BNN News 
Óscar Wong | Momento | Imagens Getty
As empresas poderão enfrentar multas pesadas ou mesmo suspensões de serviço na União Europeia sob os novos e rigorosos regulamentos de segurança cibernética que entrarão em vigor no próximo mês.
A diretiva de segurança cibernética NIS 2 da UE entrará em vigor em 17 de outubro pelos estados membros. Isso significa que as empresas terão de garantir que as suas operações estão em conformidade com as obrigações estabelecidas pela nova lei.
As regras impõem requisitos mais rigorosos às empresas em relação à sua estratégia interna de resiliência cibernética e práticas internas.
A CNBC analisa tudo o que você precisa saber sobre o NIS 2 – desde o que a lei exige até as possíveis penalidades que as empresas podem enfrentar por violações.
O que é o NIS 2?
NIS 2, que significa Diretiva de Segurança de Redes e Informações 2, é uma diretiva da UE que visa aumentar a segurança dos sistemas e redes de TI em todo o bloco. Introduzida em 2020, a lei serve como uma atualização de uma diretiva anterior simplesmente chamada NIS.
O NIS 2 expande o âmbito do seu antecessor para enfrentar desafios e ameaças mais recentes à segurança cibernética que surgiram à medida que os criminosos encontraram novas formas de hackear empresas e comprometer os seus dados sensíveis.
A diretiva aplica-se a organizações que operam na UE e prestam serviços essenciais aos consumidores, incluindo bancos, fornecedores de energia, instituições de saúde, fornecedores de Internet, empresas de transportes e processadores de resíduos.
As principais áreas que abordará são a gestão de riscos, a responsabilidade corporativa, as obrigações de comunicação e o planeamento da continuidade dos negócios em caso de violação cibernética.
Geert van der Linden, vice-presidente executivo de serviços globais de segurança cibernética da Capgemini, disse à CNBC que o NIS 2 estabeleceu efetivamente uma nova linha de base para as empresas sobre o que é aceitável para proteger os cidadãos, manter as operações e permanecer resilientes face aos ataques cibernéticos.
“O NIS 2 será visto como um padrão global pelos juízes” quando se tornar aplicável, acrescentou Van der Linden. “Para os nossos clientes, independentemente de serem vistos como essenciais ou importantes na regulamentação, eles têm de olhar para essa linha de base e certificar-se de que estão em conformidade.”
Ao cumprir esta linha de base, as empresas proteger-se-ão eficazmente contra reclamações, acrescentou Van der Linden. Ele comparou isso a fazer um seguro residencial para proteger sua casa de ladrões.
“Para onde vão os ladrões? É sempre a casa menos protegida. Eles abrem todas as portas para ver onde podem entrar”, disse ele. O mesmo está a acontecer com as empresas que procuram proteger-se contra ataques cibernéticos, acrescentou Van der Linden.
Ao abrigo da NIS 2, as empresas também terão de examinar as suas cadeias de abastecimento digitais em busca de ameaças e vulnerabilidades cibernéticas. As empresas hoje usam vários produtos e ferramentas diferentes todos os dias, proporcionando aos criminosos mais possibilidades de ataque.
Chris Gow, chefe da equipe de políticas públicas da Cisco na UE, disse à CNBC que um “exercício de mapeamento” ocorrerá sob o NIS 2, onde as empresas terão que examinar seus fornecedores de tecnologia para avaliar quaisquer riscos potenciais.
As empresas também terão o “dever de diligência” em reportar e partilhar informações sobre vulnerabilidades cibernéticas e hacks com outras empresas ao abrigo do NIS 2 – mesmo que isso signifique ter de confessar ter sido vítima de uma violação cibernética.
E se uma empresa não cumprir?
As empresas que não cumprirem a nova lei poderão enfrentar multas potenciais massivas, juntamente com outras ações punitivas.
Para entidades consideradas essenciais, como empresas de transportes, finanças e água, o incumprimento do NIS 2 pode levar a multas de até 10 milhões de euros (11,1 milhões de dólares) ou 2% das receitas anuais globais – o que acabar por ser o valor mais elevado.
Entretanto, as empresas que são consideradas essenciais – como empresas alimentares, empresas químicas e serviços de gestão de resíduos – enfrentam multas de até 7 milhões de euros ou 1,4% das suas receitas anuais globais por incumprimento.
As empresas também podem enfrentar possíveis suspensões de serviço se não cumprirem o NIS 2, bem como uma supervisão mais rigorosa para verificar se estão em conformidade.
Se uma empresa for vítima de uma violação cibernética, terá 24 horas para enviar uma notificação de alerta antecipado às autoridades. Isto é mais rigoroso do que o período de 72 horas que as empresas têm para notificar as autoridades sobre uma violação de dados ao abrigo do GDPR (Regulamento Geral de Proteção de Dados), uma lei separada de privacidade de dados na UE.
“A preparação para o NIS 2 não é uma corrida para ver o que você consegue fazer, mas sim uma corrida em que as organizações mais fortes ultrapassam a linha de base e aproveitam esse esforço para obter vantagem competitiva”, Carl Leonard, estrategista de segurança cibernética EMEA da Proofpoint , disse à CNBC.
“Prevejo que as organizações serão melhor apoiadas através de esforços coordenados a nível da União Europeia”, disse Leonard. “Isso incluirá inteligência compartilhada sobre ameaças, um nível comum mais elevado de segurança cibernética e uma mentalidade de ‘estamos juntos nisso’”.
As empresas estão preparadas?
As empresas têm corrido para colocar em forma os seus processos e controlos internos, bem como uma cultura mais ampla em torno da segurança cibernética, antes do prazo final de 17 de outubro.
Gow, da Cisco, disse que mesmo sem a ameaça de uma nova regulamentação iminente, as empresas têm trabalhado arduamente para mudar sua cultura internamente para garantir que estejam levando a sério a ameaça de violações cibernéticas e incidentes de interrupção.
“Mesmo além do que está acontecendo no lado regulatório, vemos que os relatórios estão acontecendo por parte do CISO [chief information security officer] nível até o conselho e a gerência.”
Ele acrescentou, porém, que o NIS 2 está fazendo com que as empresas ajam mais rapidamente para atualizar seus controles e práticas cibernéticas com as novas regras.
“Definitivamente tem um impacto”, disse ele. “Eu mesmo estou vendo isso. As pessoas internamente estão apresentando perguntas de vendas e gerenciamento, perguntando ‘Como isso funciona para nós?'” Ele acrescentou que há “preparação para fazer agora” para as empresas garantirem que atendam aos requisitos do NIS 2.
Ainda assim, mesmo com a segurança cibernética sendo um foco muito mais proeminente nas salas de reuniões, isso não impediu a ocorrência de ataques cibernéticos.
No início deste ano, um ataque de ransomware à Synnovis, um prestador de cuidados de saúde privado no Reino Unido, interrompeu mais de 3.000 consultas hospitalares e clínicas de saúde. O invasor, um grupo de hackers com sede na Rússia chamado Qilin, exigiu o pagamento de um resgate de £ 40 milhões.
Gow disse que seria um erro presumir que a nova regulamentação pode impedir que incidentes semelhantes aconteçam no futuro, mas acrescentou que o NIS 2 ajudou a “criar algum escrutínio e concentrar recursos para demonstrar como você está indo para aumentar os níveis gerais de segurança”.
