A conformidade está se tornando pessoal — pessoal no sentido de que as regulamentações de conformidade de segurança cibernética incluem cada vez mais disposições que tornam possível responsabilizar pessoalmente os indivíduos por descuidos que levam a problemas como violações de segurança cibernética.
Isto significa que os riscos do incumprimento estão a tornar-se mais acentuados. Embora as cobranças ou multas dirigidas a indivíduos ainda não tenham se tornado uma ocorrência comum, os reguladores em determinadas jurisdições têm o poder de impor este tipo de penalidade contra CIOs, CISOs e outros líderes de TI e empresariais.
Veja aqui quais leis de conformidade incluem disposições de responsabilidade pessoal, por que são importantes e o que os líderes podem fazer para ajudar a proteger a si mesmos, juntamente com as empresas que representam, contra multas e outras penalidades.
O aumento das penalidades de conformidade de responsabilidade pessoal
Historicamente, a penalidade pela violação dos regulamentos de conformidade no espaço de TI resumia-se a multas contra empresas. Este é o principal mecanismo que regulamentações como o Regulamento Geral de Proteção de Dados (GDPR) e a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) usam para punir empresas por não manterem padrões adequados de segurança e privacidade de dados.
No entanto, os regulamentos de conformidade mais recentes estão a associar sanções às empresas com disposições que permitem aos reguladores responsabilizar pessoalmente os indivíduos. Os indivíduos podem enfrentar multas pessoais e, em alguns casos, acusações criminais.
Até à data, surgiram duas leis de conformidade proeminentes que dão aos reguladores a opção de penalizar indivíduos:
- Versão 2 da Diretiva de Segurança de Redes e Informações, mais comumente conhecida como NIS 2. NIS 2 é um regulamento da União Europeia projetado para impor altos padrões de segurança cibernética.
- A Lei de Resiliência Operacional Digital, ou DORA. DORA é também um regulamento da UE concebido para reforçar a segurança cibernética, embora se concentre no setor financeiro.
Embora os detalhes variem um pouco, a premissa geral em ambos os regulamentos é que os líderes que os reguladores considerem grosseiramente negligentes na supervisão de funções relacionadas com a segurança cibernética podem ser pessoalmente responsabilizados.
No geral, é importante notar que os regulamentos não estão escritos de uma forma que sugira que as sanções pessoais serão comuns. Em vez disso, é provável que os reguladores exerçam esta opção apenas em casos de negligência extrema ou intencional. Estes são também, obviamente, regulamentos da UE; até agora, não há indicação de que os reguladores de outras partes do mundo estejam a trabalhar para introduzir disposições de responsabilidade pessoal nas suas leis.
No entanto, o simples facto de as sanções pessoais se terem tornado uma opção para fazer cumprir regulamentos de conformidade num contexto limitado estabelece um precedente que é, no mínimo, interessante. Outras regulamentações permitiram ocasionalmente que os reguladores multassem os responsáveis pela conformidade por falha grave na aplicação dos padrões de conformidade nas suas organizações. E, em casos raros, indivíduos que realizaram atividades maliciosas utilizando os sistemas ou dados informáticos dos seus empregadores enfrentaram acusações criminais. Mas nunca antes os regulamentos abriram a porta à responsabilidade pessoal de qualquer líder ou gestor considerado culpado de participar em falhas de segurança cibernética, incluindo nos casos em que não há provas de intenção criminosa ou deliberadamente maliciosa.
Vale a pena notar, também, que estes regulamentos não incluem disposições sobre penalidades contra indivíduos que não exerçam funções gerenciais ou executivas. Por outras palavras, os contribuintes individuais responsáveis pelas falhas de segurança cibernética não podem ser responsabilizados pessoalmente, mesmo que as suas empresas sejam multadas. Isto sugere que os líderes empresariais e de TI podem ser responsabilizados mesmo em situações em que não cometem pessoalmente erros que levam a violações de segurança cibernética, mas sim em situações em que os funcionários que supervisionam o fazem.
Quão acentuadas são as penalidades de conformidade pessoal?
NIS 2 e DORA são bastante novos. Os reguladores começaram a aplicar totalmente o NIS 2 em outubro de 2024, e a DORA não entrará em vigor até janeiro de 2025.
Devido a este cronograma, até agora não houve casos relatados de penalidades pessoais para executivos ou gestores com base em violações do NIS 2 ou DORA, e não existem atualmente precedentes para determinar quais tipos de multas ou outras penalidades os reguladores podem impor aos indivíduos. Mas, em teoria, as consequências poderiam ser acentuadas. A DORA permite multas a particulares até 1 milhão de euros. A estrutura de sanções NIS 2 é mais complexa porque a lei dá liberdade aos países individuais para determinar exactamente como punir as violações, mas parece que as multas pessoais são uma possibilidade, assim como as potenciais proibições contra indivíduos de continuarem a ocupar cargos de gestão.
Evitando responsabilidade pessoal
A falta de precedentes em torno da aplicação da NIS 2 e da DORA torna difícil dizer o que, exactamente, os executivos e outros líderes empresariais podem fazer para evitar responsabilidades pessoais. Por enquanto, o melhor que as empresas podem fazer é garantir que estão preparadas para estes novos regulamentos, caso operem nas jurisdições e indústrias onde se aplicam.
Muitas empresas, no entanto, parecem ainda não estar totalmente preparadas. No final de 2023, a IDC descobriu que uma minoria de organizações em toda a UE estava a preparar-se ativamente para cumprir os requisitos NIS 2 (Contagem regressiva para NIS 2: Qual é a situação na Europa? IDC, dezembro de 2023). Os esforços de preparação variaram amplamente entre os países, mas em estados como a Bélgica e a Polónia, menos de 20% das empresas afirmaram ter começado a explorar o impacto do NIS 2 nas suas operações.
A investigação da IDC também mostra que, em muitos casos, os líderes de TI podem simplesmente estar a fabricar ou a exagerar afirmações sobre a preparação para cumprir novas exigências de conformidade. Por exemplo, de acordo com um relatório de fevereiro de 2024, 10% das empresas sediadas na Polónia afirmaram já ter concluído uma análise de lacunas como parte dos esforços de preparação para a NIS 2 (IDC CISO Hub, fevereiro de 2024: Previsões de segurança, pesquisa de IA e preocupações com gerenciamento de riscomarço de 2024). Mas nessa altura, a Polónia ainda não tinha publicado um projecto de legislação relacionada com a aplicação do NIS 2 dentro das suas fronteiras, pelo que não poderia ter ocorrido nenhuma análise de lacunas significativa.
Se descobertas como estas servirem de indicação, a empresa típica tem um longo caminho a percorrer para garantir que a organização como um todo, bem como os seus executivos e gestores, não acabem no lado errado dos novos mandatos de conformidade. As consequências do incumprimento são maiores do que nunca, o que significa que a aplicação de excelentes padrões de higiene cibernética em resposta a regulamentações como NIS 2 e DORA tornou-se mais importante do que nunca.
Saiba mais sobre os IDCs pesquisa para líderes de tecnologia OU inscreva-se hoje para receber pesquisas líderes do setor diretamente em sua caixa de entrada.
A International Data Corporation (IDC) é a principal fornecedora global de inteligência de mercado, serviços de consultoria e eventos para os mercados de tecnologia. A IDC é uma subsidiária integral do International Data Group (IDG Inc.), empresa líder mundial em serviços de mídia, dados e marketing de tecnologia. Recentemente eleita a Empresa Analista do Ano pela terceira vez consecutiva, a Technology Leader Solutions da IDC fornece orientação especializada apoiada por nossos serviços de pesquisa e consultoria líderes do setor, programas robustos de liderança e desenvolvimento e os melhores benchmarking e fornecimento de dados de inteligência da categoria. dos consultores mais experientes do setor. Contate-nos hoje para saber mais.
Christopher Tozzi, consultor adjunto de pesquisa do IDC, é professor sênior de TI e sociedade no Rensselaer Polytechnic Institute. Ele também é autor de milhares de postagens em blogs e artigos para diversos sites de mídia tecnológica, bem como de diversas publicações acadêmicas. Antes de voltar ao seu foco atual em pesquisar e escrever sobre tecnologia, Christopher trabalhou em tempo integral como professor titular de história e como analista para uma startup de tecnologia na área da Baía de São Francisco. Ele também é um geek de longa data em Linux e ocupou cargos na administração de sistemas Linux. Esta combinação incomum de habilidades técnicas “duras” com foco em questões sociais e políticas ajuda Christopher a pensar de maneiras únicas sobre como a tecnologia impacta os negócios e a sociedade.
Notícias de Tecnologia:
A conscientização sobre segurança cibernética está atrasada devido a práticas arriscadas de IA
Gastos com TI na Austrália aumentarão em 2025: foco em segurança cibernética e IA
A IA e a automação podem gerenciar adequadamente as ameaças crescentes ao cenário da segurança cibernética?
A IA acabará com o crescimento do emprego em segurança cibernética?
A IA e a automação podem gerenciar adequadamente as ameaças crescentes ao cenário da segurança cibernética?
Vídeo rápido: Apolak Borthakur da Cisco sobre soluções de segurança cibernética e um caminho a seguir