Campo minado da regulamentação da cibersegurança: O que os CISOs precisam em 2025

O panorama regulamentar da cibersegurança transformou-se numa rede cada vez mais complexa de requisitos de conformidade que as organizações já não se podem dar ao luxo de ignorar. À medida que as empresas adoptam a computação em nuvem, as soluções orientadas para a inteligência artificial e as tecnologias da Internet das Coisas, enfrentam simultaneamente riscos acrescidos de violações de dados e um maior escrutínio por parte das entidades reguladoras a nível mundial. A cibersegurança moderna vai muito além da defesa dos sistemas contra ataques online - abrange agora a adesão estrita a quadros regulamentares em evolução concebidos para proteger dados sensíveis, garantir a responsabilidade organizacional e estabelecer infra-estruturas de segurança robustas.

O não cumprimento dos regulamentos de cibersegurança acarreta consequências graves, incluindo penalizações financeiras substanciais e ramificações legais que podem ameaçar a continuidade do negócio. As organizações têm de navegar neste campo minado regulamentar para manter a confiança dos clientes, proteger a sua reputação e mitigar os riscos associados às violações de dados. Para os Diretores de Informação, os Diretores de Segurança da Informação e os profissionais de segurança, compreender e implementar estes requisitos de conformidade tornou-se uma missão crítica para o sucesso organizacional.

União Europeia reforça a estrutura de cibersegurança

A União Europeia introduziu vários quadros regulamentares abrangentes que têm um impacto significativo na forma como as organizações abordam a cibersegurança. A Diretiva NIS2, que significa Network and Information Security Directive (Diretiva relativa à segurança das redes e da informação), representa uma versão actualizada e alargada da diretiva NIS original, especificamente concebida para ultrapassar as deficiências da sua antecessora. Os Estados-Membros foram obrigados a adotar esta diretiva como lei nacional até 17 de outubro de 2024, o que constitui um marco fundamental na regulamentação europeia em matéria de cibersegurança.

A NIS2 exige que os operadores de infra-estruturas críticas e serviços essenciais em toda a UE apliquem medidas de segurança adequadas e comuniquem quaisquer incidentes de cibersegurança para reforçar a segurança das redes e dos sistemas de informação. A diretiva abrange um número substancialmente maior de sectores que representam áreas vitais da sociedade, em comparação com o quadro original. As suas quatro áreas de requisitos principais -gestão de riscos, responsabilidade das empresas, obrigações de comunicação e continuidade das actividades - impõem normas mais rigorosas do que a NIS1. As organizações que não cumprem estes requisitos enfrentam coimas significativas e potenciais consequências legais.

A Lei de Resiliência Operacional Digital, vulgarmente conhecida como DORA, entrou em vigor a 17 de janeiro de 2025, visando principalmente as instituições financeiras. Antes da implementação da DORA, não existia uma metodologia uniforme para lidar com problemas de Tecnologia da Informação e Comunicação, sejam eles decorrentes de ataques cibernéticos ou falhas técnicas. O regulamento exige agora que as instituições financeiras, incluindo bancos, companhias de seguros e bancos de investimento, sigam diretrizes rigorosas que lhes permitam resistir, responder e recuperar de interrupções operacionais significativas, prevenindo e reduzindo os ciberataques.

O Cyber Resilience Act aborda a realidade de que tanto o hardware como o software se tornaram alvos privilegiados de actividades maliciosas. Este regulamento aplica-se aos fabricantes, importadores e distribuidores de produtos com elementos digitais, garantindo a cibersegurança ao longo de todo o ciclo de vida do produto. Introduz requisitos obrigatórios de cibersegurança que regem o planeamento, a conceção, o desenvolvimento e a manutenção desses produtos. Os regulamentos da CRA para a comunicação de incidentes de cibersegurança terão início em 11 de setembro de 2026, sendo todos os outros requisitos implementados até 11 de dezembro de 2027. Produtos como dispositivos médicos e automóveis, com os seus próprios regulamentos de segurança e proteção, estão isentos deste quadro.

A Inteligência Artificial enfrenta um escrutínio regulamentar

A Lei da Inteligência Artificial da UE centra-se principalmente na regulamentação da IA, mas tem implicações significativas para as práticas de cibersegurança. A legislação exige que os sistemas de IA de alto risco sejam concebidos e desenvolvidos para atingir níveis adequados de exatidão, robustez e cibersegurança, mantendo estas qualidades ao longo de todo o seu ciclo de vida. A Comissão Europeia medirá e avaliará estes níveis de desempenho para garantir a conformidade.

Os sistemas de IA de alto risco devem evitar resultados tendenciosos e devem ser protegidos contra a manipulação por partes não autorizadas. Este regulamento entra em vigor a 2 de agosto de 2026, dando tempo às organizações para prepararem os seus sistemas de IA para a conformidade. A intersecção entre a regulamentação da IA e da cibersegurança reflecte o reconhecimento crescente de que os sistemas de inteligência artificial apresentam desafios de segurança únicos que exigem uma supervisão especializada.

Reino Unido avança na legislação de defesa cibernética

O projeto de lei de segurança e resiliência cibernética do Reino Unido visa melhorar as defesas cibernéticas do país e garantir que as infraestruturas críticas vitais das quais as empresas de serviços digitais dependem permaneçam seguras. Esta legislação obrigará à implementação de fortes medidas de cibersegurança e exigirá a comunicação de incidentes ao governo para melhorar a recolha de dados sobre ciberataques. O governo anunciou em julho de 2024 que iria apresentar este projeto de lei durante a atual sessão parlamentar, com detalhes publicados em abril de 2025 e a apresentação formal ao Parlamento prevista para o final de 2025.

Estados Unidos melhoram a comunicação de informações sobre infra-estruturas críticas

A Lei de Comunicação de Incidentes Cibernéticos para Infra-estruturas Críticas, conhecida como CIRCIA, representa uma lei dos Estados Unidos que visa melhorar a cibersegurança do país através da obtenção de informações melhores e mais rápidas sobre ciberataques. A legislação obriga as organizações críticas a notificar a Agência de Segurança Cibernética e de Infra-estruturas sempre que sofram um ciberataque ou paguem um resgate, fornecendo às autoridades uma imagem mais clara do panorama das ameaças cibernéticas. Prevê-se que os requisitos de comunicação entrem em vigor em 2026, após a publicação das regras finais em 2025, dando tempo às organizações para estabelecerem mecanismos de comunicação adequados.

A Índia estabelece um quadro de proteção de dados

A Índia tomou medidas significativas para melhorar a proteção de dados e a privacidade através da sua Lei de Proteção de Dados Pessoais Digitais. As regras do DPDP, que foram incluídas na Lei de Proteção de Dados Pessoais Digitais de 2023, representam um avanço significativo para a Índia no domínio da cibersegurança. Esta legislação obriga à nomeação de um responsável pela proteção de dados para as organizações que lidam com dados pessoais. Os diretores de segurança da informação terão de trabalhar em estreita colaboração com os responsáveis pela proteção de dados para alinhar as estratégias de cibersegurança com os requisitos de proteção de dados, criando uma abordagem unificada à segurança e privacidade da informação.

Preparação estratégica para a conformidade regulamentar

Os Diretores de Informação e os Diretores de Segurança da Informação têm de adotar uma abordagem proactiva para lidar com o vasto âmbito dos requisitos de conformidade regulamentar em 2025. Os líderes de segurança podem ajudar as suas organizações a manterem-se à frente dos desafios de conformidade, mantendo o acesso aos mais recentes procedimentos de cibersegurança com base nas alterações dos quadros regulamentares. Isto requer uma monitorização contínua dos desenvolvimentos regulamentares e a compreensão de como os novos requisitos afectam os programas de segurança existentes.

Compreender as implicações organizacionais das estruturas regulamentares exige uma estreita colaboração com o pessoal interno de vários departamentos. As equipas jurídicas, de conformidade, financeiras e operacionais devem trabalhar em conjunto para garantir uma compreensão abrangente dos requisitos regulamentares e da sua implementação prática. Para além disso, a colaboração com consultores externos ou com o departamento jurídico para obter aconselhamento regulamentar fornece conhecimentos valiosos para navegar em cenários de conformidade complexos.

A comunicação representa um componente crítico da preparação para a regulamentação. Manter as equipas e as partes interessadas informadas sobre os efeitos das alterações regulamentares garante que todos compreendem as suas funções e responsabilidades na manutenção da conformidade. Isto inclui sessões de formação regulares, documentação actualizada e procedimentos de escalonamento claros para questões relacionadas com a conformidade.

Compreender a posição atual da empresa é essencial para uma gestão eficaz da conformidade. As organizações devem realizar avaliações completas para identificar lacunas entre as práticas de segurança actuais e os requisitos regulamentares. Essas avaliações fornecem a base para o desenvolvimento de roteiros abrangentes para a conformidade que priorizam iniciativas com base na avaliação de riscos, disponibilidade de recursos e prazos regulamentares.

Os líderes de segurança podem ajudar as suas organizações a manterem-se à frente dos desafios de conformidade, mantendo o acesso aos mais recentes procedimentos de cibersegurança e assegurando que as soluções antivírus são corretamente implementadas e actualizadas de acordo com as estruturas regulamentares.

Os líderes de segurança também devem estabelecer estruturas para a monitorização contínua da conformidade, em vez de tratar a adesão regulamentar como um projeto único. Os mecanismos de avaliação contínua ajudam as organizações a identificar as lacunas de conformidade emergentes antes de se tornarem problemas críticos, permitindo uma correção proactiva em vez de uma gestão reactiva de crises.

O cenário regulamentar continuará a evoluir à medida que as ameaças cibernéticas avançam e os governos respondem com estruturas actualizadas. As organizações que investem em programas de conformidade flexíveis e adaptáveis posicionam-se para navegar em futuras alterações regulamentares de forma mais eficaz do que as que mantêm abordagens rígidas e minimalistas centradas apenas nos requisitos actuais. A criação de capacidades de conformidade para além dos mandatos imediatos cria resistência contra futuras expansões regulamentares, ao mesmo tempo que reforça a postura geral de segurança.

Fonte: https://www.cyberdefensemagazine.com/cybersecurity-is-now-a-regulatory-minefield-what-cisos-must-know-in-2025