As empresas brasileiras que desejam realizar negócios com gigantes europeias precisam estudar, com urgência, a nova lei de cybersecurity, segurança digital, que está mudando a face da União Europeia. Trata-se da Network and Information Systems 2 (NIS 2), legislação já consolidada no Parlamento Europeu e que, a partir de 17 de outubro de 2024, deverá ser adotada como lei nacional pelos 27 Estados-Membros da União Europeia.
Da mesma forma como, em 2016, a Europa saiu na frente em relação à privacidade de dados, com o desenho e a implementação da GDPR (General Data Protection Regulation) – o modelo sobre o qual foi criada a brasileira LGPD – a NIS 2 posiciona-se como uma pedra angular na proteção de regiões inteiras contra ciber ataques e terrorismo digital.
Lei de cybersecurity
A Europa encontrou, na NIS 2, um roteiro completo de reinvenção de processos e posturas de segurança digital para elevar a maturidade digital de um continente estratégico. Há um descontentamento geral com o que foi conquistado com a primeira versão da NIS 2 – a NIS 1, lançado em 2016. De lá para cá, os ataques se multiplicaram.
O mais recente relatório da ENISA (European Union Agency for Cybersecurity – Agência da União Europeia para Segurança Cibernética) acerca do panorama de ameaças na UE revelou que 10 terabytes de dados são roubados todos os meses na região. O ransomware ocupou o primeiro lugar da lista de ataques cibernéticos na UE, seguido de perto pelos ataques de negação de serviço distribuída (DDoS).
Para melhorar esse quadro, a NIS 2 impõe novos controles sobre as empresas europeias e sobre quem vende produtos e serviços a esse universo. A regulamentação introduz um conjunto de medidas obrigatórias que cada entidade precisa adotar para prevenir incidentes de segurança cibernética:
- Análise de riscos e políticas de segurança para sistemas de informações;
- Tratamento de incidentes;
- Continuidade de negócios, como gestão de backups e recuperação de desastres, e gerenciamento de crises;
- Segurança da cadeia de abastecimento (Supply Chain);
- Políticas e procedimentos para avaliar a eficácia das medidas de gerenciamento de riscos de segurança cibernética;
- Práticas básicas de higiene cibernética e treinamento em segurança cibernética;
- Políticas e procedimentos referentes ao uso de criptografia e, quando apropriado, encriptação;
- Segurança de RH, políticas de controle de acesso e gestão de ativos;
- Uso de autenticação multifatorial ou soluções para autenticação contínua.
Os setores mais críticos – aqueles que, ao sofrerem ataques, afetam a sociedade como um todo – são Energia, Transporte, Bancos, Infraestrutura para o mercado financeiro, Saúde, Água potável, Água servida, Infraestrutura digital, Gestão de serviços de TIC, Administração pública (central e regional) e Indústria Aeroespacial. A lei exige que as organizações que sofrerem violações relatem incidentes.
NIS 2 busca evitar o efeito “dominó” de ataques que podem afetar toda a sociedade
A NIS 2 trata de forma diferente organizações “essenciais” e “importantes”. A meta é deixar claro quais empresas estão no centro de ecossistemas que dependem da organização central para realizar negócios, gerar e compartilhar informações etc. Um ataque a uma empresa com esse perfil pode gerar um efeito “dominó” na economia europeia.
Uma entidade grande é definida como uma empresa com um mínimo de 250 funcionários ou com turnover anual mínimo de 50 milhões de euros ou um balanço anual total de, no mínimo, 43 milhões de euros.
Entidades importantes são empresas de médio porte – com um mínimo de 50 funcionários ou turnover anual (ou balanço total) de, no mínimo, 10 milhões de euros, porém com menos de 250 funcionários e turnover anual não superior a 50 milhões de euros ou balanço total de 43 milhões de euros.
As empresas que violarem as normas da NIS 2 pagarão pesadas multas
- Para organizações essenciais: multas administrativas de até 10 milhões de euros (55 milhões de Reais) ou, no mínimo, 2% do turnover total anual mundial no ano fiscal anterior. Prevalece o maior valor.
- Para organizações importantes: multas administrativas de até 7 milhões de euros (cerca de 38 milhões de Reais) ou, no mínimo, 1,4% do turnover total anual mundial no ano fiscal anterior. Prevalece o maior valor.
Cadeia de Suprimentos sob a lupa: NIS 2 exige mudanças nos fornecedores
A nova legislação europeia é especialmente rigorosa em tudo o que diz respeito a Supply Chain (cadeias de suprimentos) das organizações europeias. Há uma lógica nesta abordagem: segundo o Gartner, sessenta por cento dos executivos do C-level consideram os ataques à cadeia de suprimentos o tipo de ameaça cibernética que mais poderia impactar seus negócios.
Há casos que confirmam esta análise. A europeia Airbus, por exemplo, foi afetada por um ataque à cadeia de suprimentos em janeiro de 2023, efetuado por um agente de ameaças conhecido como USDoD. A Airbus confirmou que o ataque havia sido realizado por meio de uma conta de usuário comprometida da Turkish Airlines, uma das clientes da Airbus. Os dados vazados incluíram informações pessoais associadas a mais de 3.000 fornecedores da Airbus.
Na visão da União Europeia, a cadeia de suprimentos é um ponto vulnerável que pode levar ataques à Europa por meio dos parceiros de negócios das empresas europeias. Essa é a razão da longa série de provisões específicas referentes à segurança de cadeias de suprimentos de TIC e aos relacionamentos com fornecedores B2B em geral.
As políticas da NIS 2 para segurança da cadeia de suprimentos incluem a verificação da maturidade de segurança digital dos fornecedores que atendem o mercado europeu. É necessário apresentar evidências ligadas aos cuidados com a ciber segurança de funções como projeto e gestão de redes e desenvolvimento de software, incluindo as políticas que esse fornecedor adota em relação ao tratamento e à revelação de vulnerabilidades.
IA e treinamento de usuários para fortalecer a postura de segurança das empresas
As organizações brasileiras envolvidas em cadeias de suprimentos europeias precisam compreender quais são seus ativos digitais e quais são os principais riscos às operações e à estratégia de negócios – e, com base nisso, fortalecer sua postura de segurança para comprovar seu alinhamento às normas NIS 2.
A NIS 2 impõe uma transformação contínua das estratégias de segurança cibernética de países e organizações. Tecnologias avançadas de segurança como soluções XDR e NDR baseadas em Inteligência Artificial são claramente recomendadas pela lei, que compreende a escala planetária dos negócios digitais e considera a IA uma peça chave na automação de defesas e ações corretivas. A NIS 2 exige, ainda, programas de treinamento mais estruturados, simplificação do relato de incidentes, aprimoramento da postura geral de segurança e uma consistente e constante dotação orçamentária para segurança cibernética.
Padrões globais como a NIS 2 poderão tornar-se a norma à medida que o mundo digital evolui para enfrentar ataques cada vez mais sofisticados e eficazes. As empresas brasileiras que entenderem isso estarão um passo à frente da concorrência, destacando-se por sua maturidade digital e pelo crescimento de seus negócios.