Saltar para o conteudo
Avanet
O que a diretiva NIS 2 da UE significa para as empresas

O que a diretiva NIS 2 da UE significa para as empresas

3. DEZEMBRO 2024

A diretiva NIS 2 da UE visa elevar a cibersegurança na Europa para um novo nível. Aperta os requisitos de segurança para as empresas e estende o âmbito de aplicação a setores adicionais. Assim, a UE reage aos crescentes riscos de ciberataques e promove uma maior harmonização dos padrões de segurança nos Estados-Membros.

Introdução à diretiva NIS 2

A Diretiva da UE sobre segurança de redes e sistemas de informação, mais conhecida como NIS 2, é a sucessora da primeira Diretiva NIS de 2016. Foi desenvolvida para responder às ameaças cada vez maiores à cibersegurança na UE, que foram exacerbadas, em particular, pela crescente digitalização e pela pandemia de COVID-19. A nova Diretiva NIS 2 foi adotada em 16 de janeiro de 2023, e os Estados-Membros têm até 17 de outubro de 2024 para a transpor para o direito nacional.

Os principais objetivos da Diretiva NIS 2 são aumentar os requisitos de segurança na UE, otimizar a notificação de incidentes de segurança e harmonizar as regulamentações de sanções entre os Estados-Membros. Isso é alcançado através da extensão do âmbito de aplicação da diretiva a outros setores e entidades. A diretiva visa obrigar todos os atores relevantes, tanto públicos quanto privados, a um alto nível de cibersegurança. Isso resultará numa maior harmonização dos padrões de segurança na UE para melhorar a proteção de serviços críticos e garantir maior resiliência contra ciberataques.

A Diretiva NIS 2 garante que a UE está posicionada tecnológica e regulatoriamente para enfrentar os desafios da cibersegurança, mesmo em um mundo cada vez mais digitalizado. Numa altura em que as ameaças de cibercriminosos se tornam cada vez mais complexas e agressivas, garantir um alto nível de segurança através de especificações claras e requisitos rigorosos é crucial. Isso aplica-se não só às infraestruturas críticas, mas também a uma vasta gama de empresas que fornecem serviços essenciais para a vida social.

Por que a NIS 2 é necessária?

A diretiva NIS 2 surgiu em resposta às crescentes ameaças à cibersegurança. A COVID-19 e a digitalização aumentaram a dependência de infraestruturas digitais e, consequentemente, também o risco de ciberataques. As ameaças de ransomware e outros ciberataques atingiram agora um nível industrial que torna necessário padronizar e melhorar os padrões de cibersegurança na UE. Ataques a infraestruturas e empresas críticas podem ter efeitos devastadores e consequências de longo alcance para a sociedade. Portanto, adaptar e expandir a diretiva é um passo essencial para melhor combater essas ameaças.

Outro elemento central da Diretiva NIS 2 é o reforço da cibersegurança nas cadeias de abastecimento. Isso significa que não só as infraestruturas críticas devem ser protegidas, mas também os seus fornecedores e prestadores de serviços, para minimizar os riscos em toda a cadeia de abastecimento. Isso é de particular importância, pois muitas empresas trabalham em estreita colaboração com parceiros e fornecedores e, portanto, podem surgir potenciais falhas de segurança que os atacantes poderiam explorar. Uma cadeia de abastecimento estável e segura é crucial para minimizar os riscos para todos os atores envolvidos e garantir que a cibersegurança é considerada de forma abrangente.

A Diretiva NIS 2 visa também promover uma cultura de cibersegurança em toda a UE. Isso significa não só a introdução de ações técnicas e organizacionais, mas também a promoção da cooperação entre os Estados-Membros da UE. A criação de Equipas Nacionais de Resposta a Incidentes de Segurança Informática (CSIRTs) e a designação de autoridades nacionais responsáveis pela estratégia de cibersegurança e gestão de crises contribuem para a criação de uma forte infraestrutura de segurança. Os CSIRTs são responsáveis pela resposta rápida a incidentes e pela coordenação com outros países para minimizar o impacto dos ataques e aumentar a segurança.

A Diretiva NIS 2 exige ainda a criação de um grupo de cooperação que apoie a colaboração e a troca de informações entre os Estados-Membros. Este grupo promove uma cooperação estratégica e garante que a UE possa adaptar-se rapidamente a novas ameaças. A troca de informações entre os Estados-Membros permite identificar e combater as ameaças mais rapidamente e ajuda a criar uma base de segurança comum. Através destas medidas, a UE torna-se mais resiliente a ataques e pode responder melhor às ciberameaças.

Inovações essenciais da Diretiva NIS 2

Âmbito de aplicação alargado

A Diretiva NIS original abrangia uma série de setores críticos, incluindo saúde, energia, transportes e infraestruturas digitais. A Diretiva NIS 2 alarga este âmbito de aplicação a 18 setores, incluindo a administração pública, investigação, espaço e a cadeia de abastecimento alimentar. Esta extensão é necessária porque muitos dos setores atualmente considerados críticos não estavam anteriormente adequadamente cobertos pela legislação. O âmbito de aplicação alargado garante que uma variedade de infraestruturas importantes são protegidas, fortalecendo assim a resiliência da sociedade europeia.

Os setores recém-abrangidos incluem também áreas como a gestão de resíduos, o espaço, a cadeia de abastecimento alimentar e os fornecedores de serviços postais públicos. Estes setores são de importância crucial para a vida diária e o bem-estar geral dos cidadãos. A extensão do âmbito de aplicação garante que não só as infraestruturas críticas clássicas, mas também outros serviços importantes para a vida pública são protegidos. Isto é particularmente importante para garantir que as medidas de cibersegurança são o mais abrangentes possível e cobrem todos os potenciais pontos de ataque.

Outro aspeto importante da Diretiva NIS 2 é a distinção entre entidades “essenciais” e “importantes”. As entidades essenciais são empresas cujos serviços são de importância central para a vida social e cuja falha poderia ter consequências graves. As entidades importantes também são de grande importância, mas o impacto potencial de uma falha é menos abrangente. Esta distinção permite que os recursos sejam utilizados especificamente onde são mais necessários e que os requisitos de segurança mais elevados sejam aplicados às áreas mais vulneráveis.

Novos requisitos de cibersegurança

A Diretiva NIS 2 prevê uma série de novos requisitos, incluindo:

  1. Medidas de gestão de riscos: Devem ser tomadas medidas técnicas, organizacionais e operacionais adequadas para controlar os riscos para as redes e sistemas de informação. Estas medidas incluem a análise de riscos, a implementação de políticas de segurança e a garantia de backups e gestão de crises. Análises de vulnerabilidades e testes de penetração regulares também são exigidos para garantir que potenciais vetores de ataque possam ser identificados e corrigidos precocemente.
  2. Obrigações de comunicação: Em caso de incidentes, uma notificação inicial deve ser feita às autoridades nacionais dentro de 24 horas, seguida de atualizações adicionais dentro de 72 horas. O objetivo é identificar ameaças mais rapidamente e promover a cooperação a nível da UE na gestão de incidentes. As empresas devem garantir que todas as informações relevantes para a segurança são registadas e comunicadas em detalhe para que as autoridades responsáveis tenham uma imagem completa da situação.
  3. Responsabilidade da gestão: A gestão é diretamente responsabilizada pelo cumprimento dos requisitos da NIS 2. As violações podem resultar em multas elevadas ou, em casos extremos, até mesmo numa proibição temporária de exercer funções de gestão. Isto visa garantir que a gestão da empresa leva a cibersegurança a sério e apoia proactivamente as ações apropriadas. A responsabilidade pessoal da gestão serve de incentivo para garantir que as medidas de segurança necessárias não só são planeadas, mas também efetivamente implementadas.
  4. Certificação e Auditoria: O cumprimento dos requisitos deve ser demonstrado através de auditorias regulares ou auditorias de segurança. Embora a certificação explícita não seja obrigatória, pode ser exigida pela legislação nacional. As auditorias são um instrumento essencial para rever e, se necessário, adaptar a implementação das medidas de cibersegurança. Recomenda-se a utilização de normas de segurança como a ISO/IEC 27001 para garantir que as medidas de cibersegurança cumprem as melhores práticas reconhecidas internacionalmente.

Sanções por incumprimento

A Diretiva NIS 2 prevê sanções elevadas se os requisitos não forem cumpridos. Para as “entidades essenciais”, são previstas multas de até 10 milhões de euros ou 2% do volume de negócios anual global, consoante o valor mais elevado. Para as “entidades importantes”, são possíveis multas de até 7 milhões de euros ou 1,4% do volume de negócios anual. Estas sanções elevadas destinam-se a impor o cumprimento dos requisitos de segurança e a garantir que a cibersegurança é considerada uma prioridade. Para além das sanções financeiras, podem também surgir responsabilidades pessoais e consequências legais para a gestão da empresa, especialmente em caso de violações graves.

Como a Sophos ajuda no cumprimento da NIS 2

A Sophos oferece uma variedade de soluções que apoiam o cumprimento da Diretiva NIS 2. Estas incluem, entre outras:

  • Sophos Phish Threat: Uma ferramenta para formação de colaboradores que realiza ataques de phishing simulados para aumentar a segurança no local de trabalho. Através da formação contínua, os colaboradores são capacitados para reconhecer ataques de phishing e proteger-se proactivamente contra eles, o que representa uma das medidas mais eficazes contra as ciberameaças. Publicação do blog sobre Sophos Phish Threat
  • Sophos Managed Detection and Response (MDR): Monitorização 24/7 do ambiente de segurança que deteta e responde a incidentes antes que possam ter um impacto negativo. Sophos MDR combina tecnologias avançadas com experiência humana para garantir que as ameaças são identificadas e neutralizadas em tempo útil.
  • Sophos Firewall: Fornece proteção de rede abrangente adaptada aos requisitos da Diretiva NIS 2 e permite detetar e parar ameaças precocemente. O Sophos Firewall oferece informações detalhadas sobre o tráfego de rede e permite um controlo preciso do fluxo de dados para isolar potenciais ameaças.
  • Sophos Cloud Optix: Uma ferramenta que monitoriza continuamente ambientes de cloud e garante que os padrões de configuração são cumpridos para prevenir manipulações. Com o Sophos Cloud Optix, as empresas podem garantir que os seus recursos de cloud cumprem sempre as melhores práticas de segurança e que os riscos potenciais são identificados em tempo útil.
  • Sophos XDR (Extended Detection and Response): Permite que os analistas detetem, analisem e respondam a ameaças em todas as principais superfícies de ataque. Sophos XDR recolhe e correlaciona dados de várias fontes e fornece uma imagem abrangente da postura de segurança de uma empresa, permitindo uma resposta rápida a incidentes.

As soluções Sophos cobrem muitos dos requisitos estipulados na Diretiva NIS 2 e ajudam a estar otimamente preparado para potenciais ameaças. Com estas soluções de proteção abrangentes, pode garantir que as precauções necessárias para o cumprimento da diretiva são implementadas e, ao mesmo tempo, a situação de segurança geral da empresa é reforçada.

Mais informações podem ser encontradas na página web Sophos NIS-2.

O que precisa ser feito?

Para garantir o cumprimento dos requisitos da Diretiva NIS 2, várias medidas chave devem ser tomadas:

  1. Análise dos requisitos: É necessário garantir que a sua empresa se enquadra na categoria de entidade “essencial” ou “importante” e avaliar quais os procedimentos necessários para cumprir os requisitos da Diretiva NIS 2. Esta análise deve ser exaustiva e sistemática para identificar vulnerabilidades e iniciar os passos necessários para as corrigir.
  2. Implementação de estratégias: Os passos técnicos, organizacionais e operacionais necessários devem ser implementados. Isso inclui a realização de análises de risco, o estabelecimento de políticas de segurança e a implementação de uma gestão de emergências e formação regular dos colaboradores. A formação dos colaboradores é uma parte importante da estratégia de segurança, pois o componente humano representa frequentemente a maior vulnerabilidade.
  3. Utilização de ferramentas adequadas: Deve utilizar soluções de segurança de TI adequadas, como as da Sophos, para cumprir os requisitos da diretiva e garantir que a empresa está protegida. As ferramentas utilizadas devem ser atualizadas regularmente e a sua eficácia deve ser verificada para garantir que podem resistir às mais recentes ameaças.
  4. Revisão e adaptação regulares: O cenário da cibersegurança está em constante mudança, por isso é importante realizar revisões periódicas das medidas de segurança e adaptá-las, se necessário. As empresas devem garantir que estão atualizadas com a mais recente tecnologia e melhorar continuamente as suas estratégias de segurança para estarem sempre um passo à frente das novas ameaças.

Últimas palavras

A Diretiva NIS 2 representa um passo importante para a melhoria da cibersegurança na Europa. Devem agora ser tomadas as precauções necessárias para garantir que os novos requisitos são cumpridos e que a proteção de redes e sistemas é melhorada. Isto é particularmente importante, uma vez que as ameaças no espaço digital continuam a aumentar e só podem ser combatidas eficazmente através de uma abordagem conjunta e coordenada.

Com o apoio abrangente de soluções como as da Sophos, pode superar este desafio e garantir que tanto os requisitos da diretiva são cumpridos como a segurança geral da empresa é reforçada. A implementação da Diretiva NIS 2 é uma oportunidade para rever e melhorar a sua própria arquitetura de segurança, de modo a não só cumprir os requisitos legais, mas também tornar a empresa como um todo mais resiliente a ciberameaças.

Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.