Os três pilares regulatórios para a cibersegurança e resiliência digital: NIS2, DORA e Lei 49

Segundo as páginas consilium.europa.eu e commission.europa.eu/news-and-media a estratégia da União Europeia no que ao reforço da cibersegurança e da resiliência operacional diz respeito, tornou-se uma das suas prioridades. 

Assim, decidi escrever sobre os principais instrumentos regulatórios com impacto direto nas organizações europeias a directiva NIS2 e o regulamento DORA mas, como me interessas sobretudo a sua aplicabilidade em Portugal, não poderia deixar de incluir neste texto a Lei n.º 49/2009.  

Em Portugal estes instrumentos são frequentemente analisados em conjunto, mas possuem objetivos, enquadramentos, âmbitos e mecanismos distintos.  

A NIS2 é a natural evolução da primeira diretiva europeia sobre segurança de redes e sistemas de informação, tendo como principal objetivo elevar o nível comum de cibersegurança entre os Estados-membros da União. A norma impões requisitos mais rigorosos em áreas como a gestão de risco, o “report” de incidentes, a continuidade de negócio e, até, a responsabilização dos órgãos de gestão. A NIS2 abrange todos os setores, mas alguns passam a ser considerados setores essenciais e de grande importância, como os setores: da energia, da saúde, dos transportes, da administração pública e das infraestruturas digitais e de comunicação.  

Por sua vez, o DORA (Digital Operational Resilience Act) foca-se especificamente no sector financeiro. Este regulamento estabelece regras uniformes para garantir a resiliência operacional digital nos bancos, nas seguradoras, nas instituições responsáveis por gerir pagamentos e em outros operadores financeiros que mereçam destaque. Introduz obrigações em gestão de risco no que às tecnologias de informação e comunicação diz respeito, testes de resiliência, gestão de terceiros tecnológicos e “report” de incidentes. Aqui o foco não é apenas a segurança, mas o garante da continuidade operacional face a possíveis falhas tecnológicas, ciberameaças e ciberataques.  

Em Portugal, a transposição dos dois últimos é feita para a legislação nacional pela Lei n.º 49/2009 (ou Lei do Cibercrime) que, além dessa transposição, adota outras disposições relacionadas com a criminalidade informática e a recolha de prova digital. Ao contrário da NIS2 e do DORA, a Lei nº 49, não é de um regime de governação ou “compliance” organizacional, mas de enquadramento legal para investigação criminal de crimes informáticos, acessos ilegítimos, sabotagens informáticas ou interceções ilícita de dados por via informática.  

Podemos assim afirmar que enquanto a NIS2 reforça a maturidade transversal da cibersegurança, o DORA aprofunda a resiliência operacional no sector financeiro e a Lei nº 49 assegura a capacidade legal de investigação e repressão criminal. É absolutamente vital compreender estas diferenças. O desafio atual já não passa apenas por cumprir requisitos isolados, mas pela construção de modelos integrados de “governance”, gestão de risco e resposta a incidentes alinhados com um ambiente regulatório cada vez mais exigente a NIS2, o DORA e Lei nº 49 se assumem como os três pilares regulatórios para a cibersegurança e resiliência digital.