Mesmo que sua empresa não seja diretamente afetada, você provavelmente já ouviu falar da diretiva NIS da UE e de sua sucessora, a NIS2.
A Diretiva NIS (Redes e Sistemas de Informação) de 2016 entrou em vigor para reforçar a responsabilização em matéria de segurança e governança nos setores que a UE classifica como “críticos”, tais como energia e transportes. Seu âmbito de aplicação estendeu-se também a outros setores “importantes” que poderiam afetar negativamente o funcionamento desses setores críticos caso ocorresse um incidente.
Com a implementação da Diretiva relativa à segurança das redes e da informação (NIS2), o âmbito de aplicação da diretiva foi alargado a novos setores, ao mesmo tempo em que foram harmonizadas algumas das obrigações previstas na legislação.
Fundamentalmente, isso também ampliou a responsabilidade da alta administração, garantindo que a segurança e a resiliência fossem incorporadas à governança corporativa da organização.
A administração é agora diretamente responsável – e responde juridicamente – pelo NIS2
As consequências de um fracasso podem ser graves tanto para a sua empresa quanto para seus líderes.
Para as empresas, as multas potenciais são calculadas como uma porcentagem da receita global — e não apenas da receita do mercado afetado. Isso pode significar multas de até 2% da receita total ou 10 milhões de euros.
Mas a multa imposta à empresa não isentará a alta direção de responsabilidade. A NIS2 atribui à alta direção a responsabilidade de garantir a conformidade e a responsabiliza por eventuais falhas. Consequentemente, se for comprovada negligência, esses dirigentes poderão ser impedidos de continuar à frente da empresa em questão.
A legislação é clara: a segurança cibernética e a resiliência não são mais um “problema de TI”. Elas são parte essencial da governança corporativa, e não tratá-las como tal pode acarretar sérias consequências tanto para a empresa quanto para seus líderes.
A NIS2 deve ser motivo de preocupação, mesmo que você não esteja sujeito às suas disposições
A NIS2 exige que as empresas não se limitem a analisar apenas os riscos sob seu controle. Exige também que avaliem suas cadeias de suprimentos em busca de possíveis pontos fracos e de uma dependência excessiva de determinadas empresas.
Se a sua empresa for apenas um dos muitos fornecedores de outra organização, ela pode ser considerada “importante”. Mas, se for o único prestador de determinados serviços, ela pode se tornar “essencial” para essa empresa — transferindo o risco de conformidade para a sua empresa.
Portanto, mesmo que sua organização não seja diretamente afetada pela NIS2, ainda assim poderá ser solicitado que você comprove que suas atividades se enquadram no âmbito da regulamentação, caso deseje fazer negócios com empresas que estejam sujeitas a ela.
E não se trata apenas da NIS2. Outros países também possuem legislação semelhante, com requisitos que se sobrepõem. O Reino Unido, por exemplo, tem sua própria legislação NIS, além de rigorosos requisitos de notificação de violações previstos no GDPR britânico. Também se fala sobre o que poderá vir a ser incluído na NIS3 dentro da UE. A legislação raramente se reduz, e já há discussões sobre como seu âmbito de aplicação será ampliado.
Em resumo, estruturas como essa vieram para ficar e só tendem a se expandir.
Assista ao webinar sob demanda
para conhecer a importância da conformidade com a NIS2 e explorar medidas para aumentar a resiliência e reduzir os riscos regulatórios.
Começar a usarAs quatro áreas principais da supervisão da NIS2
Embora se enquadrem na legislação NIS2, elas também constituem um quadro prático para o fortalecimento da governança corporativa, da segurança cibernética e da resiliência em qualquer organização.
- Gestão de riscos – Este é o elemento preventivo. Trata-se de garantir que tudo esteja em ordem para minimizar os riscos. As áreas envolvidas incluem gestão de incidentes, maior segurança da cadeia de suprimentos, segurança de rede reforçada, melhor controle de acesso e criptografia.
- Obrigações de notificação – Se algo der errado, prazos rigorosos determinam como as violações devem ser comunicadas. Cada segundo conta, e é fundamental garantir que sua empresa compreenda suas obrigações no âmbito da resposta a incidentes.
- Continuidade dos negócios – Quando o pior acontece, como sua organização continua operando? Ela possui um plano de recuperação de desastres em vigor? Esse plano já foi testado? As equipes estão preparadas para se adaptar rapidamente em caso de um incidente? Em resumo: sua empresa é capaz de lidar com a situação e se recuperar?
Na base dessas três áreas principais está a responsabilidade corporativa. Não se trata de deixar que o departamento de TI resolva tudo — trata-se de garantir que as equipes de gestão sejam capacitadas para compreender suas responsabilidades e tomar medidas para assegurar a conformidade.
A legislação pode evoluir — mas a necessidade subjacente permanece a mesma
Adotar os princípios da NIS2, mesmo que você não tenha a obrigação legal de fazê-lo, significa que você está pronto para fazer negócios com aqueles que a cumprem. E adotar essa abordagem só servirá para melhorar sua postura de segurança e sua capacidade de responder a incidentes.
Com o custo médio de uma violação de dados ultrapassando 3,3 milhões de euros, o impacto financeiro por si só já ressalta a necessidade de uma governança sólida. E isso sem levar em conta o custo dos danos à reputação.
A Kaseya, com seu conjunto de soluções para operações de TI e gestão de riscos, vem há muito tempo defendendo a importância de contar com as ferramentas certas para otimizar, gerenciar e proteger as organizações.
A boa governança requer as ferramentas certas
Embora a legislação geral possa mudar e continuar a evoluir, os princípios permanecem os mesmos. A boa governança depende de ferramentas que reduzam a probabilidade de erros humanos, acelerem a detecção, auxiliem na resolução de problemas e garantam que as equipes tenham exatamente o que precisam quando algo dá errado.
Isso também significa ter as evidências certas à disposição caso sua empresa seja auditada ou precise relatar uma violação de segurança. Isso inclui tudo, desde comprovantes de treinamento e registros de governança até documentação detalhada que mostre, passo a passo, como um incidente de segurança foi tratado.
Em nosso próximo artigo, exploraremos as 10 áreas que as equipes de gestão devem discutir com os líderes de TI para garantir a conformidade com a NIS2.
