As empresas têm trabalhado arduamente para mudar a sua cultura internamente para garantir que estão a levar a sério a ameaça de violações cibernéticas e incidentes de interrupção.
André Brookes | Fonte da imagem | Imagens Getty
Os novos regulamentos da União Europeia que exigem que as empresas reforcem as suas defesas cibernéticas tiveram um início lento, uma vez que muitos Estados-Membros não conseguiram adoptar as regras a tempo de cumprir um prazo de aplicação importante, de acordo com pesquisas que monitorizam o progresso da directiva.
A diretiva de segurança cibernética NIS 2 da UE estabelece um alto padrão de referência para as empresas em relação aos seus sistemas e práticas internas de segurança cibernética. Impõe requisitos mais rigorosos em matéria de gestão de riscos, obrigações de transparência e planeamento de continuidade de negócios, no caso de uma violação cibernética.
Na quinta-feira, a nova directiva tornou-se oficialmente aplicável pelos Estados-membros. Isso significa que as empresas têm agora de garantir que as suas operações estão em conformidade com as regras. No entanto, a maioria dos Estados-Membros da UE ainda não implementou a NIS 2 nas respetivas leis nacionais, o que significa que a aplicação provavelmente será irregular.
Dois países – Portugal e Bulgária – ainda não iniciaram o processo de transposição do NIS 2, onde as directivas são incorporadas nas leis nacionais dos estados membros da UE, de acordo com uma ferramenta de rastreio da organização de investigação na Internet DNS Research Federation. Os governos de Portugal e da Bulgária não estavam imediatamente disponíveis para comentar quando contactados pela CNBC na quarta-feira.
“O status de implementação varia significativamente em todo o bloco”, disse Tim Wright, sócio e advogado de tecnologia da Fladgate, à CNBC por e-mail.
O que é o NIS 2?
NIS 2 — ou Diretiva de Segurança de Redes e Informações 2 — é uma diretiva da UE que visa aumentar a segurança dos sistemas e redes de TI em todo o bloco. Proposta pela primeira vez em 2020, a lei serve como uma atualização de uma diretiva anterior simplesmente chamada NIS.
O NIS 2 expande o âmbito do seu antecessor para enfrentar desafios e ameaças mais recentes à segurança cibernética, à medida que os criminosos encontram novas formas de hackear empresas e comprometer os seus dados sensíveis.
A diretiva aplica-se a organizações que operam na UE e prestam serviços essenciais aos consumidores, incluindo bancos, fornecedores de energia, instituições de saúde, fornecedores de Internet, empresas de transportes e processadores de resíduos.
As empresas terão o “dever de diligência” em reportar e partilhar informações sobre vulnerabilidades cibernéticas e hacks com outras empresas ao abrigo do novo regulamento – mesmo que isso signifique admitir que foram vítimas de uma violação cibernética.
Se uma empresa for vítima de uma violação cibernética, ela terá 24 horas para enviar uma notificação de alerta antecipado às autoridades – um prazo mais rigoroso do que o período de 72 horas que as empresas têm para notificar as autoridades sobre uma violação de dados de acordo com o Regulamento Geral de Proteção de Dados, uma lei separada sobre privacidade de dados na UE.
As empresas também terão que examinar seus fornecedores de tecnologia, um por um, em busca de ameaças e vulnerabilidades cibernéticas.
Será eficaz?
Wright, da Fladgate, disse que a eficácia do NIS 2 como regulamento dependerá em grande parte da implementação e aplicação consistentes em todos os estados membros da UE.
“Os maus actores podem visar países que estão atrasados na transposição do NIS2 ou procurar fraquezas nas cadeias de abastecimento, visando vendedores e fornecedores mais pequenos e menos seguros para obter acesso a organizações maiores e mais bem protegidas”, disse ele à CNBC.
As empresas têm trabalhado para definir seus processos internos, controles e cultura mais ampla em torno da segurança cibernética há anos antes do prazo final de quinta-feira.
Chris Gow, líder de políticas públicas da empresa de tecnologia empresarial Cisco na UE, disse que a natureza irregular da implementação do NIS 2 também foi “exacerbada pela adaptação local da lei”.
Isto, por sua vez, está “criando discrepâncias que podem ser difíceis de navegar, especialmente para organizações menores com recursos limitados”, disse Gow à CNBC em comentários por e-mail.
Ele recomendou que, em vez de serem “sobrecarregadas” por discrepâncias nas adaptações locais do NIS 2, as organizações deveriam “identificar um núcleo comum de controles e processos de segurança que as coloque em uma boa posição para atender e demonstrar conformidade em escala”.
E se uma empresa não cumprir?
Para entidades “essenciais”, como empresas de transportes, finanças e água, o incumprimento do NIS 2 pode levar a multas de até 10 milhões de euros (10,9 milhões de dólares) ou 2% das receitas anuais globais – o que for mais elevado.
Entretanto, empresas “importantes” – como empresas alimentares, empresas químicas e serviços de gestão de resíduos – enfrentam multas de até 7 milhões de euros ou 1,4% das suas receitas anuais globais por violações.
As empresas também podem enfrentar possíveis suspensões de serviço caso não cumpram o NIS 2, bem como uma supervisão mais rigorosa.
“O NIS 2 deixa claro: multas pesadas, possível suspensão do serviço e monitoramento da conformidade estão sendo usadas como alavancas para incentivar as organizações responsáveis por serviços críticos a prestarem atenção às ameaças à segurança cibernética e à sua resposta a elas”, Carl Leonard, estrategista de segurança cibernética da EMEA na Ponto de prova, disse à CNBC.
“Foi estabelecida uma linha de base em termos de medidas de gestão e mitigação de riscos, incluindo tratamento de incidentes, formação de pessoal, responsabilização da liderança e muitas outras”, acrescentou Leonard.
