S21sec alerta para implicações do NIS 2 em Portugal

A S21sec elaborou o relatório “Diretiva NIS2: Consultoria para Administração Pública”, no qual reflete as implicações da nova regulamentação em cibersegurança NIS2, aprovada nos últimos dias de 2022, e cujo objetivo centra-se em melhorar o estado da cibersegurança em toda a União Europeia, incentivando as instituições a introduzir novas áreas de interesse nas suas estratégias nacionais de cibersegurança, como a cadeia de fornecimento, a gestão de vulnerabilidades e a infraestrutura central da Internet. 

Os países da UE têm 21 meses, a partir da data da publicação da diretiva, para incorporar a NIS2 no seu quadro legislativo nacional e a sua implementação permitirá que milhares de entidades aumentem o seu nível de proteção contra ciberataques. A empresa, no seu esforço para fortalecer a segurança da Administração Pública e promover o cumprimento da regulamentação NIS2 em diferentes setores, desenvolveu um esquema de trabalho que agrupa diferentes ferramentas, abordagens e padrões para o desenvolvimento de uma ferramenta de análise, integrando vários padrões e estruturas reconhecidas (a própria NIS2 e outras como ISO/IEC 27001, NIST CSF, CIS 18, ISO/IEC 22301, etc.), para avaliar o nível de maturidade em cibersegurança das instituições. Esta estrutura de trabalho é sustentada por cinco pilares (deteção, identificação, resposta, recuperação e proteção) que possibilitam a definição de um objetivo adaptável conforme a evolução do panorama de ameaças e dos avanços regulamentares. 

A recente legislação, que substitui a Diretiva NIS aprovada em 2016 – ainda em vigor até à transposição da nova regulamentação em Portugal –, moderniza e amplia o âmbito de aplicação das normas de cibersegurança a novos setores e entidades que prestam serviços essenciais, melhorando assim a resiliência e a capacidade de resposta e recuperação face a ciberataques de entidades tanto públicas como privadas. Entre os setores sujeitos às mudanças regulamentares da Diretiva, destacam-se o setor da saúde, telecomunicações, energia, infraestrutura digital, bancário e financeiro, entre outros. 

Esta nova regulamentação terá amplas implicações para o setor público, destacando-se a implementação de medidas de segurança aprimoradas para proteger informações sensíveis, complementadas por uma avaliação periódica de riscos para informar sobre o estado da cibersegurança às autoridades competentes designadas por cada Estado. Da mesma forma, estabelece-se a obrigação de gerir a cibersegurança ao longo do ciclo de vida das redes e sistemas de informação, considerando a Internet das Coisas (IoT) como parte do âmbito, entendido como o processo de digitalização de todos os tipos de dispositivos comuns. 

Entre outros requisitos, a regulamentação obriga à implementação de medidas de continuidade do negócio para garantir que as atividades não sejam interrompidas em caso de incidentes, acompanhadas por políticas corporativas internas e esforços na formação dos funcionários em matéria de cibersegurança.

De acordo com Ricardo Marques, Head of GRC na S21sec, um dos pilares-chave da NIS2 está relacionado com a segurança da cadeia de fornecimento, “as entidades não só devem focar-se na sua infraestrutura, mas também devem estar cientes da cibersegurança dos seus fornecedores de serviços, dado que a cadeia de fornecimento está a tornar-se um vetor cada vez mais explorado para os ciberataques”.