NIS2

NIS2: melhora das falhas da diretiva para segurança das redes e da informação (NIS)

Em 2016, a Comissão Europeia adotou a diretiva da UE para segurança das redes e da informação (SRI). A diretiva NIS foi a primeira legislação de cibersegurança da UE e o seu objetivo era melhorar a cibersegurança em toda a União Europeia.

Em maio de 2022, a fim de responder às crescentes ameaças colocadas pelo aumento da digitalização e dos ciberataques, a comissão anunciou a substituição da diretiva SRI e, assim, ampliou os requisitos de segurança e introduziu medidas mais rigorosas de supervisão e de requisitos de execução, incluindo sanções iguais em toda a União Europeia.

A diretiva NIS2 visa melhorar os seguintes aspectos:

1. Ampliar

Mais interconectividade, rápida digitalização e conectividade onipresente significam que mais empresas estão se tornando sistemicamente importantes para se defender dos riscos cibernéticos. Redefinir o âmbito original para ser mais claro na cobertura de "serviços essenciais" – incluindo transportes, banking, administração pública e entidades que operam em serviços como a produção de alimentos, serviços postais e gestão de resíduos significa que serão necessárias medidas de resiliência cibernética em uma escala muito maior em todo o continente.

2. Governança

Melhorar a governança de segurança e tornar os gerentes seniores de uma empresa responsáveis pela resiliência cibernética é outro passo importante. A cibersegurança deve ser uma questão do conselho e da gestão sênior, e não delegada a equipes técnicas. A responsabilidade capacitará os diretores de segurança da informação (CISOs), e também gera expectativa de que eles possam se comunicar efetivamente com a gerência sênior e serem líderes técnicos e empresariais.

3. Multas e sanções

O NIS2 atribui um conjunto mais abrangente de poderes concedido às autoridades competentes. Essas autoridades poderão penalizar pelo menos um montante fixo ou 2% do volume global de negócios para entidades essenciais. Este é um incentivo significativo para as empresas se certificarem de que estão cumprindo suas obrigações. Estas novas possíveis sanções constituirão um fator importante da resiliência na UE e fora dela.

4. Obrigatoriedade de resposta a incidentes

Falhas foram resolvidas e foram feitas revisões na obrigatoriedade de resposta a incidentes. Por exemplo, um "impacto significativo" em uma entidade não será mais uma métrica definida (número de usuários afetados), mas sim se houve interrupção de serviços críticos, perda financeira ou material. Além disso, as notificações foram reduzidas de 72 para 24 horas, a comunicação será feita aos usuários dos serviços e, possivelmente, ao público.

Melhor cibersegurança na União Europeia

Com base em décadas de experiência ajudando entidades corporativas e empresas públicas a aderir aos mandatos de conformidade, a Thales oferece produtos e serviços integrados que permitem que sua empresa fortaleça sua capacidade de cibersegurança, aborde a segurança das cadeias de suprimentos, simplifique as obrigações de relatórios e cumpra medidas de supervisão e requisitos de aplicação mais rigorosos, incluindo sanções iguais em toda a União Europeia. Além disso, a Thales trabalha junto com parceiros para oferecer soluções abrangentes que podem reduzir o escopo de sua carga de conformidade.

Proteção contra ameaças cibernéticas em cada passo do caminho

A Thales oferece soluções abrangentes de proteção de dados que ajudam as empresas a agir de acordo com a diretiva NIS2 e a serem corretamente responsáveis em relação a ela

• Proteção de transações e dados pessoais em repouso: O CipherTrust Manager, os módulos de segurança de hardware (HSMs) Luna e o Data Protection on Demand(DPoD) da Thales permitem às empresas gerenciar centralmente chaves de criptografia e fornecer uma variedade de soluções de criptografia, tokenização e mascaramento de dados para proteger os dados de transações e pessoas em arquivos, pastas, aplicativos e bancos de dados em ambiente local, virtual e em nuvem.
• Criptografe dados financeiros e pessoais em movimento: os High Speed Encryptors (HSE) da Thales criptografam todos os dados que atravessam as redes.
• Desenvolvimento e manutenção de sistemas e aplicativos seguros: Os HSMs Luna da Thales, disponíveis no local e na nuvem como Luna Cloud HSM em DPoD, permitem que as empresas armazenem com segurança o material de assinatura em um dispositivo de hardware confiável, garantindo assim a autenticidade e integridade de qualquer arquivo de código de aplicativo.
• Implementação de medidas fortes de controle de acesso: Os produtos CipherTrust da Thales podem ser configurados para acesso administrativo único e multifator a sistemas empresariais locais e de nuvem. Além disso, o SafeNet Trusted Access permite gerenciar centralmente identidades de usuário exclusivas, políticas de autenticação baseadas em risco e adicionar/revogar acesso a sistemas de TI híbrida.
• Rastreamento e monitoramento de todo o acesso a dados confidenciais: Todos os produtos do portfólio de proteção de dados CipherTrust da Thales produzem registros de auditoria que registram qualquer operação do ciclo de vida de chaves de criptografia (criação/eliminação/rotação/revogação) e outras funções administrativas que podem ser usadas para reconstruir eventos.