1 - Com as constantes notícias que têm surgido, sobre a existência de ciberataques, quais as preocupações que deverão ter as organizações quanto a estas matérias?.As organizações devem "olhar" com bastante cuidado para estas situações, precavendo-se desde logo e retirando destes exemplos a necessidade de uma maior sensibilização para acautelarem e evitarem situações idênticas. Ademais, nota-se alguma evolução neste aspeto, embora ainda muito longe do ideal, manifestando-se uma crescente preocupação das organizações em matérias de segurança digital reforçadas pela circunstância do tema estar "na ordem do dia" com as notícias dos ataques mais mediáticos a que vamos assistindo. Efetivamente tem-se verificado a adoção, por parte das organizações, de uma posição, cada vez mais, preventiva, com a procura de um maior apoio jurídico e técnico nestes temas. Tal manifesta-se, desde logo, no reforço das áreas de IT das empresas e das tecnologias seguras que as mesmas utilizam. Reforço esse que passa pelo melhoramento e atualização das infraestruturas digitais das organizações e a adoção de medidas técnicas e organizativas adequadas e proporcionais para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação. Além destas questões, o receio do potencial dano reputacional tem vindo a ser o motor e foco de todas as suas atenções..A garantia da existência de mecanismos de prevenção mostra-se fundamental..As preocupações aludidas e os cuidados a ter nestas matérias de cibersegurança ainda mais devem ser tidas em conta por parte dos denominados "operadores de serviços essenciais", uma vez que podem ser colocadas em causa as prestações dos mesmos, levando a uma potencial maior responsabilização. Aliás, temos assistido a um maior número de ciberataques junto destes..Assim, e tendo em vista uma maior capacidade de prevenção face a um possível ciberataque, as organizações devem, desde logo, realizar, com frequente periodicidade, auditorias internas de verificação de segurança, bem assim, adotar sistemas e programas fiáveis e fortes de deteção e bloqueio de vírus e malware [software malicioso] que permitam identificar e evitar ataques de ransomware, phishing e pharming, por exemplo. Contudo, e talvez tanto ou mais relevante que a modernização e reforço das medidas tecnológicas utilizadas pelas organizações, a consciencialização e educação digital de todos e cada um dos seus colaboradores, apresenta-se como a chave vital para que tais ataques e ameaças não se concretizem. Devem, pois, para o efeito, apostar, as mesmas, na contínua formação dos seus quadros quanto a estas matérias, alertando-os não só para os riscos que comportamentos menos atentos e zelosos podem originar, como também para a contínua adoção de boas práticas digitais..Por fim, devem as organizações adotar também uma estratégia global de atuação nestas matérias, adequada à sua atuação e atividade profissional, assim como, ao nível de risco a que se encontram expostas..2 - Quanto à evolução da legislação portuguesa nesta matéria, quais os pontos a ter em consideração?.A evolução tecnológica e a realidade digital, por regra, são sempre mais rápidas que a adequação da legislação, nestas matérias. Aliás, é patente a dificuldade que normalmente o legislador tem em acompanhar tais evoluções que se alteram num "piscar de olhos"..A Lei n.º 46/2018, de 13 de agosto, veio estabelecer o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União. Através daquela lei, foi instituído o Conselho Superior de Segurança do Ciberespaço, enquanto órgão específico de consulta do Primeiro-Ministro para os assuntos relativos à segurança do ciberespaço..Ora, desde logo a necessidade de definição de caminhos comuns, nomeadamente a nível europeu, quanto às questões e políticas de cibersegurança, mostra-se fundamental, atento o caráter não-territorial das redes do ciberespaço. Neste sentido, referência aqui se mostra fazer à Resolução do Conselho de Ministros n.º 92/2019, de 05 de Junho, no que toca à aprovação da Estratégia Nacional de Segurança do Ciberespaço 2019-2023, enquanto instrumento estruturante para a capacitação nacional neste âmbito, definindo o enquadramento, os objetivos e as linhas de ação do Estado em matéria de segurança do ciberespaço, de acordo com o interesse nacional..A par destes diplomas, importa ainda a alusão ao recente Decreto-Lei n.º 65/2021, de 30 de julho, que veio regulamentar o Regime Jurídico da Segurança do Ciberespaço e definir as obrigações em matéria de certificação da cibersegurança, em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019. Esta regulamentação do regime jurídico da segurança do Ciberespaço vem, desta forma, definir e complementar os requisitos de segurança das redes e sistemas de informação, bem como estabelecer as regras para a notificação de incidentes, que devem ser cumpridos pela Administração Pública, operadores de infraestruturas críticas, operadores de serviços essenciais e prestadores de serviços digitais. Vem, estabelecer também, a par do regime sancionatório previsto no Regime Jurídico da Segurança do Ciberespaço, novas "sanções" a três níveis: (a) a utilização de marca de certificação da cibersegurança inválida, caducada ou revogada; (b) a utilização de expressão ou grafismo que expressa ou tacitamente sugira a certificação da cibersegurança de produto, serviço ou processo que não seja certificado; e (c) a omissão dolosa de informação ou a prestação de falsa informação que seja relevante para o processo de certificação da cibersegurança que se encontre em curso, nos termos definidos em cada esquema de certificação. A estes três níveis estabelece o referido diploma contraordenações puníveis com coimas «...de (euro) 1000,00 a (euro) 3740,98, no caso de pessoa singular, ou de (euro) 5000,00 a (euro) 44 891,81, no caso de pessoa coletiva, (...)» decorrentes da prática dessas infrações. Note-se a este propósito que a Lei n.º 46/2018, de 1 de agosto, como se referiu, previa já, de igual modo e entre outras, contraordenações "punidas com coima de (euro) 5000 a (euro) 25 000, tratando-se de uma pessoa singular, e de (euro) 10 000 a (euro) 50 000, no caso de se tratar de uma pessoa coletiva", em caso de incumprimento de instruções de cibersegurança emitidas pelo Centro Nacional de Cibersegurança, bem como, do incumprimento da obrigação, por parte daquelas organizações, de implementação de requisitos de segurança conforme aí previsto..3 - Qual a importância do Centro Nacional de Cibersegurança?.O Centro Nacional de Cibersegurança (CNCS) é a Autoridade Nacional de Cibersegurança, atuando como coordenador operacional não só junto das entidades do Estado, operadores de infraestruturas críticas nacionais, bem como, junto dos operadores de serviços essenciais e prestadores de serviços digitais, levando a sua ação para a sociedade e para os cidadãos, com desenvolvendo um conjunto de atividades a eles dirigidas. Sensibilizando e treinando para comportamentos e atuações mais seguras e responsáveis no uso de tecnologias no âmbito do ciberespaço, vai produzindo também orientações e boas práticas para o uso das mesmas. Importa, a este propósito, realçar, de igual modo, o papel fundamental que o CNCS tem tido nesse alerta das organizações e da sociedade, nomeadamente, através de iniciativas de formação, por todo o país, nestas matérias..Resulta assim que a sua atuação não se tem focado apenas no exercício das competências de regulação e supervisão dos diferentes sectores da atividade económica no âmbito do regime jurídico de segurança do ciberespaço, mas também, numa atuação pedagógica e formativa, essencial, para a prevenção de situações de ciberataques..Gonçalo Gil Barreiros, responsável de Propriedade Intelectual e Privacidade da PRA