"Uma das maiores transformações que a humanidade conheceu foi o mundo da internet. depois o desenvolvimento das tecnologias digitais, mais recentemente, não tão recentemente como se pensa, a inteligência artificial.
Modificaram completamente o mundo em que nós vivemos e têm uma dimensão de oportunidades absolutamente extraordinária e uma dimensão de riscos que não é negligenciável. É aí que entra, em força, a questão da cibersegurança, que é apenas o outro lado da mesma moeda, ou seja, o cibercrime e os ciberataques.
Começava por destacar, como enquadramento sobre este tema, um conjunto de dados que me parecem importantes. O primeiro é que a inovação é mais veloz do que a lei. É a nossa experiência nos últimos 30 anos.
Há constantemente pesquisa e desenvolvimento, novas soluções e inovações no mercado e é muito difícil a legislação e o legislador acompanharem esta velocidade. É um problema e pode significar que ele não fica bem resolvido na totalidade.
O segundo ponto que me parece importante é que há um gap de conhecimento entre os inovadores e os legisladores. Em toda a parte.
Há um diferencial de conhecimento técnico e tecnológico entre os inovadores e as empresas inovadoras desta área e o conhecimento técnico e tecnológico compreensível e apreensível por muitos dos legisladores. Isso pode significar uma dificuldade na compreensão das questões essenciais e prévias de regulação desta matéria.
O terceiro, dado que eu queria aqui chamar a atenção, é que a questão ciber atinge nuclearmente a segurança dos Estados e não só dos Estados. Também das empresas e suas infraestruturas, que fazem parte de uma sociedade e de uma comunidade com uma tal proporção e uma tal força em termos de acesso a informações sensíveis do Estado.
A massificação do roubo de dados, destruição de infraestruturas, criação de crises reputacionais, computacionais nos Estados e nas empresas.
A destruição ou o desmantelamento de sistemas têm um tal potencial que, no limite, apesar de esse não é o tema desta conferência, acho legítima a discussão sobre se a cibersegurança não constitui, na verdade, o quarto ramo das Forças Armadas. E estou a chamar quarto apenas por ordem de entrada, porque, hoje em dia, a guerra e a paz também se decidem no território ciber.
Queria chamar a atenção para este dado. Não há qualquer semelhança entre os conceitos principais de um conflito ciber e aquilo que nós conhecemos na guerra clássica, tanto quanto ao território de operações que no ciber é o planeta inteiro é cloud.
Como? Quanto às motivações, que não são necessariamente nacionais ou ideológicas, há mesmo uma motivação prevalecente, estranha e perigosa, que é a criação do caos. A vontade de criar caos, quanto à duração do conflito, porque o conflito ciber nunca acaba e quando parece acabar, recomeça com novos ataques e com novos crimes.
E quanto a um ponto essencial na guerra. O que nós sabemos sobre o adversário é quase nada ou nada e o que o adversário sabe sobre nós, as nossas instituições e as nossas empresas é muito. Porque esteve a estudar as vulnerabilidades que poderia aproveitar.
Há Estados, como toda a gente sabe, especializados em hospedar, alojar, operacionalizar e financiar ataques ciber e crimes ciber em larga escala. E isto torna o tema eminentemente político e não ignorável pelos Estados.
Esta consulta sobre a transposição da NIS2 e este debate organizado pelo Diário de Notícias, pela Ordem dos Economistas e pela SEDES, que eu, como cidadão, agradeço, parece me que há de passar por questões como estas.
A NIS2 alarga o núcleo de responsabilidades e de deveres. Em termos de cibersegurança. O número de entidades públicas e privadas abrangidos ou potencialmente abrangidos é muito maior do que no âmbito da diretiva original. Essa expansão tem que ser devidamente formada e informada.
A distração é um fator mais relevante nestas questões do que se pensa. As entidades e as empresas que vão ser abrangidas têm que ser devidamente informadas e têm que fazer processos de formação para se adaptarem às novas responsabilidades.
Saber as novas responsabilidades em termos dos sectores abrangidos, das penalidades previstas. Excessiva ou não excessiva? Vai depender, parece-me da adaptação que os órgãos de soberania façam das informações e opiniões que recolheram nesta consulta pública.
As intenções legislativas tornam-se às vezes menos benignas quando procuram totalizar soluções que depois não são apreensíveis nem pelo mercado nem pelas administrações.
Há um outro ponto que me parece relevante. Há uma experiência recente do Estado português sobre uma questão precisa. A questão do 5G e da exclusão de empresas com uma determinada origem, em que Portugal foi muito mais longe, fazendo o que devia e também o que não era obrigado a fazer, do que outros parceiros europeus que podem aproveitar a oportunidade.
É evidente que quando se pensa em infraestruturas críticas para a frente, o 5G tem que estar alinhado com as alianças de segurança e políticas dos Estados ocidentais. Não há sobre isso dúvida nenhuma.
A ideia de que é preciso refazer tudo para trás é cara, custosa e pode não ter uma dose exagerada de bom senso e pode acabar por penalizar o consumidor português.
Gostaria que neste debate houvesse esse valor acrescentado de bom senso e de viabilidade das soluções e de cumplicidade entre todos os que têm que se preparar para as novas exigências.
Também alertaria para os muitos deveres de reporte. Chamaria a atenção para o seguinte: inovação não é burocracia, é cibersegurança. Não é uma burocracia específica. São questões de segurança. Não são questões de cumprimento de deveres burocráticos.
São questões muito mais profundas de segurança, complexas, que exigem uma capacidade de reação muito estruturada e, portanto, teria algum cuidado com conceitos juridicamente imprecisos ou responsabilidades que não se percebem a quem possam pertencer.
Dito isto, o tema ciber é absolutamente determinante. Eu diria que é determinante e é o futuro. Para além de ser o presente é o futuro. As ameaças de segurança vão vir do lado clássico, sim, mas alimentado e suportado pela atividade de cibercrime e de ciber ameaça e de ciber insegurança.
Não há outro remédio possível senão prepararmo-nos bem. Espero que este debate contribua para que as soluções legais melhorem e estejam preocupadas com o resultado.
Não quero saber se fiz a lei mais perfeita do mundo. Quero saber se a efetivação e aplicação dessa lei trouxe melhorias e defesas e maior margem de segurança para as nossas administrações e para as nossas empresas".