Novo modelo para a governação da cibersegurança em Angola

435

Por: Nádia Ribeiro - jurista especializada em tecnologia, media e telecomunicações

A promulgação do Decreto Presidencial n.º 258/25 (estabelece o Conselho Nacional de Cibersegurança), do Decreto Presidencial n.º 263/25 (estabelece o Centro Nacional de Cibersegurança) e a publicação da Estratégia Nacional de Cibersegurança (Estratégia Nacional ou ENCS) para o período 2024–2028, no início de dezembro de 2025, constituem um ponto de viragem no quadro regulatório da segurança digital em Angola. Estes instrumentos vêm reforçar um quadro institucional ainda em evolução, com o objetivo de consolidar uma abordagem nacional coerente, transversal e integrada relativamente a esta matéria.

Simultaneamente, a publicação das alterações ao Regulamento Geral das Comunicações Electrónicas (RGCE) no final de dezembro de 2025, vem impor novos requisitos às entidades que oferecem redes e serviços de comunicações eletrónicas, sobretudo em matéria de deveres relacionados com cibersegurança.

Abaixo identificamos os principais aspectos introduzidos pelos novos diplomas, em particular as novidades face às propostas legislativas colocadas em consulta pública durante os meses de março e abril de 2025, e os impactos esperados para as entidades que operam no sector das comunicações electrónicas. Aplaudindo o mérito destes diplomas, espera-se que os diplomas de desenvolvimento venham a introduzir clarificação adicional ou regulamentação complementar relativamente a alguns pontos que podem beneficiar de maior densificação.

Evolução regulatória e novo modelo de governação

Os diplomas agora aprovados institucionalizam uma arquitectura assente em três tipos de instituições interdependentes:

As autoridades de supervisão/regulação sectorial (como por exemplo, o INACOM) detêm competências complementares, designadamente no sector das comunicações electrónicas, dados pessoais e conteúdos digitais.

Este modelo marca uma evolução positiva face às propostas inicialmente colocadas em consulta pública, na medida em que assegura:

• Clareza quanto ao quadro institucional e definição de mandatos específicos;
• Separação entre coordenação estratégica, execução técnica e regulação sectorial;
• Inclusão do sector privado em estruturas consultivas, como previsto na composição do Conselho Nacional de Cibersegurança.

Estratégia nacional de cibersegurança (2024–2028)

A ENCS contém uma visão ambiciosa, assente em cinco objectivos estratégicos:

1. Reforçar a resiliência das infra-estruturas críticas;
2. Promover a capacitação nacional e a cultura de cibersegurança;
3. Combater ciberameaças e cibercrime;
4. Fomentar a cooperação internacional;
5. Incentivar o desenvolvimento de um ecossistema digital seguro.

Estes objectivos são acompanhados pelos seguintes princípios orientadores:

Apesar do seu alcance, a Estratégia pode beneficiar com a inclusão de indicadores de desempenho, prazos definidos e matriz de responsabilização institucional, para maior eficácia operacional.

Adicionalmente, a Estratégia prevê expressamente a necessidade de revisão da Lei n.º 7/17 (Lei da Protecção das Redes e Sistemas Informáticos), com o objetivo de a adequar ao contexto digital contemporâneo, bem como a adopção de legislação específica sobre cibercrime, ainda por implementar no ordenamento jurídico angolano.

Impacto para empresas de comunicações electrónicas

Com a entrada em vigor dos novos diplomas e do RGCE, as empresas que oferecem redes e serviços de comunicações eletrónicas passam a ficar vinculadas a obrigações adicionais, nomeadamente:

• Partilha de informação sobre incidentes de cibersegurança com o Centro Nacional;
• Cooperação com CSIRTs e cumprimento de normas técnicas emitidas pelo Centro;
• Implementação de medidas de segurança digital, resposta a incidentes e mitigação de riscos;
• Auditorias técnicas, exigências de conformidade e obrigações de reporte.

Estas obrigações, embora justificáveis, requerem regulamentação secundária clara, prazos realistas de implementação e articulação com os princípios de proporcionalidade, confidencialidade e protecção de dados.

Além disso, o papel do INACOM como autoridade de supervisão sectorial deverá ser salvaguardado na definição de normas técnicas aplicáveis às comunicações electrónicas, evitando duplicações e garantindo coerência regulatória.

Recomendações e aspectos a monitorizar

Com base na análise do quadro agora aprovado, afigura-se premente:

• Aprovação de regulamentação complementar, com normas técnicas que operacionalizem os deveres de cibersegurança das entidades, em particular no sector de comunicações electrónicas operadores.
• Definição de mecanismos de Articulação Interinstitucional, com clarificação de competências e canais formais entre Centro, Conselho, INACOM, APD e outros reguladores.
• Definição de modelos de governação interna, através dos quais as entidades implementem políticas internas de cibersegurança, com modelo de governação e planos de resposta a incidentes.
• Capacitação e sustentabilidade técnica, mediante o investimento em formação, certificação e sistemas compatíveis com os novos requisitos legais.
• Revisão do quadro legal penal e de protecção de dados pessoais, designadamente a aprovação de um diploma específico relativo ao cibercrime e a conclusão do processo de actualização/revisão da lei de protecção de dados pessoais, indispensáveis para garantir segurança jurídica nesta matéria.

Comparação com modelos internacionais: lições da cplp e da sadc para a consolidação do quadro nacional de cibersegurança

É interessante sublinhar que a evolução normativa em Angola encontra paralelos e contrastes por referência a outras jurisdições lusófonas e africanas. Assim, a título exemplificativo:

• Portugal consolidou o seu regime jurídico de cibersegurança com a Lei n.º 46/2018 e, mais recentemente, com o Decreto-Lei n.º 125/2025, que transpõe a Directiva NIS2. O modelo português distingue-se, por ora, do angolano, porque estabelece um sistema escalonado de obrigações conforme a dimensão e criticidade da entidade, governação interna clara, reporte de incidentes e certificação técnica.
• Moçambique prevê estabelecer a designação de uma autoridade administrativa independente para actuar como Autoridade Nacional de Cibersegurança autónoma, e com um foco muito forte na articulação sectorial e proteção de infra-estruturas críticas.
• O Botsuana adoptou um modelo colaborativo público-privado e multi-stakeholder, com a criação do Botswana-CIRT junto do regulador sectorial (Botswana Communications Regulatory Authority), e forte participação dos sectores críticos.
• A África do Sul ratificou a Convenção de Budapeste e promove uma abordagem coordenada entre combate ao cibercrime e protecção de infra-estruturas.

Soluções bem-sucedidas tendem a incluir:

• Quadros normativos integrados e coordenados;
• Abordagens graduadas e proporcionais à criticidade das entidades abrangidas;
• Governação de risco atribuída aos órgãos de gestão corporativa.

A Estratégia angolana distancia-se de soluções genéricas ou replicadas, apostando numa abordagem mais adaptada ao seu contexto institucional, técnico e económico, evitando importações normativas descontextualizadas, com destaque para:

• Diferenciação de competências entre Conselho, Centro e reguladores sectoriais;
• Previsão de reforma legislativa estruturada em fases.

Esta abordagem demonstra a clara procura de harmonização entre ambição normativa e realidade operacional.

Notas finais

Angola dá um passo relevante na consolidação de uma arquitectura de cibersegurança robusta, com instrumentos jurídicos e operacionais próprios. A fase de implementação será agora crítica. Para garantir eficácia, equidade e sustentabilidade, é desejável que o Executivo assegure articulação institucional, regulamentação técnica adequada e auscultação contínua dos sectores afectados, como o das comunicações. O envolvimento activo dos vários stakeholders será extremamente importante para assegurar que esta arquitectura não apenas se concretize, mas evolua como um modelo eficaz, resiliente e orientado para a protecção da soberania digital e dos direitos fundamentais dos cidadãos.