tek.sapo.pt - 15 out. 19:26
Opinião: NIS2 – A última oportunidade para uma cibersegurança adequada
Opinião: NIS2 – A última oportunidade para uma cibersegurança adequada
Com a NIS2 a entrar em vigor, as empresas têm de se preparar para os novos regulamentos. Peter Sandkuijl escreve sobre os procedimentos a adotar....
Por Peter Sandkuijl (*)
Como um conjunto de diretrizes e requisitos de cibersegurança foram estabelecidos pela União Europeia (UE), o NIS2 tornar-se-á o novo conjunto de obrigações de cibersegurança para organizações de vários setores considerados críticos para a economia. Portanto, é exigida a implementação de várias medidas adequadas para proteger as suas redes informáticas e sistemas de informação. É necessário que todos os 27 Estados-membros da UE incorporem estas novas obrigações nas suas legislações nacionais e as tornem efetivas até outubro de 2024.
Empresas que se enquadrem no NIS2, mas não respeitem as normas, poderão enfrentar um conjunto de implicações legais, incluindo multas e outras penalizações semelhantes às estabelecidas pelo GDPR (Regulamento Geral sobre a Proteção de Dados). Além disso, a não conformidade destes requisitos podem dar origem a ações legais por parte de clientes ou outras partes que possam sofrer, eventualmente, danos devido a medidas inadequadas de cibersegurança. Para garantir que isto é levado a sério, a diretiva expressa de forma clara que a conformidade terá de ser comprovada e que a ausência de conhecimento não servirá como desculpa para evitar penalidades.
Esta última impulsionará todos os stakeholders, desde gestores de T.I., CISOs, DPOs, até a Direção, para que estes estejam conscientes e possam tomar as medidas adequadas. As multas que podem ser aplicadas podem motivar assim uma maior responsabilidade por parte dos CEOs, o que também é uma novidade na cibersegurança.
A responsabilidade pessoal originada pelas potenciais ações legais, pelas multas e pela obrigatoriedade de reportar cada incidente às autoridades dentro de 24 horas serão assim um impulso considerável para a mudança de comportamento. O facto de que as partes externas podem potencialmente vir a influenciar os serviços de uma empresa dá origem à necessidade de se observar atentamente as ações de toda a cadeia de distribuição. Isto significa que os CEOs e outros executivos irão ter que criar uma estratégia em torno de terceiros, o que terá um grande impacto nas empresas de todo o mundo, e não exclusivamente em empresas da UE.
Existem dois tipos de Organizações afetadas pelo NIS2: aquelas que têm uma política de cibersegurança que garante a continuidade dos negócios e antecipa os riscos que enfrenta, e por consequência terão pouco trabalho adicional; e, por outro lado, as organizações que não têm uma política de cibersegurança. Estas podem ter algum trabalho pela frente. Necessitam de avaliar a sua situação corrente de cibersegurança e fazer uma análise de risco. Além disso, precisam de fazer investimentos na formação em segurança a todos os níveis e implementar medidas técnicas. Tudo isto deve acontecer antes da lei entrar em vigor.
O problema é que se trata de uma diretriz que não contém uma checklist ou um conjunto de requisitos mínimos. Descreve um nível adequado de proteção, que é obviamente aberto à interpretação de cada um. A melhor forma de avançar é começar por analisar a situação atual, criar um guião com objetivos claros e cronogramas, e começar a trabalhar. Isso terá um impacto em todos os setores da organização e, em algumas indústrias, pode mesmo ter um forte impacto na cultura interna da empresa, na definição de orçamento, contratação de pessoa, etc. No entanto, como requisito mínimo, podemos assumir que inclui tecnologias de firewall e prevenção de ciberameaças, proteção suficiente de pontos de acesso, implementação de autenticação por múltiplos fatores, encriptação de dados e restrição de acesso, bem como outras melhores práticas.
(*) VP Sales Engineering EMEA, Check Point Software