Preparação para o NIS 2: Desafios e Oportunidades

A Diretiva NIS 2 (Diretiva sobre a Segurança das Redes e Sistemas de Informação 2, do inglês: Network and Information Systems 2) é uma atualização crucial da primeira diretiva NIS, projetada para reforçar a segurança das redes e sistemas de informação na União Europeia (UE) 🇪🇺 . Este artigo pretende explorar o que é a NIS 2, como será implementada/transitada para Portugal 🇵🇹, quem será responsável pela supervisão, quais os setores dentro do scope, os  principais desafios para as organizações e como estas se podem preparar para estar em conformidade a tempo (17 de outubro de 2024). Para isso, está disponível para o final do artigo uma “checklist para determinar o impacto da NIS 2 na minha organização“.

Pontos-chave

• • O que é a NIS 2
  • NIS 1 versus NIS 2; quais as principais mudanças?
  • NIS 2 e RGPD; têm um ponto de interseção?
  • Transposição da diretiva para Portugal; quem irá regular?
  • Principais desafios para as organizações
  • Tipos de organizações afetadas e potenciais CAEs portugueses para manter no radar
  • Códigos de Atividade Económica (CAEs) potencialmente impactados pela NIS 2
  • Checklist para determinar o impacto da NIS 2 na minha organização
  • Consideração Final
  • Quais as penalidades que podem ser impostas em caso de não conformidade com a Diretiva NIS2?

O que é a NIS 2?

A NIS 2 é uma diretiva europeia que visa melhorar a cibersegurança em todos os estados membros da UE  e com o objetivo de estabelecer requisitos mínimos para a cibersegurança das infraestruturas críticas. Esta diretiva foi criada para enfrentar as ameaças emergentes da cibersegurança, e acima de tudo, proteger a infraestrutura crítica e os serviços essenciais contra ataques provenientes do ciberespaço. A NIS 2 estabelece requisitos de segurança mais rigorosos em comparação com a NIS 1 e expande também o âmbito das organizações que precisam cumprir essas normas.

Através da sua implementação a 17 de outubro de 2024, a Comissão Europeia pretende melhorar o nível de cibersegurança na União Europeia e fortalecer acima de tudo a cooperação internacional no combate aos ciberataques.

A NIS2 está em vigor desde 16 de janeiro de 2023, e os Estados-Membros devem inserir a diretiva na  legislação nacional até à da de implementação. Com isto, cerca de 160.000 entidades serão reforçadas do ponto de vista estratégico de cibersegurança e tornando a Europa um lugar seguro para viver e trabalhar. Esta diretiva tem também como objetivo a partilha de informações com o setor privado e parceiros em todo o mundo. Para além de uma diretiva está também em causa a normalização de todo o processo de cibersegurança das empresas a nível europeu.

Figura 1: DIRETIVA (UE) 2022/2555 DO PARLAMENTO EUROPEU E DO CONSELHO de 14 de dezembro de 2022 relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.o 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) – source.

NIS 1 versus NIS 2; quais as principais mudanças?

As alterações entre a diretiva NIS versão 1 e 2 são bastante significativas. De forma a poder avaliar essas mudanças é apresentada a tabela seguinte para melhor entendimento. Esta tabela fornece não só uma visão clara das principais diferenças e melhorias introduzidas pela NIS 2 em comparação com a NIS 1, como também destaca como o novo quadro diretivo irá fortalecer a cibersegurança na União Europeia.

Tabela 1: Comparação entre as diretivas NIS 1 e NIS 2 elencando, também, as principais alterações.

NIS 2 e RGPD; têm um ponto de interseção?

As questões têm sido muitas. A melhor resposta é um “Sim”, a Diretiva NIS2 e o Regulamento Geral sobre a Proteção de Dados (RGPD) têm pontos de interseção, mas servem a propósitos diferentes dentro do domínio da cibersegurança, segurança da informação e da proteção dos dados.

Em suma,  a NIS 2 tem como objetivo melhorar e normalizar a cibersegurança e os controlos que as organizações têm implementados no panorama Europeu, enquanto que o RGPD (GDPR em inglês) tem um foco profundo mas exclusivo na proteção dos dados. A tabela seguinte pretende demonstrar as grandes diferenças e pontos de interceção entre os dois quadros: diretiva NIS 2 e (R)egulamento GPD.

Figura 2: Pontos de interceção e diferenças entre os quadros NIS 2 e o RGPD.

Transposição da diretiva para Portugal; quem irá regular?

A NIS 2 será regulamentada por autoridades nacionais específicas designadas para supervisionar a aplicação das normas. Em Portugal, espera-se que estas autoridades incluam a Autoridade Nacional de Segurança (GNS) e o Centro Nacional de Cibersegurança (CNCS), que terão o papel de monitorizar a conformidade e responder a incidentes de cibersegurança.

Além disso, o CNCS é a entidade responsável por supervisionar a aplicação das normas e conformidades relativas à NIS 1; diretiva transposta para a lei portuguesa a 13 de agosto de 2018 , estabelecendo o regime jurídico da segurança do ciberespaço.

Principais desafios para as organizações

Conformidade Legal: As organizações precisam compreender e implementar todos os requisitos legais expostos na diretiva NIS 2. Este desafio envolve:

• • Compreensão dos Requisitos: As organizações devem entender e analisar os novos requisitos e obrigações estabelecidos pela NIS 2. Isso pode incluir desde a identificação dos setores e tipos de entidades abrangidas até a compreensão das novas exigências de segurança e notificação de incidentes.
  • Implementação das Políticas: Após compreender os requisitos, as organizações precisam implementar políticas, procedimentos e controles que atendam às exigências da NIS 2. Isso pode envolver a revisão e atualização das políticas de segurança existentes e a introdução de novas práticas de conformidade.
  • Monitorização e Auditoria: Para garantir a conformidade contínua, as organizações devem estabelecer processos de monitorização continua e auditoria. Isso inclui a realização de auditorias regulares para avaliar a eficácia das medidas de segurança e garantir que estão em conformidade com a NIS 2.
  • Gestão de Documentação: Manter uma documentação completa e precisa é crucial para demonstrar conformidade durante auditorias e inspeções. As organizações precisam desenvolver um sistema de gestão de documentação eficiente para registar todas as políticas, procedimentos e incidentes relevantes.

Investimento em Cibersegurança: Aumentar os investimentos em tecnologia e processos de cibersegurança. Este aumento poderá enfrentar vários desafios, nomeadamente:

• • Justificação do Orçamento: As organizações devem justificar os aumentos de orçamento para cibersegurança perante os executivos e stakeholders. Isso pode envolver a apresentação de análises de custo-benefício e a demonstração do impacto de ciber-incidentes.
  • Tecnologias e Ferramentas: Identificar e implementar as tecnologias e ferramentas certas é crucial. As organizações devem investir em soluções de ponta para monitorização adequada à sua realidade, deteção e resposta a incidentes, além de ferramentas para gestão do risco e continuidade de negócio.
  • Atualização da Infraestrutura: A infraestrutura de TI existente pode precisar de atualizações significativas para atender aos novos requisitos de segurança. Isso inclui a atualização de sistemas, a implementação de novas configurações de rede e a adoção de melhores práticas de segurança.

Recursos Humanos: A necessidade de contratar ou formar/treinar profissionais qualificados em cibersegurança é sem dúvida um desafio crítico.

• • Escassez de Talentos: Há uma escassez global de profissionais qualificados em cibersegurança. As organizações irão enfrentar dificuldades em atrair e reter talentos com as soft skills necessárias para implementar e manter as medidas de segurança exigidas pelo NIS 2.
  • Treino e Capacitação: Além de contratar novos talentos, as organizações precisam de investir no treino e capacitação contínua dos funcionários existentes. Isso inclui, assim, programas de certificação em cibersegurança e treino (awareness) para as novas tecnologias, políticas, processos, procedimentos e práticas de segurança.
  • Cultura e Doutrina de Segurança: Desenvolver uma cultura organizacional que valorize a cibersegurança é essencial. Todos os funcionários, não apenas os especialistas em TI, precisam estar cientes das melhores práticas de segurança e dos procedimentos de conformidade. Não só no local de trabalho, mas no uso generalizado da tecnologia!

Gestão de Riscos: Desenvolver e manter uma gestão de riscos robusta é fundamental para identificar e mitigar as ameaças digitais advindas do ciberespaço.

• • Identificação de Riscos: As organizações devem adotar uma abordagem sistemática para identificar riscos. Isso pode envolver a realização de avaliações de risco regulares e o uso de ferramentas de análise de risco para identificar vulnerabilidades e potenciais ameaças.
  • Avaliação e Priorização: Após identificar os riscos, as organizações precisam avaliá-los e priorizá-los com base na sua gravidade e potencial impacto no negócio. Isso ajuda a focar os recursos nas áreas mais críticas. Ter uma postura proactiva sobre risco!
  • Planos de Mitigação: Desenvolver e implementar planos de mitigação sobre o risco é crucial. Isto inclui a implementação de controlos de segurança, a preparação de planos de resposta a incidentes e a definição de procedimentos de continuidade de negócio.
  • Monitorização Contínua: A gestão de riscos não é um processo estático. As organizações precisam monitorizar continuamente o ambiente de ameaças e ajustar as estratégias de mitigação conforme necessário. Isto pode incluir a atualização de políticas de segurança, a realização de testes de penetração ou assessments específicos a determinados sistemas críticos para o negócio assim como a revisão de planos de resposta a incidentes.

Tipos de organizações afetadas e potenciais CAEs portugueses para manter no radar

A NIS 2 expande o âmbito das organizações que devem cumprir com os requisitos de segurança. A diretiva identifica estes 18 setores:

Sectores Essenciais

• • Energia (eletricidade, petróleo, água, hidrogénio)
  • Saúde (hospitais, laboratórios, investigação e desenvolvimento, farmacêuticas, fabricantes de dispositivos médicos)
  • Transportes (aéreos, ferroviários, marítimos, rodoviários)
  • Banca e finanças
  • Água potável
  • Águas residuais
  • Infraestruturas digitais (IXPs, fornecedores de serviços de cloud, centros de dados, CDNs, TSPs, fornecedores de comunicação eletrónica)
  • Gestão de serviços TIC em B2B
  • Sector Espacial
  • Administração pública (governo central, governos regionais)

Sectores Importantes

• • Serviços postais e de correio
  • Gestão de resíduos
  • Produtos químicos
  • Alimentação
  • Indústrias de processamento/manufatura
  • Serviços digitais (marketplaces online, motores de pesquisa, redes sociais)
  • Investigação

Códigos de Atividade Económica (CAEs) potencialmente impactados pela NIS 2

Para além ds setores mencionados anteriormente também empresas de média e grande dimensão em setores críticos podem ser impactadas pelo quadro normativo. Para determinar o impacto da NIS 2 consultar a checklist no final deste artigo.

Na listagem abaixo foram agregados os CAEs nacionais pelo tipo de atividade económica e que podem ser potencialmente impactados pela diretiva NIS 2. Esta tabela requer sempre uma análise do sector, tipo de serviço fornecido e da sua criticidade, entre outros fatores significativos.

Checklist para determinar o impacto da NIS 2 na minha organização

1. Identificação do Setor

• • A minha organização opera em setores como energia, saúde, transportes, banca, água potável, águas residuais, infraestruturas digitais, serviços postais e de correio, gestão de resíduos, produtos químicos, alimentação, indústrias de processamento/manufatura, serviços digitais ou investigação?
  • A minha organização é um fornecedor de serviços essenciais (energia, transportes, saúde, finanças, água, etc.)?
  • A minha organização é um fornecedor de serviços digitais (motores de busca, serviços de cloud, plataformas de comércio eletrónico)?

2. Dimensão da Empresa

• • A minha organização é considerada de média ou grande dimensão (mais de 50 funcionários e/ou mais de €10 milhões de faturação anual)?

3. Serviços Fornecidos

• • A minha organização fornece serviços essenciais ou digitais listados na NIS 2?
  • A minha organização está incluída nos CAEs portugueses afetados pela NIS 2?

4. Dependência da Infraestrutura Digital

• • A minha organização depende de infraestruturas digitais para as suas operações críticas?

5. Potencial Impacto de Ciber-incidentes

• • Um incidente de segurança pode causar interrupções significativas nas operações da minha organização?
  • A minha organização possui um processo de monitorização contínua para detetar, prevenir e responder a incidentes de cibersegurança?
  • Existe um plano de resposta a incidentes formalizado e testado regularmente?

6. Consulta da Legislação Nacional

• • A minha organização está conforme a lista de setores e serviços abrangidos pela legislação nacional de transposição da NIS 2?

7. Avaliação de Riscos e Segurança

• • A minha organização possui um sistema de gestão de riscos implementado para identificar, analisar e mitigar riscos de cibersegurança?
  • Existem políticas e procedimentos documentados de segurança da informação na minha organização?

8. Medidas Técnicas e Organizacionais

• • A minha organização implementou medidas técnicas e organizacionais adequadas para garantir a segurança das redes e sistemas de informação?
  • São realizados testes regulares de segurança, como avaliações de vulnerabilidades, testes de penetração ou assessments específicos a sistemas críticos com impacto na continuidade de negócio?

9. Relatórios de Incidentes

• • A minha organização possui procedimentos estabelecidos para evidenciar incidentes de segurança às autoridades competentes, conforme exigido pela NIS 2?
  • Os funcionários estão treinados para reconhecer e reportar incidentes de segurança?

10. Auditoria e Conformidade

• • A minha organização realiza auditorias internas ou externas regulares para avaliar a conformidade com os requisitos de cibersegurança propostos na NIS 2?
  • Existem mecanismos para corrigir as não conformidades identificadas durante as auditorias?

11. Formação e Conscientização

• • A minha organização oferece formação regular em cibersegurança para todos os funcionários?
  • Existem programas de sensibilização sobre cibersegurança que abordem as ameaças emergentes e as melhores práticas de cibersegurança?

12. Colaboração e Partilha de Informações

• • A minha organização participa em iniciativas de partilha de informações sobre ameaças emergentes e incidentes em cibersegurança com outras organizações e autoridades competentes (p.ex., rede de CSIRTs, forums, convenções, etc)?
  • Existem parcerias estabelecidas com outras entidades para melhorar a resiliência da organização no que toca à cibersegurança?

13. Documentação e Registos

• • A minha organização mantém registos detalhados de todas as políticas, procedimentos e medidas de cibersegurança implementadas?
  • Existe uma documentação clara e acessível das ações tomadas para garantir a conformidade com a NIS 2?

Consideração Final

A NIS 2 representa um passo significativo em termpos de cibersegurança a nível europeu, abrangendo através desta nova diretiva uma ampla gama de setores essenciais e críticos. A implementação da diretiva visa aumentar a resiliência e a capacidade de resposta das organizações perante ciberameaças cada vez mais sofisticadas.

É crucial que as empresas compreendam a importância desta diretiva e tomem medidas proativas para garantir a conformidade. A preparação adequada não só evita penalizações severas, como também fortalece a postura em cibersegurança.

Quais as penalidades que podem ser impostas em caso de não conformidade com a Diretiva NIS2?

Aqueles que não cumprirem com as suas obrigações ao abrigo da NIS2 devem esperar sanções severas. A implementação da diretiva prevê diferentes multas que se aplicam a setores importantes ou fornecedores de infraestrutura crítica e setores essenciais. Em caso de infrações comuns, as mesmas penalidades pesadas aplicam-se a todos os grupos.

Setores Essenciais:

• • Suspensão (temporária) da certificação ou autorização relativa a parte ou a totalidade dos serviços relevantes prestados ou das atividades realizadas pela entidade.
  • Impedimento de qualquer pessoa responsável por funções de gestão ao nível do executivo principal ou representante legal da entidade de exercer funções de gestão.

Fornecedores de Infraestrutura Crítica e Setores Essenciais:

• • Multas até 10 milhões de euros ou 2% do volume de negócios anual.

Setores Importantes:

• • Multas até 7 milhões de euros ou 1.4% do volume de negócios anual.

Não percam o comboio da cibersegurança; preparem-se já para a NIS 2.