Por Carla Zibreira (*)

A Diretiva NIS2 é a legislação da UE em matéria de cibersegurança que se baseia na atual diretiva NIS da UE e exige que os Estados-Membros promulguem uma regulamentação de cibersegurança mais rigorosa, em várias indústrias, apoiada por uma aplicação mais exigente com o intuito de aumentar o nível global de cibersegurança na UE.

A NIS2 vem assim modernizar o quadro jurídico existente para acompanhar o crescimento da transformação digital e a evolução do ecossistema de ameaças de cibersegurança. Ao alargar o âmbito dos requisitos de cibersegurança a novos setores e entidades, melhora ainda:

  • A preparação e colaboração dos Estados-Membros, exigindo que estejam adequadamente equipados. Por exemplo, com uma Equipa de Resposta a Incidentes de Segurança Informática (CSIRT) e uma autoridade nacional competente em matéria de redes e sistemas de informação (NIS), cooperação entre todos os Estados-Membros, através da criação de um Grupo de Cooperação para apoiar e facilitar a cooperação estratégica e a troca de informações entre os Estados-Membros.
  • A cultura de segurança em setores que são vitais para a nossa economia e sociedade e que dependem fortemente das TIC, como a energia, os transportes, a água, a banca, as infraestruturas do mercado financeiro, os cuidados de saúde, a administração pública e as infraestruturas digitais.
  • A gestão de risco efetiva das entidades pertencentes às cadeias de abastecimento de operadores de serviços essenciais e importantes.

Contudo e não desprezando o valor dos restantes objetivos, a gestão do risco nas cadeias de abastecimento é uma disciplina, que não sendo novo, toma um peso muito relevante no contexto atual da globalização dos negócios e ao qual a NIS2 não é indiferente.

Com a globalização, a taxa de externalização de serviços e funções essenciais aumentou para tirar partido da eficiência empresarial. Estas tendências resultaram num mundo onde as organizações já não controlam totalmente – e muitas vezes não têm visibilidade total – dos ecossistemas de fornecimento dos produtos que produzem ou dos serviços que prestam. E sem controlo suficiente, sobre um ecossistema de cadeia de abastecimento complexo, distribuído globalmente e interligado para fornecer soluções altamente refinadas, económicas e reutilizáveis, as organizações lutam por gerir os seus riscos.

Em Portugal, grande parte das organizações que compõe as cadeias de abastecimento debatem-se, igualmente, com desafios reais como a reduzida maturidade sobre o entendimento do ecossistema de ameaças e riscos de cibersegurança; a escassez de recursos com conhecimentos e competências de cibersegurança; e ainda, a reduzida capacidade de investimento (tempo, recursos humanos e financeiros) em medidas de controlo do risco.

A solução para estes desafios implica uma estreita colaboração, entre entidades públicas e privadas abrangidas pela NIS2 e as suas cadeias de abastecimento, na adoção de medidas de controlo como: compreensão  do contexto de negócio e de risco de cibersegurança de cada entidade; formação dos fornecedores em matérias de cibersegurança; definição dos requisitos de segurança a incluir nos sistemas e no ciclo de vida dos produtos e serviços; definição dos níveis de serviço que permitam medir e monitorizar os níveis de conformidade, entre outros.

Abordar os riscos de cibersegurança nas cadeias de abastecimento pode parecer ser um desafio complexo e assustador, mas as organizações que adotam uma abordagem sistemática e colaborativa encontrar-se-ão bem posicionadas para mitigar ameaças, adaptar-se rapidamente às mudanças do contexto organizacional e responder rapidamente perante incidentes, contribuindo para uma UE mais segura.

(*) Digital Trust Business Unit Manager, Axians