A NIS 2 vai trazer alterações de tal forma profundas que as organizações devem preparar-se desde já para a mudança. Trata-se da legislação mais abrangente de sempre da UE em matéria de cibersegurança, numa "complexa teia regulatória" que obriga a antecipar a mudança, a monitorizar e acompanhar todos os desenvolvimentos regulatórios e tecnológicos e a capacitar os stakeholders internos. Há ‘dores' e problemas concretos que terão de ser ultrapassados, até porque as lideranças passam a ter uma responsabilização reforçada. Na 9ª sessão do Digital Union, uma parceria entre a APDC e a VdA, debateram-se as novas regras e o seu impacto concreto no mercado nacional. Esta sessão decorreu em formato híbrido a partir do auditório da .PT, a quem agradecemos a colaboração.
"Os sistemas de informação são cada vez mais um elemento fundamental da nossa vida coletiva" e de todas as organizações, incluindo do Estado. Todas "tratam dos nossos dados, que assumem um papel relevante e são o ‘sangue' das empresas". Por isso, como afirma Fernando Resina da Silva - Sócio da Área Comunicações, Proteção de Dados & Tecnologia e Sócio Responsável da Área PI Transacional da VdA, "a segurança no mundo digital é fundamental", até porque estamos a entrar numa nova era, com a legislação a tentar seguir as evoluções tecnológicas, garantindo os direitos fundamentais, em tempos incertos, onde "ainda desconhecemos o que se vai passar".
E, tendo em conta que "todas as tecnologias podem ser mal ou bem usadas", como a história nos ensina, o presidente da APDC, Rogério Carapuça, considera que "é como é que vão ser usadas", até tendo em conta que a evolução tecnológica é cada vez mais rápida, que "há que analisar como fazer bem. É um imperativo civilizacional".
ULTRAPASSAR CATALIZADORES DE RISCO
Ciente de que vive um contexto de aceleração da digitalização da economia e da sociedade, com vários catalisadores de risco - como a utilização de novas tecnologias e ferramentas, a sofisticação dos incidentes e ciberataques, a maior dependência de terceiros, ambientes de armazenamento e transferência de dados mais complexos, preservação de informação sensível, partilha de grandes volumes de dados e a sua transferência para países terceiros - a Comissão Europeia (CE) anunciou no final de 2020 a sua Estratégia de Cibersegurança para a Década Digital.
Esta "resposta legislativa", como explica Inês Antas de Barros, Sócia da Área de Comunicações, Proteção de Dados & Tecnologia da VdA, teve como meta criar um ambiente propício a uma economia digital segura, aumentar a ciber-resiliência na UE, melhorar a capacidade de resposta a incidentes e melhorar a proteção das infraestruturas críticas. É neste âmbito que se enquadra a Diretiva NIS 2, já que a NIS 1, ainda em vigor, a par da Lei da Cibersegurança, se relevaram "insuficientes, na perspetiva do decisor público e do legislador comunitário, para fazer face a todo o desenvolvimento tecnológico do mercado".
Como refere a responsável da VdA, "quando falamos em cibersegurança, temos várias camadas de legislação que podem ser aplicadas, sem prejuízo de legislação setorial". Por isso, além da NIS 2, que traz um alargamento do âmbito, tanto dos setores abrangidos, como da dimensão das empresas incluídas, permitindo ainda a cada país fazer uma
seleção adicional, foi criada uma Diretiva sobre a resiliência das infraestruturas críticas e o Regulamento DORA, destinado à resiliência digital nos setores financeiro e segurador.
A NIS 2, que entrou em vigor no espaço europeu a 16 de janeiro de 2023, tem como data-limite de transposição nos estados-membros o próximo dia 17 de outubro. E Inês Barros avisa: "as alterações provocadas por esta Diretiva são de tal forma profundas que a preparação deve iniciar-se o mais cedo possível". No seu âmbito, terá de ser criada uma Estratégia Nacional de Cibersegurança, processo que está a ser liderado pelo CNCS. E obriga a uma divulgação coordenada de vulnerabilidades, assim como á criação de um Gripo de Cooperação e uma Rede Europeia de Organizações para crises cibernéticas (CyCLONe). Preconiza-se ainda um reforço da supervisão e a partilha de informação que, para já é voluntária, mas que deverá passar a ser obrigatória.
Entre as principais alterações que a NIS 2 vem introduzir, a oradora destaca o alargamento do seu âmbito de aplicação a mais setores, assim como a definição de operadores de serviços digitais, desaparecendo a distinção entre operadores de serviços essenciais e de serviços digitais. Passa é a haver uma distinção entre operadores de serviços essenciais e entidades importantes, sendo que no primeiro caso têm um conjunto de obrigações mais apertado. Há ainda um reforço dos requisitos de segurança, com uma lista mínima que depende sempre da avaliação de risco, e uma maior proteção das cadeias de abastecimento e relação com fornecedores. Por fim, as regras de supervisão vão ser mais estritas, harmonizando as sanções aplicáveis.
Inês Barros, na sua intervenção, destacou ainda as disposições que considera serem mais importantes na NIS 2. A começar pela necessidade de adoção de medidas de gestão dos riscos de cibersegurança aprovadas pela administração, com obrigações de formação. Assim como aavaliações coordenadas a nível da UE dos riscos de segurança de cadeias de abastecimento críticas e das obrigações de notificação de incidentes
com impacto significativo. Os sistemas europeus de certificação da cibersegurança podem ser ainda ser impostos às entidades abrangidas.
A ideia da NIS 2 é que as organizações adotem uma abordagem proativa na gestão dos riscos de cibersegurança, que inclua a adoção de políticas de segurança da informação. E terão de implementar medidas de cibersegurança em três domínios distintos: prevenção, deteção e resposta a incidentes; continuidade do negócio e gestão de crises; e segurança da cadeia de abastecimento. E estabelece-se um reforço substancial da responsabilidade das administrações no âmbito da aprovação das políticas e da sua supervisão.
TEIA REGULATÓRIA COMPLEXA
As novas regras vêm ainda reforçar as obrigações em termos de notificação de incidentes, distinguindo quatro fases distintas, assim como as regras de supervisão e as sanções por incumprimento. As infrações graves podem dar origem à aplicação de coimas de, pelo menos, 10 milhões de euros ou 2% do volume de negócios anual total a nível mundial, consoante o montante mais elevado.
Por isso, a oradora não tem dúvidas que que, para fazer face à "complexa teia regulatória", as organizações terão de antecipar, monitorizando e acompanhando todos os desenvolvimentos regulatórios e tecnológicos, assim como capacitar os stakeholders internos e planear e implementar as mudanças necessárias, a nível estratégico, jurídico e tecnológico.
E qual é a perspetiva de um provider tecnológico sobre as novas regras? José Capote, Cyber Security and Privacy Officer (CSPO) da Huawei defende a necessidade de começar a trabalhar de imediato. "Tem de se estar consciente da regulação, de acordo com a situação de cada empresa. Tem de se saber quais as obrigações que se aplicam à organização e aos seus fornecedores". Depois, há que apostar na certificação, apesar de ainda não estar disponível ao nível comunitário uma nova certificação harmonizada de produtos e serviços. A colaboração vertical é também estratégica e um "exemplo de como a indústria trabalha em domínios similares, partilhando os seus pontos de vista".
Já ao nível das competências das autoridades de mercado que vão implementar a NIS 2, o gestor defende que "nos estados-membros, a cibersegurança deve ser gerida de acordo com as entidades, a sua dimensão e os serviços que disponibiliza. Não se podem usar os mesmos tipos de exigências. Tem de haver níveis distintos, o que permite às empresas gerir melhor o processo". Que não será fácil, já que terão de reforçar a sua resiliência e, em paralelo, assegurar que conseguem competir no mercado europeu.
Para o grupo Huawei, a NIS 2 representará "mudanças enormes e com um custo importante. As obrigações de compliance são duras e o seu custo não poderá ser canalizado para o investimento no mercado". Por isso, defende-se uma abordagem de acordo com o risco, sendo que as certificações poderiam reduzir os níveis dos gastos. Mas, para isso, será necessário definir standards harmonizados ao nível europeu.
No debate que se seguiu, moderado por Sandra Fazenda Almeida (APDC) e Tiago Bessa (VdA), foi dada a perspetiva de vários players de mercado, que confirmaram que implementar as regras da NIS 2 será tudo menos fácil. Neste processo, será essencial contar com o apoio total das lideranças das organizações, conhecer bem as novas regras, requisitos e obrigações e estabelecer um roadmap de implementação. Apostar na formação dos colaboradores é também essencial para a consciencialização e a tomada de medidas preventivas. Mas, mais do que dificuldades tecnológicas ou até físicas, há outro problema: a falta de talento qualificado em cibersegurança.
Na Autarquia de Lagos, já se está a proceder à migração para a NIS 2. Foi feita uma "reengenharia infraestrutural de todo o município, tentando securizar tudo ao máximo", e Joel Guerreiro, diretor de Modernização Administrativa e Financeira, admite que o que mais o preocupa é a crescente preparação para garantir capacidade de resposta às diferentes vulnerabilidades e aos prazos de reporte, muito mais curtos. Admitindo que "vamos todos precisar de ajuda, porque ninguém está a salvo em termos de cibersegurança", destaca a importância de ter um Executivo municipal que está presente e apoia a implementação de todas as medidas. Acresce que há capacidade de realização dos investimentos necessários, tanto ao nível da infraestrutura como em termos de segurança.
Já a experiência de Pedro Pinto, responsável de Cibersegurança do Instituto Politécnico da Guarda, é distinta. Admite que uma das maiores dificuldades é colocar os projetos no terreno, se a gestão de tipo não está envolvida. Mas com a responsabilização das administrações, haverá muito a fazer, implicando um verdadeiro processo de "mudança de cultura nas organizações", já que terão de ser criados novos departamentos e a colaboração será essencial para o sucesso da implementação das novas regras.
André Baptista, founder da Ethiack, startup especializada na prevenção da cibersegurança e proteção de ativos digitais das empresas, confirma que a sua experiência mostra que existe ainda "distância entre as administrações e quem trabalha", quando deveria haver proximidade e maior facilidade de comunicação dentro das organizações. Só assim "os topos ficam mais conscientes relativamente aos riscos e as vulnerabilidades que possam surgir nos seus sistemas".
Mas as maiores dificuldades com que todos se defrontam são as humanas. Não só em encontrar talento qualificado em cibersegurança, para responder aos novos desafios de um mundo digital, mas também em termos de capacitar as pessoas para não cometerem erros nas organizações. Joel Guerreiro não tem quaisquer dúvidas: "o grande problema atualmente é humano".
A pensar no talento na área, Pedro Pinto destaca que o Politécnico da Guarda foi o primeiro do país a criar um CTESP em cibersegurança que, se no início não tinha grande adesão, agora regista enorme procura. Será ainda lançado este ano um mestrado na área. Mas admite que "o que se sente é que a questão ainda não é prioritária para as organizações".
Também André Batista admite que "o fator humano ainda é extremamente significativo. Estamos a assistir a uma transição digital muito acelerada e focamo-nos muito no problema da indústria de identificar vulnerabilidades e corrigi-las. As dores ou dificuldades dos clientes são realmente muitas, desde a clara falta de consciencialização para o tema aos recursos limitados na área". Há ainda problemas como a tecnologia desatualizada, onde é muito dificil corrigir vulnerabilidades. Ou o receio que persiste na utilização de tecnologias de hacking ético. Ainda assim, "nos setores mais críticos, acredito que esta nova legislação venha trazer bastantes benefícios. Pelo menos é essa a esperança".
Tendo em conta que as novas regras estão a chegar, Inês Barros não tem dúvidas sobre os passos a dar nas empresas: antecipação, capacitação e implementação. Primeiro, há que conhecer as regras que aplicáveis em termos de cibersegurança, mapear muito bem os requisitos que se aplicam e conhecer as obrigações. Depois, perceber o que já está aplicado e o que é necessário fazer, estabelecendo um roadmap de obrigações. Certa de que quando o NIS 2 entrar em vigor, "naturalmente, as empresas não vão estar totalmente preparadas", destaca que já terão de ter "identificado medidas que sejam realistas para capacitar a organização. Isto é um ponto muito importante".
PROGRAMA
09h30 | Boas-vindas | |
Fernando Resina da Silva - Sócio da Área Comunicações, Proteção de Dados & Tecnologia, Sócio Responsável da Área PI Transacional, VdA Sandra Fazenda Almeida - Diretora Executiva, APDC | ||
09h35 | NIS Overview | |
Inês Antas de Barros - Sócia da Área de Comunicações, Proteção de Dados & Tecnologia, VdA - Apresentação | ||
09h55 | The view of a technology provider about NIS 2 | |
José Capote - Cyber Security and Privacy Officer (CSPO), Huawei | ||
10h10 | Debate | |
André Baptista - Founder, Ethiack Joel Guerreiro - Diretor - Modernização Administrativa e Financeira, Município de Lagos Pedro Pinto - Responsável de Cibersegurança, Instituto Politécnico da Guarda Moderação: Sandra Fazenda Almeida - Diretora Executiva, APDC Tiago Bessa - Sócio da Área de Comunicações, Proteção de Dados & Tecnologia e da Área de PI Transacional, VdA | ||
11h00 | Encerramento |
ORADORES |
|
|
|
|
|