[Novos] Desafios da NIS2

A NIS2 "Diretiva relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União (Diretiva SRI2)" (Diretiva (UE) 2022/2555), visa fortalecer a postura de cibersegurança da União Europeia, amplia o âmbito da sua antecessora, a Diretiva NIS original, introduz medidas mais rigorosas para proteger os setores críticos das infraestruturas europeias contra ataques cibernéticos. Com âmbito mais abrangente de setores e entidades, incluindo Infraestruturas críticas (energia, transporte, saúde, água, etc.), Entidades importantes (correio e entregas, plataformas online, etc.) e Organizações do setor público (administrações públicas, serviços de segurança e justiça, etc.).

Embora a NIS2 não se aplique a todas as empresas, é crucial que as organizações avaliem se estão abrangidas pela Diretiva. Ao aplicar-se, terão de implementar diversos processos para melhorar a sua postura de segurança cibernética, nomeadamente:

• Processo formal para identificar, avaliar e gerir os riscos de cibersegurança;
• Notificar as autoridades competentes, os incidentes de cibersegurança graves dentro de um prazo definido;
• Implementar medidas técnicas e organizacionais para proteger os sistemas e dados contra ciberataques;
• Desenvolver e testar planos de resposta a incidentes de cibersegurança;
• Monitorizar os sistemas e dados para detetar e responder a atividades cibernéticas maliciosas;
• Apresentar relatórios de segurança regulares às autoridades;
• Formar e consciencializar os colaboradores sobre os riscos de cibersegurança e as boas práticas de segurança da informação;
• Processo de gesto da cadeia de abastecimento, com avaliação da postura de segurança do fornecedor;
• Monitorizar as mudanças na legislação, as melhores práticas de cibersegurança e atualizar os procedimentos em conformidade;
• Realizar avaliações de segurança regulares, para identificar e corrigir falhas de segurança nos sistemas e processos.

As organizações têm de validar se os sistemas existentes mitigam as exigências de conformidade ou se devem implementar novas tecnologias, nomeadamente:

• Gestão de firewalls para filtrar o tráfego de rede e bloquear o acesso não autorizado aos sistemas;
• Sistemas de Deteção de Intrusões (IDS), para monitorizar o tráfego de rede e a atividade dos sistemas, evitando atividade maliciosa;
• Sistemas de Prevenção de Intrusões (IPS), para bloquear automaticamente o tráfego malicioso;
• Software antivírus e anti-malware que pode detetar e remover malware dos sistemas;
• Criptografia, para proteger dados confidenciais;
• Monitorização e deteção de ameaças, com correlação de eventos;
• Gestão de Identidade e Acesso (IAM) e Gestão de Acessos Privilegiados (PAM), para controlar o acesso a sistemas e dados;
• Soluções de cópia de segurança e recuperação, de forma a recuperar os dados e/ou sistemas em caso de um incidente cibernético.

O aumento da resiliência cibernética, é uma necessidade urgente para garantir a sobrevivência e o sucesso das organizações no mundo digital, pois num ecossistema empresarial cada vez mais digitalizado e interconectado, as ciberameaças tornam-se mais sofisticadas e frequentes, colocando em risco a segurança da informação e a continuidade do negócio.

A diretiva NIS2 apesar de não obrigar a seguros no âmbito na cibersegurança (Cyber Insurance), cria um ambiente em que os seguros poderão ter um papel mais relevante, nomeadamente na gestão e transferência do risco. Pois, as empresas assumem uma maior responsabilidade por incidentes cibernéticos, incluindo multas pesadas em caso de falhas, onde os seguros poderão auxiliar na cobertura desses custos, amenizando o impacto financeiro.

A NIS2 não é apenas uma obrigação devendo ser encarada como uma oportunidade para as empresas reforçarem sua postura de cibersegurança e serem mais resilientes contra as crescentes ameaças do mundo digital.

Conteúdo co-produzido pela MediaNext e pela IP Telecom