A responsabilidade das entidades públicas em tempo de ciberataques

Em tempo de ciberataques, é bom lembrar uma coisa: as entidades públicas estão obrigadas a implementar um conjunto de medidas de segurança das redes e dos sistemas de informação que as proteja desses ataques, ou que pelo menos mitigue os seus efeitos.

Isso não significa que o ciberataque a uma entidade pública que não implemente essas medidas deixe de ser ilícito, nem se trata de amenizar a responsabilidade do infractor, daquele que ataca e rouba e violenta bens e activos alheios.

A ilicitude desse comportamento não está em causa, e é bom, num tempo em que os ciberataques se tornam mais frequentes, que não romantizemos essa prática ou que a confundamos com a actividade do moderno Robin Hood.

Do que se trata é de recordar que as entidades públicas, em virtude das suas atribuições e competências, estão presentes em quase todos os campos da nossa vida, interagem continuamente connosco: guardam os nossos dados, licenciam as nossas actividades, registam as nossas interacções, autorizam as nossas pretensões, prestam serviços, cobram impostos, etc…

Algumas dessas entidades, aliás, prestam serviços considerados essenciais para a manutenção de actividades económicas e sociais. Basta pensar nos sectores da saúde, dos transportes, do saneamento ou das infra-estruturas.

Qualquer ciberataque a estas entidades públicas, prestem ou não serviços essenciais, pode representar um ataque a bens, valores, activos ou interesses dos cidadãos – cidadãos que não têm qualquer culpa do ciberataque e que dele são igualmente vítimas. Se isso já acontece quando o alvo do ataque são empresas privadas, imaginemos os efeitos de um ciberataque nas entidades públicas com que diariamente nos confrontamos.

Faz por isso sentido que as entidades públicas tenham obrigações de segurança, e obrigações exigentes, uma vez que os nefastos efeitos da sua negligência ou inacção em caso de ciberataque se repercutem na população.

O que aqui descrevo não é propriamente matéria de opinião, é algo que está legislado e que convém recordar.

Com a recente publicação do Decreto-Lei n.º 65/2021, de 30 de Julho, que regulamenta o Regime Jurídico da Segurança do Ciberespaço (Lei n.º 46/2018, de 13 de Agosto, que transpôs a Directiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de Julho de 2016), as entidades públicas ficaram obrigadas a cumprir medidas técnicas e organizativas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, garantindo um nível de segurança adequado ao risco em causa, tendo em conta os progressos técnicos mais recentes.

E estão obrigadas a realizar uma análise dos riscos em relação a todos os activos que garantam a continuidade do funcionamento das redes e dos sistemas de informação que utilizam e, no caso dos operadores de serviços essenciais, também em relação aos activos que garantam a prestação dos serviços essenciais.

Na sequência dessa análise dos riscos, as entidades devem adoptar as medidas técnicas e organizativas adequadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, e que resultem, nomeadamente, de normativo complementar sectorial aprovado pelo Centro Nacional de Cibersegurança (CNCS) ou do Quadro Nacional de Referência de Cibersegurança, e respectivas disposições complementares, elaborado pelo CNCS.

Estas normas do Decreto-Lei n.º 65/2021 não são meramente programáticas. O diploma prevê contra-ordenações em caso de incumprimento, que podem chegar aos 50 mil euros, e a negligência é punível.

É verdade que a parte mais significativa dessas normas só entra em vigor no final de Julho de 2022. No entanto, tendo em conta o desafio tecnológico que está em causa e as tradicionais dificuldades de contratação e implementação associadas às entidades públicas, não pode dizer-se que esse prazo seja muito longo.

Mas o importante, e é este o ponto deste artigo, é deixar evidenciado que, em tempos de ciberataques, cada vez mais frequentes, as entidades públicas têm deveres e responsabilidades.

E a sua responsabilidade não está seguramente limitada aos montantes das contra-ordenações que terão de pagar em caso de incumprimento. Essa é apenas uma parte, que tem intuito mais dissuasor do que de outra coisa.

É que a falta de medidas de segurança das redes e dos sistemas de informação por parte das entidades públicas, mesmo que negligente, pode prejudicar e causar severos danos a pessoas e empresas.

E por mais que a causa primeira desse prejuízo ou dano seja o ciberataque, não é menos verdade que a falta de actuação da entidade pública pode ter um papel determinante no êxito do ataque se vier a confirmar-se que esta ignorou as suas obrigações de implementar medidas de segurança das redes e dos sistemas de informação.

Não podendo os cidadãos ficar reféns da negligência e da inacção das entidades públicas a este respeito, e ainda que o Decreto-Lei n.º 65/2021 não se aventure por aí, não vejo como negar-se a ideia de responsabilidade civil das entidades públicas em caso de incumprimento das obrigações previstas naquele diploma assim que estas entrem em vigor.

A partir do momento em que estas obrigações estão definidas, faltar ao seu cumprimento torna-se matéria de responsabilidade.

A consideração dessa responsabilidade traduz-se num enorme desafio para as entidades públicas. Não são apenas os CEOs das empresas que têm de perceber que a cibersegurança é um investimento e não um qualquer improvável evento: são também os decisores e gestores públicos que neste momento têm essa obrigação – e é um dever legal.

É fundamental que se compreenda que os novos riscos obrigam a novas respostas, e que a adesão ao digital implica, também da parte das organizações públicas, uma capacidade reforçada de proteger o que é de todos, num contexto de ameaça que é, também, um desafio para a nossa própria soberania e modo de vida.

Nota: O autor escreve ao abrigo do antigo acordo ortográfico.