Portugal identificou um total de 1250 operadores de serviços essenciais (OSE). No relatório publicado esta semana pela Comissão Europeia, analisado pela Security Magazine, são identificados 15.902 OSE nos países da União Europeia (10.897 na Finlândia).
O documento surge após a implementação da directiva relativa à segurança das redes e sistemas de informação (NIS). Os operadores de serviços essenciais identificados como prestadores de serviços essenciais devem tomar medidas de segurança apropriadas e notificar a autoridade competente sobre incidentes cibernéticos.
Lino Santos, coordenador do Centro Nacional de Cibersegurança, disse à Security Magazine que “a ideia da directiva NIS é justamente a de responsabilizar os operadores, na sua maioria privados e que prestam serviços essenciais à sociedade, a adoptar padrões mínimos de cibersegurança”. Na entrevista publicada na edição de Julho/Agosto, o responsável acrescenta que “para alguns, a directiva não tem qualquer impacto” e, no fundo, não traz nada de novo. Porém, “existem operadores cujo negócio não é propriamente digital mas que depende da tecnologia”, como é o caso de “um prestador de abastecimento de água tem os seus sistemas de controlo bastante digitalizados, os quais têm de ser protegidos num nível de segurança”. No fundo, a directiva NIS leva os operadores “a ter um nível de segurança suficiente para que resistam a um conjunto de ataques”.
A nível ibérico, Portugal identificou 1250 e Espanha 132 OSE. Chipre surge com o menor número de OSE identificados, contabilizando apenas 20. Em termos do sector da electricidade, Portugal incluiu operadores de redes de distribuição e transporte.
O relatório conclui que a directiva NIS desempenhou um papel fundamental na preparação dos OSE par incidentes cibernéticos em toda a União Europeia. O facto de alguns países terem identificado serviços essenciais em sectores adicionais além dos listados na directiva destaca que existem outros sectores potencialmente vulneráveis a incidentes cibernéticos.
O número e tipos de serviços essenciais varia bastante de estado para estado face aos diferentes critérios utilizados. Algumas práticas de identificação utilizadas pelos diferentes países podem ter um impacto negativo nas condições equitativas do mercado interno e tornar as entidades mais vulneráveis a ameaças cibernéticas transfronteiriças, refere o documento.
São identificados os sectores da energia (electricidade, petróleo e gás), transportes (aéreo, ferroviário, marítimo e vias navegáveis interiores, rodoviário), bancário, infra-estruturas do mercado financeiros, saúde, fornecimento e distribuição de água potável e infra-estruturas digitais.
Com esta identificação é esperado:
1. Reduzir os riscos relacionados com as dependências transfronteiriças
2. Manter condições de concorrência equitativas no mercado interno:
3. Reduzir o risco de interpretações divergentes da Directiva:
4. Desenvolver uma visão de conjunto quanto ao nível de ciber-resiliência em toda a EU
Na sequência da sua entrada em vigor em Agosto de 2016 os Estados-Membros deveriam adoptar até 9 de Maio de 2018 as medidas nacionais necessárias para dar cumprimento às disposições da Directiva. Em Portugal a lei que estabelece o regime jurídico da segurança do ciberespaço em Portugal, e que transpõe a directiva, foi publicada em Agosto de 2018.
Os resultados do relatório baseiam-se numa avaliação efectuada entre Novembro de 2018 e Setembro de 2019.
