NIS 2 e a Indústria Farmacêutica: A urgência da Cibersegurança no setor

A cibersegurança é hoje uma preocupação central para todas as indústrias, e o setor farmacêutico não é exceção. Com a implementação da Diretiva NIS 2 da União Europeia, a exigência de reforçar a segurança das infraestruturas críticas aumentou substancialmente. O não cumprimento das novas regras pode ter consequências severas para as empresas do setor, desde multas elevadas até impactos diretos na continuidade das operações.

A Diretiva NIS 2 (Network and Information Security) surge como uma evolução da NIS original, ampliando a lista de setores abrangidos e impondo medidas de segurança mais rigorosas. Entre os setores agora incluídos como infraestruturas críticas está a indústria farmacêutica, que desempenha um papel vital na saúde pública e na economia global.

As exigências da NIS 2 incluem:

• Medidas obrigatórias de gestão de riscos em cibersegurança;

• Monitorização contínua e reporte imediato de incidentes;

• Responsabilização da gestão de topo;

• Reforço da segurança na cadeia de abastecimento;

• Auditorias regulares para garantir conformidade.

  
  

O Impacto na Indústria Farmacêutica

O setor farmacêutico movimenta milhares de milhões de euros anualmente e gere dados altamente sensíveis, desde informações pessoais de pacientes até propriedade intelectual de novos medicamentos. As empresas que não investirem numa estratégia de cibersegurança robusta podem enfrentar consequências devastadoras.

Os ataques cibernéticos à indústria farmacêutica têm vindo a aumentar, com exemplos recentes de ransomware, roubo de dados e espionagem industrial. O caso do ataque à Agência Europeia de Medicamentos (EMA) em 2020 evidenciou as vulnerabilidades do setor, com documentos sobre vacinas COVID-19 a serem comprometidos.

Outros ataques significativos incluem:

• O ataque de ransomware Industrial Spy à Novartis em 2022;

• O ataque NotPetya em 2017, que impactou a Merck & Co. e causou perdas globais superiores a 10 mil milhões de dólares;

• A espionagem cibernética a empresas farmacêuticas durante a pandemia de COVID-19, afetando grandes players da indústria.

As Consequências do não Cumprimento

A não conformidade com a NIS 2 não será tratada com leveza. As penalizações podem incluir:

• Multas pesadas: Valores que podem chegar aos 10 milhões de euros ou 2% do volume de negócios global da empresa;

• Responsabilização da gestão: Os administradores podem ser pessoalmente responsabilizados por falhas em cibersegurança;

• Suspensão de atividades: Em casos extremos, as autoridades reguladoras podem exigir a suspensão de operações até que os requisitos sejam cumpridos;

• Danos reputacionais irreparáveis: A confiança dos consumidores, investidores e reguladores pode ser severamente afetada.

Como é que as empresas se devem preparar?

Para mitigar riscos e garantir a conformidade com a NIS 2, as empresas farmacêuticas devem adotar um plano estratégico de cibersegurança que inclua:

• Avaliação de riscos e implementação de medidas de proteção;

• Monitorização contínua e resposta rápida a incidentes;

• Treino e sensibilização dos colaboradores;

• Gestão de segurança na cadeia de abastecimento;

• Testes regulares de vulnerabilidades e auditorias internas.

  
  

A NIS 2 não é apenas um novo requisito regulatório – é um alerta para a importância da cibersegurança no setor farmacêutico. O não cumprimento pode resultar em impactos financeiros severos, perda de credibilidade e até paralisação das operações. As empresas devem agir agora para garantir que estão preparadas para enfrentar as novas exigências e proteger os seus ativos críticos contra ameaças cada vez mais sofisticadas.

A segurança não pode ser uma preocupação secundária – é um imperativo estratégico para o futuro do setor farmacêutico.