“A cibersegurança é uma responsabilidade coletiva”: especialistas alertam para urgência na aplicação da NIS2 em Portugal (com vídeo)

última mesa-redonda da IT Security Summit trouxe à discussão um dos temas mais críticos da cibersegurança em Portugal e na Europa: a conformidade com a NIS2. Sob o mote “Compliance e NIS2: como garantir a conformidade e evitar sanções”, o painel reuniu Hélio Sousa, Chefe da Divisão de Sistemas de Informação do Município de Felgueiras; Fernando Amorim, membro da CIIWA Norte; e Luís Correia, Business Development Cibersegurança e Networking da Divultec.

Partilhada de informação: o caso de Felgueiras

Hélio Sousa foi o primeiro a intervir, abordando a importância da colaboração intermunicipal e da partilha de boas práticas. “Existe ainda um grande trabalho a ser realizado”, começou por afirmar. O responsável dos Sistemas de Informação do Município de Felgueiras fez questão de contextualizar o ponto de partida que o município que representa. “Quando cheguei ao Município de Felgueiras, em 2020, a maturidade de cibersegurança situava-se entre um e dois, numa escala de um a dez. Hoje, diria que estamos num oito ou nove”, afirmou, destacando a evolução significativa.

Referiu ainda a criação de um grupo de trabalho no seio da Comunidade Intermunicipal do Tâmega e Sousa, envolvendo os 11 municípios da região, técnicos da própria comunidade, representantes de centros de dados comunitários e o professor António Pinto, do Instituto Politécnico do Porto. “Esta colaboração tem dado frutos concretos”, garantiu.

Apesar disso, alertou que a partilha de incidentes entre organizações continua a ser deficiente. “Num dos eventos em que participei, partilhei um incidente ocorrido em Felgueiras e percebi que o mesmo tinha acontecido noutras entidades. Nós comunicámos, mas a informação não chegou a lado nenhum”, lamentou. Para o responsável, falta uma “plataforma unificada e protocolos harmonizados” que permitam uma partilha eficaz entre entidades públicas e privadas. “Só assim se alcança uma verdadeira resiliência nacional nesta área”, defendeu.

O papel estratégico do conselho de administração

Por sua vez, Fernando Amorim destacou a necessidade de envolvimento efetivo dos conselhos de administração nas matérias de compliance e ciber-risco. “As organizações estão hoje perante um ecossistema regulamentar duríssimo”, afirmou. Segundo o responsável da CIIWA Norte, a NIS2 vem reforçar a atribuição de responsabilidades ao setor privado, exigindo que os administradores entendam que a “cibersegurança é uma responsabilidade coletiva”.

Fernando Amorim, que também integra um conselho de administração, defender que as empresas já não operam apenas num mercado competitivo, mas sim “num ambiente conflitual”. “Todos aqueles que possuem ativos informacionais que interessem a alguém passam a ser alvos de intenções adversárias”, alertou.

Afirmou ainda que a cibersegurança deve ser integrada “no planeamento, na estratégia, no orçamento e na capacitação do elemento humano”. Segundo ele, é fundamental que os próprios administradores se capacitem nestas matérias para que possam dialogar com os seus CISO em pé de igualdade. “O diálogo entre o CISO e o CEO será mais eficaz se ambos tiverem uma compreensão alinhada dos riscos e ameaças”, destacou.

Desafios na aplicação da NIS2

Luís Correia trouxe a perspetiva do integrador tecnológico, salientando os desafios pelos seus clientes na aplicação da diretiva. “O primeiro grande desafio foi traduzir o quadro legal em medidas concretas de controlo”, referiu, traçando um paralelo com o que aconteceu anteriormente com o RGPD. “A NIS fala de gestão de risco, respostas eficazes, medidas adequadas, conceitos genéricos que obrigam as equipas internas a interpretá-los e operacionalizá-los”.

Um segundo obstáculo identificado prende-se com os prazos de reporting dos incidentes. “Há uma clara exigência de rever procedimentos internos, nomeadamente de deteção e resposta, que muitas vezes não estão consolidados”, referiu. Um exemplo concreto: “ainda há muitas empresas sem centralização de logs, o que dificulta qualquer investigação pós-incidente”, revelou.

O responsável de negócios e cibersegurança da Divultec salientou ainda uma mudança de paradigma trazida pela NIS2: “Esta diretiva delega responsabilidade a toda a estrutura organizacional, não apenas ao departamento de IT. É um verdadeiro game changer”.

Nível de sensibilização ainda desigual

Quando questionado sobre o grau de sensibilização para a NIS2 nos setores público e privado, Luís Correia foi claro: “Sim e não”. Explicou que o nível de sensibilização tem vindo a aumentar, mas varia significativamente consoante o setor e o tipo de organização. “No setor público nota-se um esforço, mas muitas entidades ainda estão numa fase embrionária, com limitações técnicas, orçamentais e burocráticas”.

Já no setor privado, as grandes empresas têm maior maturidade e estão há muito preparadas. O problema está nas PME: “Têm muitas lacunas, recursos, meios humanos, investimento, e tendem a adiar as decisões. A ausência de transposição da diretiva só agrava este desinteresse”.

A ciber-resiliência como inevitabilidade

Apesar das dúvidas iniciais sobre o impacto prático da regulamentação, os oradores convergiram na ideia de que a NIS2 representa uma oportunidade para fortalecer a segurança digital em Portugal. Fernando Amorim alertou que “a ameaça é real e fica mais complexa todos os dias. Temos de edificar capacidades coletivas. Se todo o investimento necessário para cumprir a NIS2 não resultar numa melhoria do estado de maturidade, estaremos a falar de vitórias pírricas”.

Para o membro da CIIWA Norte, o cumprimento da diretiva não pode ser encarado como um mero exercício burocrático. “É imperativo que tenhamos capacidade de resposta a incidentes graves. Há umas semanas tivemos um susto, e se fosse mesmo um ataque sério? O regresso à normalidade não seria imediato”, sublinhou.

Cultura de cibersegurança

A importância de uma cultura de cibersegurança foi outro dos pontos fortes abordados. “Não conheço nenhuma organização que tenha a segurança como valor. Está na missão? Está na visão? Normalmente não está. A cultura vive disso. E se queremos que este tema esteja impregnado no dia-a-dia, temos de criar os instrumentos certos”. Para isso, sublinhou-se, a liderança é essencial: “Se a liderança não tiver essa visão estratégica, ficamos com documento que ninguém cumpre”.

Hélio Sousa partilhou a experiência concreta da administração pública local: “Nós sofremos os males de todas as instituições públicas. Temos limitações, mas o executivo quer serviços digitais a funcionar e seguros”. Sublinhou que todas estas regulamentações “são os nossos aliados”, especialmente quando se lida com dados sensíveis, como das escolas, CPCJ, urbanismo ou faturação de águas.

Formação, automação e requalificação: as soluções possíveis

Já Luís Correia trouxe à mesa o problema de escassez de profissionais qualificados. “A procura aumentou, mas não há recursos suficientes com competências atualizadas. Precisamos de investir em formação, não só técnica, mas também para decisores”. Apontou ainda o modelo de serviços gerido de segurança a automação de tarefas repetitivas e a inteligência artificial como ferramentas essenciais. “É preciso tirar os analistas das tarefas chatas e levá-los para onde podem criar mais valor. A inteligência artificial pode ser esse copiloto altamente evoluído que acelera processos”. Também a requalificação de profissionais de outras áreas com competências transversais foi mencionada como uma via promissora.

Terminou com uma nota clara: “É preciso fomentar uma cultura de literacia em cibersegurança em toda a organização. Não pode estar só no IT. Todos têm de fazer parte da missão”.