A nova legislação de cibersegurança da UE, NIS2, foi um dos principais temas da Conferência Regional Tech for Good EMEA em outubro de 2023 – uma conferência da ESET onde o Diretor de Assuntos Governamentais da ESET, Andy Garth, discutiu com líderes de opinião, especialistas e stakeholders de cibersegurança as atualizações em suas áreas de expertise.
O debate animado não foi surpreendente, dado o grande impacto da nova legislação para diversas entidades e instituições em toda a UE. No entanto, é importante esclarecer que os Estados Membros da UE têm até 17 de outubro de 2024 para transpor a diretiva NIS2 para suas leis nacionais. Isso significa que as empresas não terão uma data específica de conformidade até que cada estado membro finalize sua legislação nacional.
Então, quais são as opiniões dos especialistas sobre essa legislação? Quais são suas opiniões sobre os benefícios e possíveis problemas?
Legislação extraterritorial de cibersegurança há muito tempo era necessária.
Robbert Santifort, principal associate na Eversheds Sutherland, analisou a nova legislação sob a perspectiva de um advogado, enfatizando os custos cada vez maiores dos crimes cibernéticos e a necessidade urgente de legislação extraterritorial para proteger entidades e instituições da UE. Santifort explicou a posição da diretiva NIS2 dentro de uma infraestrutura pan-europeia composta por centros de operações de segurança (SOCs) nacionais e transfronteiriços em toda a UE.
A diretiva afeta não apenas as instituições e empresas da UE, mas também seus fornecedores e todas as entidades que conduzem seus negócios na União. O especialista em direito destacou a necessidade de trazer o tema da cibersegurança para as salas de reunião dos governos, empresas e instituições, assim como a necessidade de educar adequadamente seus gestores. Santifort afirma:
"Por que o NIS2 é tão importante? Por que está recebendo tanta atenção? Como eu disse, ele traz a cibersegurança para a sala de reuniões. O que isso significa na prática? Significa que os órgãos de gestão devem ser capazes de identificar e avaliar as medidas de gestão de riscos cibernéticos. Eles devem aprovar essas medidas em relação ao framework de gestão de riscos aplicável dentro da empresa e supervisionar a implementação dessas medidas. O conselho de administração também precisa ser educado e treinado para poder governar adequadamente a implementação dessas obrigações."
Santifort também elogiou o escopo muito maior do NIS2 em comparação com seu predecessor, a diretiva NIS, e sua melhoria na aplicação não apenas no nível corporativo, mas também no nível pessoal.
A segurança é sempre uma fotografia instantânea.
Dave Maasland, CEO da ESET Nederland, identificou três componentes-chave para uma implementação eficiente do NIS2: comunicação, conscientização e resiliência coletiva. Ele acredita que não deve ser uma questão de obrigação para qualquer instituição ou indivíduo afetado pelo NIS2 cumprir com ele, mas sim uma questão de desejo. Maasland confia que, uma vez que pessoas e empresas compreendam que se trata, de fato, de uma ferramenta de proteção, perceberão que é de seu melhor interesse estar em conformidade com ela.
O especialista em segurança digital também ressaltou que: "A segurança é sempre uma fotografia instantânea. Você pode estar seguro agora. Mas amanhã, a Microsoft pode ter uma vulnerabilidade e você estará menos seguro." Isso significa que a segurança não é um feito único, mas um processo contínuo. Requer avaliar constantemente sua postura de segurança, lidar com ameaças em evolução e adotar uma abordagem proativa para minimizar o risco de ser pego de surpresa.
Maasland sugere que estar preparado para ciberataques e lidar eficazmente com suas consequências é vital. O último aspecto importante que ele mencionou foi o compartilhamento de conhecimento e o trabalho conjunto contra ameaças. Todos esses elementos, conforme suas palavras, são incorporados pelo NIS2.
Um prazo apertado pode significar a necessidade de mais mão-de-obra.
Maik Wetzel, diretor de desenvolvimento estratégico de negócios na ESET DACH, instou todos os que serão afetados pelo NIS2 a não hesitarem, mas a começarem imediatamente a alinhar os processos e políticas de suas empresas e instituições com ele. Ele destacou que, como o NIS2 é uma diretiva da UE, haverá algumas nuances no nível dos países individuais.
Usando a Alemanha e sua cascata de instituições federais e estaduais lidando com cibersegurança como exemplo, Wetzel apontou que pode ser necessário um trabalho especializado adicional para alcançar a conformidade com o NIS2 dentro do prazo apertado.
PRINCIPAIS PONTOS |
|
|
---|---|---|
O NIS2 é uma nova legislação crucial da UE que fortalece a resiliência contra o cibercrime. |
||
Atingirá até 160.000 entidades. |
||
Comunicação, conscientização e resiliência coletiva são cruciais. |
||
A implementação pode exigir uma mão de obra especializada adicional. |
||
Todos os três apresentadores concordaram sobre a necessidade de uma diretiva como o NIS2 e da legislação unificada de proteção cibernética em toda a UE. Eles se voltaram para todas as entidades que serão afetadas por ela, instando-as a começar imediatamente a trabalhar para cumprir o NIS2, ampliando que é do seu melhor interesse fazê-lo. Os palestrantes também destacaram a importância da comunicação clara e direta, assim como da educação eficaz das entidades envolvidas como os melhores meios para fazê-las aderir à nova legislação.
Portanto, se você sabe que sua empresa será afetada pelo NIS2, siga o conselho de Maik Wetzel:
"Não hesite. Comece agora."