Empresas preferiam “pagar a multa” a investir em cibersegurança

“Não vale a pena o investimento em cibersegurança, nós preferimos pagar a multa.” Foi esta resposta que Marcelo Ferreira Rodrigues, Cybersecurity & Privacy Lead Partner da PwC Portugal, recebeu de várias empresas portuguesas na altura da primeira Diretiva Europeia de Segurança das Redes e da Informação, NIS1. Segundo o partner da PwC, que discursou esta quarta-feira na conferência “Futuro Hiperdigital”, uma parceria do ECO com a Vodafone, muitas organizações consideravam o valor das sanções de incumprimento tão baixas que olhavam para o custo da multa como sendo mais em conta do que reforçar e investir na proteção digital.

O especialista alerta, porém, que essa visão está ultrapassada. “O espírito da diretiva não é apenas evitar multas. Queremos tornar as empresas mais seguras. O foco deve ser a continuidade das operações, e não apenas cumprir a lei”, explicou. Para Marcelo Ferreira Rodrigues, a cibersegurança deve proteger o dia-a-dia da empresa, e não apenas responder a obrigações formais.

Com a publicação da NIS2, em 2022, a situação mudou e o partner da PwC destaca que já existe uma maior consciência por parte das empresas. As sanções passaram a ser “muito” mais elevadas, e a nova diretiva define explicitamente a responsabilidade dos órgãos de gestão, tornando os líderes pessoalmente responsáveis em caso de falhas na cibersegurança, algo que não acontecia com a NIS1. No entanto, em Portugal, a transposição da diretiva NIS2 apenas foi concluída há dias, registando um atraso superior a um ano. O novo regime entrará em vigor a 3 de abril de 2026, abrangendo médias e grandes empresas, assim como entidades públicas.

Marcelo Ferreira Rodrigues aproveitou ainda para destacar três medidas urgentes para reforçar a resiliência cibernética das organizações. A primeira passa por criar um inventário completo de fornecedores, incluindo a identificação de “shadow suppliers”, serviços contratados sem conhecimento da área de IT, muitas vezes através de compras rápidas com cartão de crédito. Estas aquisições, feitas fora do processo formal, acabam por colocar dados empresariais em plataformas externas sem validação prévia, abrindo portas a riscos significativos. Marcelo Rodrigues defende, por isso, a necessidade de um procedimento obrigatório de avaliação e aprovação das área de IT e compliance antes de qualquer nova ferramenta tecnológica ser adquirida.

A segunda recomendação centra-se na identificação rigorosa dos “ativos de informação”. Desde bases de dados a equipamentos e aplicações, tudo deve ser mapeado e relacionado. Na visão do especialista em cibersegurança, só assim é possível responder rapidamente quando surge uma vulnerabilidade. “Imaginemos que um determinado ativo fica comprometido e tem o Windows 10. Eu preciso de saber naquele momento, naquele dia, naquela hora, quantos computadores é que eu tenho registados com o Windows 10 para depois fazer as atividades de contenção. Eu não vou conseguir fazer nada se eu não conhecer bem os meus ativos”, explicou.

Por fim, Marcelo destaca a importância de formalizar um processo de gestão de incidentes, sobretudo para quem ainda não cumpriu as exigências da NIS1. As empresas devem definir previamente como atuar, quem envolver e quais critérios usar para decidir se um incidente necessita de ser reportado. O partner da PwC recomenda ainda a realização de exercícios práticos, como simulacros de ciberataques que reproduzem cenários como ransomware e permitem treinar decisões em ambiente controlado, tal como já acontece há vários anos com os simulacros de incêndio.