Nova Diretiva Europeia de Cibersegurança, o desafio das lideranças

Até 17 de outubro de 2024, os Estados-membro da União Europeia (UE) terão de transpor para a legislação nacional a nova Diretiva NIS2 que reflete obrigações acrescidas para os Estados, Entidades Essenciais (anteriormente chamadas de Operadores) e administração Central e Local. Entre as novidades destacam-se as coimas até dez milhões de euros ou 2% do volume de negócios, e responsabilização direta da gestão de topo das organizações.

Foram também identificadas um conjunto de lições aprendidas quanto às ineficiências da anterior diretiva, e procurou-se corrigir as disparidades identificadas na transposição para a legislação nacional dos estados-membro.

As alterações surgem seis anos depois da publicação da primeira Diretiva, num momento em que o relatório publicado recentemente pelo Observatório de Cibersegurança  sobre o panorama  da cibersegurança em Portugal em 2022, apresenta algumas melhorias ao nível da sensibilização e educação, e adoção de mais medidas segurança no âmbito das TIC , e alguns pontos negativos como a redução do número de estratégias para segurança da informação na Administração Pública.

Nunca desvalorizando o que de bem se faz com muito esforço, essas concretizações não são suficientes para fazer face à rápida evolução do ambiente de ameaça. Em Portugal, a profusão de ciberataques em 2022 (as que chegaram ao conhecimento público) foi histórica e obrigou a gestão de topo das organizações públicas e privadas a darem mais importância a este tema.

No entanto, o envolvimento da gestão de topo nem sempre corresponde a um comprometimento com uma estratégia e um plano de médio-longo prazo nem na capacitação adequada aos riscos, na priorização dos investimentos e, sobretudo, na tomada atempada de decisões que apenas a gestão de topo pode tomar.
É por isso muito relevante a forma pragmática e assertiva como a Diretiva introduz obrigações para a gestão de topo, bem como formas de responsabilização.

Aos órgãos de gestão caberá a responsabilidade de aprovar as medidas de gestão dos riscos e supervisionar a sua aplicação, podendo ser responsabilizados por infrações cometidas.
A Diretiva vai ao ponto de definir uma lista de dez requisitos mínimos relativos a estas medidas.

Estas exigências vão requerer um maior nível comprometimento das lideranças das organizações do que se tem verificado até ao momento e, por isso, não é surpreendente que a Diretiva preveja que os membros dos órgãos da gestão de topo “sejam obrigados a frequentar ações de formação” no âmbito da gestão de riscos de cibersegurança e que devam ser “realizadas regularmente ações de formação semelhantes aos seus trabalhadores”.

Juntamente com estas medidas, surgem também outras que vêm robustecer os poderes e capacidades das autoridades competentes, muito focadas na supervisão e dissuasão.
A nível da supervisão podemos destacar as inspeções no local, auditorias de segurança regulares, mas é a nível dos poderes dissuasores que surgem as maiores surpresas, nomeadamente em casos de incumprimento das instruções previstas em advertências e/ou ordens relativas às auditorias, medidas de segurança e notificações obrigatórias.

Caso se verifiquem estes incumprimentos e em último recurso, as autoridades competentes terão poderes de ordenar ou solicitar judicialmente a suspensão temporária de parte ou da totalidade das atividades das entidades essenciais.
Adicionalmente, as autoridades competentes terão o poder de “Solicitar que os organismos ou tribunais competentes (…) proíbam temporariamente qualquer pessoa singular com responsabilidades de gestão a nível de direção executiva ou de representação legal de exercer funções de gestão nessa entidade essencial.”

Volvidos seis anos da Diretiva NIS, o desafio do legislador é feito diretamente à liderança das organizações públicas e privadas que assegurem a prestação de serviços essenciais e importantes à vida em sociedade e ao regular funcionamento das instituições.
Porém, o caminho até 17 de outubro de 2024 não será fácil nem indolor, e as organizações estão a um orçamento de distância de atingir a conformidade em tempo útil.
Por um lado, é muito provável que as lideranças sejam confrontadas com a necessidade de rever decisões tomadas no passado, e é expectável que a complexidade das temáticas provoque uma sensação de sobrecarga. Por outro, a exigência financeira e organizacional vai ser elevada. Contudo, admito que o maior desafio será sobre um recurso igualmente escasso para os líderes das organizações: o seu tempo.

Quais seriam então os primeiros passos que as lideranças poderiam dar?

Deixo aqui algumas sugestões de quick-wins:

– Validar com o CNCS se a sua organização está prevista ser identificada como entidade essencial ou uma entidade importante ao abrigo da diretiva (ver lista de setores no anexo I da Diretiva).

– Rever a estratégia de cibersegurança existente e verificar se o plano de investimentos garante o cumprimento até 17 de outubro de 2024.

– Aprovar e supervisionar a implementação de medidas técnicas, operacionais e organizativas adequadas e proporcionais para garantir um nível de segurança das redes e dos sistemas de informação adequado aos riscos colocados.

– Implementar as necessárias alterações de governação interna para refletir o papel central e transversal da cibersegurança, garantindo o reporte direto aos órgãos de gestão

– Consultar o CISO com vista a identificar uma formação em cibersegurança, incluindo a gestão de riscos, para capacitar os órgãos de gestão.

– Garantir o que estão criadas as condições para o cumprimento em tempo útil das obrigações de informação estabelecidas pela diretiva.

2023 abre, portanto, com novos desafios para as lideranças ao nível da cibersegurança que, agora, além da resposta às ameaças crescentes do cibercrime têm, também, de responder às exigências acrescidas do legislador.