Até outubro de 2024, Portugal deve ter transposto a Diretiva Europeia NIS2 para o direito nacional. O NIS2 contém todos os tipos de regras e regulamentos sobre a resiliência cibernética das empresas, e muitas organizações terão de lidar com isso. Será que as empresas têm as pessoas internas certas para examinar essas regras e obrigações?

Ter o conhecimento certo é mais importante do que nunca. A primeira versão (NIS1 de 2016) tinha um âmbito limitado e era relevante principalmente para grandes empresas em setores críticos. A NIS2 vai muito mais longe: mesmo as empresas não diretamente abrangidas pela diretiva fariam bem em não a ignorar. Isto pode significar que precisa de atrair novos talentos – numa altura em que outras organizações estão a lançar o seu isco no mesmo conjunto de talentos.

A probabilidade de entrares em contato com o NIS2 é alta. As organizações que empregam mais de 50 pessoas e estão envolvidas em energia, transportes, logística, mas também em questões como a gestão de infra-estruturas de TI, enquadram-se diretamente na sua competência. Se o teu negócio não se enquadra nesta definição, tem em atenção que as empresas abrangidas pela diretiva são obrigadas a solicitar garantias aos seus fornecedores. Qualquer pessoa que trabalhe com empresas que tenham de cumprir a NIS2 é, portanto, indiretamente obrigada a levar a diretiva a sério.

Quem entende os riscos?

A NIS2 está longe de ser revolucionária: a Europa planeia simplesmente exigir que os governos e as empresas sigam as melhores práticas reconhecidas. Infelizmente, isso é novidade para muitas empresas. A diretiva não se baseia em especificações técnicas ou jargão, é construída em torno do risco: cabe-lhe identificar os riscos, tomar as medidas adequadas para os limitar e também refletir sobre uma estratégia para caso algo corra mal.

Isso parece bastante razoável, mas para estar em conformidade vamos precisar de competências muito específicas. Tudo começa com a avaliação de risco. Quem vai fazer isso precisa de um conhecimento profundo da infraestrutura de TI e do seu negócio operacional. Não basta configurar uma firewall, instalar um antivírus e dizer que os riscos digitais estão cobertos: é preciso compreender as formas como os processos de negócio são vulneráveis e agir em conformidade. Uma firewall não bloqueará um e-mail de phishing inteligente, então o que podemos fazer? E se um hacker explorar uma nova vulnerabilidade para se esconder na nossa rede e atacar mais tarde?

Só obterás respostas a estas perguntas de pessoas com um conhecimento profundo do seu negócio e setor. Algumas empresas já terão a pessoa perfeita internamente, mas outras estão atrasadas e ainda hoje enfrentam uma lacuna entre as TI e os seus negócios, independentemente da NIS2. No entanto, as situações que acabamos de descrever já são uma realidade diária: com o NIS2, a UE planeia obrigar as empresas europeias a protegerem-se contra as ameaças existentes e atuais.

À procura de conhecimento técnico

Assim que a avaliação de risco for concluída, a próxima fase começa. As empresas que pretendam cumprir a NIS2 precisam de cobrir os riscos, aumentando a sua segurança para um nível suficientemente elevado. Os responsáveis pelo departamento de TI hoje não têm conhecimento ou experiência para realizar análises forenses de logs, por exemplo.

Pode ser tentador para o leigo pensar que “é tudo TI”, mas a mentalidade dos perfis de que precisamos é diferente. O trabalho de um administrador de sistemas é construir e implementar algo o mais rápido possível, mas a primeira pergunta que um engenheiro de segurança faz é quão segura é uma tecnologia ou implementação. Precisamos de pessoas que não apenas entendam uma tecnologia até o último detalhe, mas também estejam cientes das armadilhas associadas.

Treino adicional, recrutamento ou outsourcing?

Existem várias etapas que podemos seguir como organização. Um primeiro passo essencial é integrar a TI no negócio se ainda houver uma falha nesse aspeto. Em seguida, precisamos analisar as competências que possuímos internamente, quais estão em falta e quais desejamos criar. Em alguns casos, podemos simplesmente oferecer formação adicional às equipas de TI existentes.

Em outros casos, o outsourcing pode ser uma boa ideia. Precisamos de um centro de operações de segurança (SOC) para a nossa empresa, onde especialistas em segurança monitorizam a infraestrutura e rede 24 horas por dia? Nesse caso, a nossa precisa ter uma dimensão decente para tornar isso lucrativo. Sem mencionar o recrutamento que precisamos realizar a partir de um conjunto limitado de talentos.

3, 2, 1… vai!

Qualquer que seja a abordagem adotada, vamos precisar atrair as pessoas certas se quisermos estar em conformidade com o NIS2. Serão utilizados períodos de transição, mas o tempo disponível está a esgotar-se rapidamente. Para cumprir prazos futuros, é melhor começar agora. Começa com a avaliação de riscos e delega a mesma nas pessoas certas. Depois disso, poderás pensar mais sobre o que precisas proteger, como e com quem.

Procuras um génio técnico que se sinta em casa no seu setor? Ou um analista de segurança que assusta os hackers aqui e no exterior? A CHRLY vai-te ajudar.