A 24 outubro de 2024, foram aprovados em Conselho de Ministros dois diplomas na área da cibersegurança: a proposta de transposição para a legislação nacional da Diretiva Europeia (UE) 2022/2555, 14 Dez. 2022, de Segurança de Redes e Sistemas de Informação (Directiva NIS 2) e a criação de um novo regime jurídico de cibersegurança.
NOTIFICAÇÃO DE INCIDENTES
A Diretiva NIS 2 visa garantir um elevado nível de cibersegurança nos Estados-Membros, fortalecer a cooperação europeia e assegurar que operadores dos setores-chave adotem medidas de segurança e notifiquem incidentes às autoridades competentes.
ENTIDADES ESSENCIAIS e ENTIDADES IMPORTANTES
A Diretiva NIS 2 introduz requisitos mais rigorosos para entidades consideradas essenciais, abrangendo 18 setores, incluindo infraestruturas críticas, saúde, energia, finanças, e novos setores como Data Centers, o hidrogénio e a indústria farmacêutica.
RESPONSABILIZAÇÃO
A Diretiva NIS 2 introduz mudanças significativas na notificação e no tratamento de incidentes, impondo sanções mais severas em caso de incumprimento, promovendo maior responsabilidade e preparação das entidades. Uma das principais novidades é o Princípio de Responsabilidade, que responsabiliza pessoalmente os responsáveis em funções de gestão, em matérias de cibersegurança.
DEVERES DE REPORTE
Com a transposição da NIS 2 as autoridades de supervisão recebem um papel reforçado, na promoção e supervisão da adoção de práticas de cibersegurança por parte das entidades, incluindo os deveres de reporte em caso de incidente.
ANÁLISE CUSTO-BENEFÍCIO EM INVESTIMENTOS EM CIBERSEGURANÇA
Para as organizações a implementação do previsto na NIS 2 irá requerer investimentos em várias áreas como equipamentos, software, formação de dirigentes e colaboradores, políticas internas, etc.
Os investimentos em cibersegurança a serem realizados devem ter por base uma análise custo-benefício (ACB). Para os decisores, p.e. Conselhos Administração, etc. é fundamental que os investimentos em cibersegurança, tal como outros investimentos de dimensão relevante, sejam sujeitos a uma análise custo-benefício e à existência de indicadores de análise de viabilidade económico-financeira como sejam o Valor Atual Liquido (VAL) e a Taxa Interna de Rendibilidade (TIR).
VAL e TIR
Para as chamadas “Entidades Essenciais” e “Entidades Importantes”, não basta, a realização de uma análise financeira. É também necessária a realização de uma análise económica onde deverão ser consideradas as chamadas externalidades (externalidades referem-se aos efeitos colaterais de uma dada atividade que afetam terceiros), resultando os conceitos de VAL.E (VAL Económico) e TIR.E (TIR Económica) que devem ser também aplicados na Análise Custo-Benefício aos investimentos em Cibersegurança.
Comments