Em breve, surgirá uma nova realidade em que um único passo em falso na segurança informática de uma empresa não só custará muito dinheiro, como também poderá custar o emprego dos líderes empresariais. Desde dezembro de 2022, tornou-se claro que mais de 160.000 organizações europeias precisam de reforçar a sua segurança informática e de informação para proteger as infraestruturas essenciais. Com data de implementação a 17 de outubro de 2024, as implicações são mais abrangentes do que nunca.
Embora a Diretiva NIS2 vá, sem dúvida, aumentar a atenção dada à cibersegurança, o estudo da Frontier Economics “Implications of New Cyber Security Measures in Portugal” demonstra que também pode trazer aspetos negativos para as empresas. O estudo, encomendado pela Huawei, estima que a implementação da diretiva NIS2 em Portugal traga “um aumento dos custos para as empresas de 529 milhões de euros” e “preços mais elevados para os setores diretamente afetados, mas também preços mais elevados noutros setores”.
Já noutro relatório, da Agência da União Europeia para a Cibersegurança (ENISA, na sigla em inglês), a projeção é de que o projeto de lei custará (em média) às empresas portuguesas cerca de 800 mil euros. Estes números sublinham os custos financeiros, mas é o impacto pessoal que realmente distingue a NIS2 das diretivas anteriores, como o Regulamento Geral sobre a Proteção de Dados (GDPR, na sigla em inglês).
Para além disso, como é um projeto de lei que carece de orientações e instruções claras para ajudar as empresas e os gestores a compreender se estão abrangidos pela NIS2 e como cumprir os requisitos, a falta de clareza aumenta o risco de as empresas não estarem devidamente preparadas quando a lei for aplicada e pode expor as empresas portuguesas a sanções graves.
Sanções mais severas e responsabilidade pessoal
O GDPR já introduziu sanções severas para as violações de dados, mas o NIS2 vai mais longe ao tornar os líderes empresariais pessoalmente responsáveis pela segurança das infraestruturas críticas. Nestes casos, de acordo com o projeto de lei, “as coimas aplicáveis às pessoas singulares (…) terão em conta o nível geral de rendimentos e a situação financeira da pessoa”. Além disso, o projeto de lei estabelece que, em função da gravidade da infração, as coimas serão limitadas a um máximo de, pelo menos, 7 milhões de euros ou 1,4% do volume de negócios anual global da empresa no exercício financeiro anterior, consoante o que for mais elevado. Para as pequenas e médias empresas, uma coima deste tipo pode ser devastadora e a direção pode também correr o risco de ser processada ou de lhe serem retiradas responsabilidades de gestão.
Além disso, é responsabilidade da direção informar as partes interessadas, os fornecedores, os clientes e as autoridades nacionais o mais rapidamente possível em caso de ciberataque. Por conseguinte, os gestores não devem apenas subcontratar as tarefas, mas também frequentar ações de formação em cibersegurança para poderem participar no processo de avaliação e implementação de potenciais riscos e medidas.
Preparação e aplicação da NIS2
A NIS2 contém 10 requisitos mínimos que devem ser implementados até março de 2025, tanto a nível organizacional como técnico.
Para implementar a NIS2 com êxito, os profissionais de segurança de TI e os líderes empresariais têm de colaborar ativamente. Por esse motivo, os líderes devem considerar os quatro passos seguintes antes da implementação:
- Conhecimento: Os gestores devem ter conhecimentos básicos de cibersegurança para poderem comunicar eficazmente com o seu pessoal de segurança informática e dar-lhes instruções bem fundamentadas e convincentes.
- Pessoas: É importante criar um departamento de segurança de TI flexível que compreenda as exigências acrescidas da NIS2. Por essa razão, é boa ideia ter um responsável pela proteção de dados (DPO), para além de um responsável pela segurança da informação (CISO), onde as tarefas possam ser distribuídas de forma sensata.
- Auditoria: É necessário efetuar uma revisão e análise exaustiva e crítica de cada área em relação à situação de risco e à NIS2. Isto inclui auditorias regulares e o controlo dos sistemas.
- Incidentes: Por último, mas não menos importante, devem ser estabelecidos procedimentos claros para lidar com qualquer ataque informático, incluindo a rápida comunicação aos parceiros, fornecedores, clientes e autoridades nacionais competentes.
Compromisso de longo prazo
A implementação do NIS2 exige uma colaboração estreita entre a direção e o pessoal de TI. Trata-se de um processo a longo prazo que exige um compromisso e formação contínuos. A partir de 2028, as organizações devem documentar anualmente a sua infraestrutura de TI em conformidade com a NIS2 e garantir que as suas medidas de segurança são atualizadas de acordo com os níveis e normas tecnológicos atuais.
Com os requisitos da Diretiva NIS2 e os futuros regulamentos da Lei Europeia da Ciberesiliência a tornarem mais rigorosos os requisitos para os produtos digitais na UE, é evidente que os líderes empresariais não podem continuar a ignorar as suas responsabilidades. Devem participar ativamente na implementação de medidas de segurança sólidas e assegurar a monitorização e atualização contínuas dos seus sistemas informáticos.
Se tomarem medidas pro-ativas agora, as organizações podem não só evitar multas e sanções significativas, mas também proteger os seus dados, reputação e operações comerciais de potenciais ciberameaças. Ao fazê-lo, as organizações podem ser mais fortes face a desafios futuros e criar um ambiente digital seguro para todas as partes interessadas da empresa.
Os textos nesta secção refletem a opinião pessoal dos autores. Não representam a VISÃO nem espelham o seu posicionamento editorial.
