É indiscutível que vivemos hoje num Mundo mais digital do que aquele em que vivíamos ontem, e as entidades (pessoas coletivas) públicas não fogem a essa realidade, alias, em muitos casos tem sido mesmo a Administração Pública, o motor propulsor e dinamizador daquela que é agora chamada de transição digital.
Com o objetivo de modernizar a Administração Pública, têm vindo à luz um conjunto de programas, medidas, planos e normativos diversos, não sendo injusto apontar o ano de 2006 como aquele em que tudo terá começado, pelo menos de forma mais visível, com o programa Simplex. Desde então, os procedimentos de uma maneira geral, e o relacionamento com os cidadãos de uma maneira mais específica, faz-se pelos mais diversos suportes e canais digitais.
Esse aumento da utilização dos recursos digitais, não poderia ter outra consequência que não a de um equivalente aumento das preocupações com a sua segurança.
Reflexo disso é a quantidade de legislação comunitária e nacional que se aplica em matéria de segurança informática, e a que deve atender toda a Administração Pública, sendo-lhe exigido o cabal cumprimento de um conjunto muito significativo de complexas normas, a que corresponde um rigoroso quadro sancionatório em caso de incumprimento, com coimas entre os 5000€ e os 50000€.
“Queremos acreditar assim, que não só os dados dos cidadãos e empresas, mas sobretudo os nossos processos, como sejam os de licenciamento ou de contratação e, mais que tudo, a prestação de serviços essenciais, como seja o abastecimento de águas para consumo humano, estão seguros.“
Esse quadro, que resulta do Regime Jurídico de Segurança do Ciberespaço, aprovado pela Lei 46/2018, de 13 de agosto, complementado pela regulamentação estabelecida no Decreto-Lei 65/2021, de 30 de julho, onde se determina que, todas e cada uma das pessoas coletivas públicas, sejam elas da administração direta, indireta, autónoma ou outras, têm o dever de cumprir as medidas técnicas e organizativas para gerir os riscos que se colocam à segurança das redes, dos sistemas e dos dados.
Entre essas obrigações, para além de um conjunto de relatórios e informações, destacam-se: (i) a definição de um ponto de contacto permanente; (ii) a designação de um responsável de segurança; (iii) a realização de inventário dos ativos; (iv) a elaboração de um plano de segurança; e (v) uma rigorosa e completa gestão de riscos.
Dessa gestão de riscos deve resultar a identificação de todas as ameaças, identificando-se também, para cada uma dessas ameaças, a sua probabilidade de ocorrência, impactos, medidas preventivas e de resposta.
O prazo para que todas essas obrigações se tornassem efetivas na Administração Pública findou no passado mês de janeiro, à exceção da primeira avaliação dos riscos, que decorre até agosto de 2022.
A importância de uma muito especial atenção às questões da segurança informática ganhou relevância com a abrupta e exponencial utilização dos suportes e canais digitais durante os períodos de confinamento e teletrabalho obrigatório, momento a partir do qual, por definição, as redes e sistemas passaram a estar mais vulneráveis.
A Administração Pública tem assim todas as ferramentas disponíveis, inclusive as legais, para prever e prevenir os riscos de incidentes de segurança informática, bem como atuar no caso da ocorrência desses riscos. Muitas medidas que para isso contribuem, estarão já implementadas no âmbito de outras normas já em vigor, como é o caso do RGPD – Regulamento Geral de Proteção de Dados.
Queremos acreditar assim, que não só os dados dos cidadãos e empresas, mas sobretudo os nossos processos, como sejam os de licenciamento ou de contratação e, mais que tudo, a prestação de serviços essenciais, como seja o abastecimento de águas para consumo humano, estão seguros.