Nelson Nogueira
Business Unit Manager | Ar Telecom
NIS2: uma ameaça ou uma oportunidade para as empresas amadurecerem os seus sistemas de cibersegurança?
Em 2023, a Europa registou uma média de 1 557 ciberataques por semana por empresa, um aumento de 86% em comparação com o ano anterior.
À medida que a digitalização e a transformação digital das empresas avançam, as suas infraestruturas de TI e OT estão a tornar-se cada vez mais integradas, o que aumenta significativamente o âmbito de atuação dos cibercriminosos.
Além disso, os cibercriminosos são cada vez mais sofisticados nos seus ataques, integrando ferramentas de Inteligência Artificial, pelo que os riscos estão a aumentar. Por este motivo, a União Europeia lançou o NIS2, que tem como objetivo dar prioridade à cibersegurança.
A Diretiva NIS2 destina-se principalmente a organizações que são essenciais para a cadeia de fornecimento de produtos de infra-estruturas críticas.
No nosso trabalho diário, no Grupo Aire, deparamo-nos frequentemente com empresas de todos os tipos que, depois de lerem o regulamento, ainda têm dúvidas sobre a forma como o devem implementar.
A mensagem que tentamos transmitir-lhes é que têm de ser coerentes, que têm de melhorar as suas medidas de governação e gestão de riscos de cibersegurança e preparar-se para as novas obrigações decorrentes deste regulamento, incluindo a comunicação de informações.
Também lhes transmitimos que devem utilizar normas reconhecidos internacionalmente, como a série ISA/IEC 62443 para a segurança das OT (Operational Technology) , para cumprir os requisitos de conformidade necessários.
Coimas e responsabilidade penal
A Diretiva NIS2 representa um grande salto em termos de obrigações em relação à Diretiva NIS inicial. A UE vai agora impôr as seguintes medidas:
- Sanções financeiras: semelhantes às previstas na legislação do RGPD, às organizações que não cumpram o prazo estabelecido.
- Entidades críticas: 10 milhões de euros ou 2% do volume de negócios global anual total.
- Entidades significativas: 7 milhões de euros ou 1,4% do volume de negócios global anual total. - Multas administrativas: as autoridades competentes podem impor multas administrativas pelo não cumprimento de obrigações específicas previstas na diretiva.
- Medidas corretivas: para além das sanções financeiras, as autoridades podem exigir que as entidades apliquem medidas corretivas específicas para resolver o incumprimento identificado.
- Responsabilidade por danos: as entidades que não cumpram as suas obrigações ao abrigo da NIS 2 podem também ser responsabilizadas por danos causados pelo seu incumprimento.
Além disso, haverá repercussões para os executivos de nível C das organizações que não cumpram a Diretiva NIS2, incluindo possíveis restrições aos cargos que ocupam nos conselhos de administração.
Guia de boas práticas para a implementação do NIS2
As empresas terão que cumprir uma série de requisitos que incluem a tomada de medidas em torno da gestão operacional do ciber-risco, da ciber-higiene, da resposta a incidentes, da comunicação de incidentes e da segurança da cadeia de abastecimento, da formação dos empregados, da implementação de protocolos e políticas de segurança, da formação dos quadros superiores, bem como da subscrição de um seguro cibernético para evitar a responsabilidade pessoal dos membros do conselho de administração e dos executivos.
O cumprimento de regulamentos complexos, como a Diretiva NIS2, pode ser um desafio, mas ter um plano claro simplifica o processo.
Segue-se um guia de boas práticas para atingir a conformidade total com a Diretiva NIS2, descrevendo os principais requisitos:
Passo 1: Obter o apoio da gestão de topo
Embora a conformidade com a NIS2 seja obrigatória, o apoio ativo da gestão de topo é crucial. Sem o seu empenho, o projeto pode ser lento, subfinanciado e repleto de obstáculos. A gestão de topo tem de ser convencida da importância de se concentrar na conformidade com a NIS2.
Passo 2: Estabelecer a gestão do projeto
A conformidade com a norma NIS2 é demasiado complexa para ser gerida por uma pessoa sem autoridade formal, como um administrador de TI. É necessária uma abordagem estruturada de gestão de projectos, com etapas de implementação, marcos, resultados e responsabilidades claros.
Passo 3: Realizar a formação inicial
O NIS2 dá ênfase à formação em segurança. No início do projeto, é necessário dar formação para garantir que todos compreendem a NIS2, o que tem de ser feito e porquê. Isto facilitará o lançamento do projeto.
Passo 4: Elaborar uma política de segurança do sistema de informação de alto nível
Embora não seja especificamente exigido pela NIS2, um documento de política de alto nível é uma boa prática. Este documento define os objectivos de cibersegurança, as funções, as responsabilidades e as métricas de sucesso, assegurando que existe uma direção para o projeto.
Passo 5: Definir a metodologia de gestão do risco
A gestão do risco é complexa e a NIS2 tem requisitos específicos. A gestão do risco necessita de um documento metodológico para garantir a conformidade e clarificar a forma como os riscos devem ser geridos na empresa.
Passo 6: Efetuar a avaliação e o tratamento dos riscos
Identifique potenciais ameaças aos sistemas de informação, enumerando os activos, ameaças e vulnerabilidades relacionados. Avalie a probabilidade e a gravidade desses riscos. De seguida, desenvolva estratégias para mitigar os maiores riscos, implementando as medidas de cibersegurança definidas no artigo 21.
Passo 7: Elaborar e aprovar o plano de tratamento dos riscos
Crie um plano detalhado para a implementação das medidas de cibersegurança e obtenha a aprovação da direção. O plano de tratamento dos riscos deve enumerar todas as actividades, processos e tecnologias de cibersegurança, bem como as partes responsáveis e os prazos.
Passo 8: Implementar medidas de cibersegurança
Implemente as medidas de cibersegurança necessárias com base nos resultados da avaliação de riscos. Isto pode envolver novos processos, actividades, tecnologias e a criação de várias políticas e procedimentos de cibersegurança.
Passo 9: Configurar a segurança da cadeia de abastecimento
Abordar os riscos de segurança relacionados com os fornecedores, avaliando as suas vulnerabilidades, os seus procedimentos de desenvolvimento de software e incluindo cláusulas de segurança nos acordos. Monitorizar regularmente o estado da segurança.
Passo 10: Estabelecer uma avaliação da eficácia da cibersegurança
Os quadros superiores devem supervisionar a implementação da cibersegurança. As melhores práticas incluem a monitorização contínua, auditorias internas periódicas e análises de gestão para identificar incumprimentos e garantir a eficácia das medidas de cibersegurança.
Passo 11: Criar um sistema de comunicação de incidentes
Um dos principais requisitos da NIS2 é a notificação de incidentes significativos ao Centro Nacional de Cibersegurança e aos destinatários dos serviços. As empresas devem estar preparadas para enviar alertas precoces, incidentes, notificações, relatórios intercalares, relatórios finais e relatórios de progresso.
Passo 12: Organizar formação contínua em cibersegurança
A NIS2 exige formação regular em cibersegurança para todos os empregados, incluindo os quadros superiores. É importante escolher temas e formatos de formação adequados para garantir uma formação e uma transferência de conhecimentos eficazes sem custos excessivos.
Passo 13: Auditoria interna regular
Embora não sejam mencionadas na NIS2, as auditorias internas são recomendadas pela norma ISO 27001 e por outras normas. Ajudam a gestão de topo a monitorizar a implementação da cibersegurança, identificando não conformidades.
Passo 14: Análise periódica pela direção
Realizar reuniões formais de análise da gestão do projeto para fornecer à gestão de topo informações relevantes sobre cibersegurança (por exemplo, relatório de medição e relatório de auditoria interna). Estas análises permitem a tomada de decisões importantes em matéria de cibersegurança.
Passo 15: Executar acções corretivas
Aplicar uma abordagem sistemática para resolver as não-conformidades. Analise a causa de cada problema e defina actividades para o eliminar, garantindo que não se repitam não conformidades semelhantes.
Conclusão
Seguindo estes passos, as organizações podem efetivamente cumprir a Diretiva SRI 2, melhorar o seu estatuto de cibersegurança e proteger-se contra a evolução das ciberameaças.
Todas as empresas sujeitas ao novo quadro regulamentar devem estar preparadas para aplicar a Diretiva NIS2 em Portugal. Caso contrário, ficarão expostas a sanções financeiras e até à suspensão das suas actividades ou cargos de direção.
Por este motivo, é fundamental dispor de serviços avançados de cibersegurança que permitam às empresas cumprir todas as suas obrigações e gerir eficazmente os riscos que enfrentam. A continuidade do seu negócio, a sua reputação e a sua posição no mercado estão em jogo.
A Ar Telecom pode ajudar com alguns dos componentes mais tecnológicos, tais como:
- Auditorias de segurança para avaliar todos os seus sistemas e activos tecnológicos.
- Gestão de vulnerabilidades para detetar e priorizar a mitigação dos pontos fracos encontrados, incluindo cadeias de subfornecimento.
- Análise contínua dos riscos inerentes à sua estrutura, exposição digital e cenário de ameaças.
- Serviços de testes de penetração para testar as suas estruturas de segurança cibernética e avaliar a eficácia das medidas implementadas.
- Serviços de resposta a incidentes para detetar e responder eficazmente a ciberataques, garantir a continuidade do negócio e restaurar a normalidade.
- Testes de engenharia social para ajudar a educar o seu pessoal sobre os riscos que enfrentam diariamente.
- Ajudar a criar um plano de continuidade das actividades centrado nos servidores e nas comunicações.
Saiba como podemos
ajudar a proteger os dados da sua empresa
Nelson Nogueira
Business Unit Manager | Ar Telecom
NIS2: uma ameaça ou uma oportunidade para as empresas amadurecerem os seus sistemas de cibersegurança?
Em 2023, a Europa registou uma média de 1 557 ciberataques por semana por empresa, um aumento de 86% em comparação com o ano anterior.
À medida que a digitalização e a transformação digital das empresas avançam, as suas infraestruturas de TI e OT estão a tornar-se cada vez mais integradas, o que aumenta significativamente o âmbito de atuação dos cibercriminosos.
Além disso, os cibercriminosos são cada vez mais sofisticados nos seus ataques, integrando ferramentas de Inteligência Artificial, pelo que os riscos estão a aumentar. Por este motivo, a União Europeia lançou o NIS2, que tem como objetivo dar prioridade à cibersegurança.
A Diretiva NIS2 destina-se principalmente a organizações que são essenciais para a cadeia de fornecimento de produtos de infra-estruturas críticas.
No nosso trabalho diário, no Grupo Aire, deparamo-nos frequentemente com empresas de todos os tipos que, depois de lerem o regulamento, ainda têm dúvidas sobre a forma como o devem implementar.
A mensagem que tentamos transmitir-lhes é que têm de ser coerentes, que têm de melhorar as suas medidas de governação e gestão de riscos de cibersegurança e preparar-se para as novas obrigações decorrentes deste regulamento, incluindo a comunicação de informações.
Também lhes transmitimos que devem utilizar normas reconhecidos internacionalmente, como a série ISA/IEC 62443 para a segurança das OT (Operational Technology) , para cumprir os requisitos de conformidade necessários.
Coimas e responsabilidade penal
A Diretiva NIS2 representa um grande salto em termos de obrigações em relação à Diretiva NIS inicial. A UE vai agora impôr as seguintes medidas:
- Sanções financeiras: semelhantes às previstas na legislação do RGPD, às organizações que não cumpram o prazo estabelecido.
- Entidades críticas: 10 milhões de euros ou 2% do volume de negócios global anual total.
- Entidades significativas: 7 milhões de euros ou 1,4% do volume de negócios global anual total. - Multas administrativas: as autoridades competentes podem impor multas administrativas pelo não cumprimento de obrigações específicas previstas na diretiva.
- Medidas corretivas: para além das sanções financeiras, as autoridades podem exigir que as entidades apliquem medidas corretivas específicas para resolver o incumprimento identificado.
- Responsabilidade por danos: as entidades que não cumpram as suas obrigações ao abrigo da NIS 2 podem também ser responsabilizadas por danos causados pelo seu incumprimento.
Além disso, haverá repercussões para os executivos de nível C das organizações que não cumpram a Diretiva NIS2, incluindo possíveis restrições aos cargos que ocupam nos conselhos de administração.
Guia de boas práticas para a implementação do NIS2
As empresas terão que cumprir uma série de requisitos que incluem a tomada de medidas em torno da gestão operacional do ciber-risco, da ciber-higiene, da resposta a incidentes, da comunicação de incidentes e da segurança da cadeia de abastecimento, da formação dos empregados, da implementação de protocolos e políticas de segurança, da formação dos quadros superiores, bem como da subscrição de um seguro cibernético para evitar a responsabilidade pessoal dos membros do conselho de administração e dos executivos.
O cumprimento de regulamentos complexos, como a Diretiva NIS2, pode ser um desafio, mas ter um plano claro simplifica o processo.
Segue-se um guia de boas práticas para atingir a conformidade total com a Diretiva NIS2, descrevendo os principais requisitos:
Passo 1: Obter o apoio da gestão de topo
Embora a conformidade com a NIS2 seja obrigatória, o apoio ativo da gestão de topo é crucial. Sem o seu empenho, o projeto pode ser lento, subfinanciado e repleto de obstáculos. A gestão de topo tem de ser convencida da importância de se concentrar na conformidade com a NIS2.
Passo 2: Estabelecer a gestão do projeto
A conformidade com a norma NIS2 é demasiado complexa para ser gerida por uma pessoa sem autoridade formal, como um administrador de TI. É necessária uma abordagem estruturada de gestão de projectos, com etapas de implementação, marcos, resultados e responsabilidades claros.
Passo 3: Realizar a formação inicial
O NIS2 dá ênfase à formação em segurança. No início do projeto, é necessário dar formação para garantir que todos compreendem a NIS2, o que tem de ser feito e porquê. Isto facilitará o lançamento do projeto.
Passo 4: Elaborar uma política de segurança do sistema de informação de alto nível
Embora não seja especificamente exigido pela NIS2, um documento de política de alto nível é uma boa prática. Este documento define os objectivos de cibersegurança, as funções, as responsabilidades e as métricas de sucesso, assegurando que existe uma direção para o projeto.
Passo 5: Definir a metodologia de gestão do risco
A gestão do risco é complexa e a NIS2 tem requisitos específicos. A gestão do risco necessita de um documento metodológico para garantir a conformidade e clarificar a forma como os riscos devem ser geridos na empresa.
Passo 6: Efetuar a avaliação e o tratamento dos riscos
Identifique potenciais ameaças aos sistemas de informação, enumerando os activos, ameaças e vulnerabilidades relacionados. Avalie a probabilidade e a gravidade desses riscos. De seguida, desenvolva estratégias para mitigar os maiores riscos, implementando as medidas de cibersegurança definidas no artigo 21.
Passo 7: Elaborar e aprovar o plano de tratamento dos riscos
Crie um plano detalhado para a implementação das medidas de cibersegurança e obtenha a aprovação da direção. O plano de tratamento dos riscos deve enumerar todas as actividades, processos e tecnologias de cibersegurança, bem como as partes responsáveis e os prazos.
Passo 8: Implementar medidas de cibersegurança
Implemente as medidas de cibersegurança necessárias com base nos resultados da avaliação de riscos. Isto pode envolver novos processos, actividades, tecnologias e a criação de várias políticas e procedimentos de cibersegurança.
Passo 9: Configurar a segurança da cadeia de abastecimento
Abordar os riscos de segurança relacionados com os fornecedores, avaliando as suas vulnerabilidades, os seus procedimentos de desenvolvimento de software e incluindo cláusulas de segurança nos acordos. Monitorizar regularmente o estado da segurança.
Passo 10: Estabelecer uma avaliação da eficácia da cibersegurança
Os quadros superiores devem supervisionar a implementação da cibersegurança. As melhores práticas incluem a monitorização contínua, auditorias internas periódicas e análises de gestão para identificar incumprimentos e garantir a eficácia das medidas de cibersegurança.
Passo 11: Criar um sistema de comunicação de incidentes
Um dos principais requisitos da NIS2 é a notificação de incidentes significativos ao Centro Nacional de Cibersegurança e aos destinatários dos serviços. As empresas devem estar preparadas para enviar alertas precoces, incidentes, notificações, relatórios intercalares, relatórios finais e relatórios de progresso.
Passo 12: Organizar formação contínua em cibersegurança
A NIS2 exige formação regular em cibersegurança para todos os empregados, incluindo os quadros superiores. É importante escolher temas e formatos de formação adequados para garantir uma formação e uma transferência de conhecimentos eficazes sem custos excessivos.
Passo 13: Auditoria interna regular
Embora não sejam mencionadas na NIS2, as auditorias internas são recomendadas pela norma ISO 27001 e por outras normas. Ajudam a gestão de topo a monitorizar a implementação da cibersegurança, identificando não conformidades.
Passo 14: Análise periódica pela direção
Realizar reuniões formais de análise da gestão do projeto para fornecer à gestão de topo informações relevantes sobre cibersegurança (por exemplo, relatório de medição e relatório de auditoria interna). Estas análises permitem a tomada de decisões importantes em matéria de cibersegurança.
Passo 15: Executar acções corretivas
Aplicar uma abordagem sistemática para resolver as não-conformidades. Analise a causa de cada problema e defina actividades para o eliminar, garantindo que não se repitam não conformidades semelhantes.
Conclusão
Seguindo estes passos, as organizações podem efetivamente cumprir a Diretiva SRI 2, melhorar o seu estatuto de cibersegurança e proteger-se contra a evolução das ciberameaças.
Todas as empresas sujeitas ao novo quadro regulamentar devem estar preparadas para aplicar a Diretiva NIS2 em Portugal. Caso contrário, ficarão expostas a sanções financeiras e até à suspensão das suas actividades ou cargos de direção.
Por este motivo, é fundamental dispor de serviços avançados de cibersegurança que permitam às empresas cumprir todas as suas obrigações e gerir eficazmente os riscos que enfrentam. A continuidade do seu negócio, a sua reputação e a sua posição no mercado estão em jogo.
A Ar Telecom pode ajudar com alguns dos componentes mais tecnológicos, tais como:
- Auditorias de segurança para avaliar todos os seus sistemas e activos tecnológicos.
- Gestão de vulnerabilidades para detetar e priorizar a mitigação dos pontos fracos encontrados, incluindo cadeias de subfornecimento.
- Análise contínua dos riscos inerentes à sua estrutura, exposição digital e cenário de ameaças.
- Serviços de testes de penetração para testar as suas estruturas de segurança cibernética e avaliar a eficácia das medidas implementadas.
- Serviços de resposta a incidentes para detetar e responder eficazmente a ciberataques, garantir a continuidade do negócio e restaurar a normalidade.
- Testes de engenharia social para ajudar a educar o seu pessoal sobre os riscos que enfrentam diariamente.
- Ajudar a criar um plano de continuidade das actividades centrado nos servidores e nas comunicações.
Saiba como podemos
ajudar a proteger os dados da sua empresa