Um reforço do modelo de cibersegurança
Se no desenvolvimento de software a mudança é estrutural, na operação de infraestruturas cloud a NIS2 eleva a fasquia onde a segurança já era parte do dia‑a‑dia. Para um operador cloud como o Grupo Gigas, a transposição da directiva para Portugal «eleva significativamente o nível de exigência em matéria de governação, gestão do risco e notificação de incidentes». Isso significa, explica Ignacio Garcia Egea, CISO do Grupo Gigas, «reforçar um modelo de cibersegurança que já faz parte do núcleo da operação das nossas infraestruturas». A directiva traz ainda «um maior nível de responsabilidade ao nível da gestão de topo» e «exige demonstrar de forma contínua que os controlos de segurança, resiliência e gestão de incidentes estão plenamente integrados na operação do serviço».
A resiliência operacional é, por isso, um eixo central. «Para um fornecedor de infraestruturas cloud, a resiliência operacional é um elemento crítico», afirma Ignacio Garcia Egea. «Neste sentido, a NIS2 reforça uma linha de trabalho que já vínhamos a desenvolver: arquitecturas redundantes entre centros de dados, monitorização avançada, capacidades de detecção e resposta a incidentes e planos de continuidade e recuperação testados periodicamente». Além disso, acrescenta, «estamos a reforçar os exercícios de simulação de incidentes e os testes de resiliência para garantir que os nossos serviços podem manter‑se operacionais mesmo perante cenários de ciberataque».
Também aqui a cadeia de abastecimento tecnológica surge como ponto sensível. «O ecossistema cloud depende de múltiplos fornecedores tecnológicos, pelo que a gestão do risco na cadeia de abastecimento é um aspecto fundamental», sublinha o CISO. No Grupo Gigas, «reforçámos os processos de avaliação de fornecedores do ponto de vista da cibersegurança, incorporando controlos específicos na fase de selecção, requisitos contratuais de segurança e mecanismos de supervisão contínua». «O objectivo é assegurar que os padrões de segurança que aplicamos às nossas infraestruturas se estendem também a todo o ecossistema tecnológico que suporta os nossos serviços», acrescenta, de forma a reduzir a probabilidade de que uma fragilidade num terceiro comprometa a confiança dos clientes.
Do ponto de vista de mercado, Ignacio Garcia Egea olha para a NIS2 para lá da mera obrigação regulatória. «Acreditamos que pode ter um impacto positivo no mercado digital europeu», afirma, na medida em que «a existência de padrões comuns de cibersegurança e resiliência contribui para aumentar a confiança nos serviços digitais, especialmente entre empresas e administrações públicas que dependem de infraestruturas cloud para as suas operações». Para fornecedores que já operam com níveis elevados de segurança, conclui, «este enquadramento permite também valorizar a maturidade das suas infraestruturas e reforçar a confiança dos clientes».
