O NIS2 foi aprovado no final do ano passado. Apesar de estar a fazer um ano, ainda é recente. O que é esta nova regulamentação?
O texto da nova regulamentação NIS2 é uma evolução da anterior, que está em vigor e foi publicada pela União Europeia e pelo Parlamento Europeu. Trata-se de uma nova evolução que, efetivamente, foi lançada no Conselho Europeu no final do ano passado e agora vai entrar em vigor nos diversos países da União Europeia.
É uma norma que visa ter um nível de segurança ou cibersegurança comum e robusto em todos os países-membros da UE. Como uma diretiva, ainda carece de transposição para a legislação local.
Não é uma diretiva que esteja que esteja aplicada desde já nos diversos países. Agora, cada país tem que fazer o seu trabalho local. Têm que transpor esta diretiva para a legislação local por um decreto-lei, como aconteceu com a anterior, onde tivemos o regime de um regime de segurança no ciberespaço e depois, mais tarde, o decreto lei 65/2021, onde também esta será certamente transposta para Portugal e entrará em vigor, eu diria, algures no final de 2024.
17 de outubro de 2024 é o prazo de transposição.
Essa é a data que está definida para os países transporem para a legislação local, mas a partir daí passará a ser aplicável. Ainda assim, não pode ser aplicável a partir do dia 18. Ou seja, o NIS2 define essa aplicabilidade, mas se a legislação nacional disser que a aplicabilidade é de dois ou quatro meses depois, essa é a data de aplicabilidade em Portugal.
Portugal demorou algum tempo a transpor a diretiva anterior, mas esta é uma atualização.
É verdade, ainda demorou algum tempo até sair o decreto-lei 65/2021. Demorou alguns anos, mas penso que aqui poderá ser mais rápido porque, no fundo, não é algo que seja novo. É mais complementar algo que já existe.
O que pode acontecer é sair uma atualização do decreto-lei, alguma norma adicional sobre as entidades que adicionalmente estão abrangidas por esta nova diretiva ou quais os requisitos adicionais. Acredito que desta vez seja mais fácil, até porque há datas rígidas para a transposição da legislação de cada um dos países.
Por isso, não me parece que demore o mesmo tempo da primeira vez. Além disso, enquanto não tivermos a NIS2 transposta para Portugal, mantém-se em vigor aquilo que temos atualmente. Não abrange o mesmo número e tipo de entidades, mas já tem algumas exigências do ponto de vista de cibersegurança.
Quais as principais diferenças? O que elas vão influenciar?
Há algumas atualização relativamente à diretiva anterior. Obviamente que o objetivo é o mesmo, que é ter um conjunto de requisitos robustos, comuns, harmonizados em toda a União Europeia.
Ainda assim, é um conjunto de entidades maior a quem se aplica. A norma NIS aplicava-se a um conjunto de sectores de infraestruturas, críticas e serviços essenciais. Agora é alargado a um conjunto novo de sectores, como por exemplos, o sector de espaço, gestão de resíduos de águas residuais, fornecedores de redes e serviços de comunicações eletrónicas, área de alimentação, distribuição de produtos alimentares.
Há um conjunto novo de áreas que está abrangido. Além disso, há a necessidade também de ser dada formação aos órgãos de gestão. Não estava previsto na anterior. Porquê? Porque os órgãos de gestão nesta nova diretiva são mais seis, têm mais responsabilidades e podem ser responsabilizados por aquilo que acontecer. Imaginando que uma organização abrangida pelo NIS2 não está a implementar os requisitos que a norma define e que sofrem ciberataque, os órgãos podem ser responsabilizados, multados e podem ser impedidos de exercer cargos de gestão durante algum tempo
Tem também um conjunto de requisitos mais abrangentes que não tinha a versão anterior. Mas as organizações vão ter que fazer mais do que faziam antes, mesmo aquelas que já estão abrangidas pelo NIS. Portanto, vão ter que implementar os requisitos adicionais, porque as regras serão muito mais apertadas.
As sanções no NIS2 são mais elevadas?
Há sanções que podem ser mais pesadas em termos de valor. Mas que o valor monetário, pode ser o próprio impedimento da organização prestar serviço ou lhe serem retiradas as licenças para prestar serviço numa determinada área de negócio. Isto também pode ser um grande impacto nas organizações.
Esta diretiva vai ter impacto e implicações diferentes no sector público e privado. Quais serão as mais preocupantes?
A diretiva é transversal aos dois sectores, não há uma diferença em termos de aplicabilidade, em termos de regras para os dois sectores.
Qual é a realidade em Portugal, tendo em conta a diretiva anterior? Claramente que o sector privado vai à frente na implementação deste tipo de normas. Até já existem algumas áreas abrangidas, como por exemplo a área da banca, que já se conseguem adaptar porque já estavam mais à frente em termos de cibersegurança e maturidade de cibersegurança.
No sector público, e não estou a dizer que serão todas assim, mas a realidade que vemos é que muitas instituições e organismos públicos têm poucas pessoas. Normalmente, o responsável de TI acumula a função de responsável, de segurança, responsável de privacidade, de dados. Assim, o que acontece é que estas empresas não têm capacidade suficiente para implementar este tipo de regulamentação. Por isso mesmo acabam por ficar um pouco atrás e deixar a implementação para trás. Mas já há organismos públicos a trabalhar neste tema.
Claramente que há cada vez mais preocupação mas esta é a realidade... Acabam por não estar ao mesmo nível em termos de maturidade, em que estão a maioria das empresas em sectores privados regulados há mais tempo.
Então aqui o sector público pode ficar para trás pela questão de concentrar as grandes questões numa só pessoa?
Sim, a não ser que estejamos a falar de grandes organismos públicos. Mas falamos de organismos mais pequenos, por exemplo Câmaras Municipais, organismos mais locais de distribuição de água ou saneamento locais.
São entidades que, tipicamente, não têm este tipo de preocupações porque também não têm pessoas suficientes para atender estes pedidos.
A UE deu 21 meses para a aplicação desta legislação e já se passou quase um ano. Há países que já estão a transpor esta diretiva ou ainda está tudo muito atrasado?
A realidade que eu conheço é Portugal e Espanha. Portanto, em Portugal e Espanha ainda não foi transposta para a legislação local. Mas acredito que possam ser dos países que já vão à frente nessa transposição.
Normalmente não somos conhecidos por sermos os primeiros a transpor as diretivas. Então, e tomando o exemplo anterior, demorámos alguns anos a fazer a transposição. Mas, claramente que há um prazo de transposição que todos os países terão que cumprir. Uns mais cedo, outros mais perto do final do prazo. Mas isso vai acontecer naturalmente.
Algum sector que destaque por enfrentar maiores atrasos ou que pode vir a enfrentá-los?
Há muitos sectores que, muitas vezes, não têm este tipo de requisitos de cibersegurança ou de segurança de informação como prioridade. Por exemplo, o sector da alimentação ou distribuição, a grande preocupação é vender, garantir que os produtos são preservados da forma adequada. Estas são as preocupações neste tipo de sectores.
A cibersegurança acaba por ser algo adicional que, às vezes, é mais considerado como um entrave à execução do negócio do que propriamente como um facilitador. Acredito que alguns destes sectores podem ter alguma dificuldade em fazer este tipo de implementações.
Também as empresas de produtos médicos. Não sei até que ponto é que estas empresas que fabricam este tipo de produtos estão ou não à vontade com a implementação deste tipo de segurança. Algumas sim porque já têm exigências a nível do sector farmacêutico e trabalha m com dados muito sensíveis, mas outras podem ainda não estar a par, nem sequer saber que tem que estar em conformidade com estes requisitos. Poderão demorar algum tempo até se adaptarem.
Esta atualização da NIS2 tem muito mais a ver com dados económicos.
Tem a ver com a perceção de dados de uma forma mais global. Tem alguns requisitos mais específicos.
A NIS2 foca-se muito na gestão de risco, ou seja, as organizações devem definir os seus mecanismos de segurança a implementar com base numa avaliação de risco. Não é só implementar por implementar. É perceber onde é que a organização pode sofrer um maior impacto, por exemplo, sofrer um ciberataque e envolver esses riscos.
Outro princípio é a gestão dos incidentes e garantir que a organização está protegida. Mas, de qualquer das formas, assumir que terá incidentes de segurança. Portanto, estar preparada para responder, ser resiliente e capaz de continuar a operar após estes incidentes e, daí, também a parte de continuidade de negócio.
Algo muito importante na NIS2 é a gestão de risco de fornecedores de terceiros. Uma coisa que vemos cada vez mais é que muitos ataques vêm a partir de terceiros e de fornecedores externos que têm acesso aos sistemas e acesso privilegiado à organização. Não tendo o nível de segurança adequado, podem ser uma porta de entrada.
Aqui, a preocupação da NIS2 é garantir que estes terceiros também estão protegidos. É muitas vezes o elo mais fraco é a cadeia de abastecimento e é por aí que os atacantes podem entrar.
Estão a desenvolver uma ferramenta de análise para avaliar o nível de maturidade em cibersegurança das empresas. Já têm alguns resultados que possam partilhar?
A nível do grupo Talos, estamos a desenvolver uma ferramenta e framework para podermos fazer esse tipo de avaliação. O primeiro passo que propomos é que as empresas façam um gap, que é uma avaliação de conformidade, como estão relativamente aos requisitos da NIS2. A partir daí, definir um plano claro do que estão a fazer para se adaptarem e estarem em conformidade com a diretiva.
Estamos a trabalhar nesse framework. Já está a ser aplicado em alguns países, em estilo de teste. A ideia é começar a usar em Portugal e Espanha e em outros países onde o grupo opera.
A cibersegurança continua a ser vista como um custo para as empresas ou as organizações já estão a avançar?
Acho que ainda depende dos sectores e da maturidade das empresas. As empresas já perceberam que este é um tema importante. Há empresas que já sofreram ataques e a partir daí sabem que se têm de proteger de forma adequada.
Algumas empresas já estão conscientes destas temáticas mas há outras que não porque têm outro foco. Ainda assim, temos percebido que as empresas já começaram a mudar um pouco o seu mindset e a ver que necessitam da segurança e precisam de garantir os seus mecanismos.
O NIS2 é a diretiva que vai marcar 2024?
Mais uma vez, depende dos sectores. Claramente que a NIS2 é aquela que vai marcar 2024 e 2025, pelo conjunto mais abrangente de sectores a que se refere. Como se transpõe no final de 2024, vai ser muito falada no ano seguinte.
Na área financeira, temos o regulamento DORA. É muito específico mas é uma preocupação das empresas. É um regulamento que saiu na mesma altura da NIS2, mas sendo um regulamento tem aplicabilidade imediata, ou seja, já está em vigor e as empresas têm de se adaptar e têm alguns meses até estarem em conformidade.