Diretiva sobre cibersegurança é “crucial” e “nivela o campo de jogo”, diz managing partner da Devoteam

A proposta de transposição da diretiva europeia da segurança da informação NIS2, cujo transposição nos Estados-membros tinha como data limite 17 de outubro, foi aprovada pelo governo português uma semana mais tarde, devendo passar, ainda, por consulta pública.

Não obstante o não cumprimento do prazo, o managing partner da Devoteam Cyber Trust, Rui Shantilal, aponta, em entrevista ao Jornal Económico (JE), para os “esforços significativos” levados a cabo por Portugal para “melhorar a postura quanto à cibersegurança”, reagindo ao reconhecimento do país no Índice Global de Cibersegurança (IGC) deste ano.  

“Temos investido em práticas robustas de cibersegurança e em políticas que estão alinhadas com os melhores padrões internacionais”, defendeu, identificando a implementação do NIS2, entre outros regulamentos, “o foco em aumentar a colaboração entre setores públicos e privados e o desenvolvimento contínuo de capacidades” como fatores determinantes nessa jornada.

O mesmo responsável ressalva que, não sendo “surpreendente ver Portugal ser reconhecido no IGC, o mesmo mede o compromisso e as medidas implementadas neste campo, e não necessariamente o nível de segurança ou a eficácia prática dessas medidas na prevenção de ciberataques. “Este reconhecimento é um reflexo do compromisso de Portugal, mas não significa que estamos completamente a salvo das ameaças cibernéticas em rápida evolução”, acrescenta.

Quanto à NIS2, diretiva adotada pela União Europeia (UE) em 14 de dezembro de 2022 e que veio substituir a diretiva NIS, Rui Shantilal classifica-a como “crucial”, servindo “como um alerta para que as empresas priorizem a segurança e a robustez sobre a velocidade” perante um mercado marcado pela “rapidez e inovação desenfreada”, que podem “comprometer a resiliência dos sistemas”.

“Estamos, muitas vezes, a confiar em sistemas digitais que são tão frágeis quanto um balão cheio de bits e bytes, e este tipo de regulação ajuda a mitigar essa fragilidade”, explica ao JE.

Para Rui Shantilal, a NIS2 “nivela o campo de jogo”. “Não é justo que empresas que investem em segurança e resiliência tenham de competir com outras que podem conquistar mercado por terem custos mais baixos devido à ausência de controlos de segurança. A diretiva garante que todas as organizações estão a operar com as mesmas obrigações e práticas de cibersegurança, o que, em última instância, eleva a baseline da segurança e beneficia todos”, justifica.

“Por outro lado, a NIS2 é uma ferramenta valiosa para os profissionais de cibersegurança, que muitas vezes sabem o que é necessário para proteger as suas organizações, mas têm dificuldade em justificar o retorno sobre o investimento (ROI) aos decisores. Com a NIS2, a conversa deixa de ser ‘vamos fazer?’ para ‘temos que fazer’. Isso facilita o desbloqueio de orçamentos e permite que as empresas invistam em resiliência, segurança e, consequentemente, em confiança no mercado”, acrescentou.

Ainda sobre a NIS2, o responsável da Devoteam explica que a diretiva “não traz propriamente inovações disruptivas”, mas sim formalizando e tornando “obrigatórias as boas práticas que já são conhecidas e utilizadas há muito”, como “a gestão de risco, a gestão de terceiras partes, a resposta a incidentes de segurança, e a implementação de medidas de segurança adequadas à criticidade dos serviços”.

Questionado sobre a preparação das organizações para esta diretiva, Rui Shantilal considera que apenas uma “minoria” não estará alinhada com essas metas. “Ficaria muito surpreendido se as entidades visadas, especialmente aquelas que operam em setores críticos como energia, telecomunicações, saúde, transportes e finanças, não tivessem já, de alguma forma, práticas alinhadas com os requisitos da NIS2”, alertando que “as organizações que não estiverem preparadas são provavelmente aquelas que falharam em implementar as bases estruturais da cibersegurança”.