BRANDS' ECO PME pressionadas a investir em cibersegurança com nova diretiva europeia

A entrada em vigor da diretiva europeia NIS2 está a transformar o panorama da cibersegurança em Portugal, impondo exigências mais rigorosas às empresas, nomeadamente a muitas PME que até agora estavam fora do radar. A regulação obriga à implementação de medidas robustas de proteção digital, com impacto direto na forma como as organizações gerem os seus fornecedores e estruturam os seus processos internos.

Na conferência DORS (Digital Operational Resilience Summit), foram vários os especialistas a abordar o tema e a traçar um retrato dos desafios. À margem do evento, e em declarações ao ECO, Pedro Zeferino, Chief Information Security Officer (CISO) da NOS, destacou que, na NOS, “os serviços críticos têm níveis de resiliência previstos na sua arquitetura e são sujeitos a controlos de segurança muito restritivos”. Esta abordagem, comum nas grandes empresas, contrasta, contudo, com a realidade de grande parte das PME, onde os recursos são escassos e a maturidade digital ainda incipiente.

Segundo um estudo da Deloitte, apenas 38% das PME portuguesas têm planos formais de resposta a incidentes cibernéticos. A NIS2 exige não só essa preparação, mas também mecanismos de deteção e resposta em tempo real. “A resposta a ameaças no universo da NOS é, em grande medida, automática e imediata, sob monitorização da operação de segurança 24/7”, explica Pedro Zeferino, destacando também a importância da investigação proativa e da validação contínua de processos e da segurança dos ativos através de exercícios de simulação e testes de segurança ofensiva. Mas, uma vez mais, este é genericamente um cenário bem diferente do que se verifica em grande parte das PME nacionais.

Trancas à porta nas cadeias de abastecimento

Outro ponto crítico é a cadeia de fornecedores. A diretiva obriga à avaliação da ciber-resiliência de terceiros, algo que a NOS já pratica. “A maturidade de cibersegurança de terceiros é um fator com peso crescente nos processos de decisão da empresa”, afirma o CISO. Mesmo assim, alerta que “as organizações devem igualmente garantir medidas de segurança que limitem a sua exposição a eventos que possam acontecer na sua cadeia de abastecimento”.

Já para Paulo Cardoso, especialista em gestão de risco, a forma de integrar critérios de segurança e compliance sem comprometer a agilidade operacional passa por segmentar os fornecedores de acordo com o risco que representam. “É essencial definir critérios claros, como o impacto da perda do fornecedor ou os dados a que este acede. Isso permite aplicar exigências mais rigorosas apenas onde são realmente necessárias”, explica.

O consultor, que marcou igualmente presença no DORS, defende que a aceitação de certificações reconhecidas e de auditorias independentes deve fazer parte dos critérios de avaliação, funcionando como evidência objetiva de maturidade. “Este modelo reforça a resiliência da organização e mantém a agilidade operacional”, sublinha.

A monitorização contínua é outro pilar fundamental. “Incidentes de segurança, alterações em subfornecedores ou perda de certificações são sinais de alerta. Rever regularmente os acessos concedidos ajuda a antecipar riscos antes que se tornem crises”, recomenda Paulo Cardoso.

Entre os erros mais comuns, o especialista destaca a ausência de contratos formais. “Sem um enquadramento contratual, não há como exigir obrigações de segurança ou definir responsabilidades. Outro erro é tratar a avaliação como uma mera burocracia, sem evidência real”, alerta, recordando que a integração eficaz dos critérios de segurança e compliance na gestão de fornecedores exige uma abordagem prática e sustentada. “Não basta preencher questionários de autoavaliação. É preciso validar com evidência concreta, sobretudo nos fornecedores que acedem a dados sensíveis ou que são críticos para a continuidade do negócio”, afirma.

O especialista sublinha que muitas organizações ainda tratam a avaliação de terceiros como um exercício burocrático, o que compromete a capacidade de resposta perante incidentes. “Sem visibilidade sobre a performance e sem cláusulas contratuais claras, torna-se impossível agir com rapidez e eficácia”, alerta.

Paulo Cardoso reforça ainda que a segmentação dos fornecedores é um passo essencial para garantir agilidade sem abdicar da segurança. “Ao adaptar os requisitos ao nível de risco, conseguimos manter processos simples para fornecedores menos críticos e aplicar medidas reforçadas onde realmente importa”.

Para as PME, esta estratégia pode ser decisiva na hora de cumprir os requisitos da NIS2. “Com orientação especializada e foco nas áreas de maior impacto, é possível estruturar processos robustos sem comprometer a operação. O segredo está em começar pelo essencial e evoluir com consistência”, recomenda o consultor.

É certo que as PME enfrentam desafios acrescidos com a NIS2, uma vez que dispõem de menos recursos para formalizar processos e manter controlos consistentes. A solução, dizem os especialistas ouvidos pelo ECO, passa, por isso, por uma colaboração próxima com o cliente e por começar pelo essencial: regras básicas, contratos claros e transparentes, e documentação fiável. A nova diretiva não é apenas uma obrigação legal, é uma oportunidade para elevar a segurança digital a um novo patamar.