NIS2, DORA e AI: a cibersegurança e os (próximos) desafios estratégicos da nova regulação

Implica, por outro lado, desde já projetar como as Organizações irão adaptar-se e, sobretudo, se vão olhar para estes desafios numa perspetiva defensiva – um obstáculo e resistência à mudança – ou como uma oportunidade de se tornarem organizações mais capazes e resilientes, ganhando vantagem competitiva.

Em síntese, já estamos num novo ciclo de mudança, pelo que as estratégias future-fit devem ter uma visão integrada do cenário competitivo e atuar desde já.

Mas será que as Organizações estão preparadas para transformarem o novo quadro regulamentar em valor? E será que as lideranças têm a perspetiva das oportunidades estratégicas implícitas nesta mudança?

Contexto

Nas últimas duas décadas, com aumento do ambiente conflitual competitivo, a que se juntou o ambiente estratégico, o Ciberespaço emergiu com um novo teatro de operações com dimensão e impacto a nível estratégico, fazendo com que a Cibersegurança esteja a transformar-se como um “novo normal”, incontornável na sociedade dos nossos dias e mais central no futuro próximo. Isto acontece à medida que aumenta o valor económico e estratégico da informação, fazendo com que seja crítico existir rapidamente um ambiente estável, seguro e de qualidade para a gestão da informação nas organizações.

O Digital e a AI Generativa são duas realidades que estão cada vez mais presentes no quotidiano das pessoas e das organizações, colocando desafios, como a Segurança Digital, a Governance, a Gestão do Risco e o Compliance, entre outros. Na União Europeia estes temas são considerados prioritários e críticos, estando na agenda dos Estados-membros e das Organizações. E já em 2024 trazem desafios de considerável exigência, num contexto em que as tendências apontam para uma agudização do cenário adverso no ciberespaço, com mais e maiores riscos e ameaças, mais frequentes, poderosas e complexas, focadas nas tecnologias e nas pessoas, colocando progressivamente em risco a proteção dos ativos informacionais, estratégicos e operacionais.

Novo quadro regulamentar

O novo quadro regulamentar nesta área, onde se destaca a NIS2, DORA e AI, é um impulsionador de transformação de práticas, de novos processos e novas competências. Mas quais são os desafios operacionais e estratégicos do novo quadro regulamentar? Um conjunto três regulamentos da União Europeia que vão obrigar o Estado e as Organizações (públicas e não públicas) a: 1º analisar e compreender regulamentos; 2º aplicar e cumprir regulamentos. E, sobretudo, deverão ver para além da linha do horizonte e iniciar o (re)desenho dos modelos de negócio, bem como posicionar-se perante o futuro da Cibersegurança e da Inteligência Artificial.

A saber:

• A Diretiva NIS2, publicada em 27/12/2022, determina a transposição para legislação nacional de cada Estado-membro até 17/10/2024. A NIS2 visa a definição de medidas de segurança cujo objetivo é alcançar um elevado nível comum de Cibersegurança na UE. O âmbito de aplicação das Diretiva NIS2 é alargado face ao previsto na Diretiva NIS, tendo sido acrescentados mais setores à lista de setores críticos. Ao nível das obrigações para as entidades, reforça algumas das medidas já previstas no Decreto-Lei n.º 65/2021, nomeadamente no que toca a análises de riscos e tratamento de incidentes.
• O Regulamento DORA (Digital Operational Resilience Act), adotada em 28/11/ 2022, entrou em vigor em 16 de janeiro de 2023, e iniciará a sua aplicação no espaço da UE, sem necessidade de transposição, a 17 de janeiro de 2025. A partir desta data, as entidades abrangidas terão de ter assegurado o cumprimento das novas obrigações regulatórias relativas à resiliência operacional digital. O objetivo da DORA é garantir que o setor financeiro da UE consiga manter-se resiliente perante perturbações operacionais graves.
• O Regulamento para a AI (Inteligência Artificial) foi aprovado provisoriamente, em 9/12/2023, pelo Parlamento Europeu e pelo Comité de Representantes Permanentes dos Governos dos Estados-Membros da UE. O PE já aprovou a 13 de março, mas o AI Act ainda precisa de ser formalmente adotado pelo Conselho da Europeu. O regulamento entrará em vigor 20 dias após a publicação no Jornal Oficial da UE. Vinte e quatro meses depois da entrada em vigor, as regras serão aplicadas, embora existam obrigações que serão implementadas mais cedo. Baseada no Risco, visa garantir que os sistemas de IA no mercado europeu e utilizados na UE, sejam seguros e respeitem os direitos fundamentais e os valores da UE.

Neste contexto de elevada pressão, o quadro regulamentar em evolução coloca um conjunto desafios estratégicos e operacionais às organizações, entre outros, que importa acompanhar e agir.

A saber:

• Será que o novo quadro regulamentar irá estimular o investimento e a inovação das empresas?
• Como será possível responder a esta pressão regulamentar, com eficiência de forma adequada?
• Quais são as melhores práticas para que as Organizações se adaptem e melhorem os seus sistemas de respostas?
• Será que é possível transformar este novo quadro legal em valor?
• E os cidadãos: estarão mais protegidos no futuro ou devem desconfiar das evoluções da Cibersegurança e da AI?

E podemos antecipar as seguintes implicações operacionais na dinâmica das Organizações, uma vez que será exigido:

• Compreender os novos riscos que se colocam à Cibersegurança e incorporar estes riscos nas suas relações de negócio, aplicando controlos que os mitiguem até a um nível aceitável;
• Conhecer os ataques mais comuns dirigidos às empresas e as novas ameaças, exigindo novas capacidades de Cibersegurança a aceder a novos serviços nesta área;
• Conhecer as sinergias entre Segurança e Privacidade;
• Compreender o que é a Engenharia Social e porque e como as pessoas são o alvo principal, reforçando os seus programas de formação e sensibilização;
• Conhecer em profundidade quem são os nossos parceiros e alterar de forma estrutural a forma de gerir relações de negócio com 3rd party;
• Aplicar uma liderança colaborativa;
• Implementar alterações na Governance da Gestão Informação, colocando- -se em destaque a Cibersegurança, a gestão dos riscos de forma integrada, suportada em AI.

Estas implicações, relacionadas com a imparável Transformação Digital resultam em algo decisivo: ou as organizações transformam-se e adaptam-se ou não irão sobreviver; essa transformação decorre no ambiente digital, que é o motor de desenvolvimento económico e societal. Concluindo: quem não tiver a capacidade para se organizar neste novo ciclo de mudança será irrelevante no jogo competitivo.

Alguns subsídios estratégicos

A dimensão e o alcance da legislação comunitária, conjugada com a proximidade direta e indireta entre Diretivas e Regulamentos, exige uma visão de conjunto – estratégica e operativa, o que significa identificar convergências, compromissos e sinergias, o que implica, nomeadamente:

• Visão Estratégica e Operacional. Existir uma sponsorização e envolvimento ao mais alto nível da organização na Estratégia Digital e na Gestão do Riscos das Tecnologias Digitais, acompanhada de um Plano de Execução Estratégica.
• Modelo de Governance contemplando o acompanhamento dos indicadores estratégicos da Cibersegurança, gestão de 3rd Party e o novo tema da Colaboração com parceiros de negócio.
• Ecossistemas. Integração estratégica em redes (organizações publicas/privadas, nacionais/internacionais) competindo em sistemas de valor.

Notas finais

Estes diplomas poderão ser insuficientes, mas nunca devemos perder o foco: são necessários e indispensáveis e não podemos deixar este assunto a um grupo profissional isolado na sua bolha, por muito competente que seja. Porquê? Por que estamos a falar de algo de natureza EXISTENCIAL… o Ser Humano.

Neste quadro desafiante, é com enorme satisfação que a CIIWA anuncia um seminário aberto, a realizar em abril próximo, sobre este novo quadro regulamentar: NIS2, DORA e AI.