NIS2: o impacto na indústria, nos serviços essenciais e na cadeia de abastecimento

Abrange mais setores e empresas, estabelece novos prazos de notificação de incidentes às autoridades competentes e às equipas de resposta a incidentes de cibersegurança (CSIRT), e reforça e uniformiza as medidas de gestão dos riscos de cibersegurança, impondo uma responsabilização direta, em nome individual, da gestão de topo das entidades, por quaisquer incumprimentos.

Consagra a substituição da anterior designação de Operadores de Serviços Essenciais e Prestadores Serviços Digitais, pelos novos conceitos de entidades essenciais e entidades importantes, cujos critérios de inclusão são função de fatores como o setor de atividade, o grau de importância e a dimensão das entidades, diferenciando grandes empresas, médias empresas, e pequenas e microempresas.

Se a anterior Diretiva já teve um impacto direto em entidades com uma forte dependência de Sistemas de Automação e Controlo Industrial e de Supervisão SCADA, pois muitos dos setores essenciais, como o da Energia, dos Transportes, do Abastecimento de Água, e a Saúde, suportam as suas operações em Tecnologias Operacionais, a NIS 2 vem reforçar este impacto, pois passa também a incluir setores como as Águas Residuais, o Setor Químico (produção, fabrico e distribuição de produtos químicos), o Setor Alimentar (produção, transformação e distribuição de produtos alimentares) e a Indústria Transformadora (NACE Rev. 2 , secção C, divisão 26 a 30).

E é precisamente nos ambientes operacionais que se colocam os maiores desafios de cibersegurança. Desde logo, porque em algumas entidades ainda perdura a ideia de que a cibersegurança diz respeito apenas às Tecnologias de Informação, ou que os sistemas de automação e controlo industrial são seguros, por serem isolados.

As entidades devem assim garantir um nível de segurança adequado ao risco em causa, adotando uma eficiente gestão do risco, baseada numa abordagem multidisciplinar, IT e OT, que cubra todos os riscos, incentivando-se a utilização de normas e especificações técnicas europeias e internacionais aplicáveis, destacando-se, neste ponto, a ISA/IEC 62443 - Security for Industrial Automation and Control Systems.

Devem, pois, adotar medidas técnicas, operacionais e organizativas, adequadas e proporcionadas para gerir os riscos que se colocam à segurança dos sistemas, tais como a elaboração de políticas de análise dos riscos, o tratamento dos incidentes, a continuidade de negócio, a formação e sensibilização, o controlo dos acessos e gestão de ativos, a utilização de soluções de autenticação multifator, e a segurança na aquisição, desenvolvimento e manutenção dos sistemas.

A NIS 2 vem ainda impor uma gestão adequada dos riscos relacionados com fornecedores e prestadores de serviços diretos, refletindo a necessidade de garantir a segurança dos produtos e serviços utilizados nos sistemas ICS/ OT, o que, na prática, faz também estender a aplicação de tais medidas a estes fornecedores e prestadores de serviços.

As entidades devem estar conscientes do seu atual estado de maturidade em cibersegurança, e serem pró-ativas, recuperando as diferenças entre IT e OT, e alocando os recursos necessários (técnicos, humanos e financeiros), tendo sempre presente que a cibersegurança é um processo evolutivo e de melhoria contínua, e não apenas um projeto único e isolado.

Com efeito, a Diretiva NIS 2 representa uma efetiva oportunidade para as entidades fortalecerem as suas defesas e capacidades de resposta face a um ciberataque, salvaguardando a continuidade dos seus negócios, num mundo cada vez mais interconectado, e, desta forma, contribuir para a construção de uma sociedade mais segura e resiliente.

Mais info em https://www.s21sec.com/pt/ciberataques-a-processos-industriais/.

Conteúdo co-produzido pela MediaNext e pela S21sec