O novo regime de cibersegurança entra em vigor esta sexta-feira, 3 de abril, com alterações importantes que precisam de ser cumpridas. Uma das mudanças é o aumento dos setores abrangidos, de sete para 18 setores críticos. Para o professor Nuno Pires, um dos desafios destas novas regras está na necessidade de recursos humanos."Há necessidade de recursos humanos especializados na área da cibersegurança para conseguir dar cumprimento às obrigações do novo regime jurídico, nomeadamente ao nível dos processos de análise de risco e dos processos de análise e gestão de incidentes", começa por dizer ao DN o docente, coordenador do Programa Executivo sobre o Regime Jurídico da Cibersegurança da NEXT by Universitas.Com o novo regime, algumas organizações estarão obrigadas a ter profissionais específicos na área da cibersegurança. "É necessária a existência de um responsável de cibersegurança e de pontos de contacto permanente. Não obstante, no regime anterior estas duas figuras já existiam, mas agora torna-se mais claro o seu papel e as funções que têm de desempenhar no âmbito da nova legislação", explica Nuno Pires.Segundo o docente, por se tratar de uma profissão relativamente recente em termos de formação, é normal que o mercado não disponha de recursos humanos suficientes. "De uma maneira geral, o que se nota é mesmo a falta de profissionais, não pela saída para o estrangeiro, mas pela necessidade de formar mais profissionais, uma vez que os existentes não são suficientes para responder à exigência do mercado", destaca..E há condicionantes que se verificam também noutras profissões. "Relativamente aos profissionais de nível mais sénior, o valor da remuneração acaba por ser mais elevado e, portanto, pode existir uma tendência para a sua absorção por entidades com maior capacidade financeira, sejam nacionais ou estrangeiras", exemplifica.LimitaçõesNa avaliação do especialista, o regime deixou de fora algumas questões, o que justifica com as limitações impostas pela União Europeia (UE) na diretiva. "Aquilo que é o meu entendimento é que sofremos sempre um pouco com a nossa dimensão enquanto país. Isso leva a que os critérios baseados na dimensão das entidades deixem muitas organizações do nosso espectro económico de fora", cita.Um exemplo é o elevado número de pequenas e médias empresas no país, que ficam de fora do regime, com algumas exceções. "Salvo raras exceções, as pequenas e médias empresas estão automaticamente excluídas da aplicação deste novo regime. Muitas prestam serviços considerados críticos a entidades que estão obrigadas a cumprir este regime jurídico, e aqui gera-se um problema", destaca.O problema está na "cadeia de abastecimento". "Se a minha entidade está obrigada ao novo regime jurídico, tenho de garantir a segurança da cadeia de abastecimento. Isso significa que terei de exigir às entidades que me prestam serviços que cumpram determinados requisitos", ressalva.Caso essa obrigação não seja considerada, a empresa pode "assumir um risco", ou seja, "por inerência, ainda que não diretamente por imposição do diploma, haverá situações em que essas pequenas e médias empresas acabam por ter de cumprir requisitos mínimos de cibersegurança".Por outro lado, o professor destaca como uma mudança relevante a responsabilização direta dos órgãos de direção. "Este novo vetor faz com que fique perfeitamente claro que a responsabilidade civil e criminal recai diretamente sobre os órgãos de gestão, direção e administração, o que faz com que estes passem a ter mais cuidado e, eventualmente, maior sensibilidade para a necessidade de investimento em cibersegurança, ficando mais alerta para esta realidade."Principais mudançasAlargamento do âmbitoO regime passa a abranger 18 setores e entidades, incluindo áreas como energia, saúde, transportes, infraestruturas digitais e administração pública. Introduz-se ainda a distinção entre entidades essenciais e entidades importantes.Requisitos de gestão de riscoAs organizações são obrigadas a implementar medidas técnicas e organizativas adequadas, como análise de risco, políticas de segurança, gestão de incidentes, controlo de acessos e utilização de criptografia.Notificação obrigatória de incidentesAs entidades devem comunicar incidentes relevantes às autoridades competentes, com prazos definidos, incluindo um alerta inicial em 24 horas e relatórios posteriores mais detalhados.Responsabilização da gestão de topoOs órgãos de administração e direção passam a ser diretamente responsáveis pela adoção e supervisão das medidas de cibersegurança, podendo incorrer em responsabilidade em caso de incumprimento.Reforço das sançõesO regime prevê coimas significativas e outras medidas corretivas para entidades que não cumpram as obrigações legais.Segurança da cadeia de abastecimentoAs organizações devem avaliar e gerir os riscos associados a fornecedores e prestadores de serviços, podendo exigir-lhes requisitos de cibersegurança.Supervisão e fiscalização reforçadasAs autoridades nacionais passam a ter mais poderes de supervisão, incluindo auditorias, inspeções e aplicação de sanções.Cooperação a nível europeuÉ reforçada a colaboração entre Estados-Membros para partilha de informação e resposta coordenada a incidentes de grande escala.Requisitos organizacionais internosAs entidades devem definir estruturas internas adequadas, incluindo responsáveis de cibersegurança, políticas formais e ações de formação.amanda.lima@dn.pt."Portugal tem universidades e especialistas na linha da frente da cibersegurança", diz Eduardo Vera-Cruz Pinto.“Equilibrar segurança e transparência é essencial para garantir confiança pública e integridade democrática"