Cibersegurança: como se preparar para o NIS2
As notícias sobre a aprovação de quadros normativos no âmbito da União Europeia são muitas vezes vistas como um eco distante (muito distante) do que está para vir quer devido aos procedimentos, por vezes lentos, de transposição de cada país (quando necessário), quer devido aos prazos de entrada em vigor e adaptação incluídos em cada nova norma. "Quando chegarmos a esse rio, atravessaremos essa ponte", como diria Júlio César.
Contudo, quando estes quadros regulamentares "futuros" respondem a situações "presentes", cria-se uma dissonância que só pode ser corrigida abordando os processos de conformidade desde o início: identificar os requisitos de segurança incluídos na norma (que se tornarão cada vez mais rigorosos), planear os investimentos necessários e desenhar os processos que permitam controlar a conformidade, detetar ineficiências e responder a elas com ações de melhoria.
A Comissão Europeia aprovou no passado dia 10 de novembro a versão 2.0 da Diretiva NIS, cujo o principal objetivo é conduzir os estados membros a uma estratégia comum em matéria de proteção das organizações (públicas ou privadas) pertencentes a setores críticos: energia, transportes, mercados financeiros, cuidados de saúde, abastecimento e distribuição de água potável, etc.
Os Estados devem transpor os novos elementos da diretiva para a legislação nacional no prazo de 21 meses.
Como nos podemos preparar?
Um colega de profissão argumenta que, (também) neste caso, a estratégia mais apropriada é a aplicação da metodologia comprovada “devagar se vai ao longe”.
Devagar, pouco a pouco, dar a cada dia as suas ações, a cada trimestre os seus objetivos, e a cada ciclo a sua estratégia. Passos curtos, mas sempre um atrás do outro, sem parar. O novo quadro regulamentar visa dar protagonismo às pessoas e aos processos, não apenas à tecnologia, e procurar reforçar a estrutura de governo da segurança introduzindo responsabilidades para a gestão de topo. E deverão ser tomadas medidas que não só estejam alinhadas com a NIS2, mas também mantenham, quando aplicável, o alinhamento com o regulamento DORA (Digital Operational Resilience Act) e a diretiva CER (Critical Entities Resilience), estreitamente relacionados.
A estratégia mais apropriada é a aplicação da metodologia comprovada “devagar se vai ao longe”
Chegar ao “longe” implica alinhar esses pequenos passos do dia-a-dia com uma visão clara dos objetivos empresariais, do negócio, dos ativos principais para mantê-los e dos riscos que podem ter um impacto significativo nas operações comerciais, a reputação ou a relação com os clientes. Alcançar esse “longe” implica ter um modelo, um plano.
O NIS2 estabelece critérios técnicos, formatos e procedimentos referentes a normas, esquemas e protocolos internacionais (como a série ISO 27000), oferece diretrizes gerais para a gestão de riscos e define, esperemos que desta vez seja a mais adequada, uma taxonomia que visa estabelecer uma estrutura base para a categorização de incidentes.
Também faz notar, a partir de várias perspetivas, que as entidades incluídas no seu âmbito são responsáveis pelas empresas que participam nas suas cadeias de fornecimento, obrigando-as a ter em conta as vulnerabilidades introduzidas por cada fornecedor. A diretiva não esclarece como pôr em prática esta obrigação, mas é previsível que as organizações que gerem um número significativo de fornecedores lhes exijam certificações baseadas em normas internacionais como a ISO 27001, ENS ou NIST, entre outras, realizadas por auditores independentes para assegurar que as práticas sejam levadas a cabo de forma contínua.
A perseverança é a característica que predomina quando se diz “devagar se vai ao longe”, que nos possibilita identificar as oportunidades que surgem no dia e orientá-las para uma análise estratégica. Proteger o hoje como se não houvesse amanhã é ineficiente para as organizações e desmotivante para os profissionais. É necessário identificar claramente os objetivos básicos que constituem este conceito ambíguo de Sistema de Gestão da Segurança da Informação (SGSI) e, ao mesmo tempo, no dia-a-dia, dar os passos certos que nos aproximam deles.
Quando é que começamos?
Quanto mais cedo uma organização o fizer, menor será o custo económico da adequação e menor será o stress organizacional que terá de sofrer para introduzir as mudanças necessárias.
Um dos pontos altos do NIS2 é que, enquanto se aguarda a transposição correspondente, as entidades deixarão de ser notificadas pela autoridade competente, as quais estão incluídas no âmbito legislativo. A responsabilidade pela autoidentificação como entidade crítica ou importante recai inteiramente sobre as organizações.
Outro aspeto a ter particularmente em atenção, como já foi mencionado, é a titularização da cadeia de fornecimento. Implicará para as organizações a definição de procedimentos para avaliar se os seus fornecedores aplicam as medidas de segurança corretas (e as gerem e melhoram de forma contínua), e estender-se-á também à revisão das cláusulas contratuais com eles, especialmente em aspetos como a derivação da responsabilidade, indicadores de incumprimento das obrigações e possíveis penalizações associadas.
Por último, mas não menos importante, é importante destacar a atribuição de responsabilidades aos quadros superiores, a exigência de que tenham as competências necessárias para identificar os riscos e as medidas de segurança implementadas na organização que gerem e pelas quais serão responsabilizados em caso de infração no cumprimento de ditas obrigações.
Na Izertis, estamos já a trabalhar num sistema de trabalho que estabelece as medidas de segurança adequadas para assegurar o cumprimento da diretiva nas suas diferentes áreas e setores que serão obrigados a cumpri-la. Com base neste sistema, temos uma metodologia ágil, eficiente e de ótimo custo que nos permite conceber as medidas de segurança a implementar para o cumprimento, os mecanismos para verificar o seu funcionamento e eficiência, e para completar o conhecido ciclo de melhoria contínua que é atualmente aplicado em todos os sistemas de gestão de risco.
Tudo isto sem perder de vista o objetivo principal das organizações, que não é o cumprimento, mas ter, em termos de segurança, a capacidade de analisar os riscos que podem perturbar ou impedir o desenvolvimento das atividades de negócio, antecipar a sua ocorrência através da implementação dos mecanismos necessários e melhorar... melhorar devagar, para chegar longe.