O mundo digital trouxe-nos muitas vantagens e facilidades, mas também veio acompanhado de uma série de ameaças cada vez mais sofisticadas. A cibersegurança é uma preocupação crescente para organizações e empresas. Para proteger os cidadãos e garantir a segurança das empresas, a União Europeia tem implementado medidas cada vez mais rigorosas, como a Diretiva NIS 2. Mas será que as empresas estão a implementar as precauções necessárias para garantir a sua própria segurança?

Atualmente, quase tudo acontece online  operações bancárias, acesso a exames médicos, gestão de dados empresariais, entre muitos outros exemplos do dia-a-dia  aumentando, cada vez mais, a dependência do “estar online”. Mas, com esta situação surgem novas preocupações e problemas associados, nomeadamente ao nível da legislação que enquadra toda esta atividade.

A verdade é que o combate a novas (e antigas) ameaças cibernéticas acaba por se revelar uma preocupação social, além de ser, também, uma preocupação económica. Um problema, por mais “pequeno” que seja, pode acarretar consequências financeiras para as organizações, por vezes, graves e impactantes o suficiente para colocar em causa postos de trabalho ou mesmo a continuidade da própria operação.

Mas, apesar de todas estas evidências, acredito que a realidade nos mostra que seria pouco provável ter as empresas a implementar medidas eficazes de cibersegurança se não existissem obrigações legislativas. Por outras palavras, quando a lei não impõe…

PUB • CONTINUE A LER A SEGUIR

Para fazer face a esta evolução, e depois de um longo período de decisões, a União Europeia adotou a diretiva NIS 2, em dezembro de 2022. A partir desta data, a implementação da Diretiva é um dever dos Estados-membros da UE, que têm até 21 meses para assegurar a sua transposição para o direito nacional. Em Portugal, conta-se já com um conjunto de Decretos-Lei publicados para construir esta diretiva no nosso País e de acordo com o nosso quadro jurídico (DL 46/2018 e DL65/2021).

A NIS 2 vem permitir estabelecer requisitos de segurança para certos sectores – como os transportes, saúde, administração pública ou as infraestruturas de telecomunicações, entre outros – que ficam sujeitos a obrigações específicas devido à sua natureza particularmente sensível. Esta é uma melhoria significativa em relação à NIS 1, que foi criticada por deixar de fora alguns setores relevantes. A NIS 2 também reforça a cibersegurança na cadeia de abastecimento com foco especial em tecnologias-chave e estratégicas.

Com a nova diretiva, acaba por ser criado um conjunto mais amplo e harmonizado de regras em matéria de cibersegurança para todas as organizações que realizam as suas atividades na União Europeia. Mais concretamente, torna-se agora necessário que as entidades passem a contar com novas regras técnicas, operacionais e organizacionais que lhes permitam gerir os riscos colocados à segurança das suas redes e dos seus sistemas de informação. Ao mesmo tempo, devem ainda ajudar a prevenir ou minimizar o impacto de eventuais incidentes que possam vir a ocorrer.

Além disso, a NIS 2 deixa de distinguir “operadores de serviços essenciais” e “fornecedores de serviços digitais”; em vez disso, a distinção passa a ser feita entre “organizações essenciais” e “organizações importantes”, tendo por base a dimensão dos operadores. Por outro lado, e embora com o mesmo conjunto base de regras, aquelas que forem consideradas “organizações essenciais” passam a estar sujeitas a obrigações mais rígidas de fiscalização.

Nesse sentido, importa recordar que o Centro Nacional de Cibsersegurança (CNCS) está já a aplicar multas às entidades que não cumprem as medidas previstas na Lei do Ciberespaço e dirigidas a quem coloque em risco infraestruturas críticas e serviços essenciais (utilities, transportes ou telecomunicações, por exemplo).

Por outro lado, a Comissão Europeia procura também dar uma resposta cabal à problemática associada às cadeias de abastecimento. Desta forma a proposta passa por garantir um reforço da cibersegurança das cadeias de abastecimento no que respeita às principais tecnologias da informação e da comunicação. Os Estados-Membros podem sempre, em colaboração com entidades comunitárias, avançar com avaliações coordenadas dos riscos das cadeias de abastecimento críticas, com base na abordagem bem-sucedida adotada no contexto da Recomendação da Comissão sobre a Cibersegurança das redes 5G.

Contas feitas, esta diretiva abrange um grande conjunto de sectores e organizações, maior do que inicialmente previsto, e, em Portugal, a sua implementação tem sido desafiante, mas não impossível.

A implementação da diretiva pode ser um processo complexo e moroso para empresas e organizações, mas é necessário que avaliem os seus sistemas e redes críticos, implementem medidas de segurança, capacitem os seus colaboradores, monitorizem continuamente as suas infraestruturas de segurança e assegurem a comunicação de incidentes nos prazos legalmente definidos. Isto pode ser um desafio para empresas que não têm experiência em cibersegurança e não têm os recursos necessários para implementar estas medidas.

Para superar esses desafios, as empresas devem preparar-se com antecedência para a implementação da diretiva. De forma a melhorar a realidade dentro de cada organização e abraçar as normas impostas pela NIS 2, as empresas devem colaborar com os provedores de serviços de cibersegurança, no sentido de garantir que as suas medidas de segurança estão, efetivamente, de acordo com as exigências da diretiva agora em curso.

Apesar destes desafios, a Diretiva NIS 2 é uma necessidade urgente, pois as empresas precisam de garantir a privacidade e a proteção dos dados dos clientes e assegurar a continuidade dos negócios. E, se quisermos criar um mercado ainda mais robusto, as boas práticas elencadas na diretiva devem ser adotadas transversalmente por todos os sectores e não apenas pelas organizações legalmente obrigadas a tal.

Mas mais que tudo isto, a implementação efetiva da diretiva requer uma mudança de mentalidade, na qual a cibersegurança deve ser encarada como uma prioridade em vez de uma despesa dispensável. Em última análise, a NIS 2 é um passo importante na proteção das organizações e dos cidadãos da União Europeia, mas a sua eficácia dependerá da aplicação rigorosa e consistente de todos os Estados-membros e claro, das empresas.

Ainda assim, são vários os especialistas que consideram que a NIS 2 trouxe “apenas” uma evolução e não uma verdadeira revolução ao panorama da cibersegurança comunitária. De uma forma ou de outra, não será demais, no entanto, dizer que acreditamos que, no final deste ano ou no primeiro trimestre de 2024, será já possível ver replicado, com maior enfâse na legislação nacional, as questões relacionadas com o reforço das obrigações trazidas pelo NIS2, um maior foco nas cadeias de distribuição e ainda o maior grau de responsabilização, reforçado por via das coimas a aplicar.