Aprimorar suas habilidades quando se trata de cibersegurança
Tempo de leitura: 4 min
Para harmonizar e fortalecer a segurança de TI para as empresas, a nova diretiva europeia NIS2 impõe maiores exigências a uma gama mais ampla de agentes econômicos. Confira as explicações de Vincent Bazillio, Global Business Development Manager – Cybersecurity da marca Axians.
Este é um momento crítico na estratégia de proteção e prevenção das organizações econômicas diante do risco cibernético. A diretiva europeia NIS2 (Network and Information Security), que entrou em vigor em 17 de outubro de 2024, confronta as empresas com suas principais responsabilidades em termos de segurança digital.
Esse novo escudo regulatório é o sucessor da NIS1 de 2016, com um escopo mais amplo e um nível mais alto de requisitos para as organizações. Enquanto a primeira versão visava principalmente operadores de serviços essenciais em sete setores de atividade, a NIS2 amplia seu escopo para incluir empresas privadas, autoridades locais, centros de pesquisa, estabelecimentos de saúde e assim por diante, em 18 setores de atividade.
No total, não serão algumas centenas de entidades enquadradas no escopo da lei, mas provavelmente mais de 15.000, divididas em dois grandes blocos: as entidades essenciais (EE), que incluem grandes empresas, e as entidades importantes (EI), que tendem a ser PMEs.
Mudança de escala
“A NIS2 introduz um verdadeiro gerenciamento de riscos em 360° nas empresas, que agora precisam aplicar a cibersegurança a todos os seus níveis funcionais e operacionais, desde a P&D até os serviços de suporte, incluindo atividades industriais e infraestruturas. Além disso, os requisitos da nova diretiva agora abrangem subcontratados e fornecedores, de modo que estamos passando da lógica do castelo fortificado para a da rede segura, uma rede muito aberta, que se estende muito além das fronteiras da empresa”, resume Vincent Bazillio, Global Business Development Manager – Cybersecurity na Axians, a marca TIC da VINCI Energies.
“A cibersegurança é um processo contínuo.”
Essa mudança de escala obriga as empresas a definir um roteiro sólido e organizar rigorosamente seu plano de ação. Além disso, a NIS2 não apenas estabelece um enquadramento, mas também prevê multas financeiras em caso de incumprimento das novas regras, de até 10 milhões de euros ou 2% do faturamento total mundial para as EEs e até 7 milhões de euros ou 1,4% do faturamento total para as EIs.
As empresas agora são obrigadas a notificar os incidentes considerados “significativos” dentro de 24 horas. Para as entidades essenciais, esse alerta deve ser seguido, em 72 horas, por uma notificação completa e, em seguida, por um relatório final detalhado em 30 dias.
Cultura do risco cibernético
Nada de pânico, o objetivo da NIS2 não é sobrecarregar as empresas, mas acelerar sua transição para uma cultura do risco cibernético. Mas sem precipitação excessiva! “A cibersegurança é um processo contínuo, baseado em uma abordagem gradual e constantemente adaptada. Portanto, precisamos proceder passo a passo. Começa com um mapeamento de todas as atividades ‘profissionais’ e a identificação das necessidades de segurança específicas de cada empresa, a fim de avaliar o impacto de um ataque nos negócios e definir planos de continuidade”, insiste Vincent Bazillio.
Nem todas as empresas estão em pé de igualdade. As EEs estão trabalhando há muito tempo para obter conformidade e possuem os recursos internos necessários para dominar as ferramentas e os processos, mas muitas PMEs precisam de suporte.
“Aqui também, cada estrutura tem suas próprias necessidades. O que importa, não é mais multiplicar firewalls por todos os lados, mas ensinar as empresas a pensarem em termos de análise de risco, a identificarem prioridades para concentrar as ações em áreas estratégicas, com uma visão orgânica de longo prazo. É o penhor de sua segurança, mas também de sua resiliência no caso de um ataque”, enfatiza Vincent Bazillio.
15/07/2025
