Boas intenções de Segurança Cibernética para 2023 ou medidas de Segurança Cibernética exigidas por lei?

NIS2, a nova Lei de Ciber-segurança.

A Directiva NIS2 (Network and Information Systems) foi adoptada em Novembro de 2022 como a nova Directiva Europeia de Segurança Cibernética e obriga várias coisas que as organizações devem cumprir para manter os cibercriminosos afastados. Ainda não ouviu falar dela? Talvez uma coisa boa para ler! Porque o NIS2 também inclui responsabilidade administrativa e responsabilidade por pessoas singulares.

Legislação até meados de 2024!

Tal como o GDPR europeu para a legislação sobre privacidade, o NIS2 europeu também se torna legislação obrigatória para as organizações listadas abaixo. O GDPR tornou-se o AVG nos Países Baixos, o NIS2 também tem um nome holandês, o NIB2 (Directiva de Segurança de Redes e Informações). Como legislação holandesa, terá de ser implementada na segunda metade (Setembro) de 2024 (21 meses após a adopção). A propósito, isto aplica-se a todos os 27 estados membros europeus.

O "2" provém do facto de que o SNI já existia, nomeadamente desde 2016. Deste SNI(1), surgiu em 2018 a WBNI, Lei de Segurança de Redes e Sistemas de Informação, que impôs uma obrigação legal de notificação e medidas de segurança aos fornecedores de serviços digitais (DSP) e ao fornecedor de serviços essenciais (AED), tais como empresas de electricidade e fornecedores de água potável. A propósito, o DSP e o AED já não são mencionados no NIS2.

Os últimos anos mostraram que muitas organizações não tomaram suficientemente as chamadas "medidas básicas" também mencionadas pelo Centro Nacional de Ciber-Segurança (https://www.ncsc.nl/onderwerpen/basismaatregelen ). Muitas organizações revelaram-se vulneráveis a ataques cibernéticos. Muitas vezes, foram afectadas muito mais organizações do que apenas a própria organização visada, pelo que o impacto foi muitas vezes enorme. O NIS2 deveria reforçar a resiliência cibernética, aumentando os níveis de segurança e impondo a adopção de "medidas básicas" para prevenir ataques cibernéticos e reduzir o seu impacto.

O NIS2 não é apenas uma actualização substantiva do NIS, pelo que será agora também uma lei local holandesa (NIB2) e também em todos os outros estados membros da UE. Além disso, uma grande mudança é o âmbito de aplicação. Enquanto antes se concentrava principalmente nos DSPs e AEDs acima mencionados, na sua maioria grandes organizações que são essenciais para infra-estruturas críticas, agora também vai afectar organizações que são importantes para isto e organizações que as fornecem. Além disso, a dimensão já não importa. Portanto, é muito possível que a sua organização possa ser abrangida pelo NIS2. Presume-se que cerca de 160.000 organizações na Europa estejam cobertas pelo NIS2 e cerca de 4.500 organizações nos Países Baixos.

Além disso, o NIS2 irá também assegurar que sejam feitos esforços de colaboração dentro dos sectores e estados membros da UE para aumentar e acelerar a comunicação de incidentes.

A quem se aplica?

O NIS2 abrange organizações que têm actividades comerciais abrangidas pelas "actividades essenciais" nos seguintes sectores-chave essenciais:

• Energia
• Transportes
• Banca
• Infra-estrutura Mercado financeiro
• Cuidados de saúde
• Abastecimento de água potável (resíduos)
• Infra-estrutura digital
• Gestão de serviços TIC (B2B)
• Governo
• Aeroespacial

Isto inclui agora organizações que oferecem actividades chave como, por exemplo:

• Provedores de plataformas de redes sociais
• Fornecedores auxiliares de serviços de infra-estruturas digitais (tais como fornecedores de redes e serviços públicos de comunicações electrónicas)
• Prestadores de serviços de gestão de serviços TIC
• Serviços governamentais
• Serviços postais e de correio rápido
• Fabrico, produção e distribuição de produtos químicos
• Entidades envolvidas na produção, transformação e distribuição de produtos alimentares
• Alguns fabricantes (por exemplo, de equipamento médico, componentes informáticos ou electrónicos, máquinas, veículos motorizados ou outros meios de transporte
• Empresas farmacêuticas
• Instituições de investigação
• Gestão de resíduos

Se é prestador de serviços relativamente a estas actividades e tem mais de 50 empregados e um volume de negócios de mais de 10 milhões, então está coberto pelo NIS2. Mas o NIS2 aplica-se a toda a cadeia. Assim, se estiver a fazer negócios com qualquer uma destas organizações, então também será abrangido pelo NIS2 ou ser-lhe-ão impostos requisitos e este facto, em particular, afectará muitas organizações!

Execução governamental e multas

Como mencionado na introdução, os Estados-Membros da UE irão traduzir os NEI2 em legislação local e esta deverá estar em vigor no início de 2024 (o que é em breve). Os Estados-Membros irão cooperar mais estreitamente entre si e com a UE e deverão criar uma ou mais Equipas de Resposta a Incidentes de Segurança Informática. Nos Países Baixos, alguns destes CSIRTS já estão activos para certos grupos.

O não cumprimento do NIS2 poderia resultar em multas de até 2% do volume de negócios global, com um máximo de 10 milhões de euros. O processo será diferente do GDPR-AVG, uma vez que aí o processo só entra em vigor após uma violação dos dados. Com o NIS2, também será possível ser auditado em caso de suspeita de uma violação de dados ou também poderão ser realizadas auditorias aleatórias. É de notar que as entidades essenciais estarão sob supervisão total. Para entidades importantes, a supervisão será ex-post. Com o NIS2, a propósito, há responsabilidade administrativa e responsabilidade! 

Resta saber quem irá executar a execução e como. Há alguns rumores que correm de que isto poderá recair sobre a Agência de Telecomunicações. Este regulador foi renomeado Rijksinspectie Digitale Infrastructuur (RDI para abreviar) com efeito a partir de 1-1-2023, pelo que talvez haja uma ligação com isto.

Com o que é que tenho de cumprir?

• Dependendo se a sua organização se enquadra em actividades essenciais ou principais, terá de cumprir uma série de requisitos. Torna-se importante incorporar a gestão de riscos como um processo e, como resultado, terão de ser realizadas análises de risco e tratamentos de risco. 
• É obrigatório registar incidentes de segurança se estes afectarem a disponibilidade, integridade ou confidencialidade e também a autenticidade dos dados. Tal como no caso de violação de dados no âmbito do AVG, estes devem ser comunicados no prazo de 72 horas. E mesmo dentro de 24 horas se a disponibilidade tiver sido comprometida e um relatório completo de incidentes deve ser apresentado no prazo de um mês. Além disso, terão de ser tomadas medidas de continuidade do negócio, gestão de backups, recuperação de desastres, e gestão de crises.
• Segurança dos fornecedores e da cadeia de abastecimento em relação aos fornecedores e prestadores de serviços;
• Medidas gerais de segurança ciber-segurança e formação (ver lista abaixo)

Se fizer negócios com uma destas organizações que fornecem actividades essenciais e importantes, precisará também de ter as medidas gerais de segurança em ordem. Afinal, é óbvio que estas organizações também impõem requisitos aos fornecedores para demonstrar que foram tomadas as medidas básicas mínimas que eles próprios também devem cumprir. Afinal de contas, o NIS2 estabelece requisitos de segurança para a cadeia, pelo que a lista abaixo (parcialmente baseada nos requisitos básicos de segurança do NCSC) é uma excelente base:

• Tomar medidas básicas de ciber-segurança e formação.
• Directrizes e procedimentos para a utilização da encriptação.
• Segurança de acesso, gestão de activos e segurança de RH
• Assegurar que cada aplicação e sistema gera informação de registo suficiente e faz um inventário adequado.
• Aplicar autenticação multifactor sempre que necessário
• Determine quem tem acesso aos seus dados e serviços
• Redes de segmentos
• Encriptar suportes de armazenamento contendo informação comercial sensível
• Verificar que dispositivos e serviços estão acessíveis a partir da Internet e protegê-los
• Faça cópias de segurança e teste os seus sistemas regularmente
• Instalar actualizações de software
• Evitar vírus e outro malware
• Inventar vulnerabilidades através da realização regular de avaliações de risco e varreduras de vulnerabilidade.

A demonstrabilidade é importante, a certificação ISO 27001? Ou de alguma outra forma?

Não existem certificações NIS2 (ainda). Na prática, muitos fornecedores essenciais e fornecedores de actividades-chave quererão demonstrar a conformidade NIS2. Dadas as suas responsabilidades na cadeia de fornecimento, também exigirão, por sua vez, que os seus fornecedores o façam de forma demonstrável. Espera-se que uma norma como a ISO 27001 para a segurança da informação seja utilizada com mais frequência para este fim. Afinal, a maioria das questões mencionadas no NIS2 como medidas são também abordadas nesta norma e em termos de demonstrabilidade, esta norma será uma via fácil para a demonstrabilidade do NIS2. Como fornecedor da cadeia, tornar-se-á muito mais fácil continuar a fazer negócios com fornecedores essenciais e fornecedores de actividades chave.

Começar rapidamente com a implementação e conformidade do NIS2.

Com os nossos sistemas integrados de gestão CyberManager SGSI, SGIP, SGSC e SGCN (para segurança da informação, privacidade, ciber-segurança, e continuidade do negócio), oferecemos tanto às PMEs, como às grandes organizações uma solução para implementar e gerir as questões acima mencionadas de uma forma escalável. Quer seja um fornecedor de actividades essenciais ou chave no âmbito do NIS2 ou um fornecedor com requisitos ligeiramente diferentes, existe sempre uma subscrição adequada para o NIS2 e, por exemplo, a norma ISO 27001. 

No CyberManager, está disponível um painel de bordo NIS2 ligado às medidas mencionadas neste artigo, permitindo-lhe concentrar-se primeiro nos requisitos do NIS2 e demonstrar a conformidade destes. Pode também utilizar as mesmas medidas, bem como medidas adicionais para a implementação da ISO 27001. Isto permite-lhe implementar o NIS2 passo a passo, bem como a norma ISO 27001.

O software CyberManager SGSI oferece funcionalidade padrão de gestão de risco, registo e tratamento de incidentes de segurança, violações de dados, vulnerabilidades ou outros fluxos de trabalho, incluindo notificações por correio electrónico às pessoas afectadas, bem como gestão da privacidade através do SGIP. Além disso, está disponível um sistema de gestão de e-learning integrável, para que possa ser fornecida formação de sensibilização para o risco e para que possa gerir as suas avaliações e planeamento da continuidade do negócio através do Sistema de Gestão da Continuidade do Negócio. Como indicado anteriormente, estão disponíveis painéis de controlo para o NIS2, bem como para a ISO 27001. 

As organizações que também utilizam normas tais como NIST CSF, CSIR/BIACS, IEC 62443 ou, por exemplo, os controlos CIS tanto para um SGSI como OT-Security podem também controlá-los através dos sistemas de gestão CyberManager SGSI ou SGSC.

Para saber mais, contacte-nos aqui ou através dos nossos parceiros. Clique aqui para saber mais sobre as nossas soluções CyberManager SGSI, SGSC, SGIP, e SGCN.

Fonte:

O NIS2 pode ser encontrado aqui em várias línguas

https://eur-lex.europa.eu/eli/dir/2022/2555/oj

https://www.europarl.europa.eu/doceo/document/TA-9-2022-0383_EN.pdf

https://www.europarl.europa.eu/news/en/press-room/20221107IPR49608/cybersecurity-parliament-adopts-new-law-to-strengthen-eu-wide-resilience 

https://www.ncsc.nl/onderwerpen/basismaatregelen