As novas regras de cibersegurança da União Europeia, sob a Diretiva NIS2, impõem maior responsabilidade para empresas de setores críticos, como saúde, transportes e energia. O objetivo é elevar a resiliência digital e mitigar riscos em um ambiente de ameaças cibernéticas crescentes.
Detalhamento das Regras
A Diretiva NIS2, que entrou em vigor em janeiro de 2023 e passou a ser obrigatória em outubro, expande o escopo das obrigações de cibersegurança para mais empresas e setores. Além dos requisitos técnicos, como o uso de criptografia e autenticação multifator, a NIS2 também estabelece uma nova escala de multas e sanções. Empresas essenciais, por exemplo, podem ser multadas em até 10 milhões de euros ou 2% do volume de negócios global. Adicionalmente, a gestão passa a ser responsabilizada, o que significa que líderes não podem ignorar as responsabilidades de segurança digital.
Além de adotar medidas técnicas, as empresas precisam estabelecer políticas claras de análise de riscos, gestão de incidentes e recuperação de sistemas críticos. Também se exige um reporte mais rápido de incidentes, com um prazo de 24 horas após a detecção. Essa ampliação se dá em resposta ao aumento da digitalização durante a pandemia e à percepção de novas ameaças decorrentes da interconectividade das infraestruturas.
Estimativas de Custos e Dificuldades
A implementação das novas regras representa um desafio financeiro e operacional significativo, principalmente para pequenas e médias empresas. Estima-se que milhares de empresas na Europa precisarão fazer investimentos substanciais em novas tecnologias e medidas de segurança, além de treinamentos para seus funcionários. O custo associado a esses ajustes, além do tempo necessário para alcançar conformidade, pode ser um fardo pesado. Contudo, o não cumprimento implica não só em multas altas, mas também em riscos à reputação e continuidade dos negócios.
Este é um momento crucial para que as empresas na Europa compreendam a seriedade das novas diretrizes e ajustem suas operações para se protegerem contra ciberataques cada vez mais sofisticados.
Mas em contrapartida não permite o mercado amadurecer naturalmente, impondo regras, restrições, multas, causando maiores custos à sociedade ao invés de simplesmente orientar os eventuais prejudicados por falta de segurança a serem ressarcidos, o que faria uma evolução natural dos sistemas baseado no livre mercado.