A NIS2 e a Diretiva Resiliência das Entidades Críticas (RCE) andam de mãos dadas. Ambas mudarão a forma como os sectores público e privado pensam a segurança e alterarão o rumo das estratégias de continuidade das actividades. Ambas abrangem a mesma lista de sectores e indústrias definidos como "entidades críticas", e ambas colocam as mesmas pessoas numa posição de responsabilidade em caso de violação.
Mas enquanto a NIS2 define limites vitais em torno da cibersegurança, a CER é, basicamente, "tudo o resto". Os seus princípios fundamentais afirmam, em termos simples, que todas as empresas abrangidas pelo seu âmbito de aplicação devem poder continuar a funcionar, aconteça o que acontecer. Isto pode significar uma catástrofe natural, um ataque físico, um erro humano ou mesmo um ciberataque.
Além disso, uns apoiam os outros. Sem o tipo de infraestrutura de TI segura a que a NIS2 conduz, não há base para a resiliência; sem a resiliência das infra-estruturas críticas - definidas em termos muito gerais pela CER como "um ativo, uma instalação, um equipamento, uma rede ou um sistema" - os objectivos da NIS2 não podem ser atingidos.
Trabalhar com um prazo apertado
Todas as empresas abrangidas pelo âmbito de aplicação têm agora de auditar o seu processo de avaliação de riscos e garantir que a forma como abordam a sua atividade corresponde - e têm de o fazer imediatamente. O prazo de julho de 2026 da Comissão Europeia para os Estados-Membros identificarem a sua própria lista de entidades críticas pode parecer implicar que há muito tempo para trabalhar, mas quaisquer medidas têm de ser aplicadas antes dessa data.
Tal como todos os novos dispositivos introduzidos nas actividades das "entidades críticas" têm de ser alinhados com a NIS2, todos os projectos, actualizações e alterações de infra-estruturas têm agora de colocar a continuidade das actividades no topo da folha de especificações. Serão necessárias novas avaliações de risco para todos os processos críticos, mesmo os que fazem parte da infraestrutura existente. É essencial uma nova forma de pensar e monitorizar os riscos.
CER: Um novo nível de diligência
O RCE e o SRI2 atraem novos sectores para a supervisão regulamentar e obrigam indústrias como o tratamento de águas, os transportes, os cuidados de saúde, a alimentação e a gestão de resíduos a apresentar um nível de prova dos seus planos de continuidade das actividades. Os Estados-Membros da UE recorrerão a auditorias e inspecções no local para garantir que essas entidades apresentem o nível adequado de resiliência técnica, de segurança e de organização.
A apresentação de relatórios também se torna mais rigorosa. A CER estabelece que os eventos susceptíveis de causar perturbações na atividade devem ser comunicados, independentemente de terem ou não impacto na continuidade da atividade. Mas a adaptação a estas novas normas pode não exigir uma remodelação completa do equipamento.
Por isso, voltamos à ideia de um novo pensamento. Em muitos casos, o equipamento necessário para detetar novos incidentes, observar máquinas ou sistemas críticos e até prevenir actividades humanas perigosas já está instalado. Só precisa de ser pensado de uma forma diferente.
Repensar a câmara como um sensor
As câmaras de vigilância actuais são, em muitos casos, o sensor mais potente a funcionar nas instalações de uma entidade. Os processadores potentes, os motores de análise e a tecnologia de IA das câmaras modernas oferecem uma oportunidade de as utilizar para mais do que a segurança. Permitir que um dispositivo tão capaz faça apenas um trabalho parece um desperdício.
Aponte uma câmara térmica para um conjunto de máquinas, por exemplo, e pode oferecer ao operador um feedback visual sobre a temperatura desse equipamento. Bastante simples. No entanto, aproveite as suas capacidades de recolha de dados e poderá definir 100 pontos na sua imagem, recolher números precisos de cada um, enviá-los através de um protocolo industrial como o Modbus ou o MQTT e integrar totalmente esses dados numa interface operacional.
Fazer mais com os dados dos sensores
As entidades críticas serão obrigadas a melhorar a continuidade das localizações remotas. Uma câmara numa subestação de eletricidade, por exemplo, poderia detetar o estado do equipamento, estar atenta às condições meteorológicas, gerar um alerta se uma pessoa se aproximasse demasiado de dispositivos perigosos ou até inspecionar anonimamente os trabalhadores no local para verificar se têm o EPI adequado, bem como monitorizar o perímetro para detetar intrusões.
Nada disto exige que um operador de câmara esteja constantemente a observar. As técnicas algorítmicas ou um motor de IA executado diretamente na câmara podem monitorizar todo o seu campo de visão. Uma câmara pode prever um deslizamento de terras ou uma inundação, ouvir o som de uma turbina e detetar pequenas alterações de inclinação que indicam uma avaria, ou emitir um alarme como parte de um sistema de controlo de acesso. Trata-se de uma plataforma verdadeiramente flexível.
Um caminho unido para o futuro
Naturalmente, cada caso de utilização é único. As aplicações "drop-in" adequam-se a algumas situações, para outras é necessário criar uma solução à medida. Muito pode ser feito com a IA, mas os modelos de IA devem ser treinados extensivamente antes de poderem ser eficazes. E o lugar da câmara na monitorização ainda está a solidificar-se, particularmente aos olhos dos executivos: eles têm de aprender a importância do CER e o potencial das câmaras para acelerar o processo de alinhamento com os objectivos do CER.
A chave é que deve ser o hardware certo. As câmaras com plataformas abertas permitem o tipo de inovação que o CER e os seus similares exigem e facilitam a colaboração cruzada entre indústrias críticas. O objetivo é a estabilidade, a segurança e a resiliência para todos, com dispositivos que satisfaçam as exigências da NIS2 e da CER em igual medida, apoiados por vendedores e fornecedores que conhecem esse equipamento por dentro e por fora. Esse conhecimento e essa união são o caminho para um mundo mais inteligente e mais seguro.
