O NIS2 foi decidido e os países da UE devem transpor a diretiva para a lei nacional até outubro de 2024 - e as empresas devem, é claro, se preparar. NIS2 é a estrutura europeia para operadores de infraestruturas críticas e define os padrões mínimos de segurança cibernética na UE.
A União Europeia (UE) adotou a Diretiva NIS2, que faz parte da estratégia da UE para moldar o futuro digital da Europa no campo da segurança de TI e é uma extensão direta da Diretiva NIS de 2016, que foi a primeira lei de segurança de TI nível da UE.
Plano de fundo para NIS2
O pano de fundo da nova diretiva é um cenário dinâmico de ameaças que está afetando cada vez mais as redes corporativas e o reconhecimento de que a primeira diretiva NIS foi implementada de forma diferente em cada um dos estados membros da UE. Portanto, a UE deseja criar uma abordagem mais unificada para proteger setores e cadeias de suprimentos que afetam infraestruturas críticas (KRITIS), pois um ataque cibernético em grande escala pode ter um enorme impacto na economia de cada Estado-Membro, mas também no restante da União. Por exemplo, se a empresa nacional de serviços públicos de um país ficar offline por um período curto ou longo, os preços da eletricidade aumentarão e, como a eletricidade é negociada em uma bolsa europeia, os preços aumentarão em toda a Europa.
O que esperar dos Estados membros
Ao contrário da diretiva GDPR, que protege os dados pessoais dos cidadãos, a diretiva NIS2 visa proteger os dados econômicos. Como parte da nova legislação, os estados membros devem, entre outras coisas, elaborar uma estratégia nacional de segurança de TI e uma lei nacional. O objetivo é definir requisitos para gerenciamento de riscos e relatórios por empresas que se enquadram na diretiva NIS2. Além disso, será criado um ponto de contacto a nível nacional.
Instituições Afetadas
Para além dos setores já contemplados na Diretiva NIS, o novo NIS2 abrange, entre outros, a indústria alimentar, as transportadoras e transportadoras, as telecomunicações e os fornecedores de dados, as plataformas de redes sociais e os fornecedores de centros de dados, bem como as empresas ativas na gestão de resíduos e águas residuais, bem como empresas de manufatura importantes para a economia do país.
As empresas abrangidas pela diretiva são divididas em duas categorias: empresas essenciais (por exemplo, empresas de telecomunicações, serviços públicos e bancos) e empresas importantes (por exemplo, empresas de alimentos e empresas de frete). No entanto, as empresas com menos de 250 trabalhadores ou um volume de negócios anual inferior a 50 milhões de euros estão isentas da diretiva. No entanto, devido ao conceito de responsabilidade da cadeia de abastecimento, prevê-se que as empresas de menor dimensão, fornecedoras dos setores abrangidos pela Diretiva, também tenham de cumprir a NIS2. A diretiva também se estende às administrações públicas, mas atualmente não está claro se isso se aplica aos municípios, por exemplo.
O que esperar das empresas
O NIS2 impõe novas demandas às empresas e organizações envolvidas. Isso inclui conhecimento e responsabilidade da alta administração, gerenciamento eficaz de riscos, incluindo análise de riscos e resposta a incidentes, além de relatórios e tratamento de incidentes cibernéticos. A administração é, portanto, responsável pela conformidade da empresa com a diretriz NIS2 e pode ser responsabilizada se não o fizer. A própria empresa ou organização deve atender a vários requisitos de segurança de TI, incluindo a implementação de medidas de segurança e padrões internacionais como ISO27001 ou a estrutura NIST.
As empresas que não cumprirem a diretiva NIS2 podem ser multadas em até € 2 milhões ou XNUMX% da receita anual global total. É importante observar que, assim como na diretiva GDPR, não haverá rótulo ou lista NISXNUMX que as empresas devam aderir. Cabe à própria organização tomar medidas para garantir o cumprimento dos regulamentos de proteção de dados. Portanto, embora os fornecedores de segurança possam ajudar, cabe à organização configurar os relatórios necessários.
prazo para implementação
No final de dezembro de 2022, a diretiva NIS2 foi aprovada e oficializada na UE. Depois disso, os Estados membros têm 21 meses para converter a diretiva em lei nacional. No entanto, isso não significa que as empresas possam esperar até lá para implementar as novas medidas. Afinal, as organizações afetadas pela diretiva devem poder cumpri-la 18 meses após sua adoção. Embora isso possa parecer longo, sabemos por experiência que pode levar muito tempo para muitas empresas introduzirem novas medidas, procedimentos, etc. Portanto, é importante que todas as instituições e empresas afetadas comecem imediatamente.
Conselhos para começar
Conforme mencionado, a Diretiva NIS2 não fornece uma lista de verificação ou requisitos mínimos de tecnologia de proteção. Ele descreve como é um nível adequado de proteção, que pode ser interpretado de diferentes maneiras. No entanto, é razoável supor que as organizações exigirão, no mínimo, tecnologias de firewall e prevenção de invasões em sua rede, bem como segurança de endpoint e implementação de autenticação multifator, criptografia de dados e acesso restrito.
No entanto, é importante mencionar que nem tudo pode ser resolvido com tecnologia. Processo e tecnologia são igualmente importantes. Isso significa que as empresas devem fazer um balanço e criar um plano, em vez de apenas procurar uma solução rápida. Com isso em mente, existem alguns primeiros passos que você pode tomar. Em primeiro lugar, é importante verificar se a sua própria empresa se enquadra na nova diretiva. Se este for o caso, os seguintes aspectos devem ser considerados:
- Certifique-se de que a segurança de TI seja uma prioridade de gerenciamento e que os gerentes estejam cientes de suas responsabilidades. Comece analisando as necessidades da sua empresa e criando um roteiro com metas claras e cronograma de implementação.
- Identifique e priorize seus ativos, incluindo informações, processos e sistemas.
- Projete uma estrutura para construir sua segurança. Isso pode ser ISO2001 ou NIST. Também é importante que você implemente o gerenciamento de riscos para seus ativos e processos.
- Automatize o máximo possível de processos e rotinas. Por exemplo, a segurança de TI deve sempre fazer parte de novos sistemas e lançamentos de nuvem no futuro.
- Consolide suas funções e soluções de segurança. Isso torna a operação mais fácil e segura e reduz os custos de pessoal, entre outras coisas.
- Estabeleça um processo de relatório que esteja em conformidade com os requisitos do NIS2 e garanta que ele possa ser usado para mitigar ataques e ameaças.
Muitas organizações já implementaram algumas medidas, pois precisavam atender aos requisitos originais do NIS. No entanto, outras organizações estão tendo que se adaptar a uma realidade totalmente nova. Esta pode ser uma tarefa difícil e assustadora, até mesmo esmagadora para alguns. Por esse motivo, todos são aconselhados a lidar com os requisitos e possíveis medidas em um estágio inicial e consultar especialistas.
Mais em CheckPoint.com
Sobre o ponto de verificação A Check Point Software Technologies GmbH (www.checkpoint.com/de) é um fornecedor líder de soluções de segurança cibernética para administrações públicas e empresas em todo o mundo. As soluções protegem os clientes contra ataques cibernéticos com uma taxa de detecção líder do setor de malware, ransomware e outros tipos de ataques. A Check Point oferece uma arquitetura de segurança multicamada que protege as informações corporativas em nuvem, rede e dispositivos móveis, e o sistema de gerenciamento de segurança "um ponto de controle" mais abrangente e intuitivo. A Check Point protege mais de 100.000 empresas de todos os portes.