Na sequência de vários ciberataques, designadamente do ciberataque à Vodafone, Adolfo Mesquita Nunes escreveu um artigo em que chamava a atenção para a responsabilidade das entidades públicas em tempo de ciberataques. É um alerta que faz sentido, mas convém não perder de vista o quadro geral do tema, abordado neste jornal com a notícia de que Portugal ainda não classificou redes de comunicações como infra-estruturas críticas.

Em causa na notícia estava a publicação do Decreto-Lei n.º 20/2022, que aprova os procedimentos para identificação, designação, proteção e aumento da resiliência das infraestruturas críticas nacionais e europeias, revogando o Decreto-Lei n.º 62/2011, de 9 de maio, diploma que “estabelece os procedimentos de identificação e de proteção das infraestruturas essenciais para a saúde, a segurança e o bem estar económico e social da sociedade nos sectores da energia e transportes”.

Invocando a transposição integral da Diretiva 2008/114/CE do Conselho de 8 de dezembro - que ainda está em vigor e que só abrange os setores da energia e dos transportes –, o legislador português alargou consideravelmente o conjunto de setores abrangidos pela obrigação de classificação como infraestruturas críticas e, em consequência dessa classificação, da adoção de planos de segurança.

Assim, para além dos setores de energia e transportes, passam a estar incluídos os seguintes sectores e/ou áreas de atividade: comunicações, infraestruturas digitais e prestadores de serviços digitais, abastecimento público de água e tratamento de resíduos, alimentação, saúde, indústria, serviços financeiros, segurança, defesa e órgãos de soberania e governação (cfr. anexo ao Decreto-Lei n.º 20/2022 que identifica os setores e subsetores de infraestruturas críticas e respetivas entidades setoriais).

Em rigor, o Governo está, creio que bem, a antecipar o mais que previsível alargamento do conjunto de setores e subsetores de infraestruturas críticas europeias (de dois para dez) que vão passar a ser abrangidos pela Diretiva comunitária que está neste momento em discussão no quadro da União Europeia, cujo último desenvolvimento conhecido pode ser visto na posição adotada pelo Conselho Europeu (Council adopts negotiating mandate on the resilience of critical entities).

No momento em que o Governo alarga de forma muito ambiciosa o conjunto de setores abrangidos por esta “política” e “programa” de proteção e salvaguarda da resiliência de infraestruturas críticas nacionais, importava saber o que foi feito entre 2011 e 2022, isto é, entre o ano de publicação do Decreto-Lei n.º 60/2011, e o ano de publicação do Decreto-Lei n.º 20/2022.

Esse balanço é necessário não só para termos uma fotografia atualizada do “estado da arte”, mas também para percebermos se vamos começar do zero ou tão só alargar o raio de ação das entidades públicas e privadas que estão obrigadas à classificação e proteção de infraestruturas críticas.

A realidade é que sobre o que foi feito até aqui sabemos muito pouco.

Em termos de enquadramento legal, sabemos que foi publicada alguma legislação, como o Decreto-Lei n.º 43/2020, que estabelece o sistema nacional de planeamento civil de emergência, e a Resolução do Conselho de Ministros n.º 7-A/2015, que aprovou a Estratégia Nacional de Combate ao Terrorismo, nos termos da qual ficou previsto o desenvolvimento do “Plano de Ação para a Proteção e Aumento da Resiliência das Infraestruturas Críticas, nacionais e europeias, com os respetivos planos de segurança da responsabilidade dos operadores e planos de segurança externos da responsabilidade das forças e serviços de segurança e da Autoridade Nacional de Proteção Civil”.

Quanto a intenções, também sabemos alguma coisa.

Sabemos que numa conferência sobre Infraestruturas Críticas Nacionais, a secretária de Estado da Administração Interna declarou que é “firme propósito” do Governo “elaborar um plano anual dirigido à preservação da segurança das infraestruturas críticas do Estado, em articulação com as estruturas homólogas do setor da Defesa Nacional, sob coordenação do Sistema de Segurança Interna e envolvendo as forças e serviços de segurança, bem como a Autoridade Nacional de Emergência e Proteção Civil”.

Quanto a ações tangíveis e medidas concretas é que sabemos muito pouco.

Sabemos, por exemplo e pela consulta do sítio na Internet da Autoridade Nacional de Emergência e Proteção Civil (ANPC), que “vieram a ser formalmente designadas como infraestruturas críticas nacionais mais de centena e meia de instalações, dos setores do transporte (aéreo e marítimo) e energia (eletricidade, combustíveis e gás natural). Mas esta informação é de 6 de novembro de 2017 e, desde então, não foi atualizada (acesso em 16 de fevereiro de 2022).

Sabemos assim muito pouco e deveríamos saber muito mais.

E, pergunta o leitor, qual a importância disto tudo?

Para se ter uma ideia dessa importância, quando em 2007 se fez um primeiro “levantamento” destas infraestruturas críticas, concluiu-se que o país estava totalmente dependente de 89 destas infraestruturas e que 60% delas estavam situadas em zonas de intensidade sísmica máxima e vulneráveis a atentados terroristas.

O tema não é novo. Nem sequer para os para os leitores mais atentos deste jornal. Com exceção do Decreto-Lei n.º 20/2022, dos ciberataques e do artigo de Adolfo Mesquita Nunes, tudo o que aqui fica dito e escrito já tinha sido abordado no meu artigo sobre a proteção e salvaguarda da resiliência de infra-estruturas críticas europeias, para o qual tomo a liberdade de remeter.

Ainda que corra o risco de ser injusto, não posso deixar de dizer que não percebo a passividade em torno deste tema, quer dos agentes políticos, quer, em abono da verdade, da nossa imprensa.

O autor escreve segundo o novo acordo ortográfico