Safetica > Resources > NIS2: âmbito, objetivo e que mudanças esperar

NIS2: âmbito, objetivo e que mudanças esperar

mar 8, 2023

NIS significa "Network and Information Security", uma diretiva da UE que exige aos Estados-Membros da UE que identifiquem entidades que prestam serviços essenciais e introduz novas medidas de cibersegurança para essas entidades identificadas.

Menos de 5 anos após a sua publicação, a NIS original tinha-se revelado deficiente. A NIS2 é a versão revista da NIS, adotada pela UE em 28 de novembro de 2022. Existe agora um período de 2 anos durante o qual todos os Estados-Membros devem implementar as medidas da diretiva NIS2 na sua legislação nacional.

blog-safetica-article-nis2-01


O que é a NIS2?

A NIS foi introduzida em 2016 como a primeira diretiva de cibersegurança da União Europeia. Visava proteger as organizações e os cidadãos da Europa, garantindo que todos os setores "essenciais" em todos os Estados-Membros estavam a tomar as medidas necessárias para prevenir ciberataques.

O problema da NIS era que a interpretação por cada Estado-Membro dos termos relativamente vagos da diretiva resultava em níveis variados de implementação em toda a UE. O que era considerado essencial num país não era reconhecido noutro, e assim sucessivamente.

Munidos da experiência com a primeira tentativa NIS, os representantes da UE voltaram à prancheta e apresentaram uma versão melhorada no final de novembro de 2022: a NIS2.

Esclarece as intenções da diretiva e permite muito menos interpretação individual — é detalhada no seu âmbito e mais clara nos seus requisitos, deixando muito menos espaço para inconsistências entre países. E, para ser ainda mais rigorosa, foram igualmente prescritas sanções e multas.

Os Estados-Membros da UE têm até setembro de 2024 para implementar os requisitos da NIS2 na sua legislação nacional.

 

Qual é o objetivo da NIS2?

O objetivo da NIS2 é criar um nível padrão de proteção em toda a UE através da implementação de requisitos e medidas de cibersegurança em todos os Estados-Membros.

Lista os setores afetados, identifica requisitos de segurança, unifica obrigações de reporte e introduz medidas de aplicação e sanções.

Tudo isto se destina a proteger as infraestruturas críticas e os cidadãos da UE de ciberataques.

 

Qual é o âmbito da NIS2?

Uma área em que a NIS2 melhorou significativamente em relação à NIS é o âmbito. É agora muito mais específica ao listar os setores afetados pela NIS2 — sem mais liberdade criativa por parte dos Estados-Membros.

Note que os fornecedores de infraestrutura ou serviços digitais também estão incluídos no âmbito da NIS2. Isto significa que mesmo organizações que não residam fisicamente na UE podem ser afetadas se prestarem serviços essenciais ou importantes na UE — serviços de cloud, serviços de DNS, redes sociais, motores de busca, etc., devem todos estar atentos.

A NIS2 estabelecerá a base para a gestão do risco de cibersegurança nestas indústrias e setores:

  • Transportes
  • Energia
  • Banca e infraestruturas dos mercados financeiros
  • Saúde
  • Abastecimento de água
  • Administração pública (níveis central e regional)
  • Gestão de resíduos
  • Serviços postais e de correio expresso
  • Alimentação
  • Fabrico de dispositivos médicos
  • Produção química e farmacêutica
  • Aeroespacial
  • Infraestrutura digital e prestadores de serviços digitais

Todas as organizações de média e grande dimensão que operam nestes setores estão abrangidas pelo âmbito da NIS2.

Entidades essenciais vs. importantes na NIS2

As entidades abrangidas pelo enquadramento da NIS2 dividem-se em duas categorias: "essenciais" e "importantes".

A principal diferença é que se espera que uma interrupção de serviços no grupo das essenciais tenha consequências graves para a economia ou para a sociedade do país no seu todo. Setores como a saúde, a energia ou os transportes estão incluídos nesta categoria.

Ambos os tipos de entidade têm de cumprir as mesmas medidas de segurança. As classificadas como "essenciais" estão, no entanto, sob supervisão proativa. As entidades "importantes" só serão monitorizadas após ser reportado um incidente de incumprimento.

 

Que mudanças trará a NIS2?

Para além de proporcionar um âmbito mais alargado e detalhado (ver acima), a NIS2 trará as seguintes mudanças/atualizações (em comparação com a NIS original):

Requisitos de segurança da NIS2

A NIS2 estabelece um quadro de requisitos de segurança reforçados. A possibilidade de adaptar individualmente o cumprimento destes requisitos foi eliminada — demasiada flexibilidade ao abrigo da NIS original conduziu a vulnerabilidades. Isso acabou na NIS2. Especifica claramente as regras que todos têm de seguir.

Exige que estas áreas sejam abordadas:

  • avaliação e gestão de risco
  • formação em cibersegurança
  • políticas de segurança
  • gestão de crises
  • segurança da cadeia de fornecimento
  • tratamento e reporte de vulnerabilidades e incidentes
  • encriptação de dados

  Aplicação reforçada

Faz também parte da nova diretiva uma lista mais elaborada de medidas relativas à aplicação da NIS2. Foram prescritas multas e sanções, com instruções vinculativas sobre quando e como utilizá-las.

Mais uma vez, não deverão existir zonas cinzentas que deixem a interpretação no ar.

 Reporte de incidentes mais rigoroso

O reporte de incidentes passa agora a ser obrigatório. Foram definidos processos exatos na NIS2, incluindo o conteúdo e o calendário destes relatórios.

Ao abrigo da NIS2, todas as possibilidades de opt-out foram eliminadas.

Todos os incidentes de violação de cibersegurança terão agora de ser reportados, independentemente de o ataque ter ou não tido implicações para as operações da entidade. Isto permitirá às autoridades monitorizar e responder melhor a potenciais ameaças.

Ao abrigo do novo plano de resposta a incidentes, a diretiva define uma abordagem em duas fases. Um relatório inicial deve ser submetido no prazo de 24 horas após o problema de cibersegurança e um relatório de acompanhamento mais detalhado deve ser apresentado num prazo de um mês.

Cada Estado-Membro terá também de designar uma Computer Security Incident Response Team nacional.

 Cooperação melhorada

A diretiva NIS2 reconhece a importância da coordenação e comunicação entre os Estados-Membros da UE — o objetivo é, afinal, proteger a União Europeia de violações com relativa unidade.

Não só cada Estado-Membro terá uma autoridade nacional dedicada à cibersegurança, como será criada a European Cyber Crisis Liaison Organisation Network para gerir incidentes à escala da UE.

Isto criará um sistema de cooperação entre todos os Estados-Membros da UE e a proteção de dados será um esforço comum.

Como pode a Safetica ajudá-lo a proteger os dados?


Auditoria de segurança

Com a Safetica, pode realizar rapidamente uma auditoria de dados e identificar que tipos de dados são utilizados na sua organização.


Visão geral dos dados sensíveis

A Safetica fornece uma visão geral dos fluxos de informação e do armazenamento de dados sensíveis, ajuda-o a monitorizar as operações dos utilizadores e fornece-lhe relatórios sobre como os dados são processados.


Classificação de dados e políticas de segurança

Com a Safetica, pode classificar facilmente os dados para aplicar políticas de DLP e impor os comportamentos desejados quando os utilizadores interagem com informação sensível.


Notificação de fugas de dados

Em caso de incidente de segurança, o sistema de alertas por e-mail em tempo real da Safetica notifica as pessoas adequadas. Disponibiliza detalhes para que possa tomar as ações de seguimento e minimizar o impacto da fuga de dados.


Conformidade regulatória

Com a Safetica e as suas políticas de DLP, pode garantir a conformidade não só com a NIS2, mas também com outras regulamentações, como o GDPR, a ISO 27001, o PCI DSS, o CMMC e mais.

 

Veja a Safetica em ação. Preencha hoje este breve formulário de contacto.

 

Contacte-nos para marcar uma demonstração

Similar posts