“Cabe às empresas escolherem o caminho: compliance por compliance, ou uma verdadeira mudança de postura”: implementação da NIS2 e DORA em debate (com vídeo)

Com o tema “Da Regulação à Ação: Como a NIS2 e DORA estão a redefinir a segurança”, a primeira mesa-redonda da IT Security Conference contou com a participação de Miguel Gonçalves, CISO da CUF, Jorge Fernandes, CISO e DPO da CMVM, Rui Alves, CIO da Vieira de Almeida e David Grave, Security Director da Claranet Portugal.

A NIS2 e a DORA estão a transformar o panorama da cibersegurança nas empresas. Enquanto a NIS2 alarga as obrigações de segurança a um número maior de setores e empresas, a DORA foca-se especificamente na robustez operacional do setor financeiro face a ciberataques.

Os desafios da NIS2 na saúde

Miguel Gonçalves explicou que ao nível de documentação e de mudanças operacionais existiu um esforço acrescido para “adequar a documentação” já existente. O CISO acrescentou que também é necessário retificar algumas políticas de segurança já existentes nas empresas de forma a adequá-las ao que a NIS2 exige.

O orador enalteceu o trabalho do CNCS com a ajuda e a supervisão que têm oferecido às empresas na adequação dos seus processos para estarem em conformidade com a NIS2. “Uma das coisas, além da documentação, que foi muito importante, foi olhar para aquilo que é o ciclo de vida dos ativos. Termos as bases de dados bem estruturadas e organizadas para percebermos onde que é que podemos estar em risco”, acrescentou.

DORA vs. NIS2: conflito ou harmonia?

Sobre a implementação das duas regulamentações no setor financeiro, Jorge Fernandes afirmou que a NIS2 e a DORA “mais do que entrar em conflito, complementam-se”. O orador explicou que existem diferenças entre as duas regulamentações, sendo que a NIS2 é uma diretriz transposta por cada país, podendo existir algumas diferenças de país para país, e o regulamento DORA é um regulamento que se aplica a todos os países. Ou seja, “a DORA tem um estatuto de lex specialis sobre a NIS e, em caso de existir sobreposição, é a DORA que deve ser aplicada e não a NIS2”.

Em Portugal, a transposição da NIS2, evidenciou o orador, teve em conta a posição das autoridades de supervisão do setor financeiro, como é o caso do Banco de Portugal, da CMVM e da Autoridade de Seguros e Fundo de Pensão.

Regulamentos além do papel

Rui Alves destacou que um dos grandes desafios na satisfação dos requisitos legais e das necessidades operacionais é “garantir que toda a empresa perceba que a regulamentação se aplica a toda a empresa e não apenas ao departamento que vai ter de gerir operacionalmente”. O orador acredita que a corresponsabilização da empresa na implementação das diretrizes é crucial e que “não só a liderança tem de ser responsabilizada pela sua implementação, como toda a empresa tem de ser sensibilizada para os impactos da mesma”.

Por outro lado, os maiores conflitos, na visão da realidade da Vieira de Almeida, surgem com o dia-a-dia da empresa. “Desde clientes que nos exigem cumprir requisitos de segurança que não se alinham bem com os nossos, até outros clientes a pedirem-nos compliance com diferentes requisitos de segurança para conseguirmos iniciar uma transação comercial”, exemplificou o orador. O CIO da Vieira de Almeida ainda considera que podem surgir alguns desafios a par da “criatividade de alguns colaboradores que tentam contornar” as regras de cibersegurança.

Cultura e estratégia em cibersegurança

David Grave evidenciou que o erro mais comum que encontram nas empresas que apoiam não se encontra a nível técnico, mas sim a nível da cultura e de estratégia. “Continuamos a ver a cibersegurança como um projeto de responsabilidade do IT, enquanto ele deveria estar a ser visto como uma forma de protegermos o negócio da empresa e aportarmos valor ao negócio”, explicou.

O orador destacou que a visão do departamento de IT sobre o negócio é diferente daquilo que é uma visão estratégica de cibersegurança e de proteção da empresa. “Muitas empresas já fizeram investimento em tecnologias relevantes, mas o que fizeram foi uma cosmética de cibersegurança”, explicou.

O papel estratégico do CISO

David Grave referenciou que existem dois tipos de CISO: um CISO que é um gestor de projeto e que vê a cibersegurança como uma lista de tarefas que tem de cumprir, e um CISO que conhece o negócio e que tem uma linguagem estratégica em termos de cibersegurança.

Segundo o orador, em situações de lidar com incidentes de cibersegurança, as duas empresas com os dois tipos de CISO irão ter comportamentos totalmente diferentes: “a primeira esteve muito preocupada com uma série de documentos produzidos rapidamente, que em situações de incidente vamos ter uma documentação que não representa a realidade da empresa e que é totalmente inflexível. Do outro lado, vamos ter uma empresa que vai ter preparada a documentação que vai suportar a resposta a um incidente e que está alinhada com a empresa”.

ISO 27001: do papel à prática de segurança

Algumas empresas não são abrangidas por diretrizes como a NIS2 ou a DORA, mas fornecem serviços a outras empresas que são, como é o caso da Vieira de Almeida.A empresa sentiu-se pressionada, primeiro por clientes internacionais e mais tarde por nacionais, “a seguir boas práticas de segurança de informação”. Por essas razões a empresa tomou a decisão de avançar com a certificação em ISO 27001.

A certificação ISO 27001 obrigou a empresa a avançar para o cumprimento de cibersegurança. “A própria ISO 27001 também faz com que tenhamos uma monitorização bastante grande de toda a legislação que sai, não só do setor, como também a legislação mais aberta, mas que possa ter impacto direto ou indireto no negócio”, acrescentou.

Finanças sob vigilância: DORA e NIS2 em ação

Jorge Fernandes considera que o impacto do regulamento DORA varia dentro do setor financeiro. O orador sublinhou que a maturidade entre as três áreas do setor não é uniforme, destacando que o setor bancário já possui “uma maturidade muito elevada”. Nesse caso, explicou que o DORA serve mais para “confirmar processos e controlos já implementados” do que para introduzir mudanças profundas.

Nas áreas do mercado de capitais e dos seguros e fundos de pensões, a realidade é diferente, devido à diversidade de dimensões e recursos das entidades. Entre as mudanças mais relevantes nestas áreas, aponta “a formalização da gestão de risco, a responsabilização direta da gestão de topo e a ênfase na gestão do risco de terceiros”.

Gestão de risco e fornecedores

Miguel Gonçalves explicou que a gestão dos fornecedores críticos é um processo controlado e sistematizado, dada a natureza sensível do setor da saúde. A CUF utiliza uma plataforma própria para o onboarding de novos fornecedores e realiza recertificações periódicas para garantir que “esses fornecedores cumprem com aquilo que se propuseram no primeiro dia em que entraram”.

Na vertente da resposta a incidentes, o orador sublinha a importância de processos rigorosos e testados. “Um dispositivo médico comprometido pode tentar comunicar com um IP maligno, e isso tem de estar muito bem afinado”, explica.

Regulamentação como impulso, não obstáculo

Na conclusão da mesa-redonda, Miguel Gonçalves destacou o lado positivo da implementação da NIS2, considerando-a um impulso para sensibilizar as administrações sobre os riscos existentes. Defendeu que o cumprimento das normas “é uma consequência de se estar a fazer bem o trabalho”. O orador sublinhou ainda que a regulamentação veio ajudar a justificar a necessidade de recursos.

Jorge Fernandes considerou ser “um pouco cedo para avaliar o impacto” das novas diretrizes, devido aos atrasos na transposição da NIS2. Sublinhou que “o setor bancário está em velocidade cruzeiro”, mas que muitas entidades ainda se estão a ajustar. Entre os principais desafios, destacou “a dificuldade em contratar nesta área” e a falta de recursos adequados.

Rui Alves fez uma analogia com a experiência da empresa na ISO 27001, sublinhando que o sucesso da implementação “depende muito da maturidade de cada empresa”. Segundo o orador, “as empresas de maior dimensão terão mais rapidez em atingir o objetivo final”, enquanto as mais pequenas “vão necessitar de mais tempo e terão desafios maiores” por falta de recursos.

Por fim, David Grave destacou que “a cibersegurança constrói-se no dia a dia, com um bom plano, cultura e investimento” e que o valor das diretivas está em trazer “accountability” para as empresas. “Cabe às empresas escolherem o caminho: compliance por compliance, ou uma verdadeira mudança de postura”.