O Comitê Europeu para a Proteção de Dados (EDPB) e o Supervisor Europeu para a Proteção de Dados (EDPS) adotaram recentemente um parecer conjunto sobre a proposta da Comissão Europeia para o Cybersecurity Act 2 (CSA2) e as emendas à Diretiva NIS2. O documento destaca que a relação entre cibersegurança e proteção de dados é recíproca e profundamente interligada, estabelecendo que a segurança deve servir para proteger dados pessoais sem comprometer os direitos e liberdades fundamentais dos indivíduos.
Para o profissional de TI brasileiro, essa movimentação na União Europeia é um indicativo claro de como os frameworks de conformidade global, incluindo a LGPD, devem evoluir para integrar infraestrutura e privacidade de forma indissociável.
A Convergência entre Segurança e Direitos Fundamentais
Segundo Anu Talus, presidente do EDPB, enquanto a cibersegurança limita riscos de acesso indesejado ou modificação de dados, é vital que os controles de segurança não se tornem ferramentas que prejudiquem a privacidade. A proposta europeia busca criar um ecossistema onde a resiliência digital e a privacidade caminhem juntas, fortalecendo o papel da ENISA (Agência da União Europeia para a Cibersegurança). Essa integração visa reduzir a fragmentação regulatória que muitas vezes sobrecarrega departamentos de infraestrutura e segurança da informação.
| Aspecto | Status NIS2 Original | Proposta CSA2 / NIS2 Atualizada |
|---|---|---|
| Notificação de Incidentes | Processos fragmentados | Ponto de entrada único (Single-entry point) |
| Escopo de Entidades | Foco em setores críticos tradicionais | Inclusão de Carteiras de Identidade Digital |
| Papel da ENISA | Suporte técnico consultivo | Mandato reforçado e cooperação com EDPB/EDPS |
| Cadeia de Suprimentos | Foco em vulnerabilidades técnicas | Avaliação de riscos técnicos e não técnicos |
Arraste para o lado para ver toda a tabela.
Fortalecimento da ENISA e Gestão da Cadeia de Suprimentos
Um dos pontos centrais do parecer é o apoio ao fortalecimento da ENISA para facilitar a adoção de certificações de cibersegurança. O EDPB e o EDPS defendem que a agência deve abordar não apenas riscos técnicos, mas também riscos não técnicos nas cadeias de suprimentos de TIC. Isso inclui a análise de fornecedores e a integridade dos processos de fabricação e distribuição de software e hardware. Para arquitetos de soluções e gestores de infraestrutura, isso sinaliza uma exigência maior de transparência por parte dos vendors globais.
Certificação e Sincronia com o GDPR
Para garantir a consistência normativa, o parecer sugere que a ENISA consulte o EDPB antes de adotar esquemas de certificação que envolvam o processamento de dados pessoais. O objetivo é evitar que uma certificação de cibersegurança entre em conflito com as exigências do GDPR (e, por extensão, da LGPD no contexto brasileiro). As recomendações incluem:
Esclarecimento da relação entre certificações de cibersegurança e certificações de proteção de dados.
Inclusão de controles de segurança que ajudem a demonstrar conformidade com o GDPR em produtos e serviços.
Expansão do Quadro Europeu de Competências em Cibersegurança para incluir perfis gerais de força de trabalho, e não apenas especialistas.
Notificação Unificada e Carteiras Digitais
Uma mudança prática significativa proposta é a criação de um ponto de entrada único para a notificação de violações de dados pessoais. Atualmente, organizações enfrentam uma carga administrativa pesada ao ter que reportar incidentes a múltiplas autoridades sob diferentes prazos e formatos. A unificação desse processo promete reduzir custos operacionais e acelerar a resposta a incidentes. Além disso, os provedores de Carteiras Digitais Europeias (Wallets) foram designados como entidades essenciais, o que impõe a esses serviços os níveis mais rigorosos de vigilância e resiliência cibernética.
Impacto para o Profissional de TI no Brasil
Embora as diretrizes sejam europeias, o efeito cascata no Brasil é imediato. Empresas brasileiras que operam com dados de cidadãos europeus ou que buscam parcerias internacionais precisarão alinhar seus frameworks de segurança ao CSA2 e à NIS2. Além disso, a Autoridade Nacional de Proteção de Dados (ANPD) frequentemente utiliza as resoluções do EDPB como doutrina para interpretar a LGPD. Profissionais de DevOps e CISO devem observar de perto a implementação do ponto de entrada único para notificações, pois esse modelo de eficiência administrativa é um forte candidato a ser replicado em futuras revisões da nossa legislação nacional.