Estar preparado para a NIS2: “Tudo começa na NIS2, que é a pedra basilar para o assegurar de um nível comum e homogéneo de cibersegurança” (com vídeo)

A IT Security Conference 2024 iniciou com a NIS2 e, de forma simbólica, também encerrou com esta diretiva europeia. O painel de debate reúne Sérgio Almeida, Diretor IT e Cyber da NAV, Joana Mota Agostinho, Partner da Cuatrecasas, Ricardo Figueiredo, Cybersecurity Expert da ENISA e Nuno Dias, Managing Partner da Timestamp, com moderação de Rui Damião, diretor da revista IT Security.

Este debate tornou-se um espaço de partilha de experiências e estratégias, refletindo sobre como a NIS2 pode servir como um catalisador para a melhoria contínua das práticas de cibersegurança nas infraestruturas críticas da União Europeia.

O impacto da NIS2

Sendo a ENISA uma das responsáveis da NIS2, Ricardo Figueiredo, Cyber Security Expert da ENISA, foi quem começou o debate ao expor a relevância da NIS2 no contexto atual: “desde a publicação da nova estratégia para a cibersegurança em dezembro de 2021 da União Europeia, assistimos a um pacote legislativo sem precedentes nesta área”. O especialista realçou que a NIS2 é fundamental, uma vez que “tudo começa na NIS2, que é a pedra basilar para o assegurar de um nível comum e homogéneo de cibersegurança nas infraestruturas críticas da União Europeia”.

Ricardo Figueiredo mencionou legislações setoriais importantes que surgiram após a NIS2, como o regulamento DORA para o setor financeiro, que “visa trazer medidas muito particulares para o incremento da cibersegurança e da resiliência”. Destacou também a regulação do setor de energia, que implementa “o primeiro código de rede que endereça regras para a cibersegurança dos fluxos transfronteiriços de eletricidade”. Para a aviação, referiu-se ao regulamento Part IS, que “estabelece a obrigatoriedade de identificar e gerir riscos de segurança de informação que impactam a segurança da aviação”. Por fim, acrescentou “o regulamento que estabelece o regime para a criação da identidade digital europeia, abrangendo prestadores de serviços de confiança e carteiras de identidade eletrónica”.

Neste sentido, o Cyber Security Expert da ENISA reforçou a “preocupação a nível geral da União Europeia para conseguimos avaliar o impacto de potenciais ataques que digam respeito a infraestruturas críticas que realmente têm fluxos que passam de Estado-membro para Estado-membro”, e que ganhou particular importância desde o conflito na Ucrânia, de acordo com o orador.

Implicações legais da NIS2

Para discutir as implicações legais da NIS 2, Joana Mota Agostinho, Partner da Cuatrecasas, frisou a importância de as empresas darem um verdadeiro “step in” no cumprimento da NIS2, realçando que esta diretiva exige uma abordagem mais estratégica por parte da gestão de topo, em vez de esperar pela intervenção das autoridades reguladoras. Segundo a oradora, “a componente da responsabilidade da gestão de topo” é fundamental e “é uma matéria que já não vai sair das mesas de qualquer tipo de administração de gestão de topo”. Neste contexto, a cibersegurança passa a ser uma “questão estratégica”, com as empresas a terem de definir o seu próprio “apetite ao risco" e garantir que compreendem "muito bem os seus produtos, os seus serviços" e a "cultura da sua organização”.

A NIS2 exige das organizações uma postura mais madura, que vai além da implementação dos requisitos legais, incluindo a preparação para evidenciar esse cumprimento, especialmente na escolha dos fornecedores, já que, de acordo com Joana Mota Agostinho, as empresas devem trabalhar apenas “com fornecedores que mostrem efetivamente o mesmo tipo de rigor em cibersegurança”.

Essa nova exigência leva as organizações a pressionarem as entidades parceiras a seguir padrões semelhantes. Como mencionou, “o que este diploma exige é que vocês façam um bocadinho o step in e garantam a maturidade desta temática nas organizações”, reforçando o foco na segurança e resiliência em todo o ecossistema empresarial.

O resultado da NIS 2 nas operações diárias das organizações

Sérgio Almeida, Diretor de IT e Cyber da NAV, salientou que a NIS2 não trouxe um grande impacto para a NAV, dado que a empresa já incorporava práticas de segurança desde o início das suas operações. “Nós já vínhamos da ISO, da 27000, já tínhamos passado pela primeira NIS e, portanto, isto está tudo mecanizado”, explicou, descrevendo a NIS2 como “só mais um passo evolutivo daquilo que nós temos de fazer”. Nesse sentido, o orador revelou que “o impacto que nós [NAV] sentimos hoje na organização não é tão acentuado como noutras entidades que vão começar desde o início”.

Ao discutir a supply chain, o Diretor de IT e Cyber da NAV destacou as diferenças entre empresas com práticas de cibersegurança maduras e aquelas com uma visão limitada. “Há grandes empresas com todas as medidas de segurança, e PME que veem a cibersegurança apenas como o antivírus no PC”. O orador mencionou que a adaptação dessas empresas será desafiadora, trazendo “medidas impopulares” que podem dificultar a aceitação interna.

Sérgio Almeida também abordou o papel da administração na implementação da NIS2, enfatizando que “a responsabilidade dos boards é muito elevada” e que é necessário o envolvimento direto dos conselhos para garantir eficácia nas medidas. O processo, semelhante ao RGPD, exige um ciclo contínuo de “assessment de cibersegurança e segurança de informação”, com auditorias regulares. Almeida salientou que esse ciclo “nunca vai terminar”, dado a constante evolução dos ataques, destacando a importância do comprometimento da administração.

Ferramentas e práticas essenciais para conformidade com a NIS2

Nuno Dias, Managing Partner da Timestamp, destacou que, no contexto da NIS2, algumas ferramentas e práticas, como “a monitorização de eventos” e “a gestão de incidentes”, têm sido muito procuradas pelas organizações. O especialista mencionou um foco crescente na implementação da ISO 27001 como o framework de segurança da informação mais adotado, e que as empresas também investem em soluções automatizadas para gestão de segurança, conhecidas como ISMS. O awareness sobre segurança tem ganhado relevância, com organizações a procurarem “modelos diferentes desse awareness”. Nuno Dias observou que “muito o hábito do slideware [...] funciona para determinadas gerações, mas para as gerações mais novas não funciona”, enquanto “o gamifying” e a competição entre departamentos têm sido mais eficazes.

Nuno Dias destacou a “componente de gestão de risco” como um aspecto crucial nas empresas. O Managing Partner da Timestamp explicou que “a análise de risco cibernáutico” deve ser constante, adaptando-se à evolução digital e ao impacto nos negócios. Para uma abordagem eficaz, enfatizou a necessidade de uma “cola” que una todas as medidas de segurança adotadas, como os ADR e XDR, frequentemente desagregadas, evidenciando a importância de uma política de segurança de informação sólida que as integre.

Proatividade e colaboração: chaves para a conformidade

Nuno Dias ressaltou a importância dos serviços geridos na cibersegurança, enfatizando que as empresas “precisam de parceiros de confiança que possam também fazer esse trabalho”, especialmente quando se trata de incidentes de segurança. Sérgio Almeida, por sua vez, destaca a lacuna na comunicação das autoridades sobre a NIS 2, comparando-a à do RGPD e apontando que “ao contrário do RGPD, […] tem existido pouca comunicação acerca da NIS2”. Nesse sentido, o Diretor IT e Cyber da NAV, sugeriu que um suporte mais estruturado e templates definidos ajudariam as empresas a alinharem-se melhor com as exigências da nova legislação.

Ricardo Figueiredo complementou a ideia, abordando a falta de um mecanismo único a nível europeu para apoiar as organizações: “a primeira linha de suporte são os Estados-membros”, referindo-se ao trabalho que o Centro Nacional de Cibersegurança tem realizado, embora com recursos limitados. Mencionou também o recém-estabelecido Centro Europeu de Competências para a Cibersegurança que procura fornecer recursos financeiros e técnicos essenciais para a matéria de cibersegurança.

Por último, Joana Mota Agostinho apela à necessidade de uma cultura de cibersegurança nas empresas, incentivando-as a não esperar passivamente por diretrizes superiores: “encarem sempre numa perspetiva crítica [...] tenham sempre um espírito crítico bastante forte”. Um apelo que reforça a ideia de que as organizações devem ser proativas na implementação de práticas de cibersegurança, especialmente num ambiente regulatório em rápida evolução.