O NIS2 está chegando

8. Fevereiro 2024
| Sem comentários
O NIS2 está chegando

Compartilhar postagem

Dentro de alguns meses, inúmeras empresas terão de implementar a directiva NIS2. A nova diretiva da UE exige a implementação de medidas rigorosas para garantir a segurança cibernética.

À primeira vista, este período de tempo pode parecer suficientemente longo, mas a construção de uma estrutura de segurança adequada não acontece da noite para o dia. A NTT Ltd., uma empresa líder em infraestrutura e serviços de TI, esclarece equívocos em torno da Diretiva NIS2 e mostra a melhor maneira de implementá-la. A Diretiva NIS2 é uma legislação de segurança de redes e informações em toda a UE que entrou em vigor em 16 de janeiro de 2023 e deve ser transposta para a legislação nacional pelos estados membros até 17 de outubro de 2024. Na Alemanha, já existe um projeto de lei do Ministério Federal do Interior sobre a Lei de Implementação do NIS 2 (NIS2UmsuCG). A nova directiva aumentará enormemente o número de empresas afectadas neste país - entre 30.000 e 40.000 empresas estarão sujeitas aos requisitos mais rigorosos do NIS2. No entanto, muitos deles provavelmente nem sequer estão conscientes disso, embora existam penalidades severas para o não cumprimento.

Perguntas urgentes

Estou abrangido pela directiva NIS2? As autoridades não informam às empresas se os novos requisitos se aplicam a elas ou não. Em vez disso, as empresas devem determinar elas próprias o seu “efeito” com base nos critérios definidos. Em princípio, todos os que são classificados como operadores de infra-estruturas críticas são abrangidos por esta directiva. Estes incluem instalações, sistemas e sistemas cuja funcionalidade é importante para a sociedade, a segurança do país e a economia e cuja falha levaria a perturbações significativas. De acordo com o Gabinete Federal de Protecção Civil, tratam-se de empresas dos sectores de energia e abastecimento de água, telecomunicações e tecnologias de informação, abastecimento alimentar, transportes e logística, finanças e saúde. Ao mesmo tempo, a Diretiva SRI2 também afeta organizações da cadeia de abastecimento que fornecem serviços ou produtos relacionados com setores críticos. Isto significa que o escopo vai muito além das empresas-chave anteriormente conhecidas. No futuro, serão registadas nos respetivos setores empresas e organizações com 50 ou mais trabalhadores e um volume de negócios anual de pelo menos dez milhões de euros. Especificamente, o NIS2 distingue entre instalações “importantes” e “essenciais”. Estes últimos desempenham um papel crucial devido à sua quota de mercado no respetivo setor.

Regulamentos da diretiva NIS2

A UE reforçou os requisitos em três áreas principais: medidas de supervisão e multas, cooperação e cooperação, e gestão de riscos e resiliência. As crescentes exigências em matéria de gestão de riscos e resiliência significam que as organizações devem implementar medidas de prevenção e minimização de danos. Isto inclui áreas como segurança de redes, gestão de riscos, cibersegurança nas cadeias de abastecimento, controlo de acesso e encriptação. O NIS2 fornece higiene básica de TI e o projeto de lei estipula a detecção de ataques para instalações críticas. As empresas também devem pensar em como garantir a continuidade dos negócios após um ataque cibernético. Isto inclui a recuperação do sistema, procedimentos de emergência e o estabelecimento de uma organização de crise. Além disso, um relatório inicial deve ser recebido pelas autoridades responsáveis ​​como um aviso prévio no prazo de 24 horas após o conhecimento do incidente de segurança. Um relatório detalhado deve ser apresentado dentro de 72 horas, descrevendo os chamados indicadores de compromisso. As empresas devem primeiro utilizar uma abordagem descendente para determinar um estado holístico atual do nível de maturidade da sua segurança de TI e depois implementar medidas técnicas e organizacionais conforme necessário. Para cumprir a diretriz NIS2, também é recomendada a implementação de um sistema de gestão de segurança da informação (SGSI) de acordo com a ISO 27001. Ao mesmo tempo, um centro de operações de segurança (SOC) faz sentido. No entanto, operar um SOC é muito dispendioso, razão pela qual terceirizá-lo para um provedor de serviços externo na forma de serviços gerenciados é uma boa solução.

O que acontece se você não cumprir?

Embora apenas as instalações essenciais sejam auditadas, qualquer pessoa que ignore os requisitos corre o risco de sanções significativas no caso de um incidente de segurança. Para as empresas classificadas na categoria “essencial”, as multas podem ir até dez milhões de euros ou dois por cento do volume de negócios global anual, consoante o que for maior. Para instituições “importantes”, a multa máxima é de sete milhões de euros ou 1,4 por cento do volume de negócios anual global. O projeto de lei do Ministério Federal do Interior também estipula que os diretores executivos e outros órgãos de administração das empresas são responsáveis, com os seus bens privados, pelo cumprimento das medidas de gestão de risco. Você também enfrenta uma multa de dois por cento do seu faturamento anual global. O NIS2 é, portanto, um risco de conformidade que os responsáveis ​​devem levar muito a sério. Além disso, uma solução de segurança deficiente ou inexistente acaba por custar significativamente mais, mesmo que o investimento em medidas adequadas possa inicialmente parecer elevado para algumas empresas. À semelhança de outras orientações, existe também uma elevada probabilidade de as empresas que não implementarem as medidas exigidas não serem consideradas em concursos públicos.

“A conformidade com o NIS2 não é um produto que você pode simplesmente comprar e implementar. Pelo contrário: as empresas devem compreender que a implementação da nova directiva da UE é um projecto verdadeiramente extenso e de longo prazo, com impactos numa ampla variedade de áreas. Ao mesmo tempo, a conformidade de TI tem sido uma questão estratégica fundamental para as empresas”, explica Bernhard Kretschmer, vice-presidente de serviços e segurança cibernética da NTT Ltd. “No entanto, a prática mostra que muitas empresas ainda não tomaram as medidas exigidas. Isto poderá tornar-se um obstáculo à implementação atempada da SRI2. Porque muito poucas empresas conseguem atender aos requisitos exigidos com sua própria equipe de TI.”

Mais na NTT

 

Sobre a NTT

Como parte da NTT DATA, uma provedora de serviços de TI de US$ 30 bilhões, a empresa de infraestrutura e serviços de TI NTT Ltd. Com suas tecnologias, 65% da Fortune Global 500 e mais de 75% da Fortune Global 100. A empresa está estabelecendo as bases para o ecossistema de rede da ponta à nuvem das organizações, simplificando cargas de trabalho complexas de múltiplas nuvens e inovando na borda os ambientes de TI onde convergem rede, nuvem e aplicativos. A NTT oferece infraestruturas personalizadas e garante melhores práticas consistentes em design e operações em seus data centers seguros, escaláveis ​​e adaptáveis. No caminho para um futuro definido por software, a NTT apoia seus clientes com serviços de infraestrutura baseados em plataforma.

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Manipulação de dados, o perigo subestimado

Todos os anos, o Dia Mundial do Backup, em 31 de março, serve como um lembrete da importância de backups atualizados e de fácil acesso. ➡ Leia mais

Impressoras como um risco à segurança

As frotas de impressoras empresariais estão a tornar-se cada vez mais num ponto cego e representam enormes problemas para a sua eficiência e segurança. ➡ Leia mais

A Lei AI e suas consequências para a proteção de dados

Com o AI Act, a primeira lei para IA foi aprovada e dá aos fabricantes de aplicações de IA entre seis meses e ➡ Leia mais

Sistemas operacionais Windows: Quase dois milhões de computadores em risco

Não há mais atualizações para os sistemas operacionais Windows 7 e 8. Isto significa lacunas de segurança abertas e, portanto, valiosas e ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Conjunto de produtos DSPM para Zero Trust Data Security

O gerenciamento da postura de segurança de dados – abreviadamente DSPM – é crucial para que as empresas garantam a resiliência cibernética contra a multidão ➡ Leia mais

Criptografia de dados: Mais segurança em plataformas em nuvem

As plataformas online são frequentemente alvo de ataques cibernéticos, como o Trello recentemente. 5 dicas para garantir criptografia de dados mais eficaz na nuvem ➡ Leia mais

 

mensagens de relações públicas
, , , ,