O elo que não controlamos

Depois de anos de discussão, o enquadramento jurídico da cibersegurança passa a ser lei com consequências reais: coimas até dez milhões de euros, responsabilização direta da gestão, supervisão pelo Centro Nacional de Cibersegurança. Para quem lê esta publicação, a pergunta relevante não é se está abrangido, mas sim o que é que isto revela sobre como ainda pensamos a cibersegurança.

Revela que continuamos a tratar a segurança como um perímetro, o nosso perímetro. A NIS2 obriga a olhar para fora: para a cadeia de abastecimento, para os fornecedores, para as dependências que raramente são auditadas com o mesmo rigor que se aplicam aos próprios sistemas. Um incidente não precisa de entrar pela porta da frente. Entra pelo elo mais fraco de uma cadeia que, muitas vezes, mal se conhece. Uma cadeia que não se conhece não se consegue proteger.

A gestão da cadeia de valor em cibersegurança exige mais do que avaliar fornecedores na contratação; exige capacidade de agir. Uma organização madura não se limita a avaliar fornecedores, mas mantém a autonomia operacional para os substituir quando o risco o justifica. Isso inclui fornecedores com os quais existe uma relação longa, uma dependência técnica ou até um interesse comercial partilhado. A capacidade de cortar é, ela própria, um controlo de segurança. Sem ela, a avaliação de risco é apenas um exercício de documentação.

A NIS2 não inventou este princípio, mas tornou-o incontornável. Neste abril, vale a pena ser desconfortável. É uma boa altura para começarmos a perguntar se amanhã tivéssemos de prescindir de um fornecedor crítico por razões de segurança, teríamos coragem? Teríamos alternativa? Teríamos processo? Se a resposta a qualquer uma das perguntas for não, a NIS2 chegou, então, na hora certa.