p Um novo estudo conduzido por acadêmicos do Cloud Legal Project da Queen Mary University of London descobriu que os atuais padrões de segurança cibernética estabelecidos pela União Europeia, conhecido como a Diretiva NIS, não vá longe o suficiente e pode ser potencialmente prejudicada. p Os Regulamentos NIS 2018, que implementam a Diretiva NIS no Reino Unido, visam garantir que os operadores de serviços essenciais sejam protegidos contra interrupções, exigindo que eles tomem medidas "apropriadas e proporcionais" no que diz respeito à segurança cibernética.

p Conformidade é subjetiva

p A pesquisa, que se concentrava em aeroportos como Heathrow e companhias aéreas como a British Airways, descobriram que para cumprir o regulamento, os operadores de serviço devem identificar, avaliar, e, em seguida, abordar os riscos cibernéticos que eles enfrentam. Contudo, tal gerenciamento de risco inevitavelmente envolve um nível de julgamento subjetivo e compensações.

p De acordo com os pesquisadores, os requisitos da diretiva são muito vagos e abertos à interpretação, o que significa que alguns aeroportos e companhias aéreas só podem implementar as medidas de segurança que consideram ser do seu próprio interesse comercial. Os provedores de serviços podem até mesmo abusar de seu arbítrio, envolvendo-se em 'conformidade em papel' - criando muita documentação de segurança para mostrar aos reguladores, sem mudar significativamente sua abordagem, efetivamente colocando os lucros à frente da segurança cibernética.

p Requisitos vagos são difíceis de medir

p A pesquisa também descobriu que a natureza vaga da Diretiva NIS pode dificultar para os reguladores, como a Autoridade de Aviação Civil, para policiar efetivamente se os requisitos de segurança estão sendo atendidos ou não. O estudo surge após várias falhas de TI de alto perfil no setor de aviação civil.

p Dave Michels, Pesquisador do Queen Mary's Center for Commercial Law Studies, e co-autor do documento disse:"Os reguladores precisarão monitorar cuidadosamente os aeroportos e companhias aéreas e desafiar suas abordagens conforme necessário. Isso exigirá que eles contratem especialistas em segurança cibernética para fazer isso com eficácia".

p Ian Walden, O professor de Direito da Informação e Comunicações e co-autor do estudo acrescentou:"O Brexit pode complicar ainda mais as coisas devido à saída do Reino Unido da Agência Europeia de Segurança Cibernética, que desempenha um papel importante ao fornecer diretrizes para conformidade e compartilhar as melhores práticas. "