Estão bem documentadas as consequências de incidentes de cibersegurança, tais como a disrupção operacional, os danos financeiros e os danos na reputação. No entanto, desenvolvimentos recentes demonstram que outra consequência séria está a tornar-se uma preocupação para os líderes organizacionais: ações legais fundamentadas em falhas de supervisão dos órgãos de direção de entidades que sofram ciberincidentes.
As novidades da nova Diretiva SRI 2 (Segurança das Redes e da Informação 2) prevêem, entre outras, a obrigação dos órgãos de direção de serem parte ativa na aprovação e supervisão das medidas de gestão dos riscos de cibersegurança, podendo ser responsabilizados por infrações cometidas pelas respetivas entidades nestas matérias.
Os requisitos no âmbito da governança, combinados com obrigações de notificação e comunicação em relação a incidentes com impacto significativo na prestação dos serviços a que respeitam, deixam claro que a União Europeia está a exigir às organizações que “ponham a casa em ordem em matérias de cibersegurança”.
Num cenário pessimista, um incidente de cibersegurança pode conduzir à responsabilização penal de pessoas colectivas e entidades equiparadas, sendo que a SRI 2 alarga esta responsabilidade aos órgãos de direcção das entidades envolvidas.
Transferir o ónus da responsabilidade para os líderes da organização
Assim, a SRI 2 representa uma potencial mudança de paradigma para as organizações no que diz respeito à responsabilidade pelos incidentes de cibersegurança. A União Europeia está a levar muito a sério as intrusões, violações e disrupções de cibersegurança e os líderes organizacionais devem considerar estas novidades como um alerta.
Essencialmente, o ónus da responsabilidade será alterado, ou seja, em vez de encarar os ciberincidentes como uma ocorrência interna e que não exige, necessariamente, ser comunicado às autoridades ou revelado publicamente, no caso de ocorrer um incidente com impacto significativo na prestação dos serviços de determinada entidade, os seus órgãos de direção são responsáveis, entre outras obrigações, por garantir explicações adequadas às autoridades, e muito provavelmente ao público, sobre o que que aconteceu.
No que respeita aos serviços potencialmente afetados por uma ciberameaça significativa, as entidades devem garantir a transparência desta comunicação, designadamente aos destinatários dos seus serviços, aos trabalhadores, aos investidores, às cadeias de abastecimento ou às autoridades tutelares. Em suma, é garantido o direito aos destinatários em conhecerem as medidas ou soluções que estes podem adotar para responder a essa ameaça. Se for caso disso, as entidades devem igualmente informar os referidos destinatários da própria ciberameaça significativa.
A importância de as organizações disporem dos ciberespecialistas certos
Uma análise lata da SRI 2 demonstra também que é expectável que as organizações apresentem e evidenciem informações sobre a aptidão dos seus quadros em matéria de cibersegurança.
De facto, para cumprir com os novos requisitos da SRI 2, as organizações precisam de contar com profissionais que estejam capacitados para desenharem, implementarem e supervisionarem, as medidas que garantam que a organização esteja a gerir adequadamente os seus riscos da cibersegurança.
Alcançar o equilíbrio certo entre a gestão e a supervisão da cibersegurança
Para equilibrar adequadamente a gestão e supervisão da cibersegurança, é vital que as organizações contem com as pessoas certas para desempenharem os papéis certos.
Os CISOs (e outros especialistas) devem gerir a cibersegurança garantindo que são desenvolvidas estratégias adequadas e são implementadas as medidas de gestão dos riscos de cibersegurança necessárias para lidar com as tarefas quotidianas.
Os órgãos de direção devem supervisionar o trabalho do CISO de forma a se certificarem de que o programa de cibersegurança que aprovaram proporciona à organização uma proteção adequada contra os riscos da cibersegurança.
Em conclusão, a entrada em vigor SRI 2 destaca a importância que a União Europeia está a dar ao tema da segurança e resiliência das redes e sistema de informação. É imperativo que as organizações adotem medidas proativas para gerir adequadamente os riscos da cibersegurança e proteger os seus ativos, considerando a responsabilidade crescente atribuída aos órgãos de direção. Mais do que nunca, o momento é crucial para as organizações acertarem na cibersegurança.
