Luís Valente
Para as empresas, a equação é brutalmente simples: sem confiança digital, não há negócio. A NIS2, o DORA, o RGPD ou o futuro enquadramento da IA deixaram claro que a cibersegurança já não é um “nice to have”, mas sim um requisito para aceder a cadeias de valor globais, obter financiamento e manter relações com clientes, acionistas e parceiros. Quem ainda olha para a cibersegurança como um custo de IT está, na prática, a aceitar o risco de paragem operacional, chantagem digital e perda de propriedade intelectual como “custo de contexto”. E isso é, hoje, uma estratégia demasiado cara. A cibersegurança não depende só de tecnologia, mas também das políticas e processos que as organizações têm que adotar.
Também as pessoas estão no centro desta transformação. Nunca houve tanta informação sensível sobre cada um de nós a circular em plataformas, dispositivos e serviços baseados em IA, muitos deles fora do Espaço Europeu. Os principais serviços de suporte às necessidades básicas da sociedade de hoje necessitam de infraestruturas digitais para operar. Ao mesmo tempo, a Comissão Europeia apresentou o novo pacote Digital Omnibus, que pretende “simplificar, clarificar e alinhar” várias peças do quadro regulatório, do RGPD à NIS2, passando pelo Data Act, DORA, e pelo próprio AI Act. A promessa é reduzir sobreposições, burocracia e custos de conformidade, sobretudo para PME e startups. Mas a questão política é inevitável: estamos apenas a simplificar ou também a baixar a guarda?
Parte do debate que atravessa a Europa e que deve chegar às empresas e aos cidadãos passa por saber até onde podemos flexibilizar regras sem fragilizar direitos fundamentais. Várias análises alertam para o risco de as regras se tornarem mais permissivas à reutilização de dados e à exploração comportamental em larga escala, em nome da competitividade e da aceleração da IA.
Devemos sempre relembrar-nos que a privacidade é um dos Direitos fundamentais protegidos pela Constituição portuguesa e do qual não devemos abdicar. O avanço tecnológico deverá ser realizado a todo o custo numa área sem a devida análise de risco?
Se esta simplificação regulatória significar menor transparência e menor controlo por parte do utilizador, estaremos a trocar privacidade e autonomia por ganhos de curto prazo?
Por outro lado, no que ao Estado diz respeito, a cibersegurança e a transformação digital são agora instrumentos centrais de soberania. Num mundo multipolar, em que infraestruturas críticas podem ser alvo de ataques híbridos, em que empresas podem ser impactadas na sua atividade no mercado único e cadeias de abastecimento podem ser condicionadas por interesses geopolíticos, a capacidade de proteger sistemas, dados e algoritmos deixa de ser apenas um tema técnico para se tornar numa peça da política externa, da política económica e da própria resiliência democrática.
Por isso é tão relevante que conferências como esta promovam um diálogo mais estreito entre Estado e empresas. A regulação europeia só produzirá resultados se for traduzida em práticas concretas de gestão de risco, partilha de informação e resposta coordenada a incidentes. E isso implica que o setor público lidere pelo exemplo, trate a cibersegurança como uma prioridade transversal e integre a resiliência digital nas grandes decisões de investimento. Só assim entidades públicas e privadas poderão contribuir para um ciber espaço seguro. A cibersegurança da nossa sociedade depende de todos e é para todos.
Luís Valente é membro da Direção da APECSYS
