A nova Diretiva NIS2 representa um marco importante na estratégia de cibersegurança da União Europeia, expandindo o alcance para incluir setores e empresas menores, como as pequenas e médias empresas (PMEs). Com o objetivo de reforçar a resiliência das infraestruturas críticas, a normativa estabelece diretrizes rigorosas para assegurar altos níveis de segurança nas redes e sistemas de informação.
Abrangência da NIS2
A NIS2 aplica-se tanto a entidades públicas quanto privadas que operam em setores considerados essenciais, como energia, transporte, banca, saúde, água potável e serviços digitais. As PMEs que atuam nesses setores ou que fazem parte da cadeia de suprimentos também devem se ajustar às novas exigências.
Obrigações para PMEs
As PMEs relevantes devem adotar uma série de medidas técnicas e organizativas para lidar com os riscos de cibersegurança. Entre as exigências estão:
- Desenvolvimento de políticas de segurança da informação.
- Programas de formação e conscientização sobre cibersegurança para os colaboradores.
- Procedimentos para gestão de incidentes e planejamento de continuidade de negócios.
- Garantia de segurança na cadeia de suprimentos.
- Adoção de medidas como criptografia de dados e autenticação multifator.
Além disso, as PMEs precisam notificar as autoridades competentes sobre qualquer incidente de segurança significativo em um prazo que pode variar de 24 a 72 horas.
Desafios e Preparo
Apesar da necessidade dessas medidas, muitas PMEs enfrentam dificuldades em cumprir as exigências da NIS2. Um estudo recente indica que 43% das PMEs não possuem um plano formal de resposta a incidentes, e 70% não têm um orçamento destinado à cibersegurança. Essa realidade evidencia uma lacuna significativa entre as exigências regulatórias e a capacidade das empresas de se adaptarem, principalmente em termos de recursos financeiros e humanos.
Recomendações para Adaptação
Para se adequar à NIS2, as PMEs são aconselhadas a:
- Realizar auditorias de cibersegurança para identificar vulnerabilidades.
- Desenvolver e implementar políticas de segurança apropriadas.
- Treinar colaboradores em práticas seguras e conscientização sobre riscos.
- Estabelecer protocolos de gestão de incidentes.
- Supervisionar a segurança na cadeia de suprimentos.
A adoção de padrões reconhecidos, como a ISO 27001, também pode ajudar as PMEs na estruturação de seus esforços de conformidade.
Considerações Finais
A NIS2 traz novas obrigações de cibersegurança para um amplo espectro de empresas, incluindo as PMEs. Embora a adaptação às novas regras possa ser desafiadora, é crucial para assegurar a integridade dos sistemas de informação e garantir a continuidade dos negócios em um ambiente digital cada vez mais vulnerável a ameaças cibernéticas.
