Como se proteger de um ciberataque? O que diz a lei?
Rigor e Profissionalismo, na procura das melhores soluções.
Artigo fevereiro 2022
Privacidade, Proteção de Dados e Cibersegurança
Nas últimas semanas, vários foram os ciberataques feitos a empresas portuguesas, daí a importância de clarificarmos o tema.
De acordo com os mais recentes dados do Gabinete de Cibercrime da Procuradoria Geral da República, as denúncias de cibercrimes duplicaram em 2021. Várias empresas de grande renome em Portugal, nas áreas de telecomunicações e imprensa, e até a página da Internet da Assembleia de República, foram vitimas deste tipo de crime. Embora o mundo digital facilite muito a comunicação entre as empresas e os clientes e haja hoje claramente uma dependência digital, certo é que tanto as empresas como os clientes ficam mais expostos aos crimes digitais. Mas como reagir perante um ciberataque? Segundo as recomendações da Polícia Judiciária e do Centro Nacional de Cibersegurança, a vítima deve denunciar o crime. Só com a denúncia, o crime passa a ser acompanhado e investigado pelas autoridades competentes. A maioria dos crimes informáticos depende de queixa, o que significa que a intervenção do Ministério Público está condicionada à apresentação formal de uma denúncia por parte do lesado. Embora seja uma prática recorrente das empresas não apresentarem queixa, focando-se no restabelecimento da sua operação e mitigação do evento de segurança, acabando muitas vezes por ceder ao pagamento de resgates impostos pelos criminosos, esta prática acaba por ter o efeito perverso de estimular o aumento destes atos criminosos, acabando consequentemente por ficar as empresas reféns destas organizações. As autoridades policiais dispõem de acordos de cooperação internacional, pelo que a apresentação de queixa é fundamental para a investigação e tratamento correto destes crimes. No que toca à legislação, várias são as leis que abrangem as matérias de cibersegurança, sendo uma das mais operacionais a Lei n.º 109/2009, de 15 de setembro, Lei do Cibercrime. Além desta, existem dois diplomas, que são a Lei n.º 46/2018, de 13 de agosto que transpõe para o ordenamento jurídico português a Diretiva (UE) 2016/1148, e o Decreto-Lei n.º 65/2021, de 30 de julho, que regula o primeiro diploma. Nestes diplomas são estabelecidos os requisitos de segurança e as obrigações de notificação de incidentes que as entidades da Administração Pública, os operadores de infra-estruturas críticas, os operadores de serviços essenciais, os prestadores de serviços digitais terão de cumprir, bem como os procedimentos de notificação voluntária de incidentes a todas as entidades que utilizem redes e sistemas de informação. Por outro lado, a Lei do Cibercrime (Lei n.º 109/2009, de 15 de setembro) estabelece as disposições penais relativas a ataques contra sistemas de informação, adaptando o direito interno à Convenção sobre Cibercrime do Conselho da Europa. Há quem entenda que, perante a crescente sofisticação e diversificação dos ataques informáticos, é difícil para o legislador acompanhe todas as formas e meios de execução destes crimes, e que, por isso, mais do que a legislação, é necessário que as nossas autoridades policiais estejam capacitadas para dar resposta a esta ameaça irreversível, não só em número de recursos mas também através da qualificação. No entanto, e numa outra versão, há quem acredite que a legislação portuguesa em matéria de cibersegurança tem tentado acompanhar o ritmo imposto pelo legislador europeu, ainda que em 2021 só tenha sido publicado o Decreto-Lei n.º 65/2021, de 30 de junho, que regulamenta esta lei e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881, de 17 de abril de 2019. Com o número variado de leis em matéria de cibersegurança, muitas são também as obrigações para as empresas, obrigações legais de prevenção, identificação e recuperação, que podem protegê-las de futuros ataques. Está, por exemplo, estabelecido para a Administração Pública, operadores de infra-estruturas críticas, operadores de serviços essenciais e prestadores de serviços digitais a obrigação de implementar requisitos de segurança. No que toca a medidas de proteção que devemos adoptar, há que ter em conta que, o nível de proteção que é necessário para uma pequena empresa não é o mesmo para uma de grandes dimensões. Os mecanismos de segurança variam e vão-se adaptando caso a caso. É , desta forma, importante que as empresas definam o seu plano de segurança de informação de forma adequada e também o coloquem em prática de forma efetiva. O plano passa por ter em consideração vários pilares de abrangência dentro das empresas, como a formação em cibersegurança, a avaliação contínua dos riscos e ameaças de segurança que possam colocar o negócio em risco, bem como identificar os atores corretos com as respectivas responsabilidades, podendo ser atores internos ou empresas especializadas que suportem e garantam a segurança do negócio. + Artigos
> Para obtenção de Newseltters e Publicações disponíveis, por favor contacte [email protected]. > Para visitar a página Comunicação do NFS Advogados. |
Tel. (+351) 222 440 820
E-mail. [email protected] Membro Associado da
Associação Europeia de Advogados. Áreas de atuação.
Legalização de Estrangeiros Seguros Proteção de Dados e Cibersegurança Imobiliário e Construção Heranças e Partilhas Recuperação de Créditos Insolvências + Áreas Contactos.
Telf.: (+351) 222 440 820 Fax: (+351) 220 161 680 E-mail: [email protected] Porto | Lisboa | São Paulo |