Explorando a NIS 2: mudanças, requisitos e preparação
A Diretiva de Redes e Sistemas de Informação (NIS) está mais uma vez sacudindo o cenário europeu. Com possíveis sanções severas e requisitos ainda mais rigorosos no horizonte, navegar pela conformidade está cada vez mais complicado.
Vamos detalhar e explicar tudo o que você precisa saber sobre a NIS 2 e seu impacto na sua organização.
O que é a NIS 2?
A NIS 2 é a segunda versão da Diretiva de redes e sistemas de informação. Esta legislação histórica de segurança cibernética visa estabelecer um nível mais alto de resiliência cibernética nas organizações em toda a União Europeia (UE), especialmente nos operadores de infraestrutura crítica e serviços essenciais.
Vale ressaltar que “NIS 2” é o nome correto da legislação. No entanto, você pode ver referências à “conformidade com a NIS2” ou à “Diretiva NIS2” em documentos oficiais. Ambas são aceitáveis, mas a primeira opção é a que é publicada no Jornal Oficial da União Europeia.
Como uma regulamentação que abrange toda a UE, cada Estado-membro deve transpor a Diretiva NIS para sua respectiva legislação nacional até 17 de outubro de 2024, momento em que todas as entidades contempladas serão legalmente obrigadas a cumprir seus requisitos de segurança. Em outras palavras, isso quer dizer que todos os países da UE precisarão tornar a regulamentação legalmente obrigatória em seus próprios territórios para que possam aplicá-la.
Em nível nacional, a NIS 2 visa aumentar a segurança cibernética geral ao:
- Exigir que cada estado-membro da UE esteja preparado para uma eventual ameaça cibernética com uma Equipe de resposta a incidentes de segurança em computadores (CSIRT) e uma autoridade nacional competente em redes e sistemas de informação.
- Aumentar a colaboração entre os Estados membros através da criação de um grupo de cooperação para troca de informações.
- Promover uma cultura de cibersegurança em setores de infraestruturas críticas que dependem fortemente das Tecnologias da Informação e Comunicação (TIC).
Em suma, a NIS 2 foi concebida para garantir que as entidades competentes em toda a UE estejam preparadas para mitigar as ameaças com medidas de segurança adequadas, informações sobre ameaças e melhores práticas.
Por que a NIS 2 é importante?
A NIS 2 representa uma melhoria marcante em relação à Diretiva NIS original. Historicamente falando, a NIS 1 foi a primeira legislação de segurança cibernética da Europa e também visava aumentar a resiliência cibernética em toda a região.
Embora tenha desencadeado com sucesso uma mudança de mentalidade e melhorado a proteção de dados, ainda assim enfrentou desafios. Logo após a implementação, registaram-se vários níveis de adoção em toda a União Europeia. Algumas empresas foram consideradas essenciais em determinados países, mas não em outros. Essas inconsistências resultaram num cenário de conformidade confuso e fragmentado.
Simultaneamente, o ambiente de risco evoluiu a passos largos desde 2016. Globalmente, o crime cibernético está crescendo tão rapidamente que, se fosse medido como um país, teria a terceira maior economia do mundo. Vetores de ataque novos e cada vez mais sofisticados estão desafiando as organizações de formas nunca antes vistas, incluindo o uso de inteligência artificial (IA).
Os golpes de phishing baseados em IA, por exemplo, estão aprendendo como enganar usuários desavisados e roubar suas credenciais de login com facilidade. E, com o advento da computação quântica, é apenas uma questão de tempo até que os hackers possam descriptografar muitos dos algoritmos criptográficos em uso atualmente.
É claro que a geopolítica só aumenta a complexidade. A guerra da Rússia na Ucrânia deu origem a ataques cibernéticos patrocinados pelo Estado e com motivação política. De acordo com a Agência de Segurança Cibernética da União Europeia (ENISA), em 2022, a grande maioria desses ataques teve como alvo a administração pública, governos, provedores de serviços digitais e infraestruturas críticas.
Devido a esses problemas, a Comissão Europeia decidiu rever a Diretiva NIS. A segunda versão não só aborda a implementação unificada, mas também eleva o nível da resiliência cibernética em sintonia com o cenário de ameaças cibernéticas em constante mudança.
Principais mudanças: A NIS 2 em comparação com a Diretiva NIS original
A Diretiva NIS atualizada corrige as deficiências de sua antecessora e aumenta significativamente o tamanho e a escala de seu alcance. Especificamente, em comparação com a NIS 1, ela:
- Expande o escopo para incluir mais setores
- Impõe sanções mais severas em caso de não conformidade
- Exige requisitos de segurança cibernética mais rigorosos
Vejamos mais de perto as principais diferenças entre a primeira e a segunda Diretiva NIS.
Escopo expandido
A Diretiva NIS original aplicava-se a “operadores de serviços essenciais” (OES, em inglês) e provedores de serviços digitais (DSP). Agora, essa distinção não existe mais.
Em vez disso, as entidades competentes são classificadas por tamanho e tipo. Geralmente, a NIS 2 afeta todas as organizações que prestam “serviços essenciais ou importantes” à União Europeia. Isso aumenta o número de setores contemplados de sete para 15, protegendo assim mais aspectos vitais da sociedade da UE.
Uma entidade essencial é classificada como uma grande empresa que atua em um setor crítico, como os apresentados a seguir. Nesse caso, uma grande entidade é definida como aquela com pelo menos 250 funcionários, um faturamento anual de pelo menos 50 milhões de euros ou um balanço anual de pelo menos 43 milhões de euros. De acordo com a NIS 2, os serviços essenciais incluem:
- Energia
- Transporte
- Finanças
- Administração pública
- Saúde
- Espaço
- Abastecimento de água (potável e águas residuais)
- Infraestrutura digital
Em contrapartida, uma entidade importante é uma empresa de porte médio que opera em setores de elevada criticidade e que não se enquadram na categoria de serviços essenciais. Essas organizações têm normalmente pelo menos 50 funcionários, um faturamento anual de pelo menos 10 milhões de euros ou um balanço de 10 milhões de euros. De acordo com a NIS 2, entidades importantes englobam:
- Serviços postais
- Gestão de resíduos
- Produtos químicos
- Pesquisa
- Alimentos
- Fabricação
- Provedores digitais
Alguns dos setores mencionados acima podem parecer semelhantes, como as infraestruturas digitais e os provedores digitais. O primeiro refere-se a serviços em nuvem, operadoras de telecomunicações, data centers, serviços de confiança e assim por diante. Em suma, as entidades importantes englobam qualquer entidade que forneça um serviço digital essencial para a estrutura básica da sociedade.
Os provedores digitais abrangem serviços mais específicos, como mecanismos de pesquisa, mercados on-line e redes sociais. Eles são essenciais para a forma como as pessoas se comunicam e realizam transações, mas podem não ter implicações drásticas se um incidente cibernético os tornar inoperantes.
Mas e quanto às operadoras sediadas fora da UE? Nos termos do artigo 26 da NIS 2, as entidades essenciais e importantes são consideradas sob a jurisdição do Estado-membro da UE onde prestam os seus serviços. Se a entidade prestar serviços em mais de um Estado-membro, ela deverá estar sob a jurisdição de cada um deles, respectivamente.
Não conformidade mais acentuada
A NIS 2 estabelece penalidades muito mais severas em casos de não conformidade, incluindo:
1. Penalidades não monetárias
A NIS 2 confere às autoridades nacionais de supervisão o poder de cobrar:
- Ordens de conformidade
- Instruções vinculativas
- Auditorias de segurança
- Ordens de notificação de ameaças
2. Multas administrativas
As multas exatas podem variar consoante o Estado-membro, mas a Diretiva NIS estabelece uma lista mínima de sanções.
- Para entidades essenciais, o Estado-membro deve aplicar uma multa máxima de pelo menos 10 milhões de euros ou 2% da receita anual global, prevalecendo o valor mais elevado.
- Se uma entidade importante violar a diretiva, o Estado-membro deverá aplicar uma multa máxima de, no mínimo, sete milhões de euros ou 1,4% da receita anual global, prevalecendo o valor mais elevado.
3. Sanções penais aos órgãos de administração
Em vez de colocar toda a pressão da conformidade com a NIS 2 sobre os departamentos de TI, a Diretiva inclui novas sanções para responsabilizar pessoalmente os órgãos da alta administração por negligência grave no caso de um incidente de segurança cibernética. Por exemplo, uma autoridade competente pode proibir temporariamente os executivos de ocuparem cargos de gerência. Ela também pode ordenar que as organizações divulguem violações de conformidade e façam uma declaração pública identificando as pessoas responsáveis pelo incidente.
Requisitos mais rigorosos
Por fim, a NIS 2 aumenta drasticamente seus requisitos de segurança cibernética para entidades relevantes. Em linhas gerais, ela exige a comunicação antecipada de incidentes, o gerenciamento de riscos ampliado e uma série de medidas mínimas de segurança.
O que significa tudo isso? Vamos nos aprofundar nos requisitos exatos da NIS 2.
Requisitos de segurança da NIS 2
A nova diretiva reforça a resiliência cibernética ao introduzir obrigações em quatro áreas:
Gestão de risco
As organizações devem adotar medidas de gestão de riscos de segurança cibernética para minimizar a probabilidade e o impacto de diversos vetores de ameaças cibernéticas. Mais especificamente, elas devem implementar precauções técnicas, operacionais e organizacionais para mitigar os riscos que afetam as suas redes e sistemas de informação, melhorando assim a proteção de dados. Essas precauções podem incluir procedimentos de gerenciamento de incidentes, maior segurança da cadeia de suprimentos, sistemas de controle de acesso e criptografia.
Governança corporativa
Os órgãos de administração são responsáveis por supervisionar e aprovar os protocolos de gerenciamento de riscos de segurança cibernética de suas respectivas organizações e devem garantir que eles sejam implementados de forma eficaz.
De acordo com o artigo 20, os Estados-membros devem “garantir que os membros dos órgãos de administração de entidades essenciais e importantes sejam obrigados a participar do treinamento” e devem incentivá-los a oferecer programas de treinamento semelhantes constantemente aos seus funcionários. O objetivo é permitir que todos em uma determinada organização identifiquem riscos e minimizem a exposição da melhor maneira possível.
Relatórios de incidentes
As entidades críticas devem estabelecer procedimentos para relatar prontamente incidentes de segurança que afetem significativamente seus usuários e/ou a prestação dos serviços. A NIS 2 classifica um incidente de segurança “significativo” como aquele que:
- Tenha provocado ou possa levar a sérias interrupções operacionais em um setor crítico
- Tenha afetado ou possa afetar outras pessoas físicas ou jurídicas causando danos consideráveis
As entidades devem notificar a autoridade competente do seu Estado-membro (incluindo o CSIRT) com um aviso prévio, o mais tardar 24 horas após tomarem conhecimento do incidente cibernético. Deverão também preencher um relatório completo no prazo máximo de 72 horas e um relatório final um mês após a apresentação do documento inicial.
Continuidade dos negócios
A revisão da NIS 2 tem como objetivo garantir a continuidade dos negócios após um ataque. As entidades são obrigadas a criar uma estratégia confiável que detalhe a sua resposta e recuperação de tais incidentes, com o objetivo de minimizar as interrupções rapidamente. Consequentemente, a NIS 2 reforça a adoção de soluções de backup em nuvem.
10 medidas básicas de segurança cibernética
O artigo 21 identifica 10 medidas básicas de segurança que as organizações devem implementar para dar suporte às quatro áreas abrangentes. Elas se baseiam em uma “abordagem de todos os riscos” que visa mitigar os vetores de ameaças mais prováveis. Essas medidas incluem:
- Políticas de análise de risco e segurança de sistemas de informação
- Planos de resposta a incidentes para lidar com ameaças ativas
- Planos de continuidade de negócios, como procedimentos de backup, recuperação de desastres e gerenciamento de crises
- Segurança da cadeia de abastecimento, incluindo medidas que abordam o relacionamento entre empresas e seus fornecedores ou prestadores de serviços diretos
- Segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, incluindo tratamento e divulgação de vulnerabilidades
- Políticas e procedimentos para avaliar a eficácia das medidas de gestão de riscos de segurança cibernética
- Treinamento para conscientização, higiene e melhores práticas de segurança cibernética
- Políticas sobre o uso de criptografia e codificação
- Procedimentos de controle de acesso, especialmente para funcionários com acesso a dados confidenciais
- Autenticação multifator, monitoramento contínuo e sistemas de comunicação seguros
A NIS 2 em comparação com outras regulamentações de segurança cibernética
Além da NIS 2, as operadoras da UE terão que lidar com várias outras regulamentações, incluindo:
- A Lei de Resiliência Operacional Digital (DORA)
- A Diretiva de Resiliência de Entidades Críticas (CER)
- A Lei de Resiliência Cibernética (CRA)
Como essas legislações se assemelham? Vamos analisar os detalhes:
A NIS 2 em comparação com a DORA
Tanto a NIS 2 como a DORA são regulamentações de segurança cibernética, mas seus objetivos são ligeiramente diferentes. A DORA é voltada especificamente para o setor financeiro, enquanto a NIS 2 abrange uma gama mais ampla de organizações.
De acordo com os parágrafos 1 e 2 do artigo 4 da Diretiva NIS, as disposições da DORA relacionadas com a gestão e a comunicação de riscos das TIC, os testes de resiliência operacional digital, o compartilhamento de informações e o risco de terceiros serão aplicáveis em vez das descritas na NIS 2. Em outras palavras, as entidades financeiras devem consultar a DORA para essas áreas e a NIS 2 para todos os outros requisitos.
O principal: A DORA substitui a NIS 2 para entidades financeiras no que diz respeito às medidas de segurança mencionadas acima.
A NIS 2 em comparação com a Diretiva CER
A Diretiva CER se aplica a entidades críticas, como provedores de energia e transporte, orientando suas defesas contra riscos não relacionados à segurança cibernética. Embora a NIS2 se concentre na segurança cibernética, pode haver coincidências em relação às entidades contempladas. Nesses casos, as organizações terão de garantir a conformidade com ambas as diretivas, abordando a resiliência cibernética e física.
As entidades críticas devem estar em conformidade com a NIS 2 no que diz respeito à segurança cibernética e à Diretiva CER para incidentes não cibernéticos.
A NIS 2 em comparação com a CRA
A Lei de Resiliência Cibernética é uma proposta de legislação que se concentra na segurança cibernética de produtos de hardware e software com elementos digitais, como dispositivos de Internet das Coisas (IoT). Enquanto a NIS 2 se concentra em melhorar a postura de segurança das próprias empresas, a CRA exige que as empresas priorizem a segurança dos produtos que fabricam ou vendem.
Em geral, a CRA complementa a NIS 2, mas não necessariamente a sobrepõe ou substitui. Portanto, as entidades podem estar sujeitas a ambos os regulamentos.
Garanta a conformidade com a NIS 2 com a Entrust
Preocupado com a conformidade com a NIS 2? Não fique. Estamos à disposição para ajudar.
Na Entrust, simplificamos a segurança cibernética e a proteção de dados. Nosso portfólio inclui todas as soluções de conformidade de que você precisa, incluindo:
- Módulos de segurança de hardware (HSMs): Os HSMs nShield da Entrust oferecem um ambiente seguro para gerar, gerenciar e proteger chaves criptográficas, que são essenciais para proteger dados confidenciais e garantir a integridade das transações digitais.
- Gerenciamento da postura de segurança na nuvem: Nossas ferramentas de segurança completas ajudam as organizações a gerenciar sua postura de segurança em ambientes em nuvem com monitoramento contínuo, detecção automatizada de ameaças e muito mais.
- Gerenciamento de identificação e acesso (IAM): Oferecemos soluções de IAM que permitem que as organizações garantam que somente usuários autorizados possam acessar informações confidenciais, fornecendo uma base sólida para a segurança Zero Trust.
- Infraestrutura de chave pública (PKI): As soluções de PKI da Entrust oferecem uma estrutura para proteger comunicações e transações, gerenciar certificados digitais e garantir a autenticidade de identidades digitais, todos importantes para a conformidade com a NIS 2.
No geral, as ofertas da Entrust fornecem um conjunto abrangente de ferramentas para ajudar as organizações a fortalecerem a sua postura de segurança cibernética, protegerem-se contra ameaças e cumprirem os requisitos da Diretiva NIS 2.