Nos últimos meses, têm sido vários os casos de ataques a redes e sistemas de informação de várias empresas privadas. Estes ataques têm, também, tido um papel essencial na guerra que atualmente opõe a Federação Russa à Ucrânia.

Neste âmbito, no ano passado, foi publicado o diploma que regulamenta o regime jurídico da segurança do ciberespaço, sendo que algumas das normas entraram imediatamente em vigor, outras entraram em vigor em novembro e outras ainda em meados deste ano. Acresce que, em fevereiro, foi publicado o regulamento que configura a instrução técnica relativa a comunicações entre as entidades e o Centro Nacional de Cibersegurança.

Por tudo isso, a segurança do espaço mantém hoje toda a sua atualidade e relevância. Antes de mais, este regime impõe um conjunto vasto de obrigações a várias entidades, entre as quais destacamos a Administração Pública, que inclui o Estado, as regiões autónomas, as autarquias locais, as entidades administrativas independentes, os institutos públicos, as empresas públicas e as associações públicas.

De entre as várias obrigações previstas, destacam-se a existência de um ponto de contacto permanente de modo a assegurar os fluxos de informação de nível operacional e técnico com o Centro Nacional de Cibersegurança (CNCS), a designação de um responsável de segurança para a gestão do conjunto das medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes, a elaboração de um inventário de todos os ativos essenciais para a prestação dos respetivos serviços e de um plano de segurança, e a realização de uma análise dos riscos que se colocam à segurança das redes e dos sistemas de informação.

Contudo, a realidade em Portugal demonstra que ainda existe muito trabalho para fazer. De facto, se atentarmos no relatório cibersegurança em Portugal: sociedade 2021 (3.ª edição), realizado pela CNCS, verificamos que, em 2020, apenas 64% das câmaras municipais, 36% da Administração Pública da Madeira, 47% da Administração Pública dos Açores e 66% da Administração Pública Central tinham uma estratégica para a segurança de informação e que, com exceção da Administração Pública da Madeira, todas as restantes viram a percentagem de entidades com estratégia diminuir. A análise torna-se ainda mais preocupante quando se verifica que existe uma percentagem insuficiente de entidades que realizam testes de segurança às TIC e a avaliação dos riscos ligados às TIC.

É igualmente preocupante verificar o nível reduzido de organismos que possuem recomendações documentadas sobre medidas, práticas ou procedimentos de segurança das TIC.

Finalmente, à data, apenas 3% dos organismos da Administração Púbica Central possuíam seguro contra incidentes de segurança das TIC.

Ora, do confronto entre as obrigações legais e a realidade documentada (ainda que a 2020, por inexistência de dados mais recentes), verifica-se que a Administração Pública portuguesa ainda se encontra longe de conseguir corresponder aos desafios que a segurança do ciberespaço apresenta atualmente. Importa, em especial nesta altura, dar a decida atenção a esta matéria.

As opiniões expressas são da responsabilidade dos autores e não reflectem necessariamente as ideias da revista Smart Cities.