NIS2 e Continuidade de Negócio – É um tema pouco importante ou crítico?

Q1. O que é a NIS2?
Q2. Qual a importância e o impacto da NIS2 nas organizações (Europa)?
Q3. A minha organização é obrigada a respeitar alguma conformidade legal (EU) até Outubro de 2024? (veja também a tabela resumo no final deste artigo com as indústrias e critérios de aplicação)
Q4. A implementação desta conformidade tem um custo elevado?
Q5. Quais as melhores práticas para optimizar esta conformidade legal ao menor custo?

A NIS2 estabelece uma relação complementar com outras normas como a ISO27001, ISACA CSX, IT RISK 27005, PCI-DSS, DORA, RGPD e DL 65/2021.
A ausência de cumprimento da NIS2 em termos de conformidade legal, remete para a equipa de administração (Governance) da organização toda a responsabilidade pelos riscos e eventuais danos.

A NIS2 (Network and Information Security Directive 2) é a segunda versão da Diretiva sobre Segurança das Redes e da Informação (NIS) da União Europeia. A NIS2 tem como objetivo melhorar a cibersegurança e a resiliência das redes e sistemas de informação em toda a UE. A diretiva NIS original, adotada em 2016, foi a primeira legislação a nível da UE que se centrava na cibersegurança. No entanto, com o aumento das ameaças cibernéticas e a evolução do panorama digital, tornou-se necessário atualizar e expandir as suas disposições.

A NIS2 inclui várias atualizações e melhorias, tais como:

1. Ampliar o âmbito: A NIS2 abrange mais sectores e tipos de entidades, incluindo sectores críticos como a alimentação, saúde, energia, transportes, água, Telecom, serviços Digitais, resíduos, Administração Pública (central e local).
2. Reforçar os requisitos de segurança: A diretiva estabelece requisitos mais rigorosos para as medidas de segurança que as organizações devem implementar.
3. Melhorar a cooperação: A NIS2 promove uma maior cooperação e troca de informações entre os Estados-Membros da UE e as autoridades competentes.
4. Aumentar a supervisão e aplicação: As autoridades nacionais terão mais poderes para supervisionar e aplicar as regras da NIS2, incluindo a capacidade de impor sanções em caso de não conformidade.

A NIS2 visa, assim, criar um ambiente digital mais seguro e resiliente na União Europeia, protegendo melhor os cidadãos e as empresas contra as ameaças cibernéticas.

A ISO 27005 é uma norma que fornece diretrizes para a gestão dos riscos de segurança da informação. Complementa a ISO 27001, oferecendo uma abordagem estruturada para identificar, avaliar e tratar riscos. A gestão dos riscos é um componente essencial da NIS2, tornando a ISO 27005 relevante para organizações que procuram conformidade.

O Payment Card Industry Data Security Standard (PCI-DSS) é um conjunto de padrões de segurança para proteger informações de cartões de pagamento. Embora o PCI-DSS seja específico para a indústria de pagamentos, os princípios de segurança que promove são aplicáveis a muitos dos requisitos de segurança da NIS2.

O Digital Operational Resilience Act (DORA) é outra legislação da UE focada na resiliência operacional digital de entidades financeiras. Enquanto a NIS2 abrange uma gama mais ampla de sectores, o DORA é específico para o sector financeiro, mas ambos partilham o objetivo de reforçar a resiliência cibernética.

O Regulamento Geral sobre a Proteção de Dados (RGPD) da UE é focado na proteção de dados pessoais. Embora o RGPD e a NIS2 tenham diferentes focos, ambos exigem que as organizações implementem medidas de segurança adequadas para proteger dados e sistemas, criando uma interseção em termos de requisitos de segurança.

O Decreto-Lei 65/2021 é uma legislação portuguesa que transpõe a diretiva NIS original para o direito nacional. Estabelece requisitos de segurança para operadores de serviços essenciais e fornecedores de serviços digitais em Portugal. A relação com a NIS2 é direta, pois o DL 65/2021 é a implementação nacional da diretiva NIS, e espera-se que seja atualizado para refletir as mudanças introduzidas pela NIS2.

Em resumo, a NIS2 está relacionada a estas normas, regulamentos e estruturas através do objetivo comum de aumentar a segurança cibernética e a resiliência operacional, embora cada um tenha o seu foco e âmbito específicos

Leia também “Cibersegurança e Segurança de Informação são a mesma coisa?”.

A importância e o impacto da NIS2 nas organizações

A NIS2 visa aumentar a segurança das redes e sistemas de informação, minimizando o risco de ciberataques e outras ameaças cibernéticas. Isso é crucial num contexto onde as infraestruturas críticas e os serviços essenciais são cada vez mais dependentes de tecnologias digitais.

A diretiva procura harmonizar os requisitos de cibersegurança em toda a União Europeia, garantindo que todos os Estados-Membros adotem um nível mínimo de proteção. Isso facilita a cooperação transfronteiriça e a resposta coordenada a incidentes de cibersegurança.

Extensão dos sectores abrangidos

A NIS2 aumenta a sua abrangência a setores críticos como águas residuais, setor espacial, administração pública, investigação, produtos alimentares, produtos químicos, serviços postais e estafetas, indústria transformadora e a gestão de serviços TIC (B2B), que se juntam aos anteriores como saúde, energia, águas, transportes, infra-estruturas financeiras e digitais, garantindo que as infra-estruturas essenciais para a sociedade e a economia estejam melhor protegidas.

As organizações abrangidas pela NIS2 terão de cumprir requisitos mais rigorosos de cibersegurança, o que pode implicar investimentos adicionais em tecnologias de segurança, formação de pessoal e processos de gestão de risco.

As autoridades nacionais terão mais poderes para supervisionar e auditar as práticas de cibersegurança das organizações. Isto pode resultar em maior escrutínio e na necessidade de as empresas documentarem e demonstrarem a sua conformidade.

A NIS2 prevê a possibilidade de sanções significativas para organizações que não cumpram os requisitos estabelecidos. Isso aumenta a responsabilidade das empresas e pode ter um impacto financeiro significativo em caso de não conformidade. Relativamente às entidades essenciais, as coimas podem chegar a um montante máximo de 10 milhões de euros ou 2% do volume de negócio global anual total da organização. No caso de entidades importantes, as coimas podem chegar até um máximo de 7 milhões de euros ou de pelo menos, 1,4% do volume de negócio global anual total da organização.

As organizações serão incentivadas a cooperar mais estreitamente com as autoridades nacionais e outras partes interessadas, partilhando informações sobre ameaças e incidentes de cibersegurança. Isso pode melhorar a resposta a incidentes, mas também requererá ajustes nos processos internos de comunicação e gestão de incidentes.

A implementação das medidas exigidas pela NIS2 pode aumentar a resiliência das organizações contra ciberataques, protegendo não só a própria organização mas também os seus clientes e parceiros.

A NIS2 permite alcançar a conformidade em 10 áreas essenciais:

1. Políticas em matéria de análise de riscos e segurança dos sistemas de informação (dados e sistemas críticos; activos de informação; acessos seguros);
2. Gestão de incidentes (tempo de resposta; contenção de danos; comunicação e canais):
3. Continuidade de negócio (BCP), como a gestão de cópias de segurança (3-2-1-1) e a recuperação de desastres (DRP), e gestão de crises (Artigo 21.º, n.º 2, alínea c);
4. Segurança da cadeia de abastecimento (colaboradores, fornecedores, parceiros e clientes);
5. Segurança da aquisição, do desenvolvimento e da manutenção de redes e sistemas de informação;
6. Avaliação da eficácia das medidas de gestão dos riscos de cibersegurança (testes e auditorias regulares);
7. Formação em ciber-higiene e cibersegurança;
8. Políticas e procedimentos relativos à utilização da criptografia e, se for caso disso, da encriptação;
9. Segurança dos recursos humanos, políticas de controlo de acesso e gestão de ativos;
10. Utilização de soluções de autenticação multifatores;

A NIS2 representa um passo importante para fortalecer a cibersegurança na Europa, mas também impõe novos desafios e responsabilidades às organizações. A conformidade com a diretiva exigirá um compromisso contínuo com a melhoria das práticas de segurança e a adaptação às novas exigências regulamentares, o que exige um maior investimento, mas com benefícios superiores.

Sim, a sua organização pode ser obrigada a cumprir com a Diretiva NIS2 até outubro de 2024, dependendo do setor em que opera e da natureza dos seus serviços. A NIS2 introduz novos requisitos de cibersegurança que se aplicam a uma gama mais ampla de setores e de tipos de entidades em comparação com a diretiva NIS original.

Setores e Entidades Abrangidos

A NIS2 abrange uma série de setores considerados críticos, incluindo, mas não se limitando a:

1. Energia: Eletricidade, gás, petróleo.
2. Transportes: Aéreo, ferroviário, marítimo, rodoviário.
3. Banca: Instituições financeiras.
4. Infra-estruturas dos Mercados Financeiros: Bolsas de valores, câmaras de compensação.
5. Saúde: Hospitais, clínicas, farmácias.
6. Água Potável e Resíduos: Fornecimento de água e gestão de resíduos.
7. Infra-estruturas Digitais: Fornecedores de serviços de nuvem, centros de dados, redes de distribuição de conteúdos.
8. Serviços Públicos: Administração pública, serviços de emergência.

Requisitos de Conformidade

As organizações abrangidas pela NIS2 terão de adotar medidas de cibersegurança, que podem incluir:

1. Gestão dos riscos: Implementação de políticas e procedimentos para identificar e gerir riscos de cibersegurança.
2. Medidas Técnicas e Organizacionais: Adoção de tecnologias e práticas de segurança, como firewalls, criptografia, e formação de pessoal.
3. Relatórios de Incidentes: Obrigação de reportar incidentes de cibersegurança significativos às autoridades competentes dentro de prazos específicos.
4. Auditorias e Supervisão: Sujeição a auditorias e inspeções por parte das autoridades nacionais para verificar a conformidade.
5. Sanções: Possibilidade de imposição de sanções em caso de não conformidade, incluindo multas significativas. Acresce ainda a responsabilidade directa dos Administradores e Dirigentes, com potenciais impactos financeiros e reputacionais.

Prazo de Conformidade

A NIS2 foi adotada pela União Europeia em dezembro de 2022, e os Estados-Membros têm até outubro de 2024 para transpor a diretiva para a legislação nacional. Isso significa que as organizações terão de estar em conformidade com as novas regras até essa data.

Passos a Tomar

1. Avaliação de Conformidade: Determine se a sua organização está entre as entidades abrangidas pela NIS2.
2. Análise de Falhas: Realize uma análise de lacunas para identificar áreas onde a sua organização não cumpre os requisitos da NIS2.
3. Plano de Ação: Desenvolva um plano de ação para implementar as medidas necessárias para alcançar a conformidade.
4. Formação e Sensibilização: Invista na formação e sensibilização dos colaboradores sobre as novas exigências de cibersegurança.
5. Monitorização Contínua: Estabeleça processos de monitorização contínua para garantir que a sua organização mantém a conformidade ao longo do tempo.

Se a sua organização opera em um dos setores críticos mencionados ou fornece serviços essenciais, é urgente começar a preparar-se para a conformidade com a NIS2 o mais cedo possível.

Nota: veja também a tabela resumo no final deste artigo com as indústrias e critérios de aplicação.

A implementação da conformidade com a NIS2 pode, de facto, implicar custos significativos para as organizações, especialmente para aquelas que necessitam de realizar mudanças substanciais nas suas práticas de cibersegurança. Aqui estão alguns dos principais fatores que podem contribuir para os custos elevados:

1. Tecnologia e Infraestrutura

• Atualização de Sistemas: Investimento em hardware e software de segurança, como firewalls, sistemas de deteção e prevenção de intrusões, e soluções de criptografia.
• Infraestrutura de Rede: Melhorias na infra-estrutura de rede para garantir a segurança e a resiliência contra ciberataques.

2. Recursos Humanos

• Contratação de Especialistas: Recrutamento de profissionais de cibersegurança qualificados, como analistas de segurança, engenheiros de segurança e gestores do risco.
• Formação e Capacitação: Programas de formação contínua para os colaboradores, para garantir que todos estão cientes das melhores práticas de cibersegurança e dos requisitos da NIS2.

Em virtude da dificuldade de tempo e de custo para encontrar, recrutar e manter estes especialistas directamente nos quadros de pessoal, podem (e devem) ser considerados serviços externos a contratualizar a parceiros, como por exemplo serviço de CISO as a Service, Serviço de Advisoring de Cibersegurança, Auditoria ou mesmo de Gestão de Programa de Segurança de Informação.

3. Processos e Políticas

• Desenvolvimento de Políticas: Criação e implementação de políticas e procedimentos de cibersegurança alinhados com os requisitos da NIS2.
• Gestão dos riscos: Estabelecimento de processos robustos de gestão dos riscos, incluindo avaliações regulares de riscos e auditorias de segurança.

4. Monitorização e Resposta a Incidentes

• Sistemas de Monitorização: Implementação de sistemas de monitorização contínua para detetar e responder rapidamente a incidentes de cibersegurança.
• Planos de Resposta a Incidentes: Desenvolvimento e teste de planos de resposta a incidentes para garantir uma resposta eficaz em caso de ciberataque.
• Serviços de Cyber intelligence: para aumentar o nível de prevenção e detecção de riscos emergentes e potenciais incidentes.

5. Consultoria e Auditoria

• Serviços de Consultoria: Contratação de consultores especializados para ajudar na avaliação de conformidade e na implementação das medidas necessárias.
• Auditorias de Conformidade: Realização de auditorias internas e externas para verificar a conformidade com a NIS2 e identificar áreas de melhoria.

Benefícios a Longo Prazo

Embora os custos iniciais de implementação possam ser elevados, é importante considerar os benefícios a longo prazo:

1. Redução do Risco de Ciberataques: Implementar medidas robustas de cibersegurança permite reduzir significativamente o risco de ciberataques e as potenciais perdas financeiras associadas.
2. Reputação e Confiança: Demonstrar conformidade com a NIS2 permite aumentar a confiança dos clientes, parceiros e outras partes interessadas na sua organização.
3. Eficiência Operacional: Melhorar a segurança das redes e sistemas de informação permite evoluir para uma maior eficiência operacional e para uma redução de interrupções causadas por incidentes de cibersegurança.

Embora a implementação da conformidade com a NIS2 possa representar um investimento significativo, os custos devem ser vistos como uma medida necessária para proteger a organização contra ameaças cibernéticas e garantir a continuidade dos serviços essenciais. Uma abordagem proactiva e bem-planeada pode ajudar a mitigar os custos e maximizar os benefícios a longo prazo.

Por outro lado, a decisão de não investir em segurança digital implica aceitar os riscos inerentes, incluindo perder todos os dados e toda a informação de clientes, ou de permitir que entidades externas (piratas informáticos, terroristas, ..) tenham acesso aos dados dos seus clientes, violando os contratos ou leis de confidencialidade e protecção de dados, o que pode significar a ruina e o encerramento do seu negócio.

A conformidade com a NIS2 pode ser otimizada ao menor custo através da adoção de várias melhores práticas. Aqui estão algumas estratégias que podem ajudar a reduzir os custos enquanto se mantém um elevado nível de cibersegurança:

1. Avaliação dos Riscos e Planeamento

• Avaliação Inicial dos Riscos: Realize uma avaliação de riscos detalhada para identificar as áreas mais vulneráveis e prioritárias. Focar os recursos nas áreas de maior risco pode evitar gastos desnecessários.
• Planeamento Estratégico: Desenvolva um plano de implementação faseado que permita distribuir os custos ao longo do tempo. Priorize as ações mais críticas e de maior impacto.

2. Utilização de Recursos Internos

• Aproveitamento de Talentos Internos: Identifique colaboradores com aptidões em cibersegurança e promova a formação interna. Isso pode reduzir a necessidade de contratação de novos especialistas.
• Formação Cruzada: Incentive a formação cruzada entre departamentos para aumentar a resiliência e a capacidade de resposta a incidentes.

3. Automatização e Automação (BPM; HiperAutomação) com Ferramentas de Código Aberto (Java, Linux)

• Automatização de Processos: Utilize ferramentas de automação como BPM (workflows automáticos) ou HiperAutomação (com IA) para monitorização, deteção de ameaças e resposta a incidentes. Isso pode reduzir a carga de trabalho manual e melhorar a eficiência.
• Ferramentas de Código Aberto: Aproveite as soluções de cibersegurança de código aberto, que são frequentemente gratuitas ou de baixo custo, para complementar algumas das suas defesas.

4. Serviços de Segurança Geridos

• Outsourcing de Serviços: Considere a terceirização de algumas funções de cibersegurança para fornecedores de serviços de segurança geridos (MSSPs). Isso pode ser mais económico do que manter uma equipa interna dedicada.
• Parcerias Estratégicas: Estabeleça parcerias com outras organizações para partilhar conhecimentos, recursos e custos associados à cibersegurança.

5. Políticas e Procedimentos Eficazes

• Políticas Claras e Concisas: Desenvolva políticas de cibersegurança claras e simples que sejam fáceis de seguir e implementar, ajustados á dimensão e realidade da sua organização.
• Procedimentos de Resposta a Incidentes: Crie procedimentos claros e bem documentados para a resposta a incidentes, incluindo a definição de papéis e responsabilidades, para garantir uma resposta rápida e eficaz.

6. Formação e Sensibilização

• Programas de Sensibilização: Invista em programas de sensibilização e formação contínua para todos os colaboradores. A formação pode prevenir muitos incidentes de cibersegurança causados por erro humano – cerca de 82% dos incidentes tem origem humana interna (Verizon DBIR, 2022).
• Simulações e Testes: Realize simulações de ciberataques e testes de resposta a incidentes para preparar a equipa e identificar áreas de melhoria.
• Simulações de phishing.

7. Monitorização e Revisão Contínua

• Monitorização Contínua: Estabeleça processos contínuos de monitorização e revisão das medidas de cibersegurança para garantir que permanecem eficazes e ajustados às ameaças e requisitos em constante evolução.
• Auditorias Internas: Realize auditorias internas regulares para assegurar a conformidade e identificar áreas onde podem ser feitas melhorias ou economias.

8. Aproveitamento de Subsídios e Incentivos

• Apoios Governamentais: Investigue a disponibilidade de subsídios, incentivos fiscais ou outros apoios governamentais para iniciativas de cibersegurança.
• Programas da UE: Explore programas e fundos da União Europeia destinados a melhorar a cibersegurança e a conformidade regulatória.

A otimização da conformidade com a NIS2 ao menor custo requer uma abordagem estratégica e bem-planeada. Ao focar-se nas áreas de maior risco, aproveitar recursos internos, utilizar ferramentas económicas e estabelecer parcerias, a sua organização pode alcançar um elevado nível de cibersegurança sem incorrer em custos excessivos.

Dispomos de uma equipa sénior e certificada para ajudar a sua organização nos temas da avaliação da conformidade e de âmbito de aplicação (NIS2, ISO27k1), Análise do Risco de segurança, elaboração de Plano de Segurança de Informação, Gestão do programa implementação, ou Serviços profissionais e CISOaaS.