Recentemente, Marcelo Ferreira Rodrigues, partner da PwC Portugal, revelou que muitas empresas portuguesas ainda preferem pagar multas a investir em cibersegurança. Esta afirmação foi feita durante a conferência “Futuro Hiperdigital”, uma parceria entre o ECO e a Vodafone. Segundo Rodrigues, na época da primeira Diretiva Europeia de Segurança das Redes e da Informação, conhecida como NIS1, várias organizações consideravam as sanções por incumprimento tão baixas que optavam por encarar o custo da multa como uma solução mais económica do que reforçar a proteção digital.
Rodrigues sublinha que essa mentalidade está ultrapassada. “O espírito da diretiva não é apenas evitar multas. O objetivo é tornar as empresas mais seguras”, afirmou. Para ele, a cibersegurança deve ser vista como uma forma de garantir a continuidade das operações, e não apenas como uma obrigação legal. A proteção digital deve ser integrada no dia-a-dia das empresas, em vez de ser apenas uma resposta a exigências formais.
Com a publicação da NIS2 em 2022, a situação começou a mudar. As sanções passaram a ser significativamente mais elevadas, e a nova diretiva torna os líderes das empresas pessoalmente responsáveis em caso de falhas na cibersegurança, algo que não acontecia com a NIS1. Contudo, em Portugal, a transposição da NIS2 foi concluída apenas recentemente, com um atraso superior a um ano. O novo regime entrará em vigor a 3 de abril de 2026, abrangendo médias e grandes empresas, bem como entidades públicas.
Marcelo Ferreira Rodrigues destacou três medidas urgentes para reforçar a resiliência cibernética das organizações. A primeira consiste em criar um inventário completo de fornecedores, incluindo a identificação de “shadow suppliers”, ou seja, serviços contratados sem o conhecimento da área de IT. Estas aquisições informais podem expor dados empresariais a riscos significativos. Para evitar isso, é crucial que qualquer nova ferramenta tecnológica seja avaliada e aprovada pelas áreas de IT e compliance antes da sua aquisição.
A segunda recomendação centra-se na identificação rigorosa dos “ativos de informação”. Desde bases de dados a equipamentos e aplicações, tudo deve ser mapeado. Rodrigues enfatiza que, em caso de uma vulnerabilidade, é essencial saber rapidamente quantos ativos estão comprometidos. “Se um determinado ativo tem o Windows 10, preciso saber quantos computadores estão a utilizar essa versão para agir rapidamente”, explicou.
Por último, Rodrigues destaca a importância de formalizar um processo de gestão de incidentes, especialmente para aquelas empresas que ainda não cumpriram as exigências da NIS1. É fundamental que as empresas definam previamente como devem agir, quem deve ser envolvido e quais critérios utilizar para decidir se um incidente deve ser reportado. Ele recomenda também a realização de simulacros de ciberataques, semelhantes aos simulacros de incêndio, para preparar as equipas para responder a situações de crise.
Leia também: A importância da cibersegurança nas empresas modernas.
cibersegurança Nota: análise relacionada com cibersegurança.
Leia também: Greve geral: Setor dos resíduos adere em massa à paralisação
Fonte: ECO
