O que as pequenas e médias empresas precisam saber sobre os novos regulamentos de segurança cibernética da UE
NotíciaCom um aumento contínuo do cibercrime, a UE tem elaborado nova legislação que terá impacto em todas as empresas. O Regulamento Geral de Proteção de Dados (GDPR) e a Diretiva de Segurança de Rede e Informações (NIS) exigirão que as empresas cumpram ou atuem com relação a determinados requisitos de segurança cibernética. O que eles significam para pequenas empresas e como elas gerenciam sua segurança??
Em essência, os novos regulamentos visam proporcionar uma comunidade empresarial mais consciente da segurança. A estrutura legal que atualmente se aplica a todas as formas de dados digitais que sua empresa possa ter sobre clientes ou parceiros comerciais precisará agora ser fortalecida. Sua empresa já pode ter lidado com a chamada "lei de cookies", que agora rege as assinaturas de seu site e como as informações pessoais são usadas. O GDPR vai muito além.
Adam Palmer, diretor de relações governamentais internacionais da FireEye, explicou: "A diretiva NIS é voltada exclusivamente para segurança, enquanto o GDPR é focado na privacidade de dados. Cada um deles tem regras e escopo diferentes. O GDPR se aplica a qualquer entidade que processe os dados pessoais." Residentes da UE relacionados com a oferta de bens ou serviços ou para monitorizar o seu comportamento.
"A Diretiva NIS aplica-se de forma mais restrita a" operadores de serviços essenciais "e prestadores de serviços digitais com 50 ou mais trabalhadores. A Diretiva NIS exige que as entidades abrangidas pelo âmbito da Diretiva NIS implementem medidas de segurança" avançadas "que" garantam uma nível de segurança adequado ao risco "."
As alterações que Bruxelas deseja fazer, em essência, tornam toda a informação relacionada a um consumidor ou parceiro de negócios 'pessoal' e, como tal, precisa ter uma forte segurança aplicada a ela. Com tantas informações pessoais compartilhadas por toda a UE a cada segundo, espera-se que as novas regulamentações tornem essas informações muito mais seguras.
Os regulamentos GDPR se aplicam a empresas de médio porte com 250 funcionários ou mais. E as penalidades declaradas parecem ser altas em € 20 milhões (cerca de £ 15,8 milhões, ou US $ 23,2 milhões) ou 4% do faturamento anual, o que for maior.
Indústrias inteiras estão sendo transformadas usando dados para criar produtos e serviços personalizadosVantagens de uma abordagem proativa
Jason du Preez, CEO da Privitar: "Nossa economia global é dependente de tomada de decisão baseada em dados. Todo o setor está sendo transformado usando dados para criar produtos e serviços personalizados em todos os setores imagináveis. O GDPR representa uma grande mudança em quão grande os investimentos em análise de dados podem ser projetados, entregues e aproveitados.
"As organizações têm dois anos para cumprir o GDPR, mas as que são pró-ativas podem ganhar vantagem competitiva conquistando a confiança do cliente. Quanto mais os clientes entenderem como seus dados estão sendo usados e com que finalidade, menor a probabilidade de desativá-los simplesmente porque não entendo o arranjo no lugar ".
Para a maioria das organizações que se enquadram no escopo das novas regulamentações, será necessário um novo posto de Diretor de Proteção de Dados (DPO) se seus processos de negócios exigirem o armazenamento e a manipulação de certas categorias de dados.
Andy Green, especialista sênior em conteúdo técnico, Varonis, explica: "O GDPR é uma lei enorme e complexa. E os redatores dos regulamentos estavam cientes de que pequenas e pequenas empresas não seriam capazes de lidar com tudo isso..
"Eles fizeram algumas exceções aos requisitos mais onerosos, e também deram às DPAs (Autoridades de Proteção Digital), por exemplo, o poder de levar em conta o tamanho do negócio em termos de aplicação da proporcionalidade da lei, em suas palavras..
Por exemplo, as PMEs geralmente são dispensadas do requisito de contratação de um DPO de dados. Há também exceções feitas para DPIAs (Data Protection Impact Assessments), que é um novo requisito para documentar os efeitos da coleta de dados muito confidenciais. também diminuiu para SMBs.
"Meu sentimento geral é de que, se uma pequena / média empresa segue as idéias de 'Privacy By Design', que é muito referida no GDPR, elas estarão bem - especialmente os princípios de minimizar a coleta de dados pessoais e manter registros do consumidor por mais tempo do que o necessário. "
- Alterações no Regulamento Europeu de Proteção de Dados: uma olhada no GDPR