Saltar para o conteudo
Avanet
O que a Diretiva NIS 2 da UE significa para as empresas

O que a Diretiva NIS 2 da UE significa para as empresas

A Diretiva NIS 2 da UE pretende elevar a cibersegurança na Europa para um novo patamar. Torna mais rigorosos os requisitos de segurança para as empresas e alarga o âmbito de aplicação a setores adicionais. Desta forma, a UE reage aos riscos crescentes de ciberataques e promove uma maior harmonização dos requisitos de segurança entre os Estados-Membros.

Introdução à diretiva NIS 2

A Diretiva da UE relativa à segurança das redes e dos sistemas de informação, mais conhecida como NIS 2, é a sucessora da primeira Diretiva NIS de 2016. Foi desenvolvida para responder às ameaças cada vez maiores à cibersegurança na UE, agravadas em particular pela digitalização crescente e pela pandemia de COVID-19. A nova Diretiva NIS 2 foi adotada em 16 de janeiro de 2023, e os Estados-Membros tinham até 17 de outubro de 2024 para a transpor para o direito nacional.

Os principais objetivos da Diretiva NIS 2 são elevar os requisitos de segurança na UE, otimizar a comunicação de incidentes de segurança e harmonizar os regimes de sanções entre os Estados-Membros. Isto é alcançado através do alargamento do âmbito de aplicação da diretiva a outros setores e entidades. A diretiva pretende obrigar todos os intervenientes relevantes, tanto públicos como privados, a manter um nível elevado de cibersegurança. Com isso, consegue-se uma maior harmonização dos requisitos de segurança na UE, para melhorar a proteção de serviços críticos e garantir maior resiliência contra ciberataques.

A Diretiva NIS 2 garante que a UE está preparada, tanto a nível tecnológico como regulatório, para enfrentar os desafios da cibersegurança num mundo cada vez mais digitalizado. Numa altura em que as ameaças de cibercriminosos se tornam cada vez mais complexas e agressivas, é decisivo assegurar um nível elevado de segurança através de orientações claras e requisitos rigorosos. Isto aplica-se não só às infraestruturas críticas, mas também a uma vasta gama de empresas que prestam serviços essenciais para a vida em sociedade.

Porque é necessária a NIS 2?

A Diretiva NIS 2 surgiu como resposta às ameaças crescentes à cibersegurança. A COVID-19 e a digitalização aumentaram a dependência de infraestruturas digitais e, consequentemente, também o risco de ciberataques. As ameaças de ransomware e outros ciberataques atingiram entretanto uma escala industrial, o que torna necessário harmonizar e melhorar os standards de cibersegurança na UE. Ataques a infraestruturas críticas e empresas podem ter efeitos devastadores e consequências profundas para a sociedade. Por isso, a adaptação e o alargamento da diretiva são passos essenciais para enfrentar melhor estas ameaças.

Outro elemento central da Diretiva NIS 2 é o reforço da cibersegurança nas cadeias de fornecimento. Isto significa que não só as infraestruturas críticas devem ser protegidas, mas também os seus fornecedores e prestadores de serviços, para minimizar riscos ao longo de toda a cadeia. Isto é particularmente importante porque muitas empresas trabalham em estreita colaboração com parceiros e fornecedores, criando potenciais lacunas de segurança que os atacantes poderiam explorar. Uma cadeia de fornecimento estável e segura é decisiva para minimizar riscos para todos os intervenientes e garantir que a cibersegurança é considerada de forma abrangente.

A Diretiva NIS 2 também tem como objetivo promover uma cultura de cibersegurança em toda a UE. Isto significa não só a introdução de medidas técnicas e organizacionais, mas também o reforço da cooperação entre os Estados-Membros da UE. A criação de Computer Security Incident Response Teams (CSIRTs) nacionais e a designação de autoridades nacionais responsáveis pela estratégia de cibersegurança e pela gestão de crises contribuem para uma infraestrutura de segurança forte. Os CSIRTs são responsáveis pela reação rápida a incidentes e pela coordenação com outros países, para minimizar os impactos dos ataques e aumentar a segurança.

A Diretiva NIS 2 exige ainda a criação de um grupo de cooperação que apoie a colaboração e a troca de informações entre os Estados-Membros. Este grupo promove uma cooperação estratégica e garante que a UE possa adaptar-se rapidamente a novas ameaças. A troca de informações entre os Estados-Membros permite identificar e combater as ameaças mais rapidamente e ajuda a criar uma base de segurança comum. Através destas medidas, a UE torna-se mais resiliente a ataques e pode responder melhor às ciberameaças.

Principais novidades da Diretiva NIS 2

Âmbito de aplicação alargado

A Diretiva NIS original abrangia uma série de setores críticos, incluindo saúde, energia, transportes e infraestruturas digitais. A Diretiva NIS 2 alarga este âmbito de aplicação a 18 setores, incluindo administração pública, investigação, espaço e cadeia de abastecimento alimentar. Este alargamento é necessário porque muitos dos setores hoje considerados críticos não estavam anteriormente suficientemente cobertos pela legislação. O âmbito de aplicação alargado garante a proteção de um conjunto mais amplo de infraestruturas importantes, fortalecendo assim a resiliência da sociedade europeia.

Os setores agora abrangidos incluem também áreas como gestão de resíduos, espaço, cadeia de abastecimento alimentar e prestadores de serviços postais públicos. Estes setores são essenciais para a vida quotidiana e para o bem-estar geral dos cidadãos. O alargamento do âmbito de aplicação garante que não só as infraestruturas críticas clássicas, mas também outros serviços importantes para a vida pública ficam protegidos. Isto é particularmente importante para assegurar que as medidas de cibersegurança atuam da forma mais abrangente possível e cobrem todos os potenciais pontos de ataque.

Outro aspeto importante da Diretiva NIS 2 é a distinção entre entidades “essenciais” e “importantes”. As entidades essenciais são empresas cujos serviços são de importância central para a vida social e cuja falha poderia ter consequências graves. As entidades importantes também são de grande importância, mas o impacto potencial de uma falha é menos abrangente. Esta distinção permite que os recursos sejam utilizados especificamente onde são mais necessários e que os requisitos de segurança mais elevados sejam aplicados às áreas mais vulneráveis.

Novos requisitos de cibersegurança

A Diretiva NIS 2 prevê uma série de novos requisitos, incluindo:

  1. Medidas de gestão de riscos: Devem ser tomadas medidas técnicas, organizacionais e operacionais adequadas para controlar os riscos para redes e sistemas de informação. Estas medidas incluem análise de risco, implementação de políticas de segurança e garantia de backups e gestão de crises. Análises regulares de vulnerabilidades e testes de penetração também são exigidos para garantir que potenciais pontos de ataque são identificados e corrigidos atempadamente.
  2. Obrigações de comunicação: Em caso de incidentes, deve ser feita uma comunicação inicial às autoridades nacionais no prazo de 24 horas, seguida de atualizações adicionais no prazo de 72 horas. O objetivo é identificar ameaças mais rapidamente e promover a cooperação a nível da UE na gestão de incidentes. As empresas devem garantir que todas as informações relevantes para a segurança são registadas e comunicadas em detalhe, para que as autoridades competentes tenham uma visão completa da situação.
  3. Responsabilidade da gestão: A gestão é diretamente responsabilizada pelo cumprimento dos requisitos da NIS 2. Em caso de infrações, podem aplicar-se coimas elevadas ou, em casos extremos, até uma proibição temporária de exercer funções de gestão. Isto pretende garantir que a direção da empresa leva a cibersegurança a sério e apoia proativamente as medidas adequadas. A responsabilidade pessoal da administração serve de incentivo para assegurar que as medidas de segurança necessárias não são apenas planeadas, mas também efetivamente implementadas.
  4. Certificação e auditoria: O cumprimento dos requisitos deve ser demonstrado através de auditorias regulares ou auditorias de segurança. Embora uma certificação explícita não seja prescrita, pode ser exigida pelo direito nacional. As auditorias são um instrumento essencial para verificar e, se necessário, ajustar a implementação das medidas de cibersegurança. Recomenda-se a utilização de standards de segurança como a ISO/IEC 27001, para garantir que as medidas cumprem boas práticas reconhecidas internacionalmente.

Sanções por incumprimento

A Diretiva NIS 2 prevê sanções elevadas quando os requisitos não são cumpridos. Para as “entidades essenciais”, estão previstas coimas de até 10 milhões de euros ou 2% do volume de negócios anual mundial, consoante o valor mais elevado. Para as “entidades importantes”, são possíveis coimas de até 7 milhões de euros ou 1,4% do volume de negócios anual. Estas sanções elevadas destinam-se a impor o cumprimento dos requisitos de segurança e a garantir que a cibersegurança é tratada como prioridade. Além das sanções financeiras, podem também surgir responsabilidade pessoal e consequências legais para a gestão da empresa, especialmente em caso de infrações graves.

Como a Sophos ajuda no cumprimento da NIS 2

A Sophos oferece várias soluções que ajudam no cumprimento da Diretiva NIS 2. Entre elas estão:

  • Sophos Phish Threat: Uma ferramenta para formação de colaboradores que realiza ataques de Phishing simulados para aumentar a segurança no local de trabalho. Através de formação contínua, os colaboradores ficam preparados para reconhecer ataques de Phishing e proteger-se proativamente contra eles, uma das medidas mais eficazes contra ciberameaças. Publicação no blog sobre Sophos Phish Threat
  • Sophos Managed Detection and Response (MDR): Monitorização 24/7 do ambiente de segurança, que deteta incidentes e reage antes que estes possam ter impacto negativo. Sophos MDR combina tecnologias avançadas com experiência humana para garantir que as ameaças são identificadas e neutralizadas a tempo.
  • Sophos Firewall: Oferece proteção de rede abrangente, alinhada com os requisitos da Diretiva NIS 2, e permite detetar e travar ameaças numa fase inicial. A Sophos Firewall oferece visibilidade profunda sobre o tráfego de rede e permite um controlo preciso do fluxo de dados para isolar potenciais ameaças.
  • Sophos Cloud Optix: Uma ferramenta que monitoriza continuamente ambientes cloud e garante o cumprimento de standards de configuração para prevenir manipulações. Com o Sophos Cloud Optix, as empresas podem assegurar que os seus recursos cloud seguem as melhores práticas de segurança e que potenciais riscos são identificados atempadamente.
  • Sophos XDR (Extended Detection and Response): Permite aos analistas detetar, analisar e responder a ameaças em todas as principais superfícies de ataque. Sophos XDR recolhe e correlaciona dados de diferentes fontes e fornece uma visão abrangente da postura de segurança de uma empresa, permitindo uma resposta rápida a incidentes.

As soluções Sophos cobrem muitos dos requisitos previstos na Diretiva NIS 2 e ajudam a estar preparado da melhor forma para potenciais ameaças. Com estas soluções de proteção abrangentes, é possível garantir que as medidas necessárias para cumprir a diretiva são implementadas e que, ao mesmo tempo, a postura geral de segurança da empresa é reforçada.

Mais informações na página Sophos NIS-2.

O que é necessário fazer?

Para garantir o cumprimento dos requisitos da Diretiva NIS 2, devem ser tomadas algumas medidas centrais:

  1. Análise dos requisitos: É necessário verificar se a própria empresa se enquadra na categoria de entidade “essencial” ou “importante” e avaliar que procedimentos são necessários para cumprir os requisitos da Diretiva NIS 2. Esta análise deve ser rigorosa e sistemática, para identificar vulnerabilidades e iniciar os passos necessários à sua correção.
  2. Implementação de estratégias: Devem ser implementados os passos técnicos, organizacionais e operacionais necessários. Isto inclui a realização de análises de risco, a criação de políticas de segurança, a implementação de gestão de emergência e formações regulares para os colaboradores. A formação dos colaboradores é uma parte importante da estratégia de segurança, uma vez que o fator humano representa frequentemente a maior vulnerabilidade.
  3. Utilização de ferramentas adequadas: Devem ser usadas soluções adequadas de segurança de TI, como as da Sophos, para cumprir os requisitos da diretiva e garantir que a empresa está protegida. As ferramentas utilizadas devem ser atualizadas regularmente e a sua eficácia deve ser verificada, para garantir que resistem às ameaças mais recentes.
  4. Revisão e adaptação regulares: O panorama da cibersegurança está em constante mudança, por isso é importante realizar revisões periódicas das medidas de segurança e adaptá-las quando necessário. As empresas devem garantir que estão atualizadas do ponto de vista tecnológico e melhorar continuamente as suas estratégias de segurança, para se manterem sempre um passo à frente de novas ameaças.

Últimas palavras

A Diretiva NIS 2 representa um passo importante para melhorar a cibersegurança na Europa. Devem ser tomadas agora as medidas necessárias para garantir que os novos requisitos são cumpridos e que a proteção de redes e sistemas é reforçada. Isto é particularmente importante porque as ameaças no espaço digital continuam a aumentar e só podem ser combatidas eficazmente através de uma abordagem conjunta e coordenada.

Com o apoio abrangente de soluções como as da Sophos, é possível superar este desafio e garantir tanto o cumprimento dos requisitos da diretiva como o reforço da segurança própria. A implementação da Diretiva NIS 2 é uma oportunidade para rever e melhorar a arquitetura de segurança, não apenas para cumprir requisitos legais, mas também para tornar a empresa, como um todo, mais resiliente a ciberameaças.

Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.