O tsunami da União Europeia para segurar o mundo digital

NIS2, DORA, CRA, CER, AI Act, Data Governance Act. São estes os acrónimos e siglas que constituem o edifício regulamentar com que a União Europeia (UE) está a transformar o mundo digital. Os avanços tecnológicos das últimas décadas motivaram uma resposta legislativa harmonizada europeia. Mais recentemente, a massificação de produtos e serviços que integram inteligência artificial pressionou a tentativa de regulação desta tecnologia. Tudo isto, constitui um desafio de adaptação para as empresas.

“A Europa está a criar um ecossistema mais seguro, resiliente e inovador, e as organizações precisam de se adaptar rapidamente a esta nova realidade”, diz Inês Antas de Barros, Sócia da área de Comunicações, Proteção de Dados & Tecnologia da sociedade de advogados VdA. Trata-se de uma “estratégia digital ambiciosa para capacitar pessoas e empresas face a uma nova geração de tecnologias, com o objetivo de tornar esta década a ‘década digital’ da Europa”, acrescenta.

O objetivo é promover a inovação tecnológica, num quadro em que a Europa está atrasada, corre mais devagar do que os blocos constituídos pelos Estados Unidos da América e pela China, mas também definir mecanismos para minimizar riscos associados.
“Neste contexto, surgem vários diplomas que impactam diretamente a cibersegurança, com objetivos claros: garantir a segurança e resiliência das empresas, em particular aquelas que atuam em setores críticos, e fomentar o desenvolvimento de produtos digitais mais seguros, o que reforça a confiança dos consumidores”, aponta Inês Antas de Barros. “Compreender a natureza interconectada dos diferentes diplomas é fundamental não só para garantir o cumprimento legal e a eficiência operacional, mas também para permitir que as organizações desenvolvam estratégias avançadas de monetização dos dados que possuem, criando produtos e serviços inovadores e ajustados às reais necessidades dos consumidores”, acrescenta.

O processo está em curso e longe de estarterminado. Ricardo Henriques, sócio e coordenador da área de prática de Propriedade Intelectual e Tecnologias de Informação da Abreu Advogados, aponta que os prestadores de sistemas de inteligência artificial têm já de cumprir determinadas obrigações previstas no Regulamento de IA, seguindo-se a aplicação faseada das restantes normas até ao ano de 2027.
Destaca-se, a seguir a diretiva NIS 2. “O novo regime jurídico da cibersegurança que será instituído pela transposição desta diretiva afetará a resiliência e cibersegurança de entidades públicas e privadas que operam em setores críticos da sociedade, como a energia, saúde, transportes, finanças, infraestruturas digitais e alimentação, complementando a regulamentação já existente sobre resiliência das entidades críticas”, diz Ricardo Henriques.

O Cyber Resilience Act complementará, a partir de 2026, este enquadramento legislativo, para os fabricantes de produtos com elementos digitais, responsabilizando-os durante todo o ciclo de vida do produto.

“Este mosaico normativo gera um ambiente regulatório significativamente mais exigente, acompanhado de uma moldura contraordenacional substancialmente mais pesada para o infrator e com possibilidade de responsabilização direta da gestão”, avisa. “Nos próximos anos, será de esperar uma fase de execução destes normativos. Como tal, é tempo das entidades privadas, e públicas, avaliarem a sua sujeição a estes regimes jurídicos e mapearem a sua trajetória para a conformidade, mapearem e prevenirem os seus riscos e testar a sua resiliência”, acrescenta.
A cibersegurança é central a todas as peças de legislação. É “colocar a cibersegurança como uma das prioridades das organizações”, refere Inês Antas de Barros. “Isso implica a adoção de uma cultura efetiva de segurança by design, que inclua a avaliação contínua de riscos e ameaças, a monitorização rigorosa da cadeia de abastecimento, o reporte eficaz de incidentes e vulnerabilidades, assim como a capacitação constante dos colaboradores através de formação adequada”.
Isto vai impactar as grandes empresas, com maiores recursos, mas também micro, pequenas e médias empresas, que terão maior dificuldade de resposta.

“A regulamentação europeia tem procurado acompanhar a evolução das tecnologias, mas a sua complexidade crescente torna difícil criar um quadro regulamentar que seja eficaz para os utilizadores, criador de uma atmosfera de segurança efetiva”, diz ao JE Luís Miguel Ribeiro, presidente da Associação Empresarial de Portugal. É uma queixa recorrente dos empresários: o quadro regulamentar é pesado.
“Uma das maiores fragilidades na implementação destes regulamentos tem a ver com a intervenção das entidades que gerem estas matérias em cada país, que detêm o poder de fiscalização e que têm por missão garantir a conformidade com as melhores práticas”. É outra queixa: nem sempre a regulação é uma ajuda, a começar pela tendência para o gold plating (que aprofunda a legislação europeia quando é transposta, tornando-se masi exigente).