Cibersegurança: quando além de normas é preciso a cultura das empresas

De forma a facilitar a implementação da nova directiva (NIS2) por parte das empresas, para reforçarem os seus sistemas na área da cibersegurança, foi dotado com verbas do Plano de Recuperação e Resiliência (PRR) o Centro de Competências de Cibersegurança da Região Centro (CCCRC), que apoia as empresas deste território a realizarem diagnósticos sobre a sua situação e a cumprir as novas regras.

Carlos Antunes, um dos responsáveis operacionais do CCCCR, explica que, desde que estes centros foram criados pelo Centro Nacional de Cibersegurança, com o financiamento do PRR, o principal objectivo é promover uma maior proximidade entre este organismo nacional e as empresas. Ou seja, o objectivo é garantir a possibilidade a todas, não só às grandes empresas localizadas em Lisboa, como também às pequenas e médias, situadas em todos os locais, a possibilidade de darem início ao seu processo de obtenção de maturidade digital.

No caso das pequenas empresas, pretende-se ajudar até na obtenção de Selos de Maturidade Digital em Cibersegurança (bronze, prata e ouro), ainda antes de tentarem implementar NIS2, um quadro nacional de referência de cibersegurança, que requer bastante mais complexidade em termos de implementação de soluções.

“Tudo pode ser feito em passos graduais, do bronze à prata e da prata ao ouro e, depois do ouro, prosseguir para uma certificação mais avançada como o NIS2”, nota Carlos Antunes. O CCCRC não pretende vender nada, nem concorrer com as empresas de informática que apoiam as PME. “O nosso trabalho é de consultadoria, ao apresentar guias e caminhos para que as empresas façam o seu processo de digitalização. E, neste caminho de acompanhamento com o CCCRC, os processos devem ser acompanhados também pela equipa de informática da empresa. Porque, na maior parte dos casos, as próprias empresas estão muito dependentes do apoio que lhes é prestado por empresas terceiras de informática”, contextualiza o especialista.

“Quando a CCCRC aponta uma necessidade, cabe ao departamento de informática interno da empresa, ou à empresa de informática que externa - mente lhe costuma prestar serviços, desenvolver a nova solução, alterar a configuração, comprar equipamento, etc.”, exemplifica Carlos Antunes. De acordo com o responsável operacional do CCCCR, a nova directiva (NIS2) traz, para além de outras novidades, dois aspectos fundamentais e que a distinguem da norma anterior.

O primeiro aspecto tem a ver com a responsabilização. Enquanto a norma antiga responsabilizava o elemento que estava à frente das matérias da informação - por exemplo, tanto no RGPD como no quadro nacional de cibersegurança havia um elemento que era responsável, que era chamado a responder por tudo o que acontecia ao nível de problemas ou de incidentes com dados de pessoas ou falhas de informação – já esta nova directiva implica, desde logo, a direcção de topo, por qualquer incidente que possa suceder, coimas ou sanções, além de também poderem ser sancionadas as pessoas individualmente, se for verifi - cada uma acção com dolo, prossegue Carlos Antunes.

Outro aspecto fundamental, expõe o especialista, é que “a segurança passa a ser vista não só como a segurança da empresa, mas tem de começar a ser vista como a segurança da cadeia de valor. O empresário não pode preocupar-se apenas com a segurança da sua empresa. Tem que se preocupar também com a segurança dos contactos com os seus fornecedores e com os seus clientes. Ou seja, não pode querer ter um processo de maturidade digital se, depois, tem fornecedores que lhe prestam serviços que não respeitam essas normas. Porque, assim, está a usar um serviço, está a ser assistido por uma equipa, por uma empresa, que não respeita as boas práticas e que por isso o deixa vulnerável naquele ponto e que pode comprometer os seus dados pessoais”, refere o responsável.

Além destas duas vertentes, existe agora um número mais abrangente de empresas que têm de estar em compliance (conformidade), salienta Carlos Antunes. Algumas, independentemente da sua dimensão, têm mesmo de cumprir as normas. É o caso das que prestam os chamados serviços “sensíveis”, todas as empresas estatais, entidades de abastecimento de água, electricidade, serviços médicos. E com estas, todos os seus prestadores de serviços, fornecedores e até clientes que possam ter acesso a algum tipo de informação dessas empresas.

Todos eles também vão ter que demonstrar de alguma forma, que têm um nível de maturidade digital suficiente para fazer parte dessa cadeia de valores.

Um processo de difícil implementação

Pela experiência que tem tido até agora, Carlos Antunes antevê que este processo vá contar com muitos constrangimentos. A maioria do tecido empresarial português é constituído por micro e pequenas empresas. E se, no caso das médias, as equipas já começam pensar nestas questões, no casos das micro e pequenas empresas, ainda existe muito a cultura de transferir as responsabilidades para o terceiro. “Vou montar uma empresa, vou pedir àquela loja de informática que faça a gestão do meu parque de informática. Mas a transferência da tarefa não é a transferência de responsabilidade”, frisa o especialista.

Antecipando que “é um processo que vai demorar”, a CCCRC tem inclusive contactado directamente as empresas de informática, sensibilizando-as que é importante fazerem os seus clientes perceber que eles têm um conjunto de processos adicionais que têm que ser implementados, refere Carlos Antunes. “É provável que haja um período de adaptação e nós acreditamos que as empresas terão até ao final de 2026 para se adaptarem. Mas pode acontecer que para determinadas empresas, principalmente as de maior relevância, esse prazo seja menor”, estima o responsável.

O que, para o CCCRC significa uma “autêntica corrida contra o tempo”. “Não é um processo fácil, que aconteça de dia para a noite. É um processo demorado, porque obriga a mudar a mentalidade, a implementar procedimentos e todo e qualquer investimento de uma empresa demora sempre algum tempo a realizar -se”, observa o especialista.

Apesar de tudo, na região Centro, o processo está a correr bem, com um grande grupo de empresas a participar, destaca Carlos Antunes.

O que muda com a mais recente directiva da União Europeia?

A Directiva (UE) 2022/2555 do Parlamento Europeu e do Conselho de 14 de Dezembro de 2022 (Directiva SRI 2), actualmente em processo de transposição, relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União altera o Regulamento (UE) número 910/2014 e a Directiva (UE) 2018/1972 e revoga a sua antecessora, a Directiva (UE) 2016/1148 (Directiva SRI 1).

Neste âmbito, a Directiva SRI 2 visa atingir os mesmos três objectivos que a sua antecessora, em especial: exigir que os Estados-membros garantam um elevado nível de cibersegurança; reforçar a cooperação europeia entre as autoridades competentes pela cibersegurança; exigir que os principais operadores dos sectores-chave da nossa sociedade adoptem as medidas de segurança necessárias e notifiquem às autoridades competentes qualquer incidente que tenha um impacto significativo na prestação dos seus serviços.

A presente directiva tem, ainda, por objectivo central, eliminar as divergências profundas verificadas no contexto da aplicação da Directiva SRI 1 entre os Estados-membros, ambicionando uma maior harmonização através do estabelecimento de regras mínimas relativas ao funcionamento de um quadro regulamentar coordenado, entre outras medidas.

Através do alargamento do seu âmbito de aplicação, a Directiva SRI 2 pretende colmatar os desafios identificados desde 2016. Quanto às novidades, a diretiva SRI 2 identifica vários sectores que são considerados cruciais para o funcionamento da economia e da sociedade. O âmbito de aplicação da Diretiva NIS2 foi amplamente alargado, tendo sido adicionados novos sectores e novos tipos de entidades.

São considerados sectores de importância crítica: energia, infra-estruturas digitais, transportes, espaço, saúde, administração pública, água potável, sector bancário, infra-estruturas de mercado financeiro, águas residuais, gestão de serviços (B2B). E são considerados outros sectores críticos, como: produção, fabrico e distribuição de produtos químicos, indústria transformadora, investigação, serviços postais e de estafeta, gestão de resíduos, produção, transformação e distribuição de produtos alimentares, prestadores de serviços digitais.

São entendidos como entidades essenciais, sectores de importância crítica: empresas que empregam 250 ou mais pessoas, ou cujo volume de negócios é superior a 50 milhões de euros e o balanço total (activo líquido) anual superior a 43 milhões de euros; prestadores de serviços de confiança qualificados, e registos de nomes de TLD, não importando o tamanho; prestadores de serviços de DNS, excluindo operadores de servidores de nomes raiz, não importando o tamanho; prestadores de serviços de comunicações electrónicas acessíveis ao público, apenas empresas médias e grandes.

E são entendidas como entidades importantes, sectores de importância crítica: empresas que empregam menos de 250 pessoas e cujo volume de negócios anual não excede 50 milhões de euros ou balanço total (activo líquido) anual não excede 43 milhões de euros; e outros sectores críticos como empresas que empregam 250 ou mais pessoas, ou cujo volume de negócios é superior a 50 milhões de euros e o balanço total (activo líquido) anual superior a 43 milhões de euros; prestadores de serviços de comunicações electrónicas acessíveis ao público, apenas as empresas pequenas.

Quanto às obrigações, todas as entidades abrangidas vão ser obrigadas a implementar uma análise de risco; todas as entidades são obrigadas a reportar incidentes de cibersegurança significativos; entidades essenciais são sujeitas a supervisões antes ou depois de um incidente; entidades importantes são sujeitas a supervisão depois de um incidente.

As organizações são obrigadas a implementar medidas técnicas, operacionais e organizacionais para gerir eficazmente os riscos nos seus sistemas e minimizar o impacto dos incidentes. Sendo que estas medidas devem assentar numa abordagem abrangente a todos os riscos e incluir, pelo menos, o seguinte: políticas de análise de risco e de segurança dos sistemas de informação; gestão da continuidade do negócio e da crise; segurança na aquisição, desenvolvimento e manutenção de sistemas; práticas básicas de higiene cibernética e formação; segurança de recursos humanos, políticas de controlo de acesso e gestão de activos; comunicações seguras; gestão de incidentes; segurança da cadeia de fornecimento; políticas para avaliar a eficácia das medidas; criptografia e encriptação; utilização de autenticação multifactor e comunicações seguras.