NIS2 para gestores: Passo a passo para a segurança da TI

Por Marco Eggerling, LL.M, Global CISO na Check Point Software Technologies

Desde dezembro de 2022, ficou esclarecido que mais de 160.000 empresas na Europa necessitavam de fortalecer a sua informação e segurança de software. Este facto só pode ser conseguido através de investimento, e deve ser devidamente investido. A estrutura legal é clara: em outubro de 2024, planos anteriores transformaram-se em leis e a NIS2 (Network and Information Security) será uma lei nacional. As empresas que não estiverem dentro dos parâmetros na altura, enfrentaram grandes multas administrativas semelhantes ao GDPR (Regulamento Geral sobre a Proteção de Dados).

Na Europa, as multas relativas as violações da segurança TI não são reportadas ou são reportadas tardiamente desde a introdução do GDPR em 2015. Desde então, as multas têm sido cada vez mais apertadas, de tal maneira que certas violações podem resultar em multas de mais de 10 milhões de euros ou o equivalente a 2% do volume de negócios anual. O NIS2 vais mais além. No caso de má conduta comprovada, os gestores de empresa, designados por órgãos de gestão, serão responsabilizados.

A NIS2 estipula que a gestão aprova o risco para medidas de gestão de segurança cibernética e motoriza a implementação na sua empresa ou organização. Também deve assegurar que, na eventualidade de um ataque bem-sucedido, os parceiros afetados, fornecedores e clientes, assim como as autoridades nacionais competentes, são notificados. Para cumprir esta tarefa, os gestores devem participar regularmente em cursos de treino de segurança cibernética que lhes permitam identificar e aceder aos riscos cibernéticos e medidas de cibersegurança. Caso não o façam, podem ser responsabilizados por negligenciar o trabalho. Este assunto já gerou inúmeras discussões. Está explicitamente mencionado que o gestor pode ser dispensado das suas funções de gestão até que as deficiências na diretiva NIS2 sejam corrigidas.

Apesar de tudo, existe uma luz ao fundo do túnel: hoje os gestores podem preparar as suas empresas e protegê-las de penalizações e discussões de responsabilidade. A NIS2 prevê que 10 requisitos possam ser implementados antes de outubro com várias medidas organizativas e técnicas. Contudo, devido ao vazio da atual situação legal, é difícil determinar as medidas exatas necessárias para cada empresa.

A NIS2 fornece uma estrutura uniforme para as medidas de cibersegurança pela Europa. Até ao momento, especialistas em informação de segurança têm sido guiados principalmente por padrões internacionais tais como NIST Controlo CIS, ISO 27001 e outros, tais como a proteção de linha de base. O objetivo é reduzir o ciber-risco. Para que este plano tenha sucesso, é necessário que não só os funcionários informáticos, mas também os gestores das empresas e instituições envolvidas, sejam ativamente incluídos na implementação e manutenção de conformidade para os seus sistemas de TI.

Os gestores devem considerar os pontos seguintes, que os irão ajudar a perceber o assunto e permitir tomar as medidas necessárias:

1. Sensibilização: Os gestores devem procurar perceber sobre cibersegurança para que possam estar em contacto com os especialistas em segurança informática, serem informados e possam dar instruções bem fundamentadas.
2. Pessoal: Devem construir um departamento de segurança ativo, nos quais os requisitos crescentes na NISC2 possam ser geridos. É necessário nomear um responsável pela proteção de dados para a segurança da informação. Deve-se ter cuidado para não atribuir ambas as posições a uma só pessoa, mas dividir a tarefa entre elas de forma consciente.
3. Auditoria: Deve-se garantir que as áreas individuais serão sujeitas a uma análise crítica e análise relativas a situações de risco, adaptadas à NIS2 e auditorias consoante a NIS2.
4. Resposta e incidentes: Por último, mas não menos importante, as precauções devem ser asseguradas num ciberataque à empresa ou às instalações. Parceiros, fornecedores e clientes, assim como as autoridades nacionais, devem ser informados com a maior brevidade possível. Os incidentes têm prazos para serem reportados: dentro das 24 horas após tomar conhecimento, deve ser enviado um relatório as autoridades. Dentro das 72 horas deve ser enviado um relatório detalhado e 1 mês depois do sucedido deve ser enviado um relatório final.

A mudança de cibersegurança para o NIS2 só poderá ter sucesso se os especialistas de segurança da informação trabalharem juntos. Este não é um projeto simples, não é uma tarefa de semanas ou meses. É uma tarefa continua e de longo prazo. A partir de 2028, as empresas terão de provar a conformidade da sua infraestrutura de TI com NS2 todos os anos. Terão de demonstrar que adotaram as medidas apropriadas “medidas técnicas, operacionais e organizacionais adequadas e proporcionais” que “correspondem ao estado da técnica e as normas aplicáveis”.

Além disso, devem também ter em conta a lei Europeia da Resiliência Cibernética após a implementação da NIS2. Em setembro de 2022, a Comissão Europeia emitiu uma nova diretiva para melhorar a segurança cibernética e a resiliência aos ataques cibernéticos na EU. O CRA (Regulamento Ciber- Resiliência) destina-se a impor padrões comuns de segurança cibernética não pode ser alcançado da noite para o dia, é um processo que se assemelha a uma maratona e não a um sprint.