O que é a Diretiva NIS2?
A Diretiva de Segurança das Redes e da Informação (SRI) da União Europeia é um ato legislativo que visa alcançar um elevado nível comum de cibersegurança para as organizações em toda a União Europeia. Originalmente adoptada em 2016, a NIS dependia muito do poder discricionário de cada Estado-Membro e carecia de responsabilização.
Em 16 de janeiro de 2023, em resposta às crescentes ameaças colocadas pela crescente digitalização e pelo aumento dos ciberataques, a UE adoptou a NIS2 para reforçar os requisitos de segurança e a ciber-resiliência. Os 27 Estados-Membros da UE têm até 17 de outubro de 2024 para transpor a Diretiva NIS2 para a legislação nacional aplicável.
A NIS2 alarga a Diretiva NIS original de modo a abranger mais sectores industriais, com medidas adicionais de gestão de riscos e obrigações de comunicação de incidentes. Prevê igualmente uma aplicação mais rigorosa. A NIS2 complementa a NIS em 4 domínios fundamentais:
- Âmbito alargado: a NIS2 alarga o seu âmbito a mais sectores, passando de sete para dezoito. A NIS2 também classificou os sectores como essenciais ou importantes, com diferentes requisitos de supervisão.
- Requisitos de segurança mais rigorosos: a diretiva impõe medidas mais rigorosas em matéria de cibersegurança. Estes requisitos envolvem práticas de gestão de riscos, medidas técnicas e organizacionais, planos de resposta e recuperação de incidentes, formação de colaboradores e actualizações e correcções frequentes.
- Comunicação obrigatória de incidentes com prazos específicos: a NIS2 exige que as organizações comuniquem os incidentes de cibersegurança significativos, que são aqueles que podem afetar negativamente a prestação dos serviços da organização. As organizações devem fornecer um relatório de "alerta precoce", utilizando um formato normalizado e um prazo de comunicação reduzido de 24 horas, seguido de uma Notificação de Incidente no prazo de 72 horas após terem tomado conhecimento do incidente, bem como um Relatório Final no prazo de 30 dias.
- Aplicação através de sanções: a Diretiva SRI2 impõe sanções mais severas em caso de incumprimento, incluindo sanções financeiras acrescidas.
A NIS2 alargou o âmbito de aplicação da diretiva de 7 para 18 setores. A versão anterior da NIS identificava como sectores essenciais os cuidados de saúde, os transportes, as infraestruturas digitais, o abastecimento de água, a banca, as infraestruturas do mercado financeiro e a energia. A NIS2 acrescenta à categoria de sectores "essenciais" os prestadores de serviços digitais, a gestão de resíduos, a indústria farmacêutica e os laboratórios, o espaço e a administração pública. A NIS2 acrescenta também uma categoria setorial "Importante", que inclui fornecedores de comunicações públicas, produtos químicos, produtores e distribuidores de alimentos, fabricantes de dispositivos críticos, redes sociais e mercados em linha e serviços de correio rápido.
As entidades essenciais devem cumprir os requisitos de supervisão, enquanto as entidades importantes apenas estarão sujeitas a uma supervisão ex-post. A supervisão ex-post significa que só serão tomadas medidas de supervisão se as autoridades receberem provas de incumprimento.
O artigo 21.º da NIS2 estabelece que "os Estados-Membros assegurarão que as entidades essenciais e importantes tomem medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que essas entidades utilizam para as suas operações ou para a prestação dos seus serviços e para prevenir ou minimizar o impacto dos incidentes nos destinatários dos seus serviços e noutros serviços" O objetivo do artigo 21.º é proteger as redes e os sistemas de informação e o ambiente físico desses sistemas contra incidentes e deve incluir, pelo menos, o seguinte:
(a) Políticas em matéria de análise de riscos e de segurança dos sistemas de informação;
(b) tratamento de incidentes;
(c) continuidade das actividades, como a gestão de cópias de segurança, a recuperação de desastres e a gestão de crises;
(d) Segurança da cadeia de abastecimento, incluindo aspectos relacionados com a segurança das relações entre cada entidade e os seus fornecedores diretos ou prestadores de serviços;
(e) Segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, incluindo o tratamento e a divulgação de vulnerabilidades;
(f) políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança;
(g) práticas básicas de ciber-higiene e formação em cibersegurança;
(h) Políticas e procedimentos relativos à utilização da criptografia e, se for caso disso, da cifragem;
(i) segurança dos recursos humanos, políticas de controlo do acesso e gestão de activos;
(j) A utilização de soluções de autenticação multifator ou de autenticação contínua, de comunicações seguras de voz, vídeo e texto e de sistemas seguros de comunicação de emergência na entidade, se for caso disso.
O artigo 23.º da NIS2 exige que todos os incidentes significativos de cibersegurança "...que tenham um impacto significativo na prestação dos seus serviços..." sejam comunicados, quer o ataque tenha ou não afetado efetivamente as operações da entidade. A alteração mais significativa em relação à comunicação de incidentes é a forma como a Diretiva NIS2 especifica o processo obrigatório de comunicação de incidentes em várias fases e o conteúdo que deve ser incluído.
Alerta precoce:
No prazo de 24 horas. Deve ser apresentado um relatório inicial à autoridade competente ou à CSIRT relevante a nível nacional no prazo de 24 horas após um incidente de cibersegurança. O relatório inicial deve constituir um alerta precoce em caso de impacto transfronteiriço ou de dolo. Esta primeira notificação destina-se a limitar a potencial propagação de uma ameaça cibernética.
Notificação de incidente de acompanhamento:
No prazo de 72 horas. Um relatório de notificação mais pormenorizado deve ser comunicado no prazo de 72 horas. Deve conter uma avaliação do incidente, incluindo a sua gravidade, impacto e indicadores de comprometimento. A entidade afetada deve também comunicar o incidente às autoridades responsáveis pela aplicação da lei, caso se trate de um crime.
Relatório final: No prazo de um mês.
O relatório final deve ser apresentado no prazo de um mês após a notificação inicial ou o primeiro relatório. Este relatório final deve incluir:
- Uma descrição pormenorizada do incidente.
- A gravidade e as consequências.
- O tipo de ameaça ou causa suscetível de ter conduzido ao incidente.
- Todas as medidas de atenuação aplicadas e em curso.
Além disso, nos termos da Diretiva NIS2, as entidades devem comunicar qualquer grande ameaça cibernética que identifiquem e que possa resultar num incidente significativo. Uma ameaça é considerada significativa se resultar em
- Perturbação operacional significativa ou perdas financeiras para a entidade em causa.
- Pode afetar pessoas singulares ou colectivas, causando danos materiais ou imateriais significativos.
O não cumprimento da Diretiva NIS2 está sujeito a sanções mais rigorosas do que a NIS. Nos termos da Diretiva SRI2, as sanções por incumprimento são diferentes para as entidades essenciais e para as entidades importantes.
- Para as entidades essenciais, as coimas podem ir até 10 000 000 euros ou, pelo menos, 2% do volume de negócios anual total a nível mundial no exercício fiscal anterior da empresa a que pertence a entidade essencial, consoante o montante que for mais elevado.
- Para as entidades importantes, as coimas podem ir até 7 000 000 euros ou, pelo menos, 1,4% do volume de negócios anual total a nível mundial no ano fiscal anterior da empresa a que pertence a entidade importante, consoante o montante que for mais elevado.
Documento técnico
Diretiva 2 relativa à segurança das redes e da informação (NIS2)
Descubra como as organizações cumprem a Diretiva NIS2 através das nossas soluções abrangentes de cibersegurança e saiba mais sobre os requisitos NIS2.
Como a Thales ajuda na conformidade com o NIS2
A Thales e a Imperva, uma empresa da Thales, oferecem um vasto portefólio de produtos complementares de Segurança de aplicações, segurança de dados e gestão de identidades e acessos para fornecer uma solução abrangente que ajuda a cumprir os requisitos do NIS2. Podemos ajudar as entidades essenciais e importantes a cumprir a NIS2, abordando os requisitos essenciais de gestão do risco de cibersegurança ao abrigo do artigo 21.º e ajudando as organizações a produzir relatórios completos, exactos e atempados para cumprir os requisitos do artigo 23.
Soluções de conformidade NIS2
Segurança de aplicações
Proteja aplicações e APIs em escala na nuvem, on-premises ou em um modelo híbrido. O nosso conjunto de produtos líder de mercado inclui Web Application Firewall (WAF), proteção contra ataques DDoS (Distributed Denial of Service) e BOT maliciosos, segurança para APIs, uma CDN (Content Delivery Network) segura e RASP (Runtime Application Self-Protection).
Segurança dos dados
Descubra e classifique dados confidenciais em toda a TI híbrida e proteja-os automaticamente em qualquer lugar, seja em repouso, em movimento ou em uso, usando tokenização de criptografia e gestão de chaves. As soluções da Thales também identificam, avaliam e priorizam riscos potenciais para uma avaliação de risco precisa, bem como identificam comportamentos anômalos e monitoram a atividade para verificar a conformidade, permitindo que as organizações priorizem onde gastar seus esforços.
Gestão de identidade e acesso
Forneça acesso contínuo, seguro e fiável a aplicações e serviços digitais para clientes, colaboradores e parceiros. As nossas soluções limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto com políticas de acesso granulares, autenticação multifator e dispositivos de hardware PKI/FIDO resistentes a phishing que ajudam a garantir que o utilizador certo tem acesso ao recurso certo no momento certo.
Aborda os principais requisitos do NIS2
Como é que a Thales ajuda:
- Descubra e classifique o risco potencial para todas as APIs públicas, privadas e obscuras.
- Identifique dados sensíveis estruturados e não estruturados em risco no local e na nuvem.
- Identifique o estado atual de conformidade, documentando as lacunas e fornecendo um caminho para a conformidade total.
Como é que a Thales ajuda:
- Acelere o tratamento de incidentes abrindo e actualizando automaticamente os bilhetes do ServiceNow.
Como é que a Thales ajuda:
- Mitigação de ataques DDoS em apenas três segundos.
- Aplique medidas preventivas para prever e evitar situações de crise.
Como é que a Thales ajuda:
- Reduza o risco de terceiros mantendo o controlo no local sobre as chaves de encriptação que protegem os dados alojados na nuvem.
- Garanta a separação completa de funções entre os administradores do fornecedor de serviços em nuvem e a sua organização, restrinja o acesso a dados sensíveis.
- Monitorize e alerte anomalias para detetar e impedir que actividades indesejadas perturbem as actividades da cadeia de abastecimento.
- Permita a gestão de relações com fornecedores, parceiros ou qualquer utilizador terceiro, com uma clara delegação de direitos de acesso.
- Minimize os privilégios usando a autorização refinada baseada em relações.
Como é que a Thales ajuda:
- Detete e evite ciberameaças com a firewall de aplicações Web, garantindo operações sem falhas e paz de espírito.
- Proteja os activos de rede críticos contra ataques DDoS e Bad Bots, continuando a permitir o tráfego legítimo.
- Segurança centrada nos dados, independentemente do facto de sensores simples poderem proporcionar segurança e conformidade no mais vasto ambiente de dados.
Como é que a Thales ajuda:
- Obtenha visibilidade total da atividade dos dados sensíveis, acompanhe quem tem acesso, audite o que estão a fazer e documente.
Como é que a Thales ajuda:
- Encripte dados em repouso (data-at-rest) em ambientes on-premises, em múltiplas clouds, e em ambientes de big data ou contentores.
- Pseudonimize informações sensíveis em bases de dados.
- Simplifique a gestão de chaves em ambientes de nuvem e on-premise.
- Proteja chaves criptográficas num ambiente FIPS 140-2 de nível 3.
- Proteja os dados em movimento com encriptação de alta velocidade.
Como é que a Thales ajuda:
- Limite o acesso dos utilizadores internos e externos aos sistemas e dados com base nas funções e no contexto das políticas.
- Aplique medidas de segurança contextuais com base na classificação dos riscos.
- Evite o cansaço das palavras-passe com o Início de Sessão Único Inteligente com acesso condicional.
- Crie um acesso sem atritos, seguro e protegido pela privacidade para os seus clientes.
Soluções:
Gestão de identidade e acesso
Gestão do acesso dos trabalhadores
Gestão da identidade e do acesso dos clientes (CIAM)
Segurança dos dados
Como é que a Thales ajuda:
- Permita a autenticação multifator (MFA) com a mais ampla gama de métodos e formatos de hardware e software.
- Crie e implemente políticas de autenticação adaptáveis com base na sensibilidade dos dados/aplicação.
- Proteja-se contra ataques de phishing e man-in-the-middle com autenticadores de hardware PKI e FIDO.
Soluções:
Gestão de identidade e acesso
Como é que a Thales ajuda:
- Os registos retidos durante um ano estão imediatamente acessíveis para pesquisa e investigação detalhadas. Os dados de auditoria são arquivados automaticamente, mas permanecem acessíveis em segundos para consultas e relatórios.
Recursos relacionados
