MADRID 2 jul. (Portaltic/EP) -
Tendo em vista as novas estruturas legais de segurança cibernética na Europa DORA e NIS2, a ISACA publicou seu white paper "Resiliência e segurança em setores críticos: atendendo aos requisitos da NIS2 e DORA", um guia que visa fornecer orientação estratégica para ajudar empresas e organizações a implementar a conformidade regulamentar e, ao mesmo tempo, fortalecer sua resiliência cibernética.
Embora a Regulamentação de Resiliência Operacional Digital (DORA) já tenha entrado em vigor na União Europeia (UE) e a diretiva de segurança cibernética NIS 2 seja agora oficialmente aplicável, um grande número de empresas ainda não compreende totalmente suas obrigações de acordo com essas regulamentações ou tem dificuldades para aplicá-las na prática.
Especificamente, a ISACA, associação internacional voltada para a busca da confiança digital, aponta que muitas organizações, especialmente PMEs e provedores de TIC, ainda desconhecem os requisitos dessas normas, inclusive como implementá-las com sucesso ou até mesmo os benefícios que elas trazem.
Nesse contexto, apenas alguns Estados-Membros da UE, não incluindo a Espanha, cumpriram o prazo de outubro de 2024 para transpor a NIS2 para a legislação nacional. Um exemplo do desafio de implementar as normas é a Irlanda, que, de acordo com a ISACA, apesar de ser uma das "economias mais avançadas digitalmente na Europa", 38% das empresas admitiram que não estão prontas para implementá-las.
A organização disse que essa "preparação insuficiente" provavelmente se refletirá em muitos países da UE, especialmente entre as PMEs e as entidades não financeiras, que enfrentarão novas "obrigações de prestação de contas, auditoria e relatórios".
No entanto, a ISACA destacou como o DORA e o NIS2 são "fundamentais" para a resiliência operacional digital da União Europeia e publicou seu white paper "Resiliência e segurança em setores críticos: atendendo aos requisitos do NIS2 e do DORA", um guia estratégico para empresas, instituições financeiras, administrações públicas e provedores de tecnologia.
Como ele explicou, esse relatório detalha claramente os dois regulamentos e descreve como as empresas podem implementar a conformidade "ao mesmo tempo em que fortalecem sua resiliência cibernética". Isso porque, como detalhou o diretor de estratégia global da ISACA, Chris Dimitriadis, o desafio "não é apenas entender os regulamentos, mas também garantir que as empresas saibam como implementá-los de forma eficaz".
Dimitriadis também enfatizou como o DORA e o NIS2 representam "uma mudança fundamental na forma como as organizações abordam a resiliência e a governança da segurança cibernética", observando que as consequências de não cumprir essas regulamentações "são graves", assim como os riscos de interrupção operacional. "A ISACA tem o compromisso de ajudar as pessoas e as organizações a se prepararem para essa nova era", disse ele.
UM GUIA ESSENCIAL PARA A CONFORMIDADE DAS EMPRESAS
Alguns dos principais pontos abordados no white paper são questões como ajudar as empresas a entender o escopo dos regulamentos, determinando se estão sujeitas ao NIS2, ao DORA ou a ambos. "Mesmo as empresas não pertencentes à UE podem ser indiretamente afetadas", disse a organização.
Nesse sentido, o guia também facilita a criação de uma estrutura de TIC resiliente, estabelecendo estratégias abrangentes de gerenciamento de riscos de TIC e alinhando-as aos objetivos comerciais. Ele também permite que os planos de continuidade e recuperação sejam revisados e testados periodicamente.
Outro ponto é garantir que os contratos com fornecedores de TIC incluam cláusulas específicas sobre continuidade, segurança e direitos de auditoria. Isso porque muitos fornecedores de tecnologia, incluindo desenvolvedores de software, provedores de nuvem e provedores de serviços gerenciados, "não sabem que a DORA os afeta diretamente por causa de seus contratos com instituições financeiras", disse a ISACA.
Isso também ajuda a se preparar para as obrigações de relatórios de incidentes regulatórios, que têm prazos rigorosos e distintos. No caso do NIS2, a notificação preliminar deve ser feita em 24 horas e o relatório final em um mês. De acordo com a DORA, os incidentes graves de TIC devem ser relatados em até quatro horas após a classificação.
Além disso, o guia também inclui ferramentas de treinamento para a gerência e a equipe, com treinamento em segurança cibernética para todos os níveis, bem como opções para auditorias internas e externas regulares.
Ele também oferece opções para que as instituições financeiras realizem testes de penetração baseados em ameaças e testem sua resiliência operacional. Por fim, o guia ajuda a manter atualizada a documentação sobre políticas, avaliações de risco, controles e respostas, "o que é essencial para a transparência e a análise regulatória".
Deve-se observar que, em caso de não conformidade com o NIS2, as multas podem chegar a 7 a 10 milhões de euros para entidades de grande porte, enquanto o DORA deixa a aplicação de sanções para as autoridades nacionais.
RECURSO FUNDAMENTAL PARA O ECOSSISTEMA DIGITAL DA EUROPA
A ISACA esclareceu ainda que o whitepaper não apenas ajuda as equipes de conformidade a entender as expectativas regulatórias, mas também apoia os diretores de segurança da informação (CISOs), líderes de TI e profissionais de risco no desenvolvimento de resiliência de longo prazo e confiança digital.
Ao fazer isso, a organização enfatizou que, projetado para orientar não apenas as organizações, mas também seus parceiros e fornecedores de tecnologia, a análise comparativa do DORA e do NIS 2, juntamente com as recomendações práticas, tornam este guia "um ponto de referência fundamental para navegar no cenário regulatório cibernético europeu em constante mudança".
As organizações e empresas interessadas podem fazer o download de uma cópia gratuita do guia "Resiliência e Segurança em Setores Críticos: Atendendo aos Requisitos NIS2 e DORA" no site oficial da ISACA.
Esta notícia foi traduzida por um tradutor automático