A Diretiva NIS2 e o impacto na cadeia de valor

No entanto, várias limitações foram identificadas na implementação: dificuldade de harmonização entre Estados-membros, lacunas na cobertura de sectores críticos e uma abordagem mais reativa do que proativa na segurança das redes e da informação. A Diretiva NIS2 surge para corrigir estas falhas, expandindo o âmbito das organizações abrangidas, definindo normas mais rigorosas e introduzindo mecanismos de supervisão e sanções mais efetivas.

Embora a Diretiva NIS2 tenha como propósito a harmonização das medidas de segurança e a resiliência do tecido empresarial europeu, em Portugal não existe uma cultura de cibersegurança e de proatividade nestas matérias como noutros Estados-membros, tal como na Bélgica. Ainda existe, talvez por via de uma Diretiva NIS sem força clara e fiscalizadora, uma postura tipicamente portuguesa de “correr atrás do prejuízo”, ou até mesmo de controlo excessivo dos requisitos legais, ignorando os verdadeiros benefícios que esta Diretiva trará à confiança dos consumidores, utilizadores, clientes e parceiros das entidades obrigadas.

A conformidade com a NIS2 não se limita às operações internas das organizações abrangidas – pensar nesta diretiva como tal seria altamente redutor dos seus objetivos principais -, mas impõe obrigações em relação a fornecedores e parceiros estratégicos, por forma a garantir que a segurança das infraestruturas e da informação seja abordada em toda a cadeia de abastecimento. Este novo foco de ação, que não existia na Diretiva NIS, cria desafios para as empresas, na medida em que exigirá não só um esforço coordenado entre as várias áreas de negócio e outros departamentos complementares como o de procurement, jurídico, compliance, IT e operações, mas também evidenciará junto do mercado a preocupação das empresas, não com o que outrora era a contratação do serviço, mas sim com a proteção da empresa face a ameaças de segurança à sua infraestrutura e aos dados por via de terceiros.

A preocupação com a segurança da cadeia de abastecimento traz várias vertentes positivas na implementação. A primeira - já bastante visível e com expressão maioritariamente contratual - é a da “autorregulação” do mercado, já que, quando implementados e seguidos os devidos processos de análise prévia de fornecedores de bens e prestadores de serviços, as empresas vão querer estender essa obrigação às entidades terceiras, mesmo que não sejam entidades obrigadas por algum normativo europeu ou nacional, por constituírem uma extensão dos seus serviços originais. Uma segunda vertente é a da confiança do mercado e dos parceiros na contratação dos seus serviços, por estarem asseguradas as condições para a devida proteção e segurança na prestação do serviço. Uma entidade, obrigada pela NIS2 a cumprir certos requisitos - ou não -, terá sempre uma vantagem competitiva no mercado se evidenciar que fomenta e promove uma cultura de cibersegurança, que está consciente das ameaças a que está sujeita, que conhece a sua estrutura digital e os seus ativos, e que saberá agir e colaborar de forma célere e eficaz na deteção, contenção, mitigação, recuperação e comunicação de um incidente de segurança.

A cadeia de abastecimento acaba por se tornar um primeiro ponto de contacto entre as empresas e os seus clientes, fornecedores e stakeholders, mas não é apenas da segurança da cadeia de abastecimento que a cadeia de valor beneficia. Ao exigir práticas mínimas de cibersegurança em todas as entidades essenciais e importantes abrangidas, a NIS2 promove a resiliência e a responsabilidade coletiva. Empresas que demonstrem liderança na implementação destas práticas podem assumir o papel de “âncoras” de segurança, reforçando parcerias estratégicas e diferenciando- se no mercado.

Adicionalmente, também a partilha de informações sobre vulnerabilidades, ameaças e incidentes entre entidades cria um ambiente de maior confiança e colaboração. Empresas que aproveitam esta transparência para comunicar proativamente com clientes e parceiros reforçam a sua reputação, posicionando- se como líderes nos seus setores de atividade. Contudo, existe alguma relutância na partilha deste tipo de informações, uma vez que algumas empresas ainda a entendem como uma evidência de fragilidade da sua infraestrutura e dos seus sistemas de gestão de segurança da informação. Estas hipotéticas repercussões reputacionais, derivadas de uma partilha voluntária de informações de relevo, são um dos principais obstáculos à promoção da resiliência sectorial e, no limite, europeia. A ideia da partilha voluntária é a de assegurar que a responsabilidade coletiva - que se pretende na cibersegurança - seja uma força e não uma fraqueza. O mercado que olha para a partilha de informação como um ponto positivo, tenderá a considerar enquanto parceiro fiável, responsável e cooperativo, uma empresa que está ciente das suas vulnerabilidades e confiante na sua resolução, o que é também acompanhado de uma visão reputacional bastante competitiva e de valor.

A NIS2 traz consigo uma tentativa - esperemos que bem-sucedida - de mudança de mentalidades do tecido empresarial. Ainda existem, em Portugal, muitas empresas que se focam no cumprimento estrito e rigoroso das obrigações legais, por vezes apenas para poderem mostrar que estão a cumprir com aquilo a que são obrigadas (os mínimos olímpicos). Contudo, esta abordagem restritiva daquilo que são as normas comunitárias em cibersegurança e segurança da informação impede o desenvolvimento de uma cultura baseada na prevenção – estas empresas tendem a ter uma abordagem maioritariamente reativa a incidentes de segurança.

Para conseguirmos atingir o ponto ideal de resiliência das organizações, do mercado e da União Europeia, a mudança da cultura e da mentalidade são fulcrais. Olhar para a cibersegurança como um investimento tecnológico, económico e reputacional não só vai permitir o cumprimento dos objetivos a que a Diretiva NIS2 se propõe, mas também criará um mercado mais seguro para os seus consumidores e com vantagens competitivas em relação aos seus parceiros de negócio.

Embora as vantagens sejam claras, a implementação da NIS2 apresenta desafios. As diferenças nos níveis de maturidade digital entre Estados-membros e organizações exigem investimentos significativos em infraestruturas, tecnologias e recursos humanos. Num ambiente onde a interdependência é a norma, a segurança de uma entidade está intrinsecamente ligada à segurança dos seus fornecedores e parceiros. Ao impor requisitos de cibersegurança a fornecedores críticos, a diretiva estabelece um padrão mínimo que todos os intervenientes devem cumprir, mitigando os riscos sistémicos e aumentando a confiança mútua.

As organizações que adotem uma abordagem proativa, vendo a conformidade como um investimento estratégico, estarão mais bem posicionadas para liderar num ambiente digital cada vez mais interligado. A NIS2 não é apenas uma obrigação regulatória, é também uma oportunidade para reforçar a confiança, promover a resiliência e consolidar a posição do mercado e do tecido empresarial europeu como referência global em cibersegurança.