NIS 2: Implementação de uma governação mais rigorosa em matéria de cibersegurança
A nova diretiva da EU, NIS 2, eleva a fasquia da cibersegurança, especialmente para os sectores de infraestruturas críticas. Mas não se trata apenas de atualizações tecnológicas – a diretiva também enfatiza o forte envolvimento da liderança na construção de uma organização ciberresiliente.
O que é que isto significa para a sua empresa?
1- Mudança de foco para a gestão de riscos
A NIS 2 exige uma abordagem da cibersegurança baseada no risco. Isto significa que as empresas, classificadas como “Essenciais” ou “Importantes” ao abrigo da diretiva, necessitam de um plano claro para identificar, avaliar e enfrentar as ciberameaças.
2- Governação mais forte: A sua liderança é que lidera o caminho
Como é que a NIS 2 muda a liderança:
- Adesão da gestão: A cibersegurança não pode continuar a ser apenas uma preocupação das TI. Os órgãos de gestão devem aprovar e supervisionar as medidas de gestão do risco de cibersegurança.
- Formação de líderes: Embora os diretores executivos não precisem de ser especialistas em cibersegurança, precisam de ter um conhecimento básico. A NIS 2 exige formação em gestão para compreender os riscos de cibersegurança e o seu impacto na empresa.
- Conscientização dos colaboradores: Uma postura forte de cibersegurança exige a participação de todos. A NIS 2 incentiva as organizações a fornecerem formação regular sobre cibersegurança aos funcionários.
3- Responsabilização dos gestores de topo
Tradicionalmente, a cibersegurança era apenas uma preocupação das TI. A Diretiva NIS 2 altera esta situação. Para enfatizar a responsabilidade partilhada e reduzir a pressão sobre as TI, a diretiva introduz medidas que responsabilizam os gestores de topo pelas falhas de cibersegurança em incidentes de segurança graves, se houver provas de negligência.
Os Estados Membros da UE podem agora responsabilizar os gestores e exigir que as organizações tomem as seguintes medidas
- Divulgação pública de violações: As organizações podem ser obrigadas a anunciar publicamente a sua não-conformidade com a NIS 2.
- Humilhação públicas: As declarações públicas podem identificar os indivíduos (pessoas singulares e representantes legais) responsáveis pela infração.
Para os fornecedores de infraestruturas críticas (entidades “essenciais”), existem sanções ainda mais severas. Em caso de infrações repetidas devidas a negligência grave, as autoridades podem proibir temporariamente as pessoas de ocuparem cargos de gestão.
Os benefícios de uma governação forte
Estes requisitos não são apenas uma questão de punição. Visam atingir dois objetivos fundamentais:
- Maior responsabilização dos gestores: Ao responsabilizar os cargos mais elevados de liderança, a NIS 2 incentiva uma abordagem mais proativa à gestão dos riscos de cibersegurança.
- Prevenção de negligência grave: A ameaça de consequências pessoais desencoraja a negligência dos esforços de cibersegurança.
Essencialmente, a NIS 2 altera o arquétipo da responsabilidade pela cibersegurança. Já não se trata apenas de uma preocupação de TI, mas de uma questão de direção com potenciais consequências para a liderança.
Transformar os requisitos em vantagens
Estes requisitos de governação são uma chamada de atenção, mas também podem beneficiar a sua empresa:
- Propriedade clara: A responsabilidade da liderança promove uma cultura de responsabilização pela cibersegurança, garantindo que todos investem na proteção dos seus sistemas.
- Melhoria da tomada de decisões: Com uma compreensão mais profunda dos riscos de cibersegurança, os líderes pode tomar decisões informadas sobre a alocação de recursos e investimentos em segurança.
- Abordagem proativa: O foco na gestão de riscos encoraja uma abordagem proativa à cibersegurança em vez de apenas reagir a incidentes.
Tomar medidas
O cumprimento dos requisitos de governação da NIS 2 exige empenho. Aqui estão algumas medidas que podem ser tomadas:
- Rever a sua estrutura de liderança: Garantir uma clara apropriação da cibersegurança na sua equipa de gestão.
- Desenvolver um programa de formação: Invista em formação para os líderes de equipas e departamentos, mas também para os colaboradores, aumentando a conscientização e a compreensão das ciberameaças.
- Integrar a cibersegurança na gestão de riscos: Considere os riscos de cibersegurança e outros riscos comerciais em conjunto para criar uma abordagem holística.
A NIS 2 pode parecer um desafio, mas o seu foco na governação é um passo positivo. Ao capacitar a liderança e promover uma cultura de sensibilização para a cibersegurança, as empresas podem reforçar a sua defesa contra as ciberameaças em constante evolução.
Esta é a segunda das quatro partes do blog sobre a nova diretiva - NIS 2. Leia aqui a primeira parte.