Espera-se que os impactos sejam, previsivelmente, os mesmos, ou idênticos aos impactos previstos nas empresas em toda a Europa. As empresas terão de implementar medidas de segurança mais robustas para se protegerem contra ciberameaças. Isto inclui, por exemplo, a necessidade de realizar avaliações de risco regulares e de adotar práticas de segurança avançadas. As empresas serão responsabilizadas por garantir a segurança das suas redes e sistemas de informação, e, em caso de incidentes, terão de notificar as autoridades competentes de forma rápida e detalhada.

Além disso, vai promover a cooperação e facilitar a troca de informações sobre ciberameaças e incidentes, facilitando uma resposta mais coordenada e eficaz. A implementação da NIS2 pode implicar custos adicionais para as empresas, devido à necessidade de investir em tecnologias de segurança e formação de pessoas. No entanto, estes investimentos são essenciais para garantir a resiliência e proteção contra ciberataques.

E quais as etapas que as empresas nacionais não podem descurar na aplicação deste novo quadro jurídico europeu?

De uma forma geral, as empresas deverão efetuar uma avaliação de riscos, implementar medidas de segurança, promover a formação e sensibilização dos colaboradores. Além disso, deverão também preparar a organização para a notificação de incidentes, estabelecendo processos rápidos e claros, garantir que os fornecedores e parceiros também cumprem os requisitos de segurança e efetuar uma monitorização contínua da eficácia das medidas de segurança implementadas, de forma a fazer os ajustes necessários.

“(…) é crucial que as empresas portuguesas invistam em formação contínua (…)”.

 Na sua opinião, o mercado português está preparado para lidar com os crescentes riscos cibernéticos?

Portugal tem demonstrado um nível elevado de preparação para enfrentar os riscos cibernéticos. De acordo com o Índice Global de Cibersegurança (IGC) de 2024, Portugal está entre os países mais bem preparados do mundo, alcançando a classificação de “Tier 1 – Role-modelling”. Este reconhecimento destaca a eficácia das estratégias de cibersegurança implementadas pelo país, incluindo medidas jurídicas, técnicas e organizacionais avançadas. No entanto, o aumento contínuo dos incidentes de cibersegurança e crimes informáticos em Portugal sublinha a necessidade de uma vigilância constante e de melhorias contínuas. Em 2024, o país registou um crescimento de 12% nos crimes digitais, o que reflete a sofisticação crescente dos ataques cibernéticos.

Para manter e melhorar esta preparação, é crucial que as empresas portuguesas invistam em formação contínua, sensibilização e adoção de tecnologias de segurança avançadas.

 Atualmente, de onde vêm os maiores perigos em termos de ciberataques?

Nos dias de hoje, os maiores perigos em termos de ciberataques provêm de várias fontes, mas destacam-se os ataques de ransomware, phishing, malware, ataques de negação de serviço (DDoS) e injeção de SQL.

 Quais as principais preocupações da Cipher ao sensibilizar os clientes para a importância de implementarem protocolos de cibersegurança?

As principais preocupações da Cipher ao sensibilizar os seus clientes sobre a importância de implementar medidas de cibersegurança são o aumento da sofisticação dos ciberataques, especialmente com recurso a IA e automatização e da necessidade de ter soluções e serviços que podem diminuir esta assimetria.

O que não pode faltar na aplicação dos novos padrões, obrigações e boas práticas em matéria segurança?

Não pode faltar a implementação de sistemas de monitorização contínua para detetar atividades suspeitas, a realização de auditorias regulares e de plano de resposta a Incidentes, desenvolvido e testado regularmente para minimizar o impacto de ciberataques

Um quadro jurídico unificado para defender a cibersegurança das empresas e entidades europeias é o caminho? Qual dever ser o papel individual dos países neste processo?

Sim, um marco jurídico unificado é essencial para defender a cibersegurança das empresas e organizações europeias. Os diferentes países devem desempenhar vários papéis importantes neste processo começando pela implementação nacional, cooperação internacional, investimento em capacidades e monitorização e auditoria.

Quais os setores de atividade mais críticos para a aplicação da NIS2?

Os setores da energia, dos transportes, da saúde, da água potável e da gestão de águas residuais, das infraestruturas digitais, da administração pública e do setor financeiro são considerados mais críticos devido à sua importância para a sociedade e para a economia. A aplicação da NIS2 visa fortalecer a sua resiliência contra ciberameaças.

Qual o futuro da cibersegurança na Europa?

O futuro da cibersegurança na Europa será moldado por várias tendências e iniciativas importantes, tais como a estratégia de cibersegurança da UE, o investimento em tecnologias avançadas, a cooperação internacional e regulamentação e conformidade e a educação e sensibilização.