2024: O ano mais marcado por eventos regulatórios de Cibersegurança?

A transposição nacional da diretiva NIS2 tem prazo limite de 17-10-2024⁽⁵⁾. Esta diretiva vem substituir a diretiva NIS, alargando o âmbito de entidades abrangidas e os requisitos de segurança que devem ser cumpridos – para mais detalhes, consultar o artigo De NIS a NIS2 – a evolução da legislação europeia de cibersegurança.

Neste âmbito, será importante verificar também qual impacto regulatório desta transposição face ao Regime Jurídico do Ciberespaço (Decreto-Lei n.º 65 / 2021).

O  Regime Jurídico do Ciberespaço prevê a definição de requisitos de segurança específicos para determinados setores, sendo que à data não existem publicações neste contexto. 

Tal parece vir a alterar-se em 2024, estando atualmente em consulta pública uma proposta para emitir um regulamento que incida sobre as entidades da administração pública⁽⁶⁾.

O DORA visa fornecer um quadro de resiliência operacional digital e de Cibersegurança harmonizado, que emerge da necessidade de se estabelecer regras mínimas de segurança das redes e sistemas de informação com vista a mitigar os riscos que emergem da digitalização dos serviços financeiros.

O regulamento europeu DORA já se encontra em vigor e o prazo limite de conformidade para as entidades abrangidas é 17 de janeiro de 2025⁽⁷⁾.

O ano de 2024 está a ser marcado por esforços para atingir conformidade com o extenso pacote regulamentar, que inclui os RTS e ITS publicados a 17 de julho - a 6 meses da data limite de conformidade.

O CRA impõe um conjunto de requisitos de Cibersegurança para produtos de hardware e software com elementos digitais, incluindo regras harmonizadas para o lançamento dos produtos, um framework de requisitos de segurança para o planeamento, desenho, desenvolvimento e manutenção dos produtos e a obrigação de duty of care durante o seu ciclo de vida.

O CRA foi aprovado pelo Parlamento Europeu a 12 de março de 2024, estando pendente de adoção formal pelo Conselho, e é esperado que tenha um prazo para conformidade de 24 a 36 meses ⁽⁸⁾.

O AI Act é a primeira peça regulatória europeia sobre o uso de Inteligência Artificial na tecnologia, tendo como objetivo apoiar a inovação centrada no ser humano e na confiança, considerando a proteção da saúde, da segurança e dos direitos fundamentais contra os potenciais efeitos nocivos que os sistemas de AI possam trazer. O regulamento estabelece regras para a colocação de serviços de AI no mercado, proibições de práticas de AI, requisitos para os sistemas de AI, regras de transparência, regras para o acompanhamento do mercado e medidas de apoio à inovação ⁽⁹⁾.

O AI Act foi adotado a 13 de junho de 2024, e em geral é aplicável a partir de 2 de agosto de 2026, contudo existem capítulos que serão aplicáveis a partir de 2 de fevereiro de 2025, 2 de agosto de 2025 e 2 de agosto de 2027.

Definido conforme previsto no Cybersecurity Act (CSA)⁽¹⁰⁾, e com base no Common Criteria (ISO/IEC 15408), o EUCC é um esquema de certificação que visa os produtos de IT incluindo componentes de hardware e software (por exemplo, firewalls ou Sistemas Operativos)⁽¹¹⁾.

Publicado em 31-01-2024, o EUCC vai marcar o ano para os fabricantes deste tipo de sistemas e para os clientes, na medida em que devem adaptar as suas equipas para interpretar o novo esquema de certificação e adaptar os processos de compra. Para os produtos enquadrados como críticos no âmbito do CRA, o EUCC poderá assumir-se como o esquema de certificação a considerar.

A SEC adotou novas regras de Cybersecurity Risk Management, Strategy, Governance and Incident Disclosure⁽¹²⁾, que irá impactar o processo de relato financeiro para as empresas supervisionadas.

O documento foi aprovado a 5 de setembro de 2023, e considera diversos prazos de conformidade previstos para 2024, incluindo a inclusão de forms com informação de Cibersegurança que devem ser divulgados pelo processo de relato financeiro referente a anos fiscais que terminem em dezembro de 2023, cujos relatórios serão disponibilizados em 2024.