Em janeiro de 2019, o Centro Nacional de Cibersegurança prepara-se para apresentar o quadro de referência de cibersegurança que se tornará a base de Certificação para as organizações e empresas europeias (Programa de Certificação da ENISA – Agência Europeia de Cibersegurança), de forma a poderem demonstrar evidências na chamada “Digital Trust” ou confiança digital, perante os seus parceiros de negócio no Mercado Único Europeu, medida basilar da Comissão Europeia para o aumento da competitividade da Europa face ao panorama EUA/China.

Muito se tem discutido sobre a atual revolução em curso da denominada Indústria 4.0, faltando aprofundar como podem as empresas, qualquer que seja a sua dimensão, nomeadamente em Portugal, capitalizar esta transformação melhorando de forma decisiva o seu posicionamento competitivo, tornando o nosso país um mercado por excelência para o fornecimento de competências, know-how e expertise em áreas de atuação vitais para a economia, nacional e internacional.

A UE está a regular, de forma cada vez mais ativa, a transferência de dados na qual assenta a Indústria 4.0. A circulação de dados – de informação pessoal ou de negócio – vem colocar um conjunto de desafios cujo entendimento antecipado do alcance, dimensão e oportunidade constituirá um fator decisivo e de oportunidade, podendo originar uma reorganização da cadeia de valor da indústria, nomeadamente ao nível dos players.

Aliás, no panorama regulatório atual, temos em vigor no espaço europeu o Regulamento Geral de Proteção sobre Dados que impõe medidas que obrigam a definir, documentar e implementar processos, a implementar estruturas de governance, bem como formar e sensibilizar os colaboradores para a necessidade de alterar comportamentos de risco face às ameaças da segurança da informação, e às ainda mais críticas ameaças cibernéticas provenientes da interligação global, do fim das fronteiras e perímetros físicos das organizações e da reduzida maturidade das organizações face a estes riscos.

O alerta para a necessidade de incluir o risco de ataques cibernéticos e violações de dados (pessoais, de negócio ou de propriedade intelectual) na análise de risco corporativa, sob pena da estratégia das empresas estar a ser definida ignorando um crescente fator de disrupção, torna-se ainda mais premente como consequência do constante aumento do número de ataques com efeitos financeiros significativos e prejudiciais (destacam-se os mais recentes casos da Maersk, Saint-Gobain, FedEx, Reckitt Benckiser, Beiersdorf, entre tantos outros).

Ainda avaliando o panorama regulatório europeu, está também atualmente em vigor uma diretiva relativa à proteção de infraestruturas críticas de cada país, diretiva esta já traduzida em lei dentro de cada país, em Portugal, a Lei 46/2018 de 13 de agosto. Esta Lei vem obrigar à adoção de um conjunto de medidas que garantam a resiliência e uma mitigação do risco de ataques em conjunto com a capacidade de responder adequadamente e repor os níveis de serviço num espaço de tempo definido e aceitável.

Este desafio externo vem colocar o repto às empresas de assumirem a decisão estratégica de serem inovadoras, proativas e apresentarem aos seus clientes as suas credenciais ou serem reativas perante os requisitos de segurança da informação provenientes da regulação europeia e internacional bem como dos próprios clientes que definem requisitos adequados à sua protecção – proteção esta que estende naturalmente aos seus parceiros e clientes dada a interligação crescente dos sistemas de informação.

Sintetizando, as empresas de maior dimensão, com outro grau de maturidade nas suas políticas e processos internos, mais poderosas em termos financeiros, estão progressivamente a incrementar o grau de exigência no processo de seleção dos seus parceiros e fornecedores (por exemplo, através da celebração de novos contratos/adendas para subcontratantes do Regulamento de Proteção de Dados), o que se traduz numa crescente exigência, baseada em evidências de responsabilidade demonstrada, confiança e resiliência.

Hoje, a decisão dos líderes e grandes gestores já não é sobre “se”, mas antes “como” e “quando”, porque o “hoje” já não é cedo.