As empresas enfrentam o risco de multas e suspensões pesadas sob as novas e rigorosas regras cibernéticas da UE
Oscar Wong | Momento | Getty Images
As empresas podem enfrentar multas pesadas ou até mesmo suspensões de serviço na União Europeia, devido às novas e rigorosas regulamentações de segurança cibernética que entrarão em vigor no mês que vem.
A diretiva de segurança cibernética NIS 2 da UE se tornará executável pelos estados-membros em 17 de outubro. Isso significa que as empresas terão que garantir que suas operações estejam em dia com as obrigações definidas pela nova lei.
As regras impõem requisitos mais rigorosos às empresas em relação à sua estratégia interna de resiliência cibernética e práticas internas.
A CNBC analisa tudo o que você precisa saber sobre o NIS 2 — desde o que a lei exige até as possíveis penalidades que as empresas podem enfrentar por violações.
O que é NIS 2?
NIS 2, que significa Network and Information Security Directive 2, é uma diretiva da UE que visa aumentar a segurança de sistemas e redes de TI em todo o bloco. Introduzida em 2020, a lei serve como uma atualização de uma diretiva anterior chamada simplesmente de NIS.
O NIS 2 expande o escopo de seu antecessor para abordar desafios e ameaças de segurança cibernética mais recentes que surgiram quando criminosos encontraram novas maneiras de hackear empresas e comprometer seus dados confidenciais.
A diretiva se aplica a organizações que operam na UE e fornecem serviços essenciais aos consumidores, incluindo bancos, fornecedores de energia, instituições de saúde, provedores de internet, empresas de transporte e processadores de resíduos.
As principais áreas que serão abordadas são gestão de riscos, responsabilidade corporativa, obrigações de relatórios e planejamento de continuidade de negócios em caso de violação cibernética.
Geert van der Linden, vice-presidente executivo de serviços globais de segurança cibernética da Capgemini, disse à CNBC que o NIS 2 efetivamente estabeleceu uma nova linha de base para as empresas sobre o que é aceitável para proteger os cidadãos, manter as operações e permanecer resilientes diante de ataques cibernéticos.
“NIS 2 será visto como um padrão global pelos juízes” quando se tornar aplicável, Van der Linden acrescentou. “Para nossos clientes, independentemente de serem vistos como essenciais ou importantes na regulamentação, eles têm que olhar para essa linha de base e certificar-se de que estão em conformidade.”
Ao atingir essa linha de base, as empresas se protegerão efetivamente contra reivindicações, acrescentou Van der Linden. Ele comparou isso a fazer um seguro residencial para proteger sua casa de ladrões.
“Para onde os ladrões vão? É sempre a casa menos protegida. Eles abrem todas as portas para ver onde podem entrar”, disse ele. O mesmo está se tornando verdade para empresas que buscam se proteger de ataques cibernéticos, acrescentou Van der Linden.
Sob o NIS 2, as empresas também terão que examinar suas cadeias de suprimentos digitais para ameaças e vulnerabilidades cibernéticas. As empresas hoje usam vários produtos e ferramentas diferentes todos os dias, dando aos criminosos mais vias potenciais de ataque.
Chris Gow, chefe da equipe de políticas públicas da Cisco na UE, disse à CNBC que um “exercício de mapeamento” será realizado sob o NIS 2, onde as empresas terão que escanear seus fornecedores de tecnologia para avaliar quaisquer riscos potenciais.
As empresas também terão o “dever de cuidado” de relatar e compartilhar informações sobre vulnerabilidades cibernéticas e ataques com outras empresas sob o NIS 2 — mesmo que isso signifique ter que admitir ser vítima de uma violação cibernética.
E se uma empresa não cumprir?
As empresas que não cumprirem a nova lei poderão enfrentar multas enormes, além de outras ações punitivas.
Para entidades consideradas essenciais, como empresas de transporte, finanças e água, o não cumprimento do NIS 2 pode levar a uma multa de até 10 milhões de euros (US$ 11,1 milhões) ou 2% da receita anual global — o que for maior.
Enquanto isso, empresas consideradas essenciais — como empresas alimentícias, empresas químicas e serviços de gerenciamento de resíduos — enfrentam multas de até 7 milhões de euros ou 1,4% de suas receitas anuais globais por não conformidade.
As empresas também podem enfrentar possíveis suspensões de serviço se não cumprirem o NIS 2, bem como supervisão mais rigorosa para verificar se estão em conformidade.
Se uma empresa for vítima de uma violação cibernética, ela terá 24 horas para enviar uma notificação de alerta antecipado às autoridades. Isso é mais rigoroso do que a janela de tempo de 72 horas que as empresas têm para notificar as autoridades sobre uma violação de dados sob o GDPR (Regulamento Geral de Proteção de Dados), uma lei de privacidade de dados separada na UE.
“A preparação para o NIS 2 não é uma corrida para ver o que você pode fazer, mas sim uma corrida na qual as organizações mais fortes ultrapassam a linha de base e aproveitam esse esforço para obter vantagem competitiva”, disse Carl Leonard, estrategista de segurança cibernética da Proofpoint na EMEA, à CNBC.
“Prevejo que as organizações serão mais bem apoiadas por meio de esforços coordenados em nível da União Europeia”, disse Leonard. “Isso incluirá inteligência de ameaças compartilhada, um nível comum mais alto de segurança cibernética e uma mentalidade de ‘estamos juntos nisso’.”
As empresas estão preparadas?
As empresas estão correndo para colocar seus processos e controles internos, bem como a cultura mais ampla em torno da segurança cibernética, em forma antes do prazo final de 17 de outubro.
Gow, da Cisco, disse que, mesmo sem a ameaça de uma nova regulamentação iminente, as empresas têm trabalhado duro para mudar sua cultura internamente para garantir que estão levando a sério a ameaça de violações cibernéticas e incidentes de interrupção.
“Mesmo independentemente do que está acontecendo no lado regulatório, vemos que os relatórios estão acontecendo do CISO [chief information security officer] nível até o conselho e a gerência.”
Ele acrescentou, porém, que o NIS 2 está fazendo com que as empresas ajam mais rapidamente para atualizar seus controles e práticas cibernéticas com as novas regras.
“Definitivamente tem um impacto”, disse ele. “Estou vendo isso por mim mesmo. As pessoas internamente estão se apresentando com perguntas de vendas e gerência, perguntando ‘Como isso funciona para nós?'” Ele acrescentou que há “preparação a ser feita agora” para que as empresas garantam que atendam aos requisitos do NIS 2.
Ainda assim, mesmo com a segurança cibernética sendo um foco muito mais proeminente nas salas de diretoria, isso não impediu que ataques cibernéticos ocorressem.
No início deste ano, um ataque de ransomware à Synnovis, uma prestadora de serviços de saúde privada no Reino Unido, interrompeu mais de 3.000 consultas em hospitais e clínicas. O invasor, um grupo de hackers russo chamado Qilin, exigiu um pagamento de resgate de £ 40 milhões.
Gow disse que seria um erro supor que uma nova regulamentação pode evitar que incidentes semelhantes aconteçam no futuro, mas acrescentou que o NIS 2 ajudou a “criar algum escrutínio e concentrar recursos em torno da demonstração de como você está elevando os níveis gerais de segurança”.
