Quando passa dos princípios à realidade das empresas, o CISO identifica um obstáculo que é sobretudo organizacional. «A maior dificuldade está na adaptação dos procedimentos já definidos aos requisitos regulatórios», refere, lembrando que «esta adaptação tem um custo, não só financeiro, como operacional, e a inércia da cultura estabelecida é um empecilho à inovação, mesmo que regulamentada». Em muitos casos, «as organizações reconhecem a importância da directiva, mas encontram esta resistência cultural no processo de adaptação e adopção destas normas que têm um impacto transversal a todos os processos das organizações». Para enfrentar este bloqueio, defende que «esta resistência à mudança só se combate através do estabelecimento de procedimentos ágeis e em constante evolução, criando uma cultura intrínseca de mudança».
Outra fragilidade que aponta é a forma como muitas empresas continuam a encarar a cibersegurança. «A NIS2 exige uma abordagem mais abrangente, com envolvimento da gestão de topo, articulação entre as diferentes áreas que compõem a actividade da organização e alinhamento com os seus objectivos estratégicos», sublinha, alertando que «é preciso actualizar mentalidades e garantir o envolvimento de todos neste processo para que seja concluído com sucesso». Num país em que «o tecido empresarial é composto por muitas pequenas e médias empresas», reconhece que «a adopção da NIS2 pode ser particularmente desafiante, pois nem sempre dispõem dos recursos ou da especialização necessária para responder com a profundidade exigida».
Definir orientações, não acções
Também o mosaico de referenciais levanta desafios. Ricardo Anastácio lembra que «a NIS2 define apenas orientações (o que precisa de ser cumprido), mas não define acções (como implementar esses requisitos)» e que, para colmatar esta lacuna, «as empresas viram‑se para outros referenciais já em vigor, como a ISO 27001 ou o DORA». Quando esses enquadramentos são tratados de forma isolada, «aumenta o risco de redundância, complexidade e dispersão de esforços». Por isso, conclui, «uma abordagem integrada tende a ser mais eficaz e mais sustentável a médio e longo prazo».
É neste pano de fundo que o desenvolvimento de software seguro ganha centralidade. O CISO da Opensoft recorda que, mesmo as organizações com pouca vertente informática, «têm sempre algum desenvolvimento local, pequenas aplicações utilizadas nos seus processos com vista a melhorar a eficiência destes», o que torna o desenvolvimento seguro «um papel absolutamente preponderante no reforço da resiliência digital das organizações abrangidas pela NIS2». Princípios como security by design e security by default «significam, na prática, que a segurança deve ser pensada desde o início e executada por omissão nas soluções, em vez de ser acrescentada mais tarde como correcção ou resposta a vulnerabilidades já detectadas». Esta abordagem, explica, «permite reduzir a exposição ao risco, aumentar a robustez dos sistemas e melhorar a capacidade de resposta perante incidentes». E, quando a segurança é integrada «desde a fase de análise de requisitos até à implementação e evolução dos sistemas», torna‑se mais fácil «garantir controlos consistentes, proteger dados sensíveis, realizar testes regulares e assegurar maior previsibilidade operacional». No fundo, remata, «esta abordagem não beneficia apenas o cumprimento de uma conformidade legal. Contribui para organizações mais resilientes, processos mais robustos e dar uma maior confiança de cidadãos, clientes e parceiros nos serviços digitais que utilizam todos os dias».
