O que novas regras rígidas de segurança cibernética significam para as grandes empresas

As empresas poderão enfrentar multas pesadas ou mesmo a suspensão de serviços na União Europeia sob as novas e estritas regras de segurança cibernética que entrarão em vigor no próximo mês.

A directiva de cibersegurança da UE NIS 2 tornar-se-á obrigatória para os estados membros em 17 de Outubro. Isto significa que as empresas terão de garantir que as suas atividades cumprem as obrigações estabelecidas na nova lei.

As regras impõem exigências mais rigorosas às empresas no que diz respeito à sua estratégia interna de resiliência cibernética e às suas práticas internas.

A CNBC detalha tudo o que você precisa saber sobre o NIS 2, desde requisitos legais até possíveis multas que as empresas podem enfrentar por violações.

NIS 2, que significa Diretiva de Segurança de Redes e Informações 2, é uma diretiva da UE que visa melhorar a segurança dos sistemas e redes de TI em todo o bloco. A lei aprovada em 2020 é uma atualização de uma diretiva anterior que se chamava simplesmente NIS.

O NIS 2 expande as capacidades do seu antecessor para enfrentar novos desafios e ameaças de segurança cibernética que surgiram à medida que os criminosos encontraram novas formas de hackear empresas e comprometer os seus dados sensíveis.

A diretiva aplica-se a organizações que operam em toda a UE e prestam serviços essenciais aos consumidores, incluindo bancos, fornecedores de energia, prestadores de cuidados de saúde, fornecedores de Internet, empresas de transportes e recicladores de resíduos.

As principais áreas de enfoque serão a gestão de riscos, a responsabilidade corporativa, as obrigações de prestação de informações e o planeamento da continuidade dos negócios em caso de ataque cibernético.

Geert van der Linden, vice-presidente executivo de serviços globais de segurança cibernética da Capgemini, disse à CNBC que o NIS 2 estabeleceu efetivamente uma nova base para as empresas aceitarem medidas para proteger os cidadãos, manter as operações e permanecerem resilientes aos ataques cibernéticos.

“O NIS 2 será considerado pelos juízes como um padrão global” quando se tornar obrigatório, acrescentou Van der Linden. “Para nossos clientes, sejam eles considerados essenciais ou importantes na regulamentação, eles precisam olhar para essa linha de base e garantir que estejam em conformidade.”

Ao cumprir esta linha de base, as empresas proteger-se-ão eficazmente contra reclamações, acrescentou Van der Linden. Ele comparou isso a fazer um seguro para uma casa para protegê-la de ladrões.

“Para onde vão os ladrões? Esta é sempre a casa menos protegida. Eles abrem todas as portas para ver por onde podem entrar”, disse ele. O mesmo está a acontecer com as empresas que pretendem proteger-se contra ataques cibernéticos, acrescentou Van der Linden.

Ao abrigo da NIS 2, as empresas também terão de rever as suas cadeias de abastecimento digitais em busca de ameaças e vulnerabilidades cibernéticas. Hoje, as empresas usam muitos produtos e ferramentas diferentes todos os dias, proporcionando aos criminosos mais possibilidades de ataque.

Chris Gow, chefe de políticas públicas da UE na Cisco, disse à CNBC que o NIS 2 envolverá um “estudo de mapeamento” no qual as empresas terão de rever os seus fornecedores de tecnologia para avaliar quaisquer riscos potenciais.

Ao abrigo da NIS 2, as empresas também terão o “dever de diligência” ao comunicar e partilhar vulnerabilidades e violações cibernéticas com outras empresas – mesmo que isso signifique admitir que foram vítimas de um ataque cibernético.

As empresas que não cumprirem a nova lei poderão enfrentar pesadas multas, bem como outras medidas punitivas.

Para organizações consideradas essenciais, como empresas de transporte, finanças e água, o não cumprimento do NIS 2 pode resultar numa multa de até 10 milhões de euros (11,1 milhões de dólares) ou 2% da receita anual global – qual será o valor maior?

Entretanto, empresas consideradas essenciais, como processadores de alimentos, empresas químicas e serviços de gestão de resíduos, poderão enfrentar multas de até 7 milhões de euros ou 1,4% da sua receita anual global por incumprimento.

As empresas também podem enfrentar uma possível suspensão do serviço se não cumprirem o NIS 2, bem como um maior escrutínio para verificar se estão em conformidade.

Se uma empresa for vítima de um ataque cibernético, terá 24 horas para enviar um aviso prévio às autoridades. Isto é mais rigoroso do que o prazo de 72 horas em que as empresas devem notificar as autoridades sobre uma violação de dados ao abrigo do GDPR (Regulamento Geral de Proteção de Dados), uma lei separada de privacidade de dados na UE.

“A preparação para o NIS 2 não é uma corrida para ver o que pode ser feito, mas sim uma corrida em que as organizações mais fortes vão além da linha de base e usam esses esforços como vantagem competitiva”, disse Carl Leonard, estrategista regional de segurança cibernética da Proofpoint para EMEA. , em entrevista à CNBC.

“Espero que as organizações sejam melhor apoiadas através de esforços coordenados a nível da União Europeia”, disse Leonard. “Isso incluirá inteligência conjunta sobre ameaças, um nível geral mais elevado de segurança cibernética e uma mentalidade de ‘estamos juntos nisso’.”

As empresas estão a apressar-se para colocar em ordem os seus processos e controlos internos, bem como a sua cultura mais ampla de cibersegurança, antes do prazo final de 17 de outubro.

Gou, da Cisco, disse que mesmo sem a ameaça de uma nova regulamentação, as empresas estão trabalhando duro para mudar sua cultura interna para levar a sério a ameaça de ameaças cibernéticas e incidentes de interrupção.

“Mesmo se desviarmos o olhar do que está acontecendo no lado regulatório, veremos relatórios vindos do nível do CISO (diretor de segurança da informação) até o conselho de administração e a gestão.”

No entanto, acrescentou que o NIS 2 incentiva as empresas a alinhar mais rapidamente os seus controlos e práticas cibernéticas com as novas regras.

“Definitivamente tem um impacto”, disse ele. “Eu mesmo vejo. As pessoas dentro da empresa estão fazendo perguntas às vendas e à administração, perguntando: ‘Como isso vai funcionar para nós?'” Ele acrescentou que “o momento de se preparar agora” é para as empresas atenderem aos requisitos do NIS 2.

No entanto, embora a segurança cibernética esteja a receber muito mais atenção nas salas de reuniões, isso não impede os ataques cibernéticos.

No início deste ano, um ataque de ransomware à Synnovis, um prestador de cuidados de saúde privado no Reino Unido, interrompeu mais de 3.000 consultas hospitalares e clínicas de saúde. Os atacantes, um grupo de hackers russo chamado Qilin, exigiram um resgate de £ 40 milhões.

Gow disse que seria um erro acreditar que as novas regras impediriam a ocorrência de incidentes semelhantes no futuro, mas acrescentou que o NIS 2 ajudou a “criar algum escrutínio e concentrar recursos na demonstração de como você vai melhorar seu nível geral de segurança”. “