O tempo esgotou-se: empresas obrigadas a adaptar-se aos novos regulamentos de cibersegurança da UE
Por Mateo Madariaga, OT & IioT Solution Sales Manager da Kaspersky Iberia
A era digital trouxe inúmeros benefícios, mas também expôs as empresas e a vulnerabilidade das suas infraestruturas críticas às ciberameaças. Em resposta a esta situação, a União Europeia (UE) lançou um plano para reforçar a proteção de sectores-chave através da Diretiva NIS-2. No entanto, um estudo recente conclui que muitas empresas europeias, incluindo de Portugal, não estão preparadas para enfrentar estes desafios, o que pode ter consequências desastrosas para a segurança económica e social do continente.
A Diretiva SRI-2 (NIS-2) visa modernizar o quadro jurídico em sectores-chave como a energia, a água, as telecomunicações, os transportes, a saúde e os serviços financeiros, reconhecendo que as infraestruturas críticas se tornaram cada vez mais vulneráveis na era digital. Este regulamento alarga também os requisitos de cibersegurança às cadeias de abastecimento, um domínio particularmente sensível dado o impacto global destas redes interligadas. No entanto, apesar das novas diretivas, um estudo recente revela que apenas 23% das organizações europeias desenvolveram planos para cumprir os novos regulamentos, sendo que muitas nem sequer começaram a implementar as alterações necessárias.
Embora muitas empresas estejam cientes desta diretiva e do que ela implica, o nível de preparação varia consideravelmente. Por exemplo, as pequenas e médias empresas (PME) ainda não estão familiarizadas com a Diretiva SRI-2 ou não compreendem plenamente os seus requisitos. As empresas que têm conhecimento do referido regulamento não dispõem frequentemente dos recursos ou das competências necessárias para aplicar as medidas de segurança exigidas, o que suscita preocupações quanto ao impacto que a diretiva terá no custo e na complexidade das operações comerciais.
Esta falta de ação num ambiente tão crítico não é apenas preocupante, é também perigosa. Em setores como a energia e os transportes, em que a continuidade das atividades depende fortemente da resiliência digital, a ausência de medidas adequadas de cibersegurança pode ter consequências nefastas. Um ciberataque à rede elétrica, por exemplo, não só colocaria em risco uma empresa específica, como poderia desencadear uma reação em cadeia que afetaria milhões de pessoas.
O Governo português, embora esteja a trabalhar na aplicação da regulamentação NIS-2, falhou o cumprimento do prazo para transpor a diretiva europeia, que terminou a 17 de outubro. A proposta de transição foi aprovada apenas a 24 de outubro, seguindo para uma reunião do Conselho Nacional de Segurança no Ciberespaço e, posteriormente, ser colocada em consulta pública. Um processo que deverá acontecer durante todo o mês de novembro.
Por outro lado, são muitas as empresas nacionais que ainda não deram o passo necessário. É este desfasamento entre a urgência da regulamentação e a inação das empresas que cria uma lacuna perigosa que, se não for colmatada a tempo, pode resultar em penalizações significativas e numa maior exposição a ciberataques.
Falta de preparação coloca empresas em perigo
A adoção de medidas básicas de cibersegurança, como a gestão de incidentes, a análise de riscos e a segurança da cadeia de abastecimento, já não pode ser adiada. As organizações que não tomarem medidas imediatas arriscam-se a enfrentar não só sanções financeiras, mas também o colapso das suas operações em caso de ataque.
As lacunas de conhecimento, a falta de preparação dos gestores de cibersegurança e a atual escassez de competências sublinham a necessidade de produtos automatizados e avançados. Neste sentido, as soluções tecnológicas que permitem a deteção e a resposta a ameaças em tempo real não são apenas uma opção desejável, mas uma necessidade urgente.
A resiliência digital não é opcional
A cibersegurança no mundo dos negócios já não pode ser vista como uma mera conformidade regulamentar ou uma despesa inevitável, mas sim como um investimento estratégico para a continuidade do negócio.
A NIS-2 não só apela à aplicação de medidas mais rigorosas, como também reconhece que as empresas devem adotar uma abordagem mais proativa e estruturada em relação às ciberameaças. A segurança da cadeia de abastecimento, por exemplo, tornou-se uma questão fundamental, uma vez que um ataque a um fornecedor externo pode ter um impacto devastador em toda a cadeia.
As ciberameaças não são uma questão teórica, mas uma realidade que afeta diariamente as empresas de todos os setores. Desde o roubo de dados até ao sequestro de infraestruturas críticas, os ciberataques têm o potencial de paralisar indústrias inteiras e pôr em risco a estabilidade económica e social de países inteiros. A proteção das redes e dos sistemas de informação é, por conseguinte, uma responsabilidade partilhada por empresas, governos e fornecedores de soluções tecnológicas.
O caminho a seguir
Se as empresas não adotarem agora uma estratégia sólida de cibersegurança, correm o risco de ficar para trás num mundo cada vez mais interligado e vulnerável. A falta de preparação para lidar com as ciberameaças não só põe em risco a reputação e o sucesso das organizações, como também compromete a segurança das infraestruturas críticas em toda a União Europeia.
Em conclusão, a Diretiva SRI-2 representa um importante passo em frente para garantir a proteção de sectores-chave na UE, mas o seu sucesso depende da capacidade de adaptação das empresas.