O que é a Diretiva NIS2?
A Network and Information Security (NIS) é uma diretiva da União Europeia (UE) que visa proteger as infraestruturas digitais, responsáveis pela gestão de serviços essenciais nos Estados-Membros.
A NIS2 é a segunda fase dessa estrutura, desenvolvida para responder às mudanças no cenário de cibersegurança e em conformidade com o mais recente Regulamento Geral de Proteção de Dados (RGPD) da UE.
A Diretiva encontra-se em processo de transposição para a lei portuguesa, tendo já sido criada uma proposta de lei por parte do Governo que irá a aprovação na Assembleia da República.
A que setores se aplica?
A NIS2 procura o fortalecimento das capacidades nacionais de cibersegurança, a melhoria da cooperação entre os Estados-Membros da UE e o aumento da resiliência das entidades críticas de todas as dimensões e setores de atividade abrangentes.
Aeroespacial
Banca
Águas Residuais
Energia
Serviços Postais e de Estafeta
Administração Pública
Produtos Químicos e Alimentares
Gestão de Resíduos
Indústria
Saúde
TIC
Investigação
O que exige?
Com a entrada em vigor da NIS, as organizações abrangidas devem considerar cuidadosamente todos os requisitos específicos da diretiva, incluindo as normas detalhadas de cibersegurança, as obrigações de notificação, a necessidade de formação e sensibilização, bem como as potenciais sanções associadas ao seu incumprimento.
Medidas de segurança
as organizações são obrigadas a implementar medidas apropriadas de proteção - controlos de acesso, deteção de ameaças, gestão de incidentes, proteção de dados, etc.
Avaliação de risco
as organizações são obrigadas a realizar avaliações de risco regulares para aferir a probabilidade e o impacto de falhas de segurança nos negócios - que as ajudam a tomar medidas proativas para reduzir o risco, ou minimizar o impacto de incidentes, caso ocorram.
Relatórios
as organizações são obrigadas a reportar todos os incidentes de cibersegurança ao órgão de supervisão nacional (CNCS) - as autoridades avaliam o impacto do incidente e tomam as medidas necessárias para minimizar danos.
Desafios e oportunidades para as organizações
A implementação da NIS2 apresenta vários desafios para as organizações, que com o parceiro certo podem ser traduzidos em oportunidades de melhoria e crescimento da vantagem competitiva no mercado:
-
Complexidade regulatória
Entender e cumprir os requisitos detalhados da NIS2 pode ser complexo e demorado.
-
Recursos e Capacidades
A necessidade de investimentos significativos em tecnologias
de cibersegurança e no desenvolvimento de capacidades internas.
-
Expertise
Falta de know-how nas equipas internas das organizações.
-
Coordenação e Colaboração
Garantir a cooperação eficaz entre diferentes entidades e setores. Importância de comunicação com autoridades e organismos especializados (ex. CNCS, ENISA).
-
Cultura Organizacional
Promover uma cultura de cibersegurança em toda a organização, desde as chefias até aos colaboradores de base.
A abordagem 360º da Claranet Portugal
A Claranet Portugal disponibiliza uma abordagem holística para ajudar a sua organização a manter-se segura e em conformidade, reforçando os laços de confiança no mercado, junto de Clientes e fornecedores.
Consultoria e gestão de segurança e melhoria contínua.
-
360 Security & Compliance
-
DPO & CISO Support Service
Auditar, testar e melhorar a segurança dos seus ativos, e mapear os serviços digitais e identificar as dependências e fornecedores críticos.
-
Cyber intelligence CTI
-
Vulnerability Assessment
Garantir padrões elevados em termos de disponibilidade, autenticidade, integridade e confidencialidade dos dados, bem como detetar em tempo real os comportamentos anormais e prevenir incidentes de segurança.
- SOC-as-a-Service
- Managed detection and response (MDR)
- PAM, IAM and AD Security and Recovery
- Digital Forensics Incident Response
- Disaster Recovery
- Backup Imutáveis
Consciencialização dos colaboradores para a segurança, e formá-los em resiliência operacional.
- Security Awareness
- Training and Testing
Inventariar as vulnerabilidades, falhas e lacunas em matéria de resiliência digital e implementar rapidamente medidas corretivas.
- Penetration Testing
- RED and Purple Teaming
Reforço de Governance e acompanhamento de Conformidade.
- Third Party Risk Management
