em destaque 34 Sendo que os incumprimentos poderão resultar em penalizações para a gestão, incluindo uma potencial proibição temporária de funções de gestão. Para Rogério Carapuça, isto “aumenta a pressão sobre as equipas de gestão, para garantir que as medidas necessárias sejam implementadas de forma eficaz, sob risco de penalizações legais e financeiras”. Já Bruno Marques desdramatiza: “existem vários drivers de mudança. A responsabilização e as sanções são apenas mais um. O mote principal está nos benefícios inerentes à capacitação das organizações para gerirem a cibersegurança, como um tema de gestão, compaginável com o desenvolvimento dos seus negócios, e em benefício de toda a comunidade”. As medidas de cibersegurança terão de ser eficazes, proporcionais aos riscos e adequadas à realidade, para evitar a sobrecarga nas empresas COOPERAÇÃO E MAIS COOPERAÇÃO O Position Paper da APDC cita um estudo da Frontier Economics, divulgado em abril, “que estima que a aplicação da Diretiva NIS2 em Portugal custará às empresas 529 milhões de euros por ano em custos diretos de compliance. Estes custos terão um impacto desproporcional para empresas de menor dimensão. Indiretamente, os custos de compliance poderão ainda aumentar os preços não só para os setores abrangidos, mas também para os que adquiram fatores de produção de outros setores abrangidos”. Por isso, uma das recomendações da APDC é que os reguladores implementem “cuidadosamente a NIS2, de forma que o investimento seja tão eficaz quanto possível, sem perder de vista o mercado único”. O que implicará ter em conta o “aumento de custos, a capacidade de investimento, o tempo de entrada no mercado e a inovação”, devendo estabelecer-se “uma relação estreita entre as autoridades e os stakeholders”, essencial para definir obrigações que sejam adequadas e proporcionais”. Ainda se desconhecia, no fecho da edição, quem regulará a implementação da diretiva no mercado nacional. Tendo em conta que se estabelece que a NIS2 será regulamentada por autoridades nacionais específicas, designadas para supervisionar a aplicação das normas, os reguladores deverão ser a Autoridade Nacional de Segurança (GNS) e o Centro Nacional de Cibersegurança (CNCS), responsáveis pela cibrsegurança no mercado nacional e pela supervisão da aplicação da NIS1. Sendo que “as regulamentações em cibersegurança podem ter implicações significativas para as empresas, autoridades de supervisão e para a economia em geral, em termos de evolução dos preços, comércio e inovação”, a APDC sugere no seu documento que “os decisores políticos tenham em conta estas implicações, ao criarem e aplicarem a regulamentação em matéria de cibersegurança e que auscultem e acolham a posição dos setores afetados”. É ainda “essencial garantir a harmonização das novas regulamentações com a legislação existente, evitando sobreposições, especialmente nos requisitos de gestão dos riscos e relatórios”. E formula várias outras recomendações: garantir uma verdadeira harmonização ao nível europeu; adotar critérios objetivos nas responsabilidades na cadeia de abastecimento e de valor; seguir as melhores práticas empresariais nas medidas de gestão de riscos de cibersegurança; garantir uma certificação de segurança unificada em toda a Europa; e definir a aplicação de uma abordagem baseada no risco para priorizar funções de supervisão. Oura recomendação é a criação de um “órgão consultivo em matéria de cibersegurança, com membros dos departamentos governamentais competentes, representantes dos setores de importância crítica identificados na NIS2, que preste aconselhamento profissional aos reguladores”. Afinal, como refere o presidente da APDC, se a NIS2 “oferece a oportunidade de consolidar a cibersegurança como um pilar estratégico nas organizações, permitindo-lhes antecipar e mitigar riscos de forma mais eficiente”, há que saber evitar ineficiências. O que passa por assegurar que as “medidas de cibersegurança são eficazes, proporcionais aos riscos e adequadas à realidade nacional”, garantindo que as empresas não enfrentarão “uma sobrecarga desnecessária”, que possa comprometer a sua competitividade. Por isso mesmo fala numa “promoção de uma cibersegurança colaborativa”. O tempo o dirá!•
PREVENIR PARA NÃO REMEDIAR Não há volta a dar. As organizações vão mesmo ter de investir em força para estarem conformes à NIS2. Para garantir que a transposição da diretiva seja um processo eficiente e alinhado com os desafios e oportunidades da cibersegurança no mercado nacional, a APDC elaborou o Posicion Paper sobre o tema. O seu presidente, Rogério Carapuça, coloca no centro de todo o processo uma estreita colaboração e coordenação entre todas as partes. E sugere a definição de medidas públicas para acelerar a adaptação às novas e complexas regras. Quais foram os principais motivos que levaram à elaboração do Position Paper da APDC sobre a implementação da NIS2 no mercado nacional? O position paper da APDC foi elaborado devido à importância crescente da cibersegurança na economia digital e às implicações profundas que a NIS2 terá para as empresas. A associação reconhece que a transposição desta diretiva tem de ser feita de forma cuidadosa e que deve envolver todos os setores impactados. O objetivo principal é garantir que as novas regulamentações sejam claras, proporcionais e que promovam uma cibersegurança robusta, sem comprometer a competitividade das organizações. Com esta proposta, que metas que se pretendem alcançar? Pretende-se alcançar a harmonização das regulamentações com as melhores práticas internacionais, assegurando que as medidas de cibersegurança são eficazes, proporcionais aos riscos e adequadas à realidade nacional. Assim como procurar garantir a adaptação das empresas aos novos requisitos, sem uma sobrecarga desnecessária e sem duplicações regulatórias que podem gerar ineficiências. A promoção de uma cibersegurança colaborativa, onde todos os stakeholders, desde o 35
Loading...
Loading...