O que o NIS2 significa para empresas na Europa

20. Fevereiro 2023
| Sem comentários
O que o NIS2 significa para empresas na Europa

Compartilhar postagem

O NIS2 foi decidido e os países da UE devem transpor a diretiva para a lei nacional até outubro de 2024 - e as empresas devem, é claro, se preparar. NIS2 é a estrutura europeia para operadores de infraestruturas críticas e define os padrões mínimos de segurança cibernética na UE.

A União Europeia (UE) adotou a Diretiva NIS2, que faz parte da estratégia da UE para moldar o futuro digital da Europa no campo da segurança de TI e é uma extensão direta da Diretiva NIS de 2016, que foi a primeira lei de segurança de TI nível da UE.

Plano de fundo para NIS2

O pano de fundo da nova diretiva é um cenário dinâmico de ameaças que está afetando cada vez mais as redes corporativas e o reconhecimento de que a primeira diretiva NIS foi implementada de forma diferente em cada um dos estados membros da UE. Portanto, a UE deseja criar uma abordagem mais unificada para proteger setores e cadeias de suprimentos que afetam infraestruturas críticas (KRITIS), pois um ataque cibernético em grande escala pode ter um enorme impacto na economia de cada Estado-Membro, mas também no restante da União. Por exemplo, se a empresa nacional de serviços públicos de um país ficar offline por um período curto ou longo, os preços da eletricidade aumentarão e, como a eletricidade é negociada em uma bolsa europeia, os preços aumentarão em toda a Europa.

O que esperar dos Estados membros

Ao contrário da diretiva GDPR, que protege os dados pessoais dos cidadãos, a diretiva NIS2 visa proteger os dados econômicos. Como parte da nova legislação, os estados membros devem, entre outras coisas, elaborar uma estratégia nacional de segurança de TI e uma lei nacional. O objetivo é definir requisitos para gerenciamento de riscos e relatórios por empresas que se enquadram na diretiva NIS2. Além disso, será criado um ponto de contacto a nível nacional.

Instituições Afetadas

Para além dos setores já contemplados na Diretiva NIS, o novo NIS2 abrange, entre outros, a indústria alimentar, as transportadoras e transportadoras, as telecomunicações e os fornecedores de dados, as plataformas de redes sociais e os fornecedores de centros de dados, bem como as empresas ativas na gestão de resíduos e águas residuais, bem como empresas de manufatura importantes para a economia do país.

As empresas abrangidas pela diretiva são divididas em duas categorias: empresas essenciais (por exemplo, empresas de telecomunicações, serviços públicos e bancos) e empresas importantes (por exemplo, empresas de alimentos e empresas de frete). No entanto, as empresas com menos de 250 trabalhadores ou um volume de negócios anual inferior a 50 milhões de euros estão isentas da diretiva. No entanto, devido ao conceito de responsabilidade da cadeia de abastecimento, prevê-se que as empresas de menor dimensão, fornecedoras dos setores abrangidos pela Diretiva, também tenham de cumprir a NIS2. A diretiva também se estende às administrações públicas, mas atualmente não está claro se isso se aplica aos municípios, por exemplo.

O que esperar das empresas

O NIS2 impõe novas demandas às empresas e organizações envolvidas. Isso inclui conhecimento e responsabilidade da alta administração, gerenciamento eficaz de riscos, incluindo análise de riscos e resposta a incidentes, além de relatórios e tratamento de incidentes cibernéticos. A administração é, portanto, responsável pela conformidade da empresa com a diretriz NIS2 e pode ser responsabilizada se não o fizer. A própria empresa ou organização deve atender a vários requisitos de segurança de TI, incluindo a implementação de medidas de segurança e padrões internacionais como ISO27001 ou a estrutura NIST.

As empresas que não cumprirem a diretiva NIS2 podem ser multadas em até € 2 milhões ou XNUMX% da receita anual global total. É importante observar que, assim como na diretiva GDPR, não haverá rótulo ou lista NISXNUMX que as empresas devam aderir. Cabe à própria organização tomar medidas para garantir o cumprimento dos regulamentos de proteção de dados. Portanto, embora os fornecedores de segurança possam ajudar, cabe à organização configurar os relatórios necessários.

prazo para implementação

No final de dezembro de 2022, a diretiva NIS2 foi aprovada e oficializada na UE. Depois disso, os Estados membros têm 21 meses para converter a diretiva em lei nacional. No entanto, isso não significa que as empresas possam esperar até lá para implementar as novas medidas. Afinal, as organizações afetadas pela diretiva devem poder cumpri-la 18 meses após sua adoção. Embora isso possa parecer longo, sabemos por experiência que pode levar muito tempo para muitas empresas introduzirem novas medidas, procedimentos, etc. Portanto, é importante que todas as instituições e empresas afetadas comecem imediatamente.

Conselhos para começar

Conforme mencionado, a Diretiva NIS2 não fornece uma lista de verificação ou requisitos mínimos de tecnologia de proteção. Ele descreve como é um nível adequado de proteção, que pode ser interpretado de diferentes maneiras. No entanto, é razoável supor que as organizações exigirão, no mínimo, tecnologias de firewall e prevenção de invasões em sua rede, bem como segurança de endpoint e implementação de autenticação multifator, criptografia de dados e acesso restrito.

No entanto, é importante mencionar que nem tudo pode ser resolvido com tecnologia. Processo e tecnologia são igualmente importantes. Isso significa que as empresas devem fazer um balanço e criar um plano, em vez de apenas procurar uma solução rápida. Com isso em mente, existem alguns primeiros passos que você pode tomar. Em primeiro lugar, é importante verificar se a sua própria empresa se enquadra na nova diretiva. Se este for o caso, os seguintes aspectos devem ser considerados:

  • Certifique-se de que a segurança de TI seja uma prioridade de gerenciamento e que os gerentes estejam cientes de suas responsabilidades. Comece analisando as necessidades da sua empresa e criando um roteiro com metas claras e cronograma de implementação.
  • Identifique e priorize seus ativos, incluindo informações, processos e sistemas.
  • Projete uma estrutura para construir sua segurança. Isso pode ser ISO2001 ou NIST. Também é importante que você implemente o gerenciamento de riscos para seus ativos e processos.
  • Automatize o máximo possível de processos e rotinas. Por exemplo, a segurança de TI deve sempre fazer parte de novos sistemas e lançamentos de nuvem no futuro.
  • Consolide suas funções e soluções de segurança. Isso torna a operação mais fácil e segura e reduz os custos de pessoal, entre outras coisas.
  • Estabeleça um processo de relatório que esteja em conformidade com os requisitos do NIS2 e garanta que ele possa ser usado para mitigar ataques e ameaças.

Muitas organizações já implementaram algumas medidas, pois precisavam atender aos requisitos originais do NIS. No entanto, outras organizações estão tendo que se adaptar a uma realidade totalmente nova. Esta pode ser uma tarefa difícil e assustadora, até mesmo esmagadora para alguns. Por esse motivo, todos são aconselhados a lidar com os requisitos e possíveis medidas em um estágio inicial e consultar especialistas.

Mais em CheckPoint.com

 

Sobre o ponto de verificação

A Check Point Software Technologies GmbH (www.checkpoint.com/de) é um fornecedor líder de soluções de segurança cibernética para administrações públicas e empresas em todo o mundo. As soluções protegem os clientes contra ataques cibernéticos com uma taxa de detecção líder do setor de malware, ransomware e outros tipos de ataques. A Check Point oferece uma arquitetura de segurança multicamada que protege as informações corporativas em nuvem, rede e dispositivos móveis, e o sistema de gerenciamento de segurança "um ponto de controle" mais abrangente e intuitivo. A Check Point protege mais de 100.000 empresas de todos os portes.

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Malware furtivo tem como alvo empresas europeias

Os hackers estão atacando muitas empresas em toda a Europa com malware furtivo. Os pesquisadores da ESET relataram um aumento dramático nos chamados ataques AceCryptor via ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

Segurança digital: os consumidores são os que mais confiam nos bancos

Uma pesquisa de confiança digital mostrou que os bancos, a saúde e o governo são os que mais confiam nos consumidores. A mídia- ➡ Leia mais

Bolsa de empregos Darknet: Hackers estão procurando por insiders renegados

A Darknet não é apenas uma troca de bens ilegais, mas também um lugar onde os hackers procuram novos cúmplices ➡ Leia mais

Sistemas de energia solar – quão seguros são?

Um estudo examinou a segurança de TI de sistemas de energia solar. Os problemas incluem falta de criptografia durante a transferência de dados, senhas padrão e atualizações de firmware inseguras. tendência ➡ Leia mais

Stories
, , ,