Muitas vezes percebidas como um mal necessário no passado, as organizações estão adotando uma abordagem cada vez mais proativa e comprometida com a regulamentação da tecnologia e da segurança cibernética. Muitas estão até mesmo indo um passo além, adotando padrões independentes para preencher quaisquer lacunas que a legislação pode não abordar ou, enquanto esperam que as leis acompanhem os novos desenvolvimentos.
Dado o ritmo acelerado de mudanças de hoje, caracterizado pelo rápido crescimento de tecnologias como GenAI, isso marca um caminho positivo para empresas que se preocupam com seus clientes e também com seus lucros.
De forma encorajadora, os líderes empresariais de hoje reconhecem que as partes interessadas estão bem informadas sobre as ramificações da não conformidade e da segurança precária. Enquanto essas obrigações podem ter sido vistas como um exercício de caixa de seleção confinado aos departamentos de segurança e conformidade, elas agora exigem conscientização e, principalmente, responsabilidade em um nível de gestão. Os regulamentos modernos refletem essa ênfase na responsabilização, conforme evidenciado pela DORA, a legislação recente da UE para o setor financeiro. A DORA determina que o conselho de administração e o CEO devem entender e avaliar os riscos digitais, garantindo que medidas apropriadas estejam em vigor para proteger clientes e consumidores. Ela chega ao ponto de responsabilizar pessoalmente os executivos seniores pelo não cumprimento. No pior cenário, isso pode significar multas e processos criminais.
NIS2 como um modelo de segurança
Ela ressalta a necessidade de uma estrutura de segurança eficaz para toda a empresa que possa atuar como uma base sólida para a legislação atual e facilitar a adoção e adaptação a novas regulamentações no futuro. É aqui que a Diretiva da UE Network and Information Security (NIS2) recentemente atualizada pode fornecer um modelo para todas as organizações seguirem.
O NIS2 visa melhorar a segurança e a resiliência da infraestrutura crítica em vários setores, garantindo que as redes e os sistemas usados para fornecer serviços atinjam um alto nível de segurança cibernética. As organizações devem ter estruturas de governança em vigor para gerenciar a segurança cibernética, cumprir com as obrigações de relatórios de violação, implementar práticas de gerenciamento de risco e monitorar a cadeia de suprimentos para riscos de segurança cibernética. Entidades definidas como essenciais, incluindo os setores de energia, transporte, saúde, infraestrutura digital e nuvem, estão sujeitas a maior escrutínio com reguladores que têm autoridade para realizar auditorias e inspeções. As multas por não conformidade podem chegar a € 10.000.000 ou 2% do faturamento anual total. Aqueles classificados como entidades importantes, como provedores de dispositivos médicos, produtos químicos, redes eletrônicas e sociais, estão sujeitos a investigação somente se houver evidências de não conformidade. As multas são menores, mas ainda substanciais, de até € 7.000.000 ou pelo menos 1,5% do faturamento anual.
Prestando atenção às novas ameaças
Embora um orçamento ilimitado provavelmente seja necessário para seguir o NIS2 à risca, ele ainda fornece uma orientação inestimável, chamando a atenção para tendências de segurança emergentes e a importância de permanecer ciente do cenário de ameaças em evolução. Houve inquietação de que a versão original não trouxe o nível desejado de consistência de segurança cibernética em todos os estados-membros, mas ainda é uma estrutura amplamente respeitada. Realisticamente, é improvável que a UE possa impor um padrão completamente uniforme, pois cada estado-membro tem que adotar as Diretivas em suas leis. Portanto, obter harmonia entre os países sempre levará tempo e terá variações locais. Mas isso não deve prejudicar seu valor geral.
Além disso, o escopo do NIS2 está se tornando mais inclusivo, estendendo seu alcance para incluir empresas de médio porte e mais indústrias. Além disso, a última iteração do NIS2 destaca o risco crescente representado por terceiros, exigindo que as organizações garantam que seus fornecedores e contratados cumpram as medidas de segurança apropriadas, que podem envolver requisitos contratuais, auditorias de segurança e monitoramento. Chamar a atenção para essas tendências emergentes com orientação correspondente é um aspecto vital do NIS2. Ele deve ajudar a motivar as organizações a continuar revisando suas estratégias de segurança.
A conformidade regulatória nunca é um exercício único e universal. E o NIS2 poderia fornecer mais valor se tivesse um cronograma regular, digamos, anualmente, para revisão e atualizações. Ao fornecer orientação sistemática e terminologia aplicável aos desafios de hoje, ajudaria a imbuir uma cultura de avaliação e conscientização contínuas de segurança. Essa abordagem mais dinâmica poderia superar as desvantagens da legislação mais antiga, como o GDPR e o Data Protection Act, que podem parecer ultrapassadas e não totalmente adequadas ao propósito. Por exemplo, nenhuma delas menciona especificamente o GenAI. Portanto, as organizações precisam quase adaptar o que está acontecendo no mundo digital de hoje para atender às regulamentações que estão mostrando sua idade.
Além das obrigações legais
A adesão à legislação nova e antiga é imperativa, mas as organizações também devem adotar uma abordagem moderna à segurança cibernética que seja abrangente, ágil e adaptável. A natureza mutável das ameaças cibernéticas exige uma estratégia proativa e com visão de futuro, não apenas uma atitude reativa. Isso envolve avaliação e melhoria contínuas de medidas de segurança, investimento em soluções de defesa de ponta, bem como nutrir uma cultura de conscientização sobre segurança cibernética entre os funcionários. Ao fazer mais do que o mínimo para conformidade, as organizações podem proteger seus sistemas e dados para o futuro, garantindo a proteção de seus ativos, clientes e força de trabalho.
Uma postura de segurança cibernética dinâmica e resiliente posiciona as organizações para responder rapidamente a ameaças emergentes e imprevistas. Isso é crucial para a longevidade e o sucesso no que pode se tornar uma era digital cada vez mais volátil.
Crédito da imagem: Sim Le / Dreamstime.com
Chris Rogers, Evangelista Sênior de Tecnologia na Zerto.
