Site Search

A carregar resultados

Cibersegurança

A importância da NIS2 no mundo empresarial e a responsabilidade da Gestão

  • Issue
  • Novembro 26, 2024

A Diretiva NIS2 (Network and Information Security 2), sucessora da NIS, aprovada pela União Europeia, é crucial no mundo empresarial, porque estabelece uma nova e mais rigorosa abordagem para a Cibersegurança nas instituições por ela abrangidas.

Em termos práticos, qual o objetivo da Diretiva NIS2?

Existem diferentes graus de maturidade em Cibersegurança no mundo empresarial. Com esta Diretiva, procura-se harmonizar e obrigar a uma melhor capacidade de resiliência em diferentes vertentes no sentido de diminuir riscos e manter as operações. Num cenário onde ciberataques são cada vez mais sofisticados e frequentes, a NIS2 permitirá robustecer a resiliência das instituições e proteger as infraestruturas críticas. Além disso, esta Diretiva introduz uma abordagem mais rigorosa quanto à responsabilidade da gestão das empresas em garantir a segurança da informação. Este acréscimo da responsabilidade e as exigências de implementação efetiva, impactam diretamente a forma como as organizações lidam com a segurança da informação e sua infraestrutura digital.

A sua importância reflete-se em vários aspetos fundamentais para as instituições, criando uma Ampliação do Alcance e Obrigatoriedade, no qual estende a obrigatoriedade de conformidade para um maior número de instituições e setores de atividade, incluindo setores essenciais e digitais, como energia, transportes, financeira, saúde, serviços na cloud e fornecedores de serviços digitais. As instituições que antes não eram reguladas, passam a necessitar de implementar medidas de Segurança e Cibersegurança, necessitando de aumentar o nível de proteção interna em diversas áreas de atuação.

Essencial para a continuidade das operações, a Diretiva NIS2 fortalece a Ciber-Resiliência, onde a Diretiva exige que as instituições implementem medidas mais robustas de Segurança, desde a avaliação dos riscos até a resposta a incidentes. Isto promove um ambiente corporativo mais resiliente, com maior capacidade de prevenir e reagir a Ciberameaças, minimizando o impacto de possíveis ataques no negócio e fornecimento de serviços das instituições.

Contudo, um dos pontos de maior impacto é claramente a Responsabilização da Gestão e Direção, onde a Diretiva NIS2 responsabiliza gestores e diretores pela orientação e Gestão da Segurança e Cibersegurança da instituição. Com sanções mais rigorosas face à existência de não conformidades, a Segurança passa a ser uma prioridade estratégica, não sendo apenas uma função do departamento de TI/segurança, promovendo uma governança mais responsável e informada sobre riscos de Segurança.

Quais os principais desafios impostos pela NIS2 às Organizações?

Elencam-se alguns dos principais aspetos da responsabilidade da gestão e da implementação efetiva estabelecidos pela NIS2:

  • A NIS2 estipula que os gestores e diretores das instituições têm a responsabilidade direta pela Cibersegurança da instituição. Em caso de incidente ou falha de Segurança que poderia ter sido prevenida, os gestores da instituição podem ser responsabilizados pessoalmente. Isto incentiva que a Segurança não seja delegada apenas ao setor de TI/Segurança, mas incorporada como uma prioridade estratégica e tática da organização.
  • A Diretiva visa mudar a cultura organizacional, fazendo com que a Cibersegurança seja parte do planeamento corporativo e da governança a todos os níveis. A gestão deve promover a consciencialização sobre Segurança e incluir formação regular para que todos os colaboradores estejam alinhados às práticas para a proteção de dados e segurança da informação.
  • Para garantir uma implementação efetiva da NIS2, o Gestor deve assegurar recursos financeiros e tecnológicos suficientes para a implementação de práticas de Segurança. Isto inclui a contratação de equipas especializadas, a aquisição de ferramentas avançadas de Cibersegurança, e o investimento numa infraestrutura de segurança robusta. Os Gestores precisam estar preparados para justificar e direcionar os investimentos adequados para atender às exigências da NIS2.
  • A NIS2 exige que as organizações desenvolvam políticas de Segurança documentadas e claras e façam uma gestão de riscos de forma contínua. Estas políticas devem incluir medidas preventivas, mecanismos de deteção de ameaças e planos de resposta eficazes face a incidentes de Segurança. A responsabilidade pela supervisão destas políticas recai sobre o órgão de Gestão, que deve garantir que as políticas são adequadas, implementadas e atualizadas.
  • A Diretiva NIS2 estabelece que, em caso de incidente considerado críitico (de acordo com a taxonomia estabelecida pelo CNCS), a instituição deve notificar as autoridades competentes com a maior celeridade e dentro de determinado prazo. Esta comunicação é essencial para a contenção de ameaças e para permitir uma resposta coordenada. Os gestores são diretamente responsáveis por garantir que esta comunicação é feita de acordo com os prazos e procedimentos da NIS2, e a omissão ou atraso na notificação pode conduzir a rigorosas sanções.
  • A Gestão é responsável pela realização de auditorias regulares e avaliações de conformidade para assegurar que a instituição está em conformidade com a NIS2. Estas auditorias podem envolver testes de intrusão, revisões de política de Segurança e monitorização continua de vulnerabilidades, de forma a garantir o ciclo de vida da vulnerabilidade. Os Gestores devem não só garantir que estes processos estão realizados, mas também preparar-se para auditorias externas e de supervisão por parte das autoridades reguladoras.
  • Em casos de não conformidade, a NIS2 prevê consideráveis multas e sanções, que podem impactar as instituições de forma significativa. Além de penalidades financeiras, há sanções administrativas que podem restringir a atuação da instituição em determinadas atividades ou setores, e os Gestores podem ser suspensos ou proibidos de exercer funções de gestão. Isto reforça a responsabilidade do órgão de Gestão em garantir que as políticas e práticas de Segurança são eficazes.
  • A NIS2 exige que as instituições procurem de forma contíinua melhorar os seus processos de Segurança, adaptando-se a novas ameaças e vulnerabilidades. Assim, a gestão deve promover um ambiente de aprendizagem contínua, onde novas tecnologias, tendências e ameaças sejam monitorizadas e integradas no planeamento de Segurança. A implementação de uma mentalidade de melhoria contínua ajuda a organização a responder de forma proativa a possíveis riscos.
  • Cabe à gestão garantir que todos os colaboradores estão cientes dos protocolos de Segurança e com formação que lhes permita identificar e responder a Ciberameaças. Esta formação deve ser contínua e adaptada aos diferentes níveis e responsabilidades dentro da instituição. Um programa efetivo de consciencialização é crucial para minimizar os riscos humanos, que frequentemente são a principal vulnerabilidade na Ciberdefesa.

Quais as principais alterações previstas pela Diretiva NIS2?

Com estas medidas pretende-se reduzir os Riscos Financeiros e Reputacionais, bem como, mitigar riscos que podem incluir custos com recuperação, interrupções operacionais, perdas de receita e danos à reputação. Além disso, as multas por não estar em conformidade são substanciais, incentivando as instituições a investir em Segurança para evitar penalidades financeiras e danos de imagem.

Adicionalmente, a Diretiva NIS2 promove a harmonização das práticas de Segurança entre os Estados-Membros da União Europeia (EU). Para empresas multinacionais, isto simplifica os processos de conformidade, pois as normas de Segurança serão mais uniformes em toda a UE, facilitando a colaboração e a partilha de informação sobre ameaças e vulnerabilidades.

Além disso, a adoção das exigências da NIS2 pode-se tornar um diferencial competitivo, transmitindo confiança aos clientes, parceiros e investidores. As instituições que demonstram um compromisso forte com a Segurança e a Cibersegurança, têm maior credibilidade, o que contribui para uma boa reputação e, consequentemente, para o crescimento e a retenção de clientes, contudo, muitas instituições precisarão de investir em tecnologias sofisticadas, como ferramentas de monitorização, Inteligência Artificial (IA) para deteção e bloqueio de ameaças, autenticação multifator, Gestão de Identidades e Acessos, entre outras. Este aumento da utilização das soluções de segurança Segurança impulsiona a inovação dentro das instituições, preparando-as melhor para lidar com futuras ameaças.

No entanto, o foco para além do Data-Centric Security, deve ser canalizado para user-Centric Security, de forma a promover a criação de uma cultura organizacional de Segurança, onde todos os colaboradores, desde o Conselho de Administração até ao nível operacional, são envolvidos nas práticas de Segurança. Isto ajuda a reduzir riscos humanos e a integrar a Segurança no quotidiano da instituição, tornando-a mais robusta contra ameaças.

Podemos concluir que a NIS2 é essencial para o mundo empresarial, pois cria um padrão de Segurança mais elevado e mais consistente, obrigando as instituições a protegerem as suas operações, os seus dados e acima de tudo a garantir o fornecimento de bens e serviços com riscos mais reduzidos. Com o foco na responsabilidade da gestão e na criação de uma cultura de Segurança, a NIS2 apoia as instituições a prepararem-se melhor para o futuro digital, criando um mercado mais seguro e resiliente. A conformidade com a Diretiva NIS2 não é apenas uma questão de regulamentação, mas uma oportunidade para as instituições garantirem sustentabilidade e vantagem competitiva num cenário digital cada vez mais complexo e turbulento.

Com uma mudança significativa ao colocar a responsabilidade da Segurança e Cibersegurança nas mãos dos Gestores das empresas, a NIS2 promove uma abordagem mais abrangente e estratégica para a Cibersegurança. Com esta Diretiva, a Segurança e a Cibersegurança não são apenas uma questão técnica, mas um componente essencial da governança institucional e de gestão dos riscos.

__
Cláudio Silva Alves
Cybersecurity Operations Partner da PwC Portugal

Garanta a segurança digital da sua empresa

Com o apoio da PwC, proteja a sua empresa de intrusões e ameaças. Fale com os nossos especialistas em Cibersegurança.

Entre em contacto

Subscreva a nossa mailing list de Cibersegurança

Aceda a conteúdos sobre tendências, boas práticas e soluções para a proteção do seu negócio contra ameaças cibernéticas.

Subscreva já

Contacte-nos

Marketing

Fale connosco, PwC Portugal

Tel: +351 213 599 000

Email
Siga-nos
Assurance Advisory Tax Indústrias Sala de imprensa Carreiras PwC em Portugal Contacte-nos

© 2015 - 2024 PwC. Todos os direitos reservados. "PwC" refere-se à rede de entidades que são membros da PricewaterhouseCoopers International Limited (PwCIL), cada uma das quais é uma entidade legal distinta e não atuam como agentes da PwCIL, nem das restantes entidades membros da network. A PwCIL não presta serviços a clientes. A PwCIL não assumirá qualquer responsabilidade perante terceiros por atos ou omissões praticados no exercício da atividade profissional das suas firmas membros, nem exerce qualquer controlo sobre, ou os vincula juridicamente. Nenhuma das entidades pertencentes à rede PwC exerce qualquer controlo sobre, nem vincula juridicamente as demais entidades no exercício da sua atividade profissional pelo que não poderão as mesmas ser responsabilizadas, a que título for, perante terceiros por atos ou omissões praticados no exercício das respetivas atividades profissionais.