A diretiva NIS2, que entra em vigor hoje, dia 17 de outubro de 2024, marca um ponto crucial na defesa das infraestruturas críticas da União Europeia. Esta diretiva vem reforçar e expandir as obrigações introduzidas pela NIS1, com o objetivo de fortalecer a cibersegurança em setores essenciais, como energia, água e transportes, e aumentar a resiliência digital através da cooperação entre estados-membros e organizações. No entanto, a verdadeira relevância desta diretiva reside na sua capacidade de responder a uma realidade de ameaças cada vez mais sofisticadas e frequentes.
Desde a entrada em vigor da NIS1, em 2016, a Europa tem assistido a um aumento notável de ciberataques, com o setor da energia a ser um dos principais alvos. De acordo com a Agência Internacional de Energia, os ciberataques a empresas de serviços públicos, incluindo distribuidores de gás e eletricidade, duplicaram de 2020 para 2022.
Estes eventos demonstram a urgência de fortalecer as defesas cibernéticas das infraestruturas críticas em toda a Europa.
O setor energético, devido à sua natureza crítica, enfrenta desafios únicos. A transição energética, com o aumento das energias renováveis e a crescente digitalização das operações, expõe o setor a novas vulnerabilidades. As redes inteligentes, a integração de sistemas de energia distribuída e a conectividade entre sistemas operacionais e de TI (Tecnologia da Informação) criam pontos de entrada adicionais para ciberataques. A diretiva NIS2 reconhece estas mudanças e estabelece um quadro normativo mais robusto para garantir que as infraestruturas energéticas estejam preparadas para enfrentar estas ameaças.
Entre as principais exigências da NIS2 estão a adoção de medidas técnicas e organizacionais para mitigar riscos, o reforço da cooperação entre autoridades competentes dos diferentes estados-membros e a exigência de uma resposta mais rápida e coordenada a incidentes cibernéticos. No setor da energia, essas medidas são cruciais não apenas para proteger a continuidade do fornecimento de energia, mas também para evitar que ciberataques causem danos à segurança pública e ao ambiente.
Da mesma forma torna-se importante diferenciar os vários agentes que constituem a cadeia de valor de cada organização. Vemos, cada vez mais organizações na Europa a prestar atenção às normas definidas pelo Instituto Nacional de Normas e Tecnologia (NIST) dos EUA, como o NIST SP 800-218, que define um conjunto de procedimentos a ter em conta no desenvolvimento de software seguro (SDLC). Este processo é especialmente crítico devido às distintas e necessárias abordagens de segurança, especialmente se olharmos para o número crescente de dispositivos IoT, processos orientados para o software (SaaS, open-source e outros) e para a IA.
A NIS2 vem obrigar as empresas de energia a monitorizarem e protegerem os seus fornecedores, implementando medidas de cibersegurança ao longo de toda a cadeia de valor, desde os fornecedores de equipamento até aos prestadores de serviços. Além disso, a diretiva impõe responsabilidades mais amplas às lideranças das organizações. CEOs e gestores de topo poderão enfrentar sanções em caso de não conformidade com as normas estabelecidas pela NIS2. Esta mudança reflete a crescente importância da cibersegurança ao mais alto nível de decisão empresarial, destacando que a segurança digital deve ser uma prioridade estratégica para o setor da energia.
Embora as exigências da NIS2 sejam robustas, elas não são um obstáculo intransponível para as empresas de energia. A diretiva não prescreve medidas rígidas, mas sim orientações que permitem às organizações ajustarem as suas estratégias de segurança com base em normas internacionais como a ISO/IEC 27001 e a IEC 62443, aplicáveis à segurança de sistemas operacionais. Assim, a NIS2 oferece um quadro flexível que pode ser adaptado às necessidades e maturidade de cada organização, promovendo uma abordagem estratégica à gestão de riscos cibernéticos.
A NIS2 não é apenas uma resposta a estas ameaças, mas sim uma oportunidade para as organizações do setor reforçarem as suas defesas e adotarem uma abordagem proativa em relação à segurança. A capacidade de responder rapidamente a incidentes, proteger dados sensíveis e garantir a continuidade das operações energéticas não se trata apenas de uma questão de conformidade regulatória, é uma responsabilidade estratégica que garante a confiança dos consumidores, a segurança pública e a resiliência económica dos estados-membros.
Desta forma, acredito que o setor da energia deve abraçar a NIS2 como um catalisador para a transformação digital, onde a cibersegurança não é vista como um custo, mas sim como um investimento necessário para proteger o futuro de um conjunto de infraestruturas críticas. Só com uma postura de segurança robusta e colaborativa, capaz de envolver todas as partes interessadas, será possível mitigar as ameaças que pairam sobre o setor energético e garantir um fornecimento de energia seguro e resiliente para a Europa.
Uma nota de atenção, esperar pela aplicação completa da Diretiva pode colocar as empresas em desvantagem, deixando-as expostas a cenários de riscos cibernéticos em rápida evolução. É crucial agirem o quanto antes. Enquanto as agências e autoridades nacionais de cibersegurança trabalham na incorporação da Diretiva NIS2 na legislação nacional, as empresas devem avaliar e abordar de forma proativa as suas necessidades de cibersegurança e tomarem o rumo da Diretiva NIS2.