Muitas empresas são afetadas pela nova edição da diretiva NIS2 da UE. Isto aumenta os requisitos mínimos para a cibersegurança das infraestruturas críticas. As empresas devem estar bem preparadas.
Os ataques cibernéticos a infraestruturas críticas são particularmente perigosos. A UE definiu, portanto, requisitos mínimos de cibersegurança na Diretiva Segurança das Redes e da Informação (SRI) em 2016. Isso agora está sendo substituído por uma nova edição. A diretiva NIS16 está em vigor desde 2023 de janeiro de 2 - e os estados membros da UE ainda têm até outubro de 2024 para incorporá-la na legislação nacional. Na Alemanha, isto é feito através da Lei de Implementação da NIS2, que está atualmente disponível como um segundo projeto. São esperadas alterações na Lei de Segurança de TI e na Portaria KRITIS. Muitas empresas estão agora se perguntando o que o NIS2 significa para elas.
O que os gerentes de segurança precisam saber agora e como podem se preparar melhor? Dirk Wocke, gerente de conformidade e diretor de proteção de dados da indevis, fornece respostas às perguntas mais importantes.
Quem é afetado pelo NIS2?
A diferença mais importante em relação à legislação antiga é o aumento significativo da eficiência. Sete novos setores KRITIS estão sendo adicionados, aumentando o número de onze para dezoito. Embora apenas grandes organizações do ambiente direto do KRITIS tenham sido afetadas até agora, o NIS2 também se aplica a empresas privadas - mesmo aquelas com uma dimensão de 50 funcionários ou um volume de negócios anual de 10 milhões de euros. Algumas empresas, independentemente da sua dimensão, são abrangidas pela directiva porque estão entre as chamadas “entidades essenciais” que são particularmente importantes para o bem comum.
A novidade também é que as empresas afetadas devem verificar e garantir a segurança cibernética dos seus fornecedores. Isto é importante porque as cadeias de abastecimento estão a tornar-se cada vez mais complexas e mesmo a falha de um pequeno componente pode levar a estrangulamentos críticos. O hack da Solarwinds, por exemplo, mostrou como os ataques à cadeia de abastecimento podem ser perigosos. Em suma, a NIS2 tem impacto numa vasta gama de empresas, muitas das quais só percebem, à primeira vista, que são afetadas.
Que inovações o NIS2 traz?
A nova diretiva aumenta os requisitos mínimos de cibersegurança e responsabiliza os gestores. Você é responsável por garantir que os padrões prescritos sejam cumpridos. Se ocorrer um ataque cibernético, aplicam-se requisitos rigorosos de comunicação, semelhantes ao GDPR. As empresas devem então reportar o incidente ao BSI dentro de um determinado período de tempo. Desta forma, o legislador pretende evitar que os afetados encobrem um ataque cibernético, a fim de proteger a sua reputação. O NIS2 também aguça a jurisprudência europeia e aprofunda a supervisão e a cooperação na UE entre autoridades e operadores. Por exemplo, devem ser criadas equipas nacionais de resposta a emergências informáticas que cooperem além-fronteiras e troquem informações. Ao mesmo tempo, será criada uma base de dados sobre vulnerabilidades a nível da UE.
O que as empresas afetadas devem fazer agora?
O NIS2 prescreve medidas de segurança técnicas e organizacionais de última geração. Isto inclui, por exemplo, uma metodologia para avaliar riscos cibernéticos e uma estratégia para garantir a continuidade dos serviços e dos negócios. Medidas para prevenir, detectar e gerir incidentes cibernéticos também são obrigatórias. Basicamente, trata-se de construir um sistema de gerenciamento de segurança da informação (SGSI). Define regras, processos, métodos, ferramentas e responsabilidades para gerenciar e controlar a segurança cibernética na empresa.
O BSI Grundschutz e a ISO/IEC 27001, por exemplo, oferecem orientação. A maioria das empresas até agora estabeleceu apenas peças do quebra-cabeça de um SGSI. Em primeiro lugar, é importante identificar as lacunas e depois colmatá-las passo a passo. Numerosas funções precisam ser preenchidas e políticas definidas. Tudo isso geralmente é mais complexo do que o esperado e leva tempo. Portanto, é aconselhável resolver o problema o mais rápido possível. Um provedor de serviços externo com experiência na introdução e desenvolvimento de um SGSI pode fornecer suporte com aconselhamento e suporte.
O que acontece quando as empresas ignoram os requisitos do NIS2?
Semelhante ao GDPR, o legislador reforça os seus requisitos impondo multas elevadas por violações. As sanções e as ações de execução serão significativamente alargadas – até sanções máximas de pelo menos sete ou dez milhões de euros, dependendo do setor. Para verificar o cumprimento dos requisitos do NIS2, o BSI pode realizar auditorias ou encomendá-las a terceiros. Se forem descobertas deficiências, as empresas afetadas recebem um prazo dentro do qual devem fazer melhorias. Por último, mas não menos importante, os diretores executivos são pessoalmente responsáveis se a investigação forense de um incidente cibernético revelar que a empresa desrespeitou os requisitos de segurança.
NIS2 como uma oportunidade
Qualquer pessoa que já tenha sido designada para a área KRITIS provavelmente já implementou muito do que o NIS2 exige. Para novas empresas, o esforço é maior. Portanto, é aconselhável começar o mais rápido possível. Mesmo que o NIS2 inicialmente exija obras, o investimento vale a pena. Aumentar a segurança cibernética é essencial dada a situação de ameaça crescente.
Na prática, os responsáveis pela segurança têm muitas vezes dificuldade em libertar orçamento para medidas de segurança. Portanto, é necessária pressão por parte dos requisitos legais. A NIS2 coloca agora a questão da cibersegurança no topo do nível de gestão, abrindo caminho à mudança. No futuro, os gestores de segurança deverão ter mais facilidade em convencer os CEO a investir mais em segurança cibernética. Para alcançar a conformidade NIS2 da forma mais rápida e eficiente possível, recomendamos trabalhar com um provedor experiente de serviços gerenciados de segurança. Ele pode ajudar a revisar a estratégia de segurança, configurar um SGSI e selecionar e operar tecnologia de segurança adequada.
Mais em Indevis.de
Sobre Indivis
Certificada de acordo com a norma internacional ISO/IEC 27001, a indevis GmbH é um dos principais fornecedores de serviços de segurança gerenciados (MSSP) da Alemanha. A empresa vem estabelecendo padrões de segurança em tecnologia da informação há mais de 20 anos e oferece aos clientes de todos os tamanhos e setores soluções adequadas de segurança de TI para redes, data centers e nuvem.