Centro Nacional de Cibersegurança | Enquadramento Geral da Cibersegurança no Contexto do Conceito Estratégico de Defesa Nacional |
Parte II – Enquadramento político, estratégico e jurídico da cibersegurança (1/2) – Internacional
A compreensão da cibersegurança no quadro estratégico da segurança nacional de Portugal exige um enquadramento de âmbito internacional, face às obrigações assumidas pelo estado português
- quer no quadro político e jurídico-normativo da NATO;
- quer no quadro político e jurídico-normativo da UE.
Efectivamente, quer no âmbito da NATO, quer no âmbito da EU, o ciberespaço e a cibersegurança, sobretudo a partir da década de 2000, foram progressivamente ganhando importância e centralidade no discurso político e estratégico, assistindo-se, a partir da década de 2010, a uma verdadeira autonomização do discurso cibersecuritário, num quadro de Sociedade Digital,
- quer em termos políticos;
- quer em termos estratégicos;
- quer em termos operacionais;
- quer em termos técnico-tácticos.
A emergência do ciberespaço no discurso político-securitário ocorre em Portugal, formalmente, em 2003, plasmado embrionária e perfunctoriamente no Conceito de Estratégia de Defesa Nacional aprovado nesse ano, afirmando-se progressivamente a partir de 2010 com qualificação acrescida e ganhando a cibersegurança plena autonomia em 2013, com a aprovação do novo Conceito de Estratégia de Defesa Nacional.
A compreensão da cibersegurança no quadro da segurança nacional de Portugal exige, assim um levantamento histórico dos principais documentos político-estratégicos e jurídico-normativos referenciais para a segurança nacional.
1.Enquadramento político e estratégico internacional – NATO e UE
1.1.NATO
De acordo com o «Strategic Concept for the Defence and Security of the Members of the North Atlantic Treaty Organizations», de Novembro de 2010, os países membros da NATO reconheceram que as ciberactividades maliciosas “podem ameaçar a estabilidade, segurança e prosperidade nacionais e Euro-Atlânticas”, sendo essencial proceder à detecção e defesa das ciber-ameaças.
A NATO, apesar de focar a sua «Policy of Cyber Defence» [1], de 8 de Junho de 2011, na protecção do seu sistema de informações e comunicações, no quadro do exercício das competências fundamentais de gestão de crises e de defesa colectiva da Aliança, sublinhou a necessidade de cooperação entre a Aliança e cada um dos países membros individualmente considerados, bem como a necessidade de cooperação entre a Aliança e o sector privado.
1.2.União Europeia
Reconhecendo as TIC como o «backbone» do modelo europeu de sociedade e de economia, a Agenda Digital para a Europa da União Europeia considera a cibersegurança uma condição fundamental da criação da Sociedade Digital, destacando-se, entre outros, os seguintes documentos normativos:
- Comissão Europeia – Comunicação Conjunta (2010) 245 – Agenda Digital para a Europa;
- Comissão Europeia – Comunicação Conjunta (2012) 238/2 – Proposta de Regulamento – Identificação Electrónica e Serviços de Garantia de Transações Electrónicas no Mercado Interno;
- Comissão Europeia – Comunicação Conjunta JOIN (2013) 1 Final – Estratégia da EU para a Cibersegurança;
- Comissão Europeia – Proposta de Directiva (2013) 48 Final – Segurança de Redes de Informação;
- Regulamento EU nº 526/2013, de 21 de Maio – European Union Agency for Network and Information Security (ENISA);
- Directiva 2013/40/EU – Ataques contra Sistemas de Informação.
Uma vez que as fronteiras digitais não coincidem necessariamente com as fronteiras físicas nacionais, transformando a colaboração internacional num mecanismo fundamental de prossecução da cibersegurança, a UE considera necessária para a securitização das TIC’s europeias:
– a adopção de uma política coerente dentro das diferentes fronteiras dos países membros (princípio da coerência);
– a execução consistente das políticas ao longo do tempo (princípio da consistência);
– a abordagem de coordenação global, num quadro de interdependência das redes de informação (princípio da coordenação).
A Estratégia da EU para a Cibersegurança, definida pela Comissão Europeia – Comunicação Conjunta JOIN (2013) 1 Final,
- identifica os princípios orientadores da política de cibersegurança na UE, a nível interno e a nível do relacionamento internacional;
- identifica e articula as cinco prioridades estratégicas da UE:
– garantia da resiliência do ciberespaço;
– redução drástica da cibercriminalidade;
– desenvolvimento da política e das capacidades no domínio da ciberdefesa no quadro da PCSD;
– desenvolvimento dos recursos industriais e tecnológicos para a cibersegurança;
– estabelecimento de uma política internacional coerente em matéria de ciberespaço para a UE e promoção dos seus valores fundamentais.
A Segurança de Redes de Informação, nos termos da Proposta de Directiva (2013) 48 Final vem por sua vez exigir que [2]:
- os Estados-Membros deverão estar equipados adequadamente, em termos de capacidades técnicas e organizacionais,, para impedir, detectar, reagir e reduzir os incidentes e riscos ligados às redes e aos sistemas informáticos;
- devem ser instituídos em todos os Estados-Membros equipas de resposta e emergências informáticas;
- cada Estado-Membro deve dispor de uma estratégia nacional de SRI;
- em cada Estado-Membro deverá ser criada ou designada uma entidade responsável pela coordenação das questões da SRI e que sirva de ponto focal para a cooperação transfronteiras a nível da União.
NOTAS DE RODAPÉ:
[1] Acessível em http://www.nato.int/cps/en/natolive/topics_78170.htm .
[2] Cfr. Sobral (2014).