Por Anthony Cusimano*
A diretiva NIS2 entrará em vigor na lei nacional pelos países da União Europeia neste mês, e se você faz negócios na UE, isso pode até afetar sua empresa e, por isso, compreendê-la é essencial para avaliar se haverá impacto nos negócios da sua empresa no Brasil.
Esta diretiva de segurança cibernética visa fortalecer as defesas em todos os setores da EU e, além de impactar as entidades europeias, repercute em empresas estrangeiras vinculadas a elas. Portanto, para empresas brasileiras que conduzem negócios com a UE, particularmente em setores que envolvem troca de dados ou serviços críticos, a conscientização é essencial.
Os líderes brasileiros que se enquadram neste cenário precisam desenvolver um plano para garantir a conformidade com a NIS2 para evitar potenciais multas, interrupções operacionais e danos à reputação de seus parceiros de negócios na região.
O que é a NIS2
É a atualização da Diretiva de Segurança de Redes e Informações da UE para lidar com a crescente ameaça de ataques cibernéticos.
À medida que a digitalização se expande, também aumentam os desafios que ela apresenta, tornando essenciais regulamentações aprimoradas de segurança de dados. A NIS2 fortalece a estrutura de segurança cibernética da UE ao impor requisitos de conformidade mais rigorosos para entidades “essenciais” e “importantes”.
Isso inclui relatórios de incidentes mais rigorosos, gerenciamento de riscos aprimorado, maior responsabilidade corporativa e estratégias robustas de continuidade de negócios.
A não conformidade com a NIS2 pode gerar multas significativas, o que ressalta a importância desta diretiva.
A quem se aplica a NIS2
A diretiva afeta organizações em toda a UE, categorizando-as em dois grupos principais:
- Entidades essenciais, como transporte, serviços financeiros, saúde e de energia, fornecem serviços críticos para a estabilidade social e econômica. Essas entidades estão sujeitas a regulamentações rigorosas, incluindo relatar incidentes em 24 horas.
- Entidades importantes representam uma nova categoria sob a NIS2 e incluem setores como serviços postais, gerenciamento de resíduos e manufatura. Embora esses setores também devam aprimorar as medidas de segurança cibernética, suas obrigações são menos exigentes do que as de entidades essenciais.
Supply Chain
Não é de se surpreender que a UE considere a supply chain como uma vulnerabilidade crítica que os cibercriminosos podem explorar por meio de parceiros comerciais. Um estudo recente da IDC mostra que 83% das cadeias de suprimentos não conseguem responder a interrupções em 24 horas. Como resultado, a legislação apresenta requisitos extensivos para proteger as cadeias de suprimentos de TIC e os relacionamentos B2B.
As empresas são obrigadas a avaliar a maturidade da segurança cibernética de seus fornecedores e garantir proteção robusta, ao mesmo tempo em que aplicam protocolos para gerenciamento de vulnerabilidades. Para empresas brasileiras que operam nas cadeias de suprimentos da UE, o compliance com a NIS2 é crucial para manter parcerias, evitar penalidades e garantir acesso contínuo ao mercado europeu.
Quando entra em vigor
A NIS2 destaca a crescente importância da segurança cibernética, exigindo que os estados-membros da UE apliquem essas regulamentações até 17 de outubro de 2024.
Esperar até o último minuto pode resultar em preparações apressadas e inadequadas, levando a uma potencial não conformidade e aos riscos associados de multas pesadas, danos à reputação e maior vulnerabilidade a ameaças cibernéticas.
Começar agora permite que as organizações entendam completamente suas obrigações, implementem as medidas de segurança cibernética necessárias e que estejam totalmente alinhadas com os requisitos da diretiva antes do prazo.
Como se preparar para a NIS2
Para atender à conformidade com a NIS2, as organizações devem obter um entendimento completo da diretiva e seu impacto específico em suas operações. Se você faz negócios com entidades essenciais e importantes na UE, deve implementar dez medidas de gerenciamento de risco de segurança cibernética descritas no Artigo 21 da Diretiva NIS2.
Essas medidas são projetadas para mitigar riscos à segurança de redes e sistemas de informação, incorporando as tecnologias mais recentes e aderindo aos padrões atuais para o que é compreendido como uma segurança ideal.
Em 2016, a Europa estabeleceu um benchmark global para privacidade de dados com a GDPR, que mais tarde influenciou a LGPD no Brasil. Da mesma forma, a NIS2 emerge como uma estrutura essencial para proteger empresas na região de ataques cibernéticos e ameaças digitais. Dada sua abordagem abrangente à cibersegurança, a NIS2 pode inspirar futuros desenvolvimentos regulatórios em todo o mundo, incluindo no Brasil, especialmente porque as empresas enfrentam cada vez mais ameaças digitais sofisticadas e torna-se imperativo tomar medidas de cibersegurança mais rígidas.
*Anthony Cusimano é estrategista corporativo da Object First
