Prontos ou não, aí vem a NIS2

A diretiva europeia não é uma checklist; as organizações devem-na tratar como um ponto de partida para melhorar a cibersegurança dos seus processos, das suas pessoas e da sua tecnologia.

Um dos pontos de grande importância da diretiva prende-se com o Artigo 28.º do Decreto-Lei nacional. Segundo este artigo, as organizações devem considerar “os aspetos de segurança respeitantes às relações entre cada entidade e os respetivos fornecedores ou prestadores de serviços diretos”.

Se as grandes e médias empresas estão, de uma maneira geral, minimamente prontas para a NIS2 e viradas para os temas de cibersegurança, as pequenas empresas (que compõem grande parte do tecido empresarial) não só não estão, como nem sempre têm os recursos financeiros para fazer os investimentos necessários.

Assim, as organizações mais pequenas têm – se ainda não o fizeram – de começar a utilizar aquilo que já é considerado como básico em cibersegurança, mas que nem sempre é feito: autenticação multifator, backups regulares e testados, segmentação de rede, atualizações dos sistemas operativos e aplicações, mas também formação regular de colaboradores, um inventário de ativos e um plano de resposta a incidentes, entre muitas outras coisas. O objetivo é sempre o mesmo: melhorar a proteção do ciberespaço como um todo.

Os ciberataques em Portugal não vão terminar no dia 3 de abril; nos dias 4, 5, 6 e por aí fora vão continuar a existir. Mas, pela primeira vez, há consequências reais (financeiras, legais e pessoais) para quem ignorar o problema. Se isso não chega para mudar comportamentos (e se calhar não chega), nada vai mudar.