Proteger sistemas já não é apenas uma questão de tecnologia. É uma questão de governança.
Durante muitos anos, a cibersegurança foi encarada nas organizações como um tema essencialmente técnico. Era um assunto para equipas de Tecnologias de Informação, especialistas em segurança ou responsáveis de infraestrutura. No entanto, a nova diretiva europeia NIS2 vem alterar profundamente essa perceção: a segurança digital deixa de ser apenas um desafio tecnológico e, de forma muito clara, passa a ser uma responsabilidade da gestão.Tal como aconteceu anteriormente com o RGPD, a mudança começa muitas vezes pela consciência do risco. Enquanto as organizações não sentirem impacto direto no negócio, seja através de incidentes, perdas financeiras ou sanções, a cibersegurança tende a ficar numa esfera mais operacional. A NIS2 introduz precisamente esse novo nível de responsabilização ao estabelecer penalizações significativas para as entidades que não cumprirem os requisitos definidos, incluindo falhas na notificação atempada de incidentes de segurança. Este ponto é fundamental: as consequências deixam de se limitar ao domínio técnico e passam a afetar diretamente a organização como um todo. Multas, impactos reputacionais e interrupções operacionais são agora riscos que os gestores têm de considerar de forma estratégica. Mas a transformação que a NIS2 traz vai além das penalizações. Um dos aspetos mais relevantes é o reforço da atenção à cadeia de fornecimento digital. Durante muito tempo, as organizações focaram-se em proteger os seus próprios sistemas, como se operassem de forma isolada. No entanto, a realidade atual é bem diferente: empresas dependem de um ecossistema complexo de parceiros, fornecedores tecnológicos e prestadores de serviços.
Não esquecer o Third Party Risk Management
Os exemplos recentes são claros. Incidentes provocados por fornecedores ou parceiros têm demonstrado como uma falha externa pode desencadear impactos globais. Há casos em que um problema num único software ou serviço partilhado levou à interrupção de operações em milhares de empresas em todo o mundo. Estes episódios demonstram que a segurança de uma organização é tão forte quanto o elo mais fraco da sua cadeia de fornecimento. A NIS2 traz este tema para o centro das decisões estratégicas. A gestão do risco associado a terceiros (o chamado third-party risk management) deixa de ser uma avaliação puramente técnica e passa a ser uma decisão de negócio. Avaliar fornecedores, ponderar dependências tecnológicas, ou decidir manter ou substituir parceiros críticos são decisões que exigem uma visão mais ampla, envolvendo critérios operacionais, financeiros e estratégicos. Por vezes, uma organização pode depender de um fornecedor único para determinada tecnologia ou serviço essencial. Nesses casos, a gestão precisa de avaliar continuamente esse risco, revisitando decisões e procurando alternativas sempre que possível. Este exercício de análise e revisão periódica (muitas vezes inexistente no passado) passa agora a ser parte integrante da governança das organizações.
Assegurar a continuidade de negócio
A pergunta já não é apenas “como evitar um incidente?”, mas também “como garantir que a organização continua a operar quando ele acontecer?”. Na prática, nenhum sistema é absolutamente invulnerável. Ataques sofisticados, falhas tecnológicas ou erros humanos fazem parte do contexto digital em que as empresas operam. Planos de continuidade, redundância de sistemas, capacidade de recuperação e estratégias de operação em modo degradado passam a ser elementos essenciais.
Em face de um incidente de cibersegurança, a prioridade deve ser garantir que a atividade não cessa por completo. Mesmo que a organização tenha de operar temporariamente com capacidade reduzida, continuar a funcionar pode ser decisivo para limitar impactos financeiros e preservar a confiança de clientes e parceiros.É aqui que a cibersegurança se cruza diretamente com a estratégia empresarial. A interrupção de operações durante dias ou semanas pode representar perdas significativas de receita, danos reputacionais e quebra de confiança no mercado. São riscos que nenhuma equipa técnica pode gerir sozinha. A NIS2, portanto, não é apenas mais uma diretiva europeia sobre segurança digital. É, sobretudo, um catalisador de mudança cultural dentro das organizações. Obriga a que a cibersegurança seja discutida ao nível da gestão executiva e dos conselhos de administração, integrando-se nas decisões de risco, investimento e estratégia.Proteger sistemas já não é apenas uma questão de tecnologia. É uma questão de governança.