A cibersegurança é, finalmente, uma prioridade nas organizações?

Em resposta, a União Europeia tem vindo a reforçar o quadro de regulação da segurança do espaço digital europeu, com destaque para a diretiva NIS – transposta para a legislação portuguesa em 2018 – e agora para a sua atualização: a NIS2.

Esta nova diretiva impõe regras mais exigentes, obriga ao desenvolvimento de planos de cibersegurança e alarga significativamente o âmbito da sua aplicação para incluir mais setores e tipos de entidades – não só as essenciais em áreas  críticas ou grandes empresas, como também as médias empresas (a partir de 50 colaboradores), responsabilizando diretamente a gestão de topo. O objetivo é aumentar a confiança dos cidadãos e potenciar a segurança nas transações entre empresas ao exigir condições mínimas de segurança na proteção dos dados e na disponibilidade dos serviços.

Contudo, apesar de a intenção da NIS2 ser legítima e necessária, a forma como está concebida pode suscitar preocupações ao tecido empresarial português, constituído predominantemente por pequenas e médias empresas (PME). Se refletirmos, bastará que uma empresa passe, por exemplo, de 49 para 50 colaboradores para, de forma automática, ficar abrangida pela diretiva e, consequentemente, ter de cumprir os requisitos da mesma. Um plano de integração faseado, quer com prazos de adaptação para as empresas em crescimento, quer com níveis de cumprimento à medida do crescimento das empresas, facilitaria o cumprimento desta diretiva, tornando-a mais acessível e promotora da segurança da informação nas empresas.

Por outras palavras, esta abordagem de “tudo ou nada” poderá ser um entrave para as empresas que se encontrem nesta fase de crescimento. Sem um plano de adaptação gradual que acompanhe o crescimento orgânico das empresas, o cumprimento da diretiva pode tornar-se uma problemática, levando a uma implementação apressada e superficial que acaba por gerar mais incerteza do que confiança. Não obstante a abordagem, o alargamento da NIS2 para englobar também médias empresas vai certamente valorizar o mercado em crescimento de consultadoria de segurança de informação. As empresas que não possuam capacidade digital para definir ações de implementação de controlos para cumprimento da NIS2, terão que se apoiar em consultoria externa especializada.

Para dar resposta às exigências da NIS2, um bom ponto de partida para as empresas pode passar pela adoção da norma ISO 27001, que oferece um conjunto de diretrizes e melhores práticas para ajudar as organizações na gestão da segurança da informação. Mas é importante que se entenda que a eficácia da cibersegurança nestas implementações depende de existirem investimentos conscientes, formação das equipas e, sobretudo, do compromisso da gestão de topo para que exista uma abordagem alinhada em toda a organização.

Não existem empresas imunes a ciberataques. Criar um plano para potenciais crises no ciberespaço é a principal receita para gerir ameaças e desafios de segurança. Resta saber como estão as empresas portuguesas a lidar com a implementação desta diretiva, num contexto em que devem encarar a cibersegurança como uma prioridade. Será que se vão adaptar a esta nova realidade? Quão interventivo será o papel de entidades como o CNCS na formação preemptiva das empresas que passarão a estar englobadas pela NIS2? E qual será a abordagem de empresas com pouca estrutura ou de rápido crescimento? Será uma abordagem que aposta na prevenção de ameaças ou na resolução de problemas, à medida que vão surgindo? Ou passará a NIS2 a ser uma preocupação das organizações, apenas quando tiverem de provar a sua capacidade para gerir situações de vulnerabilidade cibernética ou mesmo de multa pela não aplicação dos requisitos mínimos de segurança?