A dificuldade da cadeia de abastecimento digital
Outro dos eixos onde o CNCS antecipa dificuldades é a cadeia de abastecimento digital. As novas regras exigem que as entidades abrangidas não olhem apenas para o que controlam directamente, mas para todo o ecossistema de fornecedores, prestadores de serviços e integrações tecnológicas que sustentam o seu negócio. «No que diz respeito às medidas de cibersegurança aplicadas à cadeia de abastecimento, estas permitem garantir que a dimensão sistémica das infraestruturas digitais é acautelada do ponto de vista da segurança», nota o centro, sublinhando que a superfície de ataque real inclui todos os terceiros com que a organização se relaciona. Isto abrange desde grandes operadores de cloud até pequenas empresas que fornecem componentes de software, serviços especializados ou integrações aparentemente marginais, mas que podem abrir portas a ataques.
O problema é que este «é sem dúvida um dos pilares mais desafiantes deste processo porque implica fazer exigências a terceiros que não estão directamente implicados pela legislação», esclarece o CNCS. Em termos práticos, «responsabiliza as entidades abrangidas no que diz respeito às relações contratuais que estabelecem», obrigando a rever contractos, cláusulas de segurança, mecanismos de due diligence e monitorização contínua de risco de terceiros, Isto num mercado onde claramente muitas PME tecnológicas têm, ainda, uma maturidade de segurança baixa. Para muitas organizações, isto significará, pela primeira vez, mapear de forma sistemática quem são os seus fornecedores críticos, que acessos detêm, que dados tratam e quais os níveis mínimos de segurança que devem garantir, sob pena de passarem a ser o elo mais fraco de toda a cadeia.
Do lado das empresas, a leitura é semelhante, ainda que a partir de uma perspectiva mais operacional. Miguel Silva, CEO da Datatekin, não tem dúvidas de que, com a transposição da NIS2, «a cibersegurança deixa de ser uma opção estratégica e passa a ser uma obrigação legal com um âmbito significativamente mais alargado, abrangendo entidades essenciais e importantes, incluindo organizações que até agora operavam sem um quadro formal de cibersegurança». Sectores como o bancário já viviam com obrigações relevantes ao abrigo do DORA, lembra, mas a nova directiva «vem alargar e uniformizar exigências a outros sectores e perfis de organização». Para muitas empresas de média dimensão, e mesmo para algumas de grande dimensão fora dos sectores tradicionalmente regulados, isto significa entrar num mundo de requisitos, processos e evidências que não existiam de forma estruturada.
Na prática, o que muda na gestão das infraestruturas tecnológicas e dos sistemas críticos? Miguel Silva descreve um triplo movimento. Por um lado, a obrigação de «implementar medidas técnicas e organizacionais proporcionais ao risco, incluindo políticas de segurança documentadas, inventário e gestão de activos, controlo de acessos, criptografia e continuidade de negócio». Ou seja, construir um esqueleto mínimo de governação e controlo que permita saber o que existe, quem acede a quê, como estão protegidos os dados e de que forma a organização assegura a continuidade perante incidentes graves. Por outro lado, a subida da responsabilidade para o topo: «Acresce a responsabilidade efectiva ao nível da gestão de topo, com os órgãos de administração a assumirem responsabilidade directa pelo cumprimento e supervisão das medidas».
