A esfera empresarial portuguesa acaba de sofrer uma mudança profunda na forma como lida com as ameaças do espaço digital e o incumprimento destas regras pode gerar multas até 10 milhões de euros. A nova lei da cibersegurança já está em vigor no território nacional e traz consigo um conjunto de obrigações estruturais que vão afetar a rotina diária de várias organizações.
A resposta legal a esta vulnerabilidade tecnológica entrou em funcionamento a partir do dia 3 de abril e transpõe as diretrizes europeias de proteção de sistemas para o ordenamento jurídico do país. A informação detalhada sobre as exigências operacionais deste regime é avançada pelo jornal Expresso.
O objetivo central deste pacote legislativo visa generalizar a prevenção de riscos informáticos perante o aumento assinalável da quantidade e sofisticação dos ataques informáticos. Indica a mesma fonte que a aplicação das medidas de contenção será sempre proporcional à dimensão corporativa e à importância estratégica que cada entidade assume no mercado.
O alargamento a setores essenciais
O raio de ação destas normas abandona o conceito restrito de infraestrutura crítica e foca a atenção no impacto social que uma falha acarreta para a comunidade. O escopo fiscalizador engloba agora entidades de média e grande dimensão que desenvolvem a sua atividade em áreas fundamentais como a energia, a saúde, a banca e os transportes.
O aparelho estatal não fica isento desta modernização burocrática e grande parte dos organismos da administração pública passa a ter de cumprir rigorosamente estas métricas defensivas. Explica a referida fonte que apenas os departamentos associados à defesa, à segurança nacional e aos serviços de informação mantêm os seus regulamentos de supervisão fechados.
A restruturação interna das redes
As organizações classificadas no documento ficam perante a imposição legal de estruturar ativamente a proteção dos seus equipamentos e canais de comunicação. O decreto governamental exige uma monitorização contínua dos riscos de intrusão e a produção metódica de relatórios que documentem as barreiras virtuais instaladas.
O cumprimento das novas métricas obriga as sociedades a nomear um gestor interno com o pelouro exclusivo da estabilidade da rede de computadores. A identidade deste elemento técnico terá de ser comunicada com caráter de urgência à autoridade central que tutela o ciberespaço em Portugal.
As obrigações dos administradores
A camada diretiva assume uma responsabilidade máxima na arquitetura orgânica imposta pelas autoridades para evitar a perda de dados sigilosos. O topo da hierarquia corporativa terá de aprovar formalmente todas as intervenções de reparação e supervisionar a sua correta execução pelas equipas de tecnologia.
A direção empresarial fica incumbida de promover e custear ações de formação periódicas para educar os seus funcionários sobre as principais armadilhas escondidas na internet. A elaboração de um relatório anual sobre as anomalias detetadas e a denúncia célere das tentativas de sequestro de dados tornam-se rotinas inadiáveis.
As pesadas sanções financeiras
A recusa de colaboração ou a manifesta ausência de defesas lógicas resulta na abertura de processos de contraordenação que ameaçam a sobrevivência financeira das empresas. As sanções pecuniárias aplicadas pelas entidades fiscalizadoras podem atingir o valor máximo de 10 milhões de euros ou o correspondente a 2 por cento do volume de negócios gerado pela corporação infratora no ano transato.
O cálculo final das verbas a liquidar ao Estado pesará a gravidade do facto ilícito e o eventual benefício obtido pelo infrator durante o período de incumprimento. Explica ainda o Expresso que a responsabilidade transita da figura jurídica para a dimensão pessoal, podendo os administradores enfrentar consequências diretas devido à sua omissão de vigilância.
Leia também: Banco de Portugal avisa: nestas situações a sua conta bancária é bloqueada sem qualquer aviso prévio
