Análise de riscos, notificação e supervisão no âmbito da Diretiva relativa à resiliência das entidades críticas (DREC) e da Lei neerlandesa sobre a resiliência das entidades críticas (Wet weerbaarheid kritieke entiteiten, Wwke)

Inventário obrigatório de riscos como núcleo da resiliência das entidades críticas

No regime CER/Wwke, o inventário obrigatório de riscos constitui o ponto de partida jurídico e administrativo de toda a arquitetura da resiliência. Tal reveste-se de importância fundamental, porque estabelece que a resiliência não se mede, antes de mais, pela existência de medidas de proteção individuais, mas pela qualidade da compreensão subjacente dos possíveis cenários de perturbação, das vulnerabilidades, das dependências e das potenciais consequências sociais. Neste regime, uma entidade crítica não é avaliada sobre o pano de fundo de um ideal abstrato de segurança, mas em função de saber se a sua própria análise é suficientemente precisa, atualizada e coerente para proteger de forma significativa o serviço essencial, mesmo em situações de pressão. Em termos jurídicos, isto significa que o inventário de riscos não pode ser relegado ao plano de um exercício preparatório desprovido de relevância normativa autónoma. O inventário constitui o documento e o processo através dos quais deve tornar-se evidente que a entidade compreende a sua posição no interior da cadeia mais ampla da resiliência, que foram identificadas as ameaças relevantes, que foi reconhecida a interação entre os processos internos e as dependências externas e que as medidas adotadas com base nisso não foram selecionadas de forma arbitrária ou fragmentária. Um inventário deficiente afeta, por conseguinte, de modo direto, a legitimidade de todo o quadro de controlo.

Daqui resulta um modelo normativo em que a qualidade do inventário determina, em larga medida, a qualidade das decisões subsequentes. Se os riscos forem definidos de forma demasiado estreita, abordados de modo excessivamente estático ou excessivamente reduzidos a riscos clássicos de segurança, gera-se uma imagem enganadora de controlabilidade. A aparência de conformidade pode então subsistir, enquanto fatores materiais de perturbação permanecem fora da análise. Este perigo é particularmente agudo no caso de entidades críticas com estruturas operacionais complexas, relações internacionais com fornecedores, processos híbridos físicos e digitais e uma elevada dependência de pessoal especializado ou de infraestruturas geridas externamente. Em tais contextos, a perturbação do serviço essencial raramente pode ser reconduzida a uma causa única e isolada. Com maior frequência, trata-se de efeitos em cadeia sucessivos ou simultâneos, nos quais um acontecimento inicial relativamente circunscrito se propaga através de sistemas digitais, dependências contratuais, carências de pessoal, interrupções logísticas ou danos reputacionais. Um inventário de riscos que não torne visível essa interdependência não apenas carece de detalhe, como fica aquém do necessário para captar a verdadeira natureza do destinatário da norma. O quadro CER/Wwke pressupõe, por isso, um inventário que descreva a essência do serviço, as condições para a sua prestação ininterrupta e as fontes materiais de vulnerabilidade na sua relação recíproca.

Nesta perspetiva, o inventário de riscos não pode ser considerado separadamente da governação interna mais ampla da entidade. Uma aplicação convincente da obrigação legal exige que esse inventário não seja delegado numa função de conformidade isolada e desprovida de mandato estratégico, mas que seja incorporado nas estruturas de decisão do órgão de administração, dos comités de risco, da direção operacional e das funções de controlo. Para as entidades que, além disso, se confrontam com obrigações em matéria de cumprimento de sanções, prevenção do branqueamento de capitais, prevenção da fraude, controlo da integridade e revisão da cadeia de abastecimento, mostra-se adequado articular o inventário de riscos previsto pelo CER/Wwke com a Gestão integrada do risco de criminalidade financeira. Isso não decorre de uma identidade entre ambos os regimes, mas do facto de ambos imporem à organização uma exigência comparável: a capacidade de construir, hierarquizar e traduzir as representações do risco de forma integrada, e não isolada, em medidas de controlo demonstráveis. Quando uma entidade crítica depende, por exemplo, de terceiros, de fluxos de pagamento complexos, de cadeias contratuais transfronteiriças ou de fornecedores de alto risco, a falta de ligação com a Gestão integrada do risco de criminalidade financeira pode conduzir a uma avaliação incompleta dos riscos que recaem sobre a continuidade do serviço essencial. O inventário obrigatório de riscos nos termos do CER/Wwke constitui, assim, não apenas uma obrigação jurídica, mas também um critério institucional para aferir se a entidade é capaz de compreender de modo integrado as suas vulnerabilidades mais substanciais.

Representações do risco relativas a perturbações físicas, digitais, do pessoal e da cadeia de abastecimento

Um dos traços mais significativos do quadro CER/Wwke reside em que a representação do risco da entidade crítica não pode ser expressamente limitada a um único tipo de ameaça ou a uma única dimensão organizacional. A estrutura legislativa e regulamentar impõe uma abordagem em que as perturbações físicas, digitais, do pessoal e da cadeia de abastecimento sejam avaliadas na sua interdependência. Isto significa que uma entidade não pode limitar-se a análises separadas, por exemplo, da segurança dos acessos físicos, da proteção das redes ou dos sistemas de alimentação de emergência, devendo antes determinar de que modo esses elementos se condicionam mutuamente e em que sequência ou combinação podem comprometer o serviço essencial. Uma sabotagem física pode desencadear perturbações digitais, uma comprometimento digital pode provocar uma sobrecarga do pessoal, a escassez de pessoal pode dar origem a erros com consequências operacionais, e uma perturbação que afete um fornecedor aparentemente periférico pode, através das dependências da cadeia, comprometer diretamente a capacidade de continuar a prestar um serviço essencial. A relevância jurídica dessa representação composta do risco reside no facto de o quadro de supervisão não avaliar a entidade apenas com base em incidentes visíveis, mas em função de saber se foram adequadamente cartografadas combinações conhecidas ou razoavelmente previsíveis de fatores de perturbação.

Em particular, o domínio digital já não pode ser tratado, no quadro do CER/Wwke, como uma matéria especializada separada, reservada exclusivamente aos profissionais de cibersegurança. Em muitos setores críticos, a infraestrutura digital já não constitui um mero suporte, mas um elemento constitutivo da própria prestação do serviço essencial. Daqui decorre que toda a perturbação que afete a integridade dos dados, o acesso aos sistemas, a disponibilidade das redes ou a automatização dos processos adquire de imediato uma dimensão de continuidade. No entanto, seria profundamente errado deduzir daí que os fatores físicos e do pessoal perderam relevância. Pelo contrário, muitas perturbações graves surgem precisamente onde a vulnerabilidade digital se combina com segurança física insuficiente, separação inadequada de funções, triagem problemática do pessoal, estruturas de crise deficientes ou disponibilidade insuficiente de operadores qualificados. A componente do pessoal merece, a este respeito, particular atenção, porque a disponibilidade, a fiabilidade, a resiliência e a competência dos trabalhadores que desempenham funções críticas se revelam frequentemente tão determinantes para a resiliência efetiva quanto a qualidade da tecnologia. Uma entidade que se limite a reforçar a tecnologia, sem dispor de visibilidade adequada sobre as pessoas-chave, os cenários de ausência, a concentração de conhecimentos, as ameaças à integridade ou a sobrecarga prolongada do pessoal, omite uma parte essencial da representação do risco exigida pela lei.

A dimensão relativa à cadeia de abastecimento torna o exercício ainda mais exigente. O CER/Wwke impõe, em essência, à entidade crítica que ultrapasse os seus próprios limites organizacionais na análise e que tenha em conta os fornecedores, as relações de externalização, as ligações infraestruturais, as dependências a montante e a jusante e as potenciais perturbações que surjam fora da sua esfera imediata de controlo formal. Esta obrigação transforma a análise de riscos, que deixa de ser um documento interno de controlo para se tornar um instrumento de compreensão sistémica. Logo que um serviço essencial dependa de prestadores externos de serviços informáticos, ambientes de computação em nuvem, ligações de telecomunicações, fornecimentos energéticos, peças sobresselentes especializadas, processos externalizados ou estruturas de aprovisionamento distribuídas internacionalmente, configura-se um panorama de risco que já não pode ser adequadamente representado através de um inventário interno tradicional de riscos. É nesse ponto que emerge uma ligação direta com a Gestão integrada do risco de criminalidade financeira. Em muitas cadeias convergem a dependência operacional, a vulnerabilidade da integridade e o risco de criminalidade financeira, em particular quando a seleção de fornecedores, a exposição a sanções, os indicadores de fraude, as estruturas de propriedade, a exposição à corrupção e a integridade dos pagamentos incidem sobre a segurança do abastecimento e sobre a continuidade operacional. Uma entidade que pretenda analisar de forma integrada as perturbações físicas, digitais, do pessoal e da cadeia de abastecimento deverá, por isso, trabalhar crescentemente a partir de uma representação consolidada do risco, na qual a lógica da Gestão integrada do risco de criminalidade financeira esteja visivelmente incorporada como uma camada necessária de diligência devida e de controlo administrativo.

A articulação entre o risco de continuidade e o risco de integridade financeira

O quadro CER/Wwke não foi formalmente concebido como legislação em matéria de integridade financeira, mas a prática das entidades críticas demonstra claramente que o risco de continuidade e o risco de integridade financeira frequentemente não podem ser separados de forma convincente. A prestação de um serviço essencial pode ser ameaçada não apenas por sabotagens, falhas de sistema ou acontecimentos naturais, mas também por fraude, corrupção, infrações ao regime sancionatório, relações ligadas ao branqueamento de capitais, cadeias de abastecimento contaminadas, deficiências de integridade nos processos de contratação e estruturas opacas de propriedade ou de financiamento das contrapartes comerciais. Uma entidade crítica que coloque esses riscos exclusivamente num silo separado de integridade ou de conformidade, sem os articular expressamente com a continuidade do serviço essencial, corre o risco de deixar escapar mecanismos substanciais de perturbação. Quando um fornecedor-chave desaparece devido a exposição a sanções, quando um prestador externalizado é objeto de investigação criminal, quando uma fraude nas aquisições conduz a materiais ou serviços defeituosos, ou quando a corrupção compromete a fiabilidade de contratos de manutenção ou de segurança, não se coloca apenas uma questão de integridade, mas também um problema direto de resiliência no sentido do CER/Wwke.

Nesta perspetiva, revela-se aconselhável não considerar o sistema de Gestão integrada do risco de criminalidade financeira como um simples instrumento de conformidade, mas como um componente pleno do quadro mais amplo da resiliência das entidades críticas. A Gestão integrada do risco de criminalidade financeira fornece uma estrutura adequada para identificar de forma sistemática os riscos relativos a clientes, fornecedores, transações, propriedade, geografia e comportamento, detetar padrões de abuso ou infiltração e atribuir explicitamente as responsabilidades de governação. Para as entidades críticas, esta abordagem pode ter um valor determinante, na medida em que permite não tratar as perturbações ligadas à integridade como meros riscos reputacionais remotos, mas como acontecimentos suscetíveis de incidir diretamente sobre a segurança do abastecimento, a estabilidade contratual, o acesso aos serviços, as autorizações, o financiamento e a capacidade operacional. A articulação entre CER/Wwke e Gestão integrada do risco de criminalidade financeira conduz, assim, a uma compreensão mais refinada da ameaça: o que releva não é apenas o ataque visível contra a infraestrutura, mas também a erosão progressiva da fiabilidade no interior das relações, das transações e dos processos de tomada de decisão dos quais depende o serviço essencial.

Essa articulação reveste grande importância também no plano da governação. Os órgãos de administração e supervisão que organizam o risco de continuidade e o risco de integridade financeira em linhas de reporte separadas criam, com frequência, uma zona cega institucional. Daí pode resultar que os sinais identificados no âmbito da Gestão integrada do risco de criminalidade financeira não se traduzam atempadamente em medidas de proteção do serviço essencial, ao passo que os problemas de continuidade operacional, por seu turno, não retroalimentam a função de integridade. Num ambiente altamente regulado, uma separação deste tipo torna-se cada vez mais difícil de sustentar. O CER/Wwke não exige apenas que os riscos sejam registados, mas que sejam avaliados à luz da prestação do serviço essencial. Esse critério impõe uma abordagem funcional: todo o risco de integridade financeira suscetível de afetar razoavelmente a prestação desse serviço integra a representação relevante da resiliência. A vantagem estratégica de uma ligação explícita com a Gestão integrada do risco de criminalidade financeira reside em que permite à entidade organizar de forma coerente a triagem, a monitorização, a gestão do risco de terceiros, a deteção de incidentes e os protocolos de escalonamento. Daqui resulta uma linha de defesa mais sólida contra perturbações que, na ausência dessa ligação, poderiam ser erradamente classificadas como meros incidentes de integridade, quando, na realidade, as suas consequências sociais se estendem muito para além disso.

Caráter demonstrável das medidas de resiliência e responsabilidade administrativa

O regime CER/Wwke exige não apenas que existam medidas de resiliência, mas também que seja demonstrável por que razões essas medidas foram escolhidas, de que modo correspondem à representação atual do risco, como funcionam e quem assume a responsabilidade administrativa pela sua conceção, execução, verificação e atualização. Este requisito de caráter demonstrável vai muito além da existência clássica de políticas, protocolos ou planos de gestão de incidentes. Em termos jurídicos, a ênfase desloca-se para a demonstração da razoabilidade, da coerência e da eficácia das medidas. Uma medida que exista formalmente, mas que não possa ser reconduzida à análise de riscos, não tenha sido traduzida nos processos operacionais, não seja testada ou não esteja sujeita a acompanhamento administrativo, contribui apenas de forma limitada para a defensabilidade da entidade perante as autoridades de supervisão ou competentes. A questão, por conseguinte, não consiste apenas em determinar se uma medida existe no papel, mas em saber se a entidade é capaz de demonstrar que a configuração escolhida constitui uma resposta ponderada às vulnerabilidades específicas postas em evidência pela análise. Isto exige documentação disciplinada, tomada de decisão clara, governação verificável e um nível de supervisão administrativa em que a agenda da resiliência seja assumida de forma visível.

Na prática, isto significa que a responsabilidade administrativa não pode esgotar-se mediante referências genéricas a tarefas delegadas à segurança, à conformidade, à gestão de riscos ou às operações. Espera-se dos órgãos de administração e da alta direção que compreendam as hipóteses fundamentais do modelo de resiliência, que estabeleçam prioridades na afetação de recursos, que mantenham visibilidade sobre as dependências mais relevantes e que supervisionem ativamente a questão de saber se as medidas de mitigação correspondem efetivamente à natureza crítica do serviço essencial. Um órgão de administração que atue apenas de forma reativa após os incidentes, ou que se contente com garantias genéricas sem exame substancial, coloca a organização numa posição de vulnerabilidade. Isto é tanto mais verdadeiro quando a entidade opera num contexto em que convergem múltiplos regimes de supervisão, como a regulação setorial, as obrigações em matéria cibernética, as normas sobre externalização, os requisitos de integridade e as obrigações decorrentes da Gestão integrada do risco de criminalidade financeira. Em tais circunstâncias, a responsabilidade administrativa é apreciada à luz da capacidade para prevenir a fragmentação. O decisivo não é a mera existência de numerosos documentos de controlo separados, mas sim saber se existe uma linha administrativa identificável que ligue a análise de riscos, a seleção de medidas, o escalonamento, os investimentos, a auditoria e a informação.

O papel da Gestão integrada do risco de criminalidade financeira é significativo também sob esta perspetiva, uma vez que, nesse domínio, o caráter demonstrável e a prestação de contas se encontram tradicionalmente muito desenvolvidos e oferecem elementos úteis para a governação do CER/Wwke. É perfeitamente concebível, por exemplo, que as decisões relativas a fornecedores, terceiros, pagamentos, relações de externalização e ligações operacionais de alto risco já se encontrem documentadas, no âmbito da Gestão integrada do risco de criminalidade financeira, com um grau suficiente de profundidade quanto à aceitação do risco, ao escalonamento e à atribuição de responsabilidades. Quando esses elementos de governação se articulam com as obrigações decorrentes do CER/Wwke, uma entidade crítica encontra-se em melhor posição para demonstrar que as medidas não foram adotadas de forma improvisada, mas decorrem de uma avaliação sistemática das vulnerabilidades e dependências. Isto reforça não apenas a defensabilidade externa perante a autoridade supervisora, mas também a disciplina interna do órgão de administração. Neste contexto, o caráter demonstrável não constitui uma mera formalidade posterior, mas um elemento constitutivo da própria resiliência: uma entidade que não seja capaz de explicar por que existe uma medida, quem é responsável por ela e como a sua eficácia é supervisionada encontrará, com frequência, em situação de crise, dificuldades também para assegurar que essa medida funcione efetivamente de forma eficaz.

Obrigações de notificação, informação e prestação de contas perante as autoridades e os órgãos de supervisão

As obrigações de notificação, informação e prestação de contas previstas pelo CER/Wwke figuram entre os elementos mais sensíveis e, ao mesmo tempo, mais estratégicos do regime. São sensíveis porque obrigam a entidade crítica a partilhar com as autoridades competentes, num curto espaço de tempo, informação potencialmente gravosa, operacionalmente delicada e, por vezes, sensível do ponto de vista reputacional; são estratégicas porque essa informação se revela essencial para a construção de uma posição informativa administrativa à escala nacional e, quando necessário, transfronteiriça. A obrigação de notificar incidentes que perturbem ou possam perturbar de forma significativa o serviço essencial não pode, por isso, ser entendida como um requisito administrativo autónomo. Trata-se de um mecanismo que permite ao Estado apreciar uma perturbação não apenas da perspetiva da entidade individual, mas em relação ao seu impacto mais amplo sobre a sociedade, a economia, as cadeias de abastecimento e outras funções vitais. Para a entidade obrigada a notificar, isto implica que a qualificação dos incidentes, as linhas de escalonamento, a organização dos dossiês e os processos internos de validação devam ser estruturados de tal forma que a rapidez não comprometa a fiabilidade e que a fiabilidade não produza um atraso paralisante.

A complexidade desta obrigação aumenta consideravelmente quando se reconhece que, na prática, muitos incidentes não se apresentam como acontecimentos imediatamente claros e nitidamente delimitados. Numa fase inicial, existe frequentemente incerteza quanto a saber se se trata de um defeito técnico, de um ato malicioso, de um incidente de integridade, de um problema de abastecimento, de uma carência de pessoal ou de uma combinação desses fatores. Precisamente por isso, os processos de notificação e de prestação de contas devem ser concebidos com base na incerteza e no desenvolvimento progressivo da informação. Deve ser possível uma primeira notificação mesmo sem uma análise causal completa, ao passo que o relatório detalhado subsequente deve oferecer uma estrutura suficiente para tornar inteligíveis a natureza, o impacto, a causa provável, as medidas adotadas, as consequências esperadas e as vulnerabilidades residuais. Uma entidade que não desenvolva antecipadamente esse processo corre o risco, em situação de incidente, de cair numa comunicação fragmentada e improvisada, numa atitude juridicamente defensiva ou numa transmissão incoerente de informação a diferentes autoridades. As obrigações decorrentes do CER/Wwke exigem, por conseguinte, uma forma de preparação para a prestação de contas: a capacidade de comunicar, sob pressão, de forma factual, cuidadosa e institucionalmente útil. Também neste ponto, a ligação com a Gestão integrada do risco de criminalidade financeira pode aportar um valor acrescentado, uma vez que esse domínio costuma dispor de experiência em regras de escalonamento, governação de atividades suspeitas, tratamento da informação, padrões documentais e circuitos de decisão relativos a notificações sensíveis.

Além disso, as obrigações de notificação, informação e prestação de contas não produzem efeitos apenas no exterior, mas penetram profundamente na organização interna da entidade crítica. A questão de saber que informação deve ser transmitida, em que momento, quem está autorizado a aprovar a comunicação externa, como se garante a exatidão factual, qual o papel desempenhado pelo aconselhamento jurídico e como se assegura a coerência com notificações paralelas efetuadas ao abrigo de outros regimes incide diretamente sobre a estrutura administrativa da organização. Em muitos setores, um incidente pode ser simultaneamente relevante para efeitos do CER/Wwke, da regulamentação cibernética, da supervisão setorial, dos compromissos contratuais perante contrapartes, das relações seguradoras, das autoridades penais ou das funções de integridade. Na ausência de uma direção integrada, emerge rapidamente o risco de qualificações contraditórias e de fragmentação da informação. O valor acrescentado de uma ligação explícita com a Gestão integrada do risco de criminalidade financeira reside aqui no facto de as competências já existentes em matéria de triagem, confidencialidade, escalonamento, apuramento de factos e harmonização de relatórios poderem ser utilizadas para tornar mais robusta a operacionalização das obrigações decorrentes do CER/Wwke. Neste regime, as obrigações de notificação e de prestação de contas não podem, portanto, ser consideradas uma simples fase conclusiva posterior ao incidente, mas antes uma componente essencial do quadro preventivo de resiliência. Uma entidade que não seja capaz de notificar e interpretar de forma coerente uma perturbação grave revela frequentemente, precisamente por isso, que a compreensão subjacente do risco, da dependência e da governação não se encontra, por sua vez, suficientemente integrada.

O papel das autoridades competentes na avaliação e na aplicação de medidas

No âmbito do regime CER/Wwke, a autoridade competente ocupa uma posição que vai consideravelmente além da de um regulador setorial clássico incumbido apenas de verificar ex post se as obrigações legais formais foram cumpridas. Neste contexto, a autoridade competente encontra-se investida de um mandato de direito público que abrange dimensões normativas, avaliativas, coordenadoras e executórias. Já ao nível da avaliação setorial dos riscos se torna evidente que a autoridade não atua como um agente externo à missão de resiliência, mas como um ator institucional que contribui para moldar o quadro dentro do qual as entidades críticas devem desenvolver a sua própria análise de riscos e as suas próprias medidas de resiliência. Tal reveste-se de grande importância para a interpretação das obrigações legais. Demonstra que a norma não se forma exclusivamente no interior da própria entidade, mas é ainda precisada pela representação pública do risco, pelas expectativas próprias do setor e pela interpretação administrativa daquilo que, num dado contexto, constitui um nível adequado de resiliência. A autoridade, por conseguinte, não funciona apenas como recetora de informação, mas também como produtora de contexto, prioridades e quadros orientadores que contribuem para estruturar a margem de apreciação jurídica da entidade.

Na prática, essa posição traduz-se numa forma de supervisão necessariamente estratificada e interpretativa. A avaliação de uma entidade crítica não pode assentar numa abordagem mecânica de lista de verificação, porque a questão de saber se uma entidade está efetivamente em condições de continuar a prestar um serviço essencial perante ameaças diversas depende de características setoriais específicas, de configurações técnicas, de estruturas de dependência, da localização geográfica, do grau de externalização, da interconexão internacional e da qualidade da governação administrativa. A autoridade competente deve, assim, estar em condições de apreciar se a análise de riscos da entidade apresenta profundidade suficiente, se as medidas adotadas correspondem ao seu perfil de risco específico, se as notificações são efetuadas de forma adequada e atempada e se as decisões administrativas relativas à priorização, aos investimentos e à escalada encontram um fundamento razoável no objetivo legal de proteção da continuidade. A supervisão adquire, desse modo, um caráter substantivo. O que se torna decisivo deixa de ser a mera existência de documentos enquanto tais e passa a ser a força persuasiva da coerência entre análise, tomada de decisão e implementação. Para as entidades críticas, isto significa que a relação com a autoridade competente não pode ser abordada de forma puramente defensiva. Uma entidade que procure apenas demonstrar uma conformidade formal mínima, deixando, contudo, manifestamente insuficiente a resposta à vulnerabilidade operacional subjacente, atingirá mais rapidamente, num modelo de supervisão substantiva, os limites da tolerância administrativa.

A dimensão executória confirma esta imagem. O regime CER/Wwke não foi expressamente concebido como uma supervisão simbólica desprovida de força coerciva, mas como um quadro no qual a autoridade competente pode intervir efetivamente quando a continuidade dos serviços essenciais se encontra insuficientemente protegida. A possibilidade de impor sanções administrativas pecuniárias, multas coercivas e medidas de execução administrativa evidencia que o legislador não considera as insuficiências na governação da resiliência como meras falhas organizacionais internas, mas como riscos de relevância pública que, quando necessário, devem ser contidos mediante intervenção corretiva. Isto tem igualmente implicações para a organização da Gestão integrada do risco de criminalidade financeira no seio das entidades críticas. Sempre que riscos de integridade financeira, risco associado a terceiros, exposição a sanções, indicadores de fraude ou estruturas de propriedade dos fornecedores possam afetar a continuidade do serviço essencial, a autoridade competente pode legitimamente esperar que tais elementos não sejam excluídos da avaliação da resiliência. O papel da autoridade assume, assim, também uma função de articulação entre a proteção clássica da continuidade e uma supervisão mais ampla da integridade e das dependências. Torna-se, deste modo, visível que a avaliação e a aplicação de medidas no quadro do CER/Wwke não se referem apenas à segurança em sentido estrito, mas ao controlo administrativo do conjunto dos fatores relevantes suscetíveis de comprometer o serviço essencial.

Da conformidade formal à qualidade substantiva da resiliência

Uma das ambições mais características do regime CER/Wwke consiste na passagem da conformidade formal como ponto de chegada para a qualidade substantiva da resiliência como critério de uma estruturação conforme à norma. Esta distinção é fundamental. A conformidade formal pressupõe que o controlo jurídico incida, antes de mais, sobre a existência de documentos prescritos, procedimentos, canais de notificação e funções organizacionais. A qualidade substantiva da resiliência, pelo contrário, exige verificar se esses elementos, considerados no seu conjunto, contribuem efetivamente para a proteção do serviço essencial perante cenários realistas de perturbação. Num quadro orientado para a continuidade de funções de grande relevância social, uma abordagem puramente formal seria inevitavelmente insuficiente. Uma análise de riscos que pareça metodologicamente cuidada, mas deixe sem menção dependências cruciais, um procedimento de gestão de incidentes que aparente completude jurídica, mas se revele operacionalmente inaplicável, ou uma estrutura de governação que, no plano formal, atribua responsabilidades claras, mas careça de uma verdadeira capacidade de escalada, talvez produzam certa ordem administrativa, mas não uma resiliência convincente. O quadro CER/Wwke indica, assim, implicitamente, que a conformidade apenas tem significado na medida em que se traduza em capacidade real de proteção.

Isto acarreta consequências de grande alcance quanto à forma como as entidades críticas estruturam os seus mecanismos de controlo interno. O ênfase desloca-se da produção de documentos para a capacidade de justificar escolhas, do mero cumprimento mínimo de requisitos para a demonstração de coerência, e de uma função de compliance isolada para uma direção administrativa integrada. A questão já não é apenas saber se existe uma política, mas se essa política está calibrada em função da realidade efetiva do risco próprio da entidade. Do mesmo modo, não basta que exista formalmente um processo de notificação de incidentes; é necessário que os sinais sejam reconhecidos em tempo útil, que os critérios de classificação sejam operacionais, que a escalada até ao nível do órgão de administração não fracasse devido a fricções organizacionais e que a comunicação de informação para o exterior possa ocorrer de forma coerente quando a pressão atinge o seu máximo. A qualidade substantiva da resiliência exige ainda que a entidade desenvolva uma capacidade institucional de aprendizagem. Incidentes, quase-incidentes, alertas externos, problemas relacionados com fornecedores, auditorias, informação sobre ameaças e testes operacionais não devem ser administrados separadamente, mas transformados numa imagem viva da qualidade da resiliência. Na ausência dessa dimensão de aprendizagem, a conformidade torna-se rapidamente retrospetiva e estática, ao passo que o quadro CER/Wwke assenta precisamente em ambientes de ameaça dinâmicos e numa recalibração periódica.

A ligação com a Gestão integrada do risco de criminalidade financeira reforça ainda mais este deslocamento. Num quadro corretamente estruturado de Gestão integrada do risco de criminalidade financeira, o ênfase normalmente não recai apenas sobre a existência de procedimentos, mas sobre a eficácia da deteção, da monitorização, da diligência devida, da escalada e do seguimento administrativo. Essa abordagem ajusta-se estreitamente à ideia de qualidade substantiva da resiliência. Quando uma entidade crítica reúne estas disciplinas, emerge um modelo no qual a conformidade não é compreendida como mera produção documental, mas como controlo demonstrável de riscos diretamente relevantes para o serviço essencial. Isto é particularmente verdadeiro no caso de relações de cadeia de alto risco, estruturas complexas de fornecedores, dependências transfronteiriças e sinais de integridade suscetíveis de afetar a continuidade operacional. Uma entidade que cumpra formalmente obrigações separadas, mas não torne visível a inter-relação entre o risco de continuidade e o risco de integridade financeira, será mais fraca em termos substantivos do que uma entidade que tenha integrado explicitamente essas conexões. A passagem da conformidade formal para a qualidade substantiva da resiliência não constitui, por isso, apenas uma aspiração de política pública, mas o núcleo de uma implementação jurídica convincente das obrigações decorrentes do CER/Wwke.

A tensão entre os requisitos de supervisão e a viabilidade operacional

O regime CER/Wwke impõe obrigações exigentes às entidades críticas, mas tais obrigações não surgem num vazio institucional. Aplicam-se a organizações já inseridas em realidades operacionais, técnicas, contratuais e humanas complexas e, muitas vezes, sujeitas simultaneamente a múltiplos regimes de supervisão, cada um com a sua própria terminologia, as suas próprias linhas de reporte e as suas próprias expectativas em matéria de prestação de contas. É neste plano que emerge uma tensão fundamental entre os requisitos de supervisão e a viabilidade operacional. Por um lado, o legislador exige uma análise aprofundada de riscos, medidas de resiliência demonstráveis, notificações de incidentes sem atraso indevido, uma recalibração periódica, o envolvimento dos órgãos de administração e a disponibilidade para cooperar com as autoridades supervisoras. Por outro lado, muitas entidades críticas não dispõem nem de recursos ilimitados, nem de estruturas de dados uniformes, nem de modelos de governação plenamente harmonizáveis. Os departamentos operacionais trabalham sob pressão temporal, os sistemas desenvolveram-se historicamente, as relações de cadeia estão fragmentadas no plano contratual ou técnico e a informação relevante para as autoridades supervisoras encontra-se, frequentemente, dispersa internamente entre segurança, jurídico, operações, compras, compliance, gestão de risco, finanças e gestão de crise. Nesta realidade, um regime juridicamente sofisticado só pode ser eficaz se for traduzido não apenas como normativamente ambicioso, mas também como administrativamente praticável.

Esta tensão não deve ser subestimada, porque, caso contrário, conduz facilmente a dois extremos igualmente indesejáveis. No primeiro extremo, a entidade tenta absorver da forma mais completa possível os requisitos de supervisão, construindo um sistema cada vez mais pesado de documentos, controlos, reuniões e relatórios, com o risco de a organização operacional ficar atolada num excesso de carga procedimental e de a própria essência da resiliência efetiva desaparecer de vista. No segundo extremo, surge resistência ao regime e este passa a ser percecionado como um encargo externo que convém gerir sobretudo de forma formal, com uma integração mínima nos processos centrais da organização. Ambos os resultados comprometem o objetivo do CER/Wwke. Uma viabilidade real exige, por conseguinte, uma abordagem de conceção na qual os requisitos de supervisão sejam integrados nos ritmos operacionais existentes, nas linhas de decisão e nos processos informativos, sem perda de rigor normativo. Isto exige tanto compreensão jurídica como competência organizacional. Nem toda a obrigação requer necessariamente um processo autónomo; muitas obrigações podem ser aplicadas de modo mais eficaz mediante a sua integração em estruturas de crise já existentes, comités de risco, governação de terceiros, gestão da mudança e mecanismos de assurance.

Também aqui a Gestão integrada do risco de criminalidade financeira desempenha um papel importante. As organizações que já dispõem de uma infraestrutura mais desenvolvida para diligência devida, monitorização, escalada de incidentes, triagem de fornecedores, documentação de governação e informação de gestão podem utilizar alguns desses elementos para tornar operacionalmente aplicáveis as obrigações do CER/Wwke sem criar duplicações desnecessárias. O valor da Gestão integrada do risco de criminalidade financeira, neste contexto, reside não apenas na articulação substantiva entre riscos, mas também na arquitetura organizacional que pode oferecer. Assim, quando a informação sobre fornecedores de alto risco, padrões transacionais anómalos, estruturas de propriedade, riscos de sanções e escaladas já é recolhida de forma sistemática, essa infraestrutura pode também ser utilizada para tornar mais visíveis os riscos de resiliência ligados à cadeia. Deste modo, a viabilidade operacional do quadro CER/Wwke é reforçada. A tensão entre supervisão e implementação não desaparece por isso, mas torna-se mais gerível. O ponto decisivo é que as entidades críticas não tratem os requisitos de supervisão como um universo paralelo, mas os traduzam numa governação praticável e alinhada com a sua própria realidade operacional, sem cair num ritualismo puramente formal.

A importância de uma análise conjunta das ameaças e de uma imagem operacional integrada única

A eficácia do quadro CER/Wwke depende, em larga medida, da qualidade da compreensão partilhada das ameaças entre as entidades críticas, as autoridades competentes e, quando pertinente, outros atores públicos e privados envolvidos na proteção dos serviços essenciais. Uma entidade crítica só pode atuar com eficácia limitada quando a sua própria representação do risco diverge de forma significativa dos sinais setoriais, das avaliações nacionais de ameaça ou da experiência dos parceiros da cadeia. Inversamente, o Estado só pode exercer de forma limitada a sua função de coordenação e execução quando as notificações de incidentes, as análises setoriais e a informação de supervisão não são reunidas numa visão coerente dos padrões de perturbação, das dependências e dos riscos de escalada. Neste contexto, a ideia de uma análise conjunta das ameaças assume importância decisiva. Não se trata apenas de uma troca de informação em sentido geral, mas da construção de um quadro analítico partilhado no qual os riscos relevantes sejam classificados, interpretados e priorizados de forma comparável. Na falta de uma tal base analítica comum, cada ator corre o risco de operar a partir de uma perspetiva parcial, com a consequência de que riscos sistémicos significativos sejam identificados demasiado tarde ou de forma demasiado incompleta.

O conceito de uma imagem operacional integrada única insere-se diretamente nesta lógica. Para as entidades críticas, isto não significa necessariamente a existência de um único painel de controlo literal ou de um ambiente técnico uniforme, mas antes a existência de uma visão de conjunto coerente, tanto no plano administrativo como no operativo, na qual sejam reunidas perturbações físicas, sinais digitais, vulnerabilidades do pessoal, problemas relacionados com fornecedores, notificações de integridade, degradação operacional e informação externa sobre ameaças. Uma representação integrada desta natureza é essencial, porque perturbações graves raramente podem ser reduzidas a uma só disciplina. O que começa como uma perturbação na cadeia de abastecimento pode adquirir uma dimensão cibernética, depois conduzir a uma sobrecarga do pessoal, seguidamente degenerar em dificuldades de comunicação com as autoridades e, por fim, desembocar em desorganização social. Se a organização não dispuser de uma imagem integrada do que está em desenvolvimento, surgirão atrasos na tomada de decisão, incoerências nos relatórios e uma priorização subótima de recursos escassos. O quadro CER/Wwke implica, por conseguinte, a expectativa de que as entidades críticas organizem os seus sistemas de informação, as suas estruturas de crise e a sua governação de tal forma que se limite a fragmentação e que os sinais relevantes possam ser avaliados atempadamente e na sua inter-relação.

Também aqui a relação com a Gestão integrada do risco de criminalidade financeira é evidente. Em muitas organizações, os sinais relativos a transações que aumentam o risco, contrapartes duvidosas, padrões atípicos de fornecedores, resultados de triagem ou alertas relacionados com sanções encontram-se em sistemas e equipas institucionalmente separados das funções de continuidade operacional ou de segurança. Deste facto pode resultar a perda de contexto essencial. Uma imagem operacional integrada única que exclua estruturalmente sinais de integridade financeira permanece incompleta, sobretudo em setores nos quais a fiabilidade de terceiros, a lisura dos fluxos financeiros e a integridade das cadeias de contratação e abastecimento influenciam diretamente a segurança de prestação do serviço essencial. A Gestão integrada do risco de criminalidade financeira pode, por isso, dar um contributo substancial à análise conjunta das ameaças ao disponibilizar dados, indicadores e processos de governação que, de outro modo, permaneceriam fora do domínio da continuidade. A vantagem estratégica desta integração reside no facto de a análise das ameaças deixar de reagir apenas a perturbações manifestas e passar também a ser sensível a sinais precoces de erosão, abuso ou infiltração suscetíveis de afetar, ao longo do tempo, a resiliência da entidade. Uma imagem operacional partilhada e integrada torna-se, assim, uma condição para uma intervenção atempada, para a coerência administrativa e para um cumprimento credível das obrigações decorrentes do CER/Wwke.

A supervisão ao abrigo do CER/Wwke como catalisador de uma governação integrada da Gestão integrada do risco de criminalidade financeira

Quando o regime CER/Wwke é contemplado em toda a sua amplitude, emerge uma conceção da supervisão que não apenas corrige e constrange, mas que também pode exercer um efeito transformador sobre a governação interna das entidades críticas. O quadro obriga, efetivamente, as organizações a aprofundar a sua análise de riscos, a tornar explícitas as dependências, a repartir com maior clareza as responsabilidades administrativas, a estruturar a notificação de incidentes e a tornar demonstrável a eficácia das medidas adotadas. Estas exigências exercem pressão sobre as compartimentações organizacionais tradicionais e criam, desse modo, um forte incentivo à integração de funções que anteriormente coexistiam apenas de forma parcial. Nesta perspetiva, a supervisão ao abrigo do CER/Wwke pode atuar como catalisador de uma governação integrada da Gestão integrada do risco de criminalidade financeira. Não porque o quadro CER/Wwke se funda formalmente no direito da integridade financeira, mas porque põe em evidência as mesmas fragilidades administrativas que também surgem recorrentemente no domínio da Gestão integrada do risco de criminalidade financeira: representações fragmentadas do risco, conhecimento insuficiente das cadeias, escalada deficiente, limitada apropriação ao nível do órgão de administração e uma ênfase excessiva em descrições formais de processos sem visibilidade suficiente sobre a eficácia real.

Para muitas entidades críticas, isto constitui uma oportunidade estratégica de grande relevo. Em vez de considerar o CER/Wwke como um quadro normativo adicional e separado que se soma às obrigações existentes, pode ser utilizado como alavanca estrutural para construir uma governação do risco mais integrada, na qual o risco de continuidade, o risco operacional, o risco cibernético, o risco de fornecedores e o risco de integridade financeira sejam geridos de forma conjunta. A Gestão integrada do risco de criminalidade financeira oferece, para esse efeito, métodos e disciplinas valiosos, em particular nos domínios da diligência devida em relação a terceiros, da análise da propriedade e do controlo, da monitorização de transações, da triagem em matéria de sanções, da governação da escalada, do registo de incidentes e da prestação de contas administrativa. Quando estes elementos são entrelaçados com os requisitos do CER/Wwke, surge um modelo de governação mais apto a proteger efetivamente a função social da entidade crítica. O valor acrescentado daí resultante não reside apenas na eficiência ou na redução de sobreposições, mas sobretudo numa elevação da qualidade substantiva. Uma entidade que integre a lógica da Gestão integrada do risco de criminalidade financeira na sua arquitetura de resiliência aumenta a probabilidade de que riscos subtis, mas sistemicamente relevantes, de integridade e dependência sejam reconhecidos em tempo útil antes de se traduzirem em disfunção operacional.

Torna-se assim igualmente visível que a supervisão ao abrigo do CER/Wwke faz, em última análise, mais do que verificar a conformidade; reconfigura as expectativas relativas à boa governação nos setores críticos. Exige-se cada vez mais dos administradores e dos dirigentes de topo que não abordem os riscos de forma estreitamente setorial ou funcional, mas que reconheçam que a continuidade dos serviços essenciais depende de um vasto conjunto de fatores inter-relacionados. Uma governação integrada da Gestão integrada do risco de criminalidade financeira pode, dentro desse quadro mais amplo, servir de fundamento estruturante ao juízo administrativo, na medida em que fornece mecanismos para relacionar vínculos, transações, terceiros, fluxos financeiros, estruturas de propriedade e indicadores comportamentais com a missão de resiliência da organização. O resultado é uma forma de governação na qual normatividade jurídica, realidade operacional e direção estratégica do risco se aproximam entre si. É precisamente aí que reside o significado mais profundo do quadro CER/Wwke: não em acrescentar mais encargos de conformidade, mas em impor uma ordenação institucional na qual a proteção dos serviços essenciais é abordada como um mandato de governação integrada. Nesta leitura, a supervisão ao abrigo do CER/Wwke não é apenas um regime de controlo, mas uma força motriz de uma nova geração de governação na qual resiliência, integridade e continuidade deixam de ser administradas em compartimentos separados.