S.Labs
Com o aumento da frequência e da complexidade dos ciberataques direcionados aos membros da União Europeia (UE) e às suas organizações, a UE criou duas normas importantes para proteção dos mesmos, o Digital Operational Resilience Act (DORA) (EU, digital-operational-resilience-act, 2024) e a Diretiva atualizada Network and Information Security Directive 2 (NIS 2) (EU, nis-2-directive.com, 2024).
Por Ricardo Rodrigues – CEO e João Videira - Cybersecurity Architect na Balwurk . 30/09/2024
Em que consiste a DORA? O Digital Operational Resilience Act (DORA) é um regulamento da União Europeia concebido para reforçar a resiliência digital das entidades financeiras que operam na UE. Aplicando-se a empresas financeiras na UE e estende-se a organizações que prestam serviços a essas empresas. No centro do DORA estão vários pilares fundamentais como a gestão do risco, exigindo que as entidades financeiras implementem e auditem regularmente planos abrangentes de gestão do risco de ICT, o DORA também enfatiza a gestão do risco de terceiros nas ICT, exigindo a monitorização contínua dos riscos associados na dependências de terceiros. A resposta e a comunicação de incidentes é outro aspeto crítico. As entidades devem estabelecer processos para identificar, registar, classificar e categorizar sistematicamente todos os incidentes de ICT. Devendo apresentar relatórios detalhados sobre os incidentes como indicado pelas Autoridades Europeias de Supervisão (AES). Os testes de resiliência operacional digital que exigem que as entidades realizem testes rigorosos dos sistemas críticos de ICT com regularidade. Por último, o DORA incentiva a partilha de dados e informações entre as entidades financeiras para aumentar a resistência contra ciberameaças. Em que consiste a NIS 2? A Diretiva Network and Information Security Directive 2 (NIS 2) é uma diretiva introduzida pela União Europeia para reforçar a segurança e resiliência de vários setores críticos que são vitais para a economia e a sociedade dos Estados membros da UE. Nos termos da NIS 2, as organizações são obrigadas a implementar práticas efetivas de gestão do risco, com medidas que devem ser adaptadas ao potencial impacto dos riscos identificados para continuidade dos serviços essenciais. A comunicação de incidentes é outro aspeto crítico da NIS 2, visto que a diretiva exige que os incidentes significativos sejam comunicados às autoridades nacionais competentes dentro de um prazo especificado, permitindo assim uma resposta coordenada a nível nacional e da UE. A NIS 2 também promove a cooperação e a partilha de informações entre os Estados-Membros da UE, permitindo a partilha de informações e de melhores práticas para reforçar a resiliência coletiva em toda a UE. Por último, as autoridades nacionais também desempenham um papel crucial na aplicação da NIS 2, visto que são responsáveis por monitorizar a conformidade, fornecer orientações e impor sanções às organizações que não cumpram as normas da diretiva. Como é que a NIS 2 difere da NIS? A transição da Diretiva relativa à segurança das redes e da informação (NIS) original para a NIS 2 marca uma melhoria significativa na abordagem da União Europeia à cibersegurança. Uma das alterações mais notáveis da NIS 2 é o alargamento do seu âmbito de aplicação. Enquanto a diretiva NIS original se centrava num grupo de setores de infraestruturas críticas, a NIS 2 amplia o seu alcance para incluir outros setores, passando a distinguir entre entidades “essenciais” e “importantes”, aplicando diferentes níveis de obrigação aos mesmos. Sob a diretiva NIS original, muitas práticas de segurança eram recomendadas, porem a NIS 2 estabelece normas de segurança explícitas que todas as entidades abrangidas devem seguir. Outra atualização significativa da NIS 2 é a introdução de uma abordagem mais estruturada à comunicação de incidentes. A diretiva exige que as entidades comuniquem incidentes de segurança significativos dentro de prazos rigorosos. Reforçando também a cooperação e a partilha de informações entre os Estados-Membros da UE. Reconhecendo os riscos crescentes associados a fornecedores terceiros, a NIS 2 coloca uma maior ênfase na segurança, sendo as entidades agora obrigadas a avaliar as práticas de cibersegurança dos seus fornecedores. Em resumo, a NIS 2 procura elevar o nível de maturidade para a segurança de setores críticos, enquanto a DORA visa a aumentar a resiliência operacional digital nas instituições financeiras. Tendo ambas o objetivo de aumentar a segurança geral na Europa, promovendo um ambiente mais seguro e confiável para todos os seus intervenientes.
Conteúdo co-produzido pela MediaNext e pela Balwurk |