Por Ricardo Caetano, Diretor de Projetos na Opensoft
No início do mês de fevereiro, o Conselho de Ministros aprovou uma proposta de lei com novas regras que visam reforçar a segurança cibernética. António Leitão Amaro, Ministro da Presidência, salientou o valor profundamente reformador desta iniciativa, que faz de Portugal um dos primeiros países da União Europeia a publicar a transposição avançada da NIS2. As empresas nacionais deste setor já estavam atentas a possíveis movimentações relativas m cibersegurança, antecipando o efeito disruptivo da adoção de um novo quadro legislativo nesta matéria. Mas estarão as organizações preparadas para incorporar as novas regras estabelecidas na nova diretiva?
Naturalmente, as empresas nacionais questionam-se quais serão os próximos passos a tomar ao nível interno para garantir o alinhamento com esta nova diretiva.
Para enfrentar ameaças digitais e ciberataques cada vez mais sofisticados, a União Europeia desenvolveu a Diretiva NIS2, ou Network and Information Security 2, com o objetivo de melhorar a resposta a incidentes que comprometem a segurança da informação digital. A nova diretiva, aprovada pela União Europeia em dezembro de 2022, representa uma evolução da NIS de 2016, conhecida como a primeira iniciativa europeia a criar uma estrutura legal na área da cibersegurança. A sua finalidade é proteger os sistemas de rede e de informação, garantindo que os serviços críticos mantêm o seu normal funcionamento em caso de ciberataque.
No fundo, a diretiva vem alargar o alcance da norma anterior, introduzindo regras mais rigorosas, especialmente quando se trata de organizações de setores críticos, como energia, transportes, saúde, telecomunicações e infraestruturas do mercado financeiro. A NIS2 também procura conciliar as obrigações de segurança entre Estados-Membros da União Europeia, estabelecendo indicações mais claras para a proteção de estruturas críticas e cooperação em caso de ataque.
Para as empresas, a transposição da Diretiva NIS2 surge como uma oportunidade para repensar as suas políticas de análise de riscos e a segurança dos seus sistemas de informação, com vista a criar estratégias de identificação e mitigação de riscos mais sistemáticas. A identificação de vulnerabilidades, a avaliação de ameaças internas e externas, a definição de medidas de segurança consoante a classificação dos riscos e a revisão periódica das políticas de segurança são alguns dos aspetos a ter em conta na redefinição das políticas de análise de riscos.
Em segundo lugar, aos olhos desta atualização, as empresas devem desenvolver um plano de continuidade de negócio robusto, pensado para garantir a atividade durante interrupções inesperadas, entre as quais, ciberataques. Este plano identifica processos críticos e define as ações a executar em caso de interrupção, assegurando a disponibilidade, integridade e confidencialidade dos processos envolvidos.
Finalmente, a segurança deve ser interpretada como um alicerce fundamental do desenvolvimento de sistemas. Neste sentido, as organizações devem incorporar padrões de segurança desde a análise de requisitos até m implementação de sistemas, sendo recomendado assegurar uma série de boas práticas, como a encriptação de dados sensíveis ou a realização de testes de segurança regulares. Nesta fase de transição, é crucial para o sucesso das empresas não perder de vista as atualizações europeias ao nível da cibersegurança e desenvolver um plano alinhado com as recomendações da atual Diretiva NIS2.
