Estudo revela lacunas significativas na sensibilização e implementação da diretiva de cibersegurança NIS2 em toda a Europa

Lisboa, 17 de outubro de 2024 – De acordo com um estudo recente da IDC, patrocinado pela Microsoft, 47% das empresas portuguesas inquiridas revelou ter nenhum ou pouco conhecimento a respeito da diretiva europeia NIS2. Esta é uma das principais conclusões deste estudo que vem revelar lacunas significativas no grau de preparação das organizações de toda a Europa para a Diretiva 2 (NIS2) relativa às redes e aos sistemas de informação, que visa reforçar a resiliência da cibersegurança dos setores críticos e garantir uma abordagem unificada da gestão do risco nos Estados-Membros.

No caso português, os resultados deste estudo demonstram a necessidade de uma maior sensibilização e preparação do tecido empresarial para incorporar esta diretiva europeia. Concretamente, o InfoBrief, NIS2 Readiness: A Guide for Organizations in Europe da IDC conclui que cerca de 4 em cada 10 das empresas inquiridas (38%) estão a par da existência de medidas recomendadas para a gestão de ciberrisco associadas à NIS2, mas não as conhecem ao pormenor. Outro dado relevante prende-se com o facto de 60% destas empresas não terem a sua administração envolvida no tema da NIS2 ao nível de conformidade.

Quanto à cobertura das organizações no âmbito da NIS1, a diretiva anterior, Portugal obteve apenas 60% das empresas a preencher este requisito, a pontuação mais baixa entre os países inquiridos no estudo. Ao mesmo tempo, 25% das empresas não sabem se estão cobertas por esta primeira diretiva.

Outra das conclusões deste estudo revela que 90% das empresas inquiridas estão a considerar utilizar Inteligência Artificial (IA) generativa para automatizar e melhorar a respostas das suas operações de segurança. No entanto, 75% destas organizações não têm ainda estratégia para proteger dados sensíveis aquando da utilização de IA generativa para criptografia e encriptação.

Sobre os dados apresentados, Luís Rato, National Security Officer da Microsoft Portugal, revela que “com a diretiva prestes a entrar em vigor, estamos empenhados em apoiar as empresas na adoção das práticas recomendadas de cibersegurança. A Microsoft está dedicada a ajudar especialmente as PME a prepararem-se e a transitar para um modelo de cibersegurança alinhado com as melhores práticas europeias, garantindo assim uma maior resiliência e proteção contra ciberameaças”.

A diretiva, que entrará em vigor a 17 de outubro, tem um impacto direto em mais de 180.000 organizações de setores como a saúde, transportes, indústria e cadeia de abastecimento. Embora a maioria das organizações compreenda os objetivos da NIS2 e os custos associados, a pesquisa da IDC revela que, de forma geral, apenas 14% estão totalmente preparadas para ela, com 77% parcialmente preparadas e 9% não tendo ainda começado a preparar-se para a NIS2.

O estudo, que analisou organizações de países-chave da Europa Ocidental, destaca as disparidades em termos de consciencialização, conformidade e implementação de medidas de cibersegurança. Este estudo da IDC sublinha a necessidade urgente das organizações europeias melhorarem a sua compreensão e implementação dos requisitos NIS2.

Com diferentes graus de preparação entre os países, existe uma clara oportunidade de partilha de conhecimentos e colaboração para garantir uma postura de cibersegurança unificada e robusta em todo o continente. As organizações devem dar prioridade aos esforços de conformidade, envolver os seus conselhos de administração no processo e alavancar parcerias estratégicas para enfrentar os desafios colocados pela NIS2.

A Diretiva 2 relativa às redes e sistemas de informação (NIS2) é um quadro regulamentar essencial desenvolvido pela União Europeia para melhorar a resiliência da cibersegurança dos setores críticos da sociedade. Com base na sua antecessora, a NIS1, esta diretiva alarga o seu âmbito e impõe requisitos mais rigorosos às organizações para atenuar o cenário de ameaças em evolução. A NIS2 tem como objetivo garantir que os serviços essenciais se mantenham seguros e robustos contra ciberataques, protegendo a infraestrutura que sustenta a economia digital e a segurança pública.

De um ponto de vista substancial, a NIS2 não é apenas uma questão de conformidade. Trata-se de reconhecer a nova realidade de que os riscos cibernéticos são, de facto, riscos para a segurança nacional. No mundo interligado de hoje, a cibersegurança é sinónimo de defesa nacional. A proteção contra as ciberameaças é crucial para salvaguardar a democracia e as liberdades da Europa. Cada violação cibernética pode potencialmente minar a confiança nas instituições públicas e a estabilidade das nossas sociedades. Por conseguinte, a implementação da NIS2 é um imperativo estratégico que transcende as obrigações regulamentares; é uma componente fundamental da segurança nacional e da proteção dos valores democráticos.

Na perspetiva da Microsoft, a NIS2 representa não apenas um requisito regulamentar, mas um quadro essencial para fortalecer as defesas digitais da Europa. O compromisso da Microsoft para com esta diretiva está enraizado na convicção de que a cibersegurança é fundamental para a segurança nacional, a estabilidade económica e a proteção dos valores democráticos. A empresa defende uma abordagem proactiva e colaborativa à NIS2, instando as organizações a encarar a conformidade como uma oportunidade para reforçar a sua postura de cibersegurança, aumentar a resiliência e promover uma cultura de melhoria contínua. A Microsoft dedica-se a apoiar esta transição através de parcerias estratégicas, tecnologias avançadas e programas de formação abrangentes destinados a colmatar as lacunas identificadas no estudo da IDC.

O estudo da IDC revela que, por exemplo, Espanha e Itália têm níveis relativamente elevados de sensibilização para a NIS2, com 79% e 67%, respetivamente, enquanto outros países, como Portugal e a Bélgica, ficam atrás, com apenas 47% e 44%, respetivamente. Este facto indica a necessidade de mais campanhas de sensibilização e iniciativas educativas para informar as organizações sobre o âmbito e as implicações da NIS2.

Outra conclusão é que a cobertura das organizações ao abrigo da NIS1, a diretiva anterior, varia de país para país, com a Bélgica a ter a cobertura mais elevada, com 82%, e Portugal a ter a mais baixa, com 60%. Isto sugere que alguns países podem ter mais experiência e recursos para cumprir a regulamentação em termos de cibersegurança, enquanto outros podem enfrentar mais desafios na adaptação aos novos requisitos da NIS2.

Além disso, o estudo mostra que uma proporção significativa de organizações ainda não está totalmente em conformidade com a NIS2, com uma média de 74% em todos os países. Isto significa que existe uma lacuna entre a sensibilização e a implementação, e que as organizações precisam de tomar medidas mais concretas para alinhar as suas práticas de cibersegurança com as normas NIS2.

Por último, o estudo revela que existe um grande interesse na utilização da IA generativa para a cibersegurança em todos os países, com uma média de 90%. A IA generativa é um tipo de inteligência artificial que pode produzir conteúdos novos e realistas e analisar dados, como texto, imagens ou áudio. A IA generativa pode ajudar as organizações a melhorar as suas capacidades de cibersegurança, reforçando a deteção, resposta e prevenção de ameaças. A Áustria e a Itália são os países que demonstram maior interesse em tirar partido da IA generativa para a cibersegurança, com 97% e 92%, respetivamente, o que indica uma abordagem proactiva em relação às tecnologias de segurança modernas.

Para mais informações sobre o estudo e para aceder ao relatório IDC InfoBried completo, consultar: NIS2 Readiness: A Guide for Organizations in Europe (microsoft.com)