Sophos: tudo o que precisa de saber sobre a diretiva NIS 2

A Diretiva NIS 2 é uma evolução da Diretiva de Redes e Sistemas de Informação (NIS) original, concebida em 2016 para reforçar a postura de cibersegurança dos Estados-Membros da EU. Com a crescente sofisticação e frequência dos ciberataques, especialmente durante e após a pandemia de COVID-19, tornou-se evidente a necessidade de regulamentos mais rigorosos e abrangentes.

Embora se destine principalmente aos Estados-Membros, as empresas não comunitárias que operam na UE ou que prestam serviços a entidades da UE também vão ser afetadas. Atualmente, muitas regulamentações nacionais não têm um âmbito de aplicação tão vasto como a NIS 2; no entanto, seria prudente esperar novas alterações à legislação local, à medida que os planos para a legislação da UE continuam a avançar.

As principais atualizações da NIS2

A diretiva NIS 2 introduz várias atualizações e ampliações críticas em relação à diretiva original:

Mais entidades abrangidas

• A NIS 2 classifica as entidades como “essenciais” e “importantes” com base no seu setor e criticidade. A ampliação inclui mais setores, como o das águas residuais, cadeias de abastecimento de cuidados de saúde, serviços postais, aeroespacial, administração pública e infraestruturas digitais.
• As organizações envolvidas na cadeia de abastecimento e as que prestam serviços de apoio críticos estão agora explicitamente abrangidas, sublinhando a importância da segurança das redes interligadas.

Normas de segurança melhoradas

• O artigo 21.º da diretiva define as medidas obrigatórias de cibersegurança, incluindo ciberhigiene básica, gestão das vulnerabilidades, segurança da cadeia de abastecimento, encriptação, gestão dos ativos, controlo dos acessos e segurança de confiança zero.
• Há requisitos mais rigorosos para a comunicação de incidentes, garantindo respostas atempadas e coerentes às ciberameaças em toda a UE.

Mais responsabilidade e sanções

• Os quadros superiores das empresas podem ser considerados pessoalmente responsáveis pelo incumprimento, o que sublinha a importância do envolvimento dos executivos na governação da cibersegurança.
• As organizações podem ser sujeitas a coimas significativas que podem ir até 10M€ ou 2% do volume de negócios global em caso de incumprimento da diretiva.

Impacto na conformidade da cibersegurança

A NIS 2 afeta significativamente a forma como as empresas abordam a conformidade da cibersegurança – as medidas obrigatórias e a possibilidade de sanções severas exigem uma revisão minuciosa e a melhoria das práticas de cibersegurança existentes. As organizações vão ter de afetar recursos suficientes para cumprir estes requisitos.

Para garantir o cumprimento da NIS 2, as empresas devem:

• Avaliar a aplicabilidade – perceber se entram na categoria de entidades essenciais ou importantes;
• Compreender a jurisdição – identificar os Estados-Membros da UE que têm jurisdição sobre as suas operações para efeitos da NIS 2, para compreender os requisitos nacionais específicos e as obrigações de comunicação;
• Implementar a gestão de riscos de segurança – levar a cabo uma análise exaustiva para identificar possíveis ameaças e vulnerabilidades;
• Reforçar a segurança da cadeia de abastecimento – mitigar os riscos na cadeia de abastecimento, especialmente no que respeita aos fornecedores de software e serviços, garantindo que os fornecedores externos cumprem as normas da NIS 2;
• Ter um plano de resposta a incidentes – que inclua protocolos claros para informar as autoridades nacionais pertinentes sobre possíveis ciberincidentes num prazo de 24h;
• Envolver a administração – que tem de aprovar formalmente a estratégia de cumprimento, demonstrando compromisso com a cibersegurança.

A diretiva NIS2 é um importante passo em frente na melhoria da resiliência da cibersegurança das organizações europeias. À medida que o prazo de outubro se aproxima, é imperativo que a gestão superior e os profissionais de cibersegurança deem prioridade à conformidade com a NIS 2, tirando partido de recursos como esta página da Sophos para orientar os seus esforços.

Conteúdo co-produzido pela MediaNext e pela Sophos