NIS2 e o novo paradigma da cibersegurança: O Canal em aceleração para a conformidade (com vídeo)

A primeira mesa-redonda da terceira edição do Channel On levou até ao palco o tema “Segurança e Compliance: Uma nova prioridade para o Canal” e contou com a partilha de experiências e conhecimentos sobre o impacto da implementação de diretivas de segurança adequadas e em conformidade com as regulamentações europeias.

A importância da natureza do serviço na era da NIS2

Jorge Miranda, Executive Manager da CSO, destacou que o tamanho das empresas deixou de ser importante para a implementação de uma diretiva como a NIS2 e considerou que “o que passa realmente a ser importante é a natureza do serviço que a empresa presta”. Esta nova abordagem legislativa leva à integração obrigatória de medidas de segurança, mesmo em pequenas empresas consideradas críticas.

Para o orador, esta diretiva representa uma oportunidade para que as empresas passem a encarar a cibersegurança de forma mais estruturada e transversal. “Vai permitir que as empresas, de uma forma integrada, olhem para a cibersegurança, estamos a falar dos processos, da organização, dos controlos documentais, dos controlos tecnológicos, exatamente para que estejam alinhadas com a NIS2”.

Capacitação e talento como desafios para os serviços de cibersegurança

Com foco na implementação de serviços de segurança, João Manso, CEO da Redshift, foi claro quanto ao desafio que representa para qualquer empresa: “a capacitação é um desafio muito grande, porque todos temos a sensação óbvia de que há falta de recursos e que os recursos que existem cada vez são mais caros”. Sublinhou que esta dificuldade em atrair e reter talento impacta diretamente a capacidade das empresas de oferecerem serviços relevantes e sustentáveis.

Neste contexto, explicou a estratégia adotada pela Redshift, que nos últimos anos tem vindo a transitar de um modelo de prestação de serviços tradicional para uma abordagem mais orientada ao fornecimento de tecnologia como serviço. “A Redshift começou a fazer essa transição para uma empresa focada em serviços, exatamente porque vimos no mercado a necessidade de não só conseguir fornecer soluções aos clientes, mas também de evitar que fossem obrigados a criar a sua própria capacitação para gerir essas soluções”.

Da irrelevância ao imperativo: a cibersegurança no centro da gestão

Na sua intervenção, Bruno Castro, CEO & Founder da VisionWare, recordou que “há 20 anos, falar de cibersegurança era um luxo”, destacando que o tema era marginal e quase irrelevante para a maioria das empresas. No entanto, este panorama alterou-se radicalmente. “vou ser um pouco politicamente incorreto: hoje, a conversa do nice to have ou must have já não é tema”, afirmou. Para o orador, não há atualmente nenhum gestor moderno que não contabilize o ciber-risco na sua atividade.

O debate real, defendeu, não está na decisão de investir ou não em segurança, mas sim em “perceber o modelo de governação, a questão do risco, do investimento e de toda a continuidade do modelo de segurança dentro da organização”. Sublinhou que dois momentos marcaram a viragem de mentalidade: a “pandemia cibernética” que surgiu no contexto da COVID-19, e a emergência da diretiva NIS2, que trouxe consigo novas obrigações de segurança e governação. “Tivemos a oportunidade de levar algumas doses de humildade no terreno”, confessou, referindo-se ao impacto direto dos ataques também sobre os próprios profissionais da área.

Literacia em cibersegurança e alinhamento com o negócio

David Grave, Security Director da Claranet Portugal, sublinhou que é impossível para qualquer direção de uma empresa alegar desconhecimento sobre cibersegurança: “todos os impactos mediáticos que ocorreram contribuíram de alguma forma para a literacia da cibersegurança”. O orador reforçou a ideia de uma mudança de paradigma, defendendo que o setor está agora mais apto a falar a linguagem do negócio. “Estamos a ensinar os nossos clientes a posicionarem aquilo que é a cibersegurança como um ativo de proteção do negócio”, afirmou, criticando a abordagem anterior, baseada em “soluções tecnomágicas”. A entrada em vigor da diretiva NIS2 foi considerada como um motor desta transformação, tanto para as empresas diretamente abrangidas como para toda a cadeia de fornecimento. “Se eu sou e quero ser NIS2 compliant, vou começar a exigir também ao meu supply chain”, explicou, apontando a diferenciação como um benefício competitivo para quem se alinhar com os requisitos da diretiva. Neste contexto, destacou-se a importância dos modelos de serviço gerido, especialmente face à compressão das margens no Canal.

Porém, o orador alertou para os desafios práticos desta transição, especialmente no segmento das pequenas e médias empresas (PME). “Vamos entrar numa organização e dizer que temos de trocar toda a tecnologia porque fornecemos um serviço só de uma determinada forma? Isto é impossível”. Sublinhou que os investimentos anteriores das PME têm de ser respeitados e otimizados, reconhecendo os limites orçamentais e a necessidade de aproveitar as ferramentas já existentes. “Nem tudo se resolve por tecnologia”, concluiu.

O orador terminou afirmando que o setor vive “uma altura de disrupção, uma altura de muita oportunidade no mercado”, com o compliance a acelerar o processo, mas também a colocar exigências adicionais aos integradores que queiram ser relevantes junto das pequenas e médias empresas.

Conformidade em risco: milhares de empresas ainda fora da NIS2

João Manso lançou um alerta sobre o estado das empresas nacionais face à diretiva NIS2, citando dados recentes do Centro Nacional de Cibersegurança: “segundo a estatística apresentada, há pelo menos quatro mil empresas abrangidas pelos requisitos do NIS2 que não cumprem, das cinco mil que deveriam estar no âmbito”. Sublinhando ainda que, embora a cibersegurança esteja longe de ser uma “bolha”, trata-se de um requisito cada vez mais exigido pelas grandes empresas, com impacto direto na cadeia de fornecimento. “É cada vez mais essencial que as PME façam investimento em reduzir o risco, a melhorar a sua maturidade, investindo não só em tecnologia, mas também em processos bem definidos e procedimentos bem implementados”.

Relativamente ao tema de compliance, que descreveu como uma “moda” atual a par da cibersegurança e da inteligência artificial, Bruno Castro rejeitou uma visão simplista ou binária da conformidade: “Isto não é on-off, isto não é binário, eu sou compliant NIS2 ou não sou compliant”. Em vez disso, defendeu uma abordagem baseada na maturidade progressiva e na adaptação ao contexto específico de cada cliente: “O tema aqui não é escolher a solução, é escolher como vai ser o modelo de governação do risco versus as minhas obrigações”.

Começar pelos processos críticos: um caminho natural para a NIS2

Jorge Miranda partilhou, ainda, uma reflexão sobre a forma como as empresas devem abordar a conformidade com a diretiva NIS2, apelando a uma visão mais consciente. “Acho que pode ser importante da forma como nós vamos abordar os nossos clientes”, começou por dizer. Na sua perspetiva, tudo começa com duas definições simples: o objetivo de negócio e a identificação das partes interessadas que interagem com a empresa.

O orador defendeu que a tomada de consciência para a conformidade com a diretiva NIS2 pode facilitar um caminho natural ao cumprimento dos requisitos da NIS2, tanto a níveis documentais como tecnológicos e processuais. “As empresas começam-se a preparar para a NIS2 de uma forma natural, começando pelos processos críticos e pelo que é importante para a organização”. Sublinhou ainda que o ponto de partida não precisa de ser toda a empresa: “Devemos definir qual é que é o ambiente, o que é mais importante para a nossa organização, e, a partir daí, tudo se torna mais fácil”.