O que é NIS2?

O que é a Diretiva NIS2?

A Diretiva NIS2 estabelece uma legislação sobre cibersegurança para toda a UE. A NIS2 é uma atualização da Diretiva NIS (Network and Information Security) anterior. O seu objetivo é criar um nível comum de segurança cibernética em todos os Estados que fazem parte da União Europeia. Assim como a Lei Geral de Proteção de Dados (GDPR), a NIS2 tem como objetivo harmonizar medidas e abordagens em todos os Estados que fazem parte da UE para proteger a infraestrutura digital; nesse caso, as práticas recomendadas para lidar com o crescente número de ataques cibernéticos.

Histórico de conformidade com a NIS2

Os ataques cibernéticos, como ransomware e violações de dados, têm cada vez mais impacto nas organizações e empresas em toda a UE. A Enisa (European Union Agency for Cybersecurity) publicou um relatório sobre o cenário de ameaças alertando que novas formas de phishing e explorações de dia zero estão sendo usadas de forma eficaz para atacar organizações em toda a UE. Abrangendo um grande escopo, a NIS2 tem como objetivo melhorar a cibersegurança entre "entidades essenciais e importantes” em setores críticos, como energia, varejo, transporte, serviços bancários, saúde, administração pública etc. A Diretiva abrange igualmente a segurança da cadeia de fornecimento e dos fornecedores de serviços internacionais.

A NIS2 entrou em vigor em 16 de janeiro de 2023. Os Estados que fazem parte da UE têm até 17 de outubro de 2024 para incorporar a NIS2 em uma lei nacional, o que a tornará aplicável.

Como as soluções da Akamai podem ajudar as organizações

A NIS2 reforça a implementação de controles de segurança abrangentes e rigorosos para reduzir riscos e prevenir danos à cibersegurança em sistemas e dados. Os requisitos abrangem uma gama de sistemas e recursos de TI, incluindo a proteção de ambientes de TI contra ransomware, phishing e acesso não autorizado.

As soluções de segurança da Akamai fornecem inteligência e proteção completa para proteger sistemas e dados de TI e TO (tecnologia operacional) de infraestrutura crítica contra violações, incidentes de segurança, infecção por malware e exposição acidental a dados. A plataforma de segurança da Akamai fornece a segurança dinâmica necessária para a aplicação de princípios Zero Trust à proteção de dados em uma organização.

Diagrama que ilustra os três princípios básicos de uma arquitetura de segurança Zero Trust.

A Akamai ajuda suas equipes de segurança a maximizar a eficácia e o ROI de seus investimentos em segurança, indo além da detecção de ponto de extremidade tradicional para fornecer uma solução Zero Trust eficiente para a segurança e a privacidade dos dados.

A Akamai oferece:

  • Uma plataforma de segurança global que impõe uma segurança Zero Trust com cobertura abrangente dos seus ambientes de TI, IoT e TO
  • Visibilidade profunda de ativos, acesso e fluxos de rede
  • Aplicação granular de política de segurança

Medidas de cibersegurança exigidas pela NIS2

O artigo 21 da Diretiva NIS2 destaca que as entidades cobertas devem gerenciar o risco cibernético usando "medidas técnicas e organizacionais apropriadas e proporcionais". Essas medidas incluem:

  • Análise de riscos e políticas de segurança das informações
  • Tratamento completo de incidentes
  • Continuidade dos negócios e gerenciamento de crise
  • Segurança robusta da cadeia de fornecimento
  • Segurança de rede ampla
  • Tratamento e divulgação de vulnerabilidades
  • Políticas e procedimentos que avaliam a eficácia do gerenciamento de riscos da cibersegurança
  • Uso de criptografia
  • Uso de autenticação multifator

Como a NIS2 afeta uma organização?

A NIS2 se aplica a qualquer empresa que esteja operando na UE, incluindo "todas as entidades públicas e privadas em todo o mercado interno, que desempenham funções importantes para a economia e a sociedade como um todo", que "são obrigadas a tomar medidas adequadas de cibersegurança".

A Diretiva divide as "entidades cobertas" em dois tipos: entidades essenciais (EE) e entidades importantes (IE). A diferença entre as duas classes no que diz respeito à conformidade é que as entidades essenciais estão sujeitas a requisitos regulatórios mais rigorosos para monitoramento de conformidade, obrigações de comunicação de incidentes e medidas de execução em todos os sistemas de informação. Exemplos de cada tipo de entidade incluem:

As entidades que atuam nos seguintes setores podem ser consideradas essenciais (EE);

  • Transporte
  • Energia
  • Bancos
  • Saúde
  • Água

As entidades que atuam nos seguintes setores podem ser consideradas importantes (IE);

  • Serviços postais e de entrega
  • Gerenciamento de resíduos
  • Produção e processamento de produtos químicos
  • Alimentos
  • Provedores digitais (mecanismos de pesquisa, plataformas de redes sociais etc.)

Exemplos de três setores afetados pela NIS2 incluem:

Saúde: o serviço de saúde é um serviço essencial no âmbito da NIS2; portanto, uma entidade de saúde deve cumprir os rigorosos requisitos regulatórios da NIS2, incluindo medidas de gerenciamento de riscos que mitiguem riscos cibernéticos e evitem danos aos sistemas e dados de TI. Além disso, gerenciamento de incidentes, cibersegurança da cadeia de fornecimento, segurança da rede, controle de acesso e criptografia de dados são requisitos essenciais. Serviços essenciais, como organizações de saúde, podem usar soluções Zero Trust para ajudar a cumprir esses rigorosos requisitos de segurança. O Zero Trust ajuda a reduzir o tempo de conformidade, usando menos recursos para obter segurança robusta em redes expandidas e cadeias de fornecimento.

Varejistas: o relatório da Sophos de 2022, O estado do ransomware no varejo, identifica uma tendência ascendente de ameaças que visam o setor varejista. O relatório descobriu que 77% dos varejistas foram vítimas de um ataque de ransomware em 2021. A NIS2 identifica explicitamente "produção, processamento e distribuição de alimentos" e "fornecedores de marketplaces online"" como "serviços importantes". Sendo assim, muitas operações de varejo estarão em conformidade com a NIS2. Ao habilitar a segurança Zero Trust, uma empresa de varejo recorre a uma cobertura abrangente do seu ambiente de TI, à visibilidade profunda de ativos, ao acesso e aos fluxos de rede e à aplicação granular da política de segurança. Ao usar essa abordagem abrangente, um varejista pode cobrir muitos requisitos para garantir a conformidade com a NIS2.

Fornecedores terceirizados e prestadores de serviços: a Gartner prevê que 45% das organizações em todo o mundo sofrerão ataques em suas cadeias de fornecimento de software até 2025. A cadeia de fornecimento é um alvo perfeito para os hackers que tentam se infiltrar na rede de uma empresa. A NIS2 lida com esse risco de cibersegurança com rigorosos requisitos de gerenciamento de riscos para a cadeia de fornecimento das principais tecnologias de informação e comunicação. A NIS2 requer uma abordagem proativa para o gerenciamento de riscos da cadeia de fornecimento, incluindo a avaliação da qualidade das práticas de cibersegurança de seus fornecedores. Os fornecedores terceirizados devem usar um modelo de segurança Zero Trust para garantir que tenham medidas de segurança abrangentes em vigor que assegurem que o acesso com privilégios mínimos seja aplicado, por exemplo.

Soluções da Akamai

A NIS2 exige o uso obrigatório de uma série de medidas de cibersegurança e atividades de gerenciamento de riscos. As medidas incluem controle de acesso e imposição de privilégios mínimos, autenticação multifatorial robusta e medidas para dissuadir, detectar ou impedir códigos maliciosos, como ransomware. O conjunto de soluções da Akamai foi projetado para oferecer segurança Zero Trust para ajudar os clientes a impedir a propagação de ransomware e outros ataques avançados. A Akamai ajuda a proteger as organizações contra vulnerabilidades, incluindo maiores riscos da computação em nuvem e uma força de trabalho distribuída.

Perguntas frequentes (FAQ)

A NIS2 é uma diretiva da UE que estabelece uma legislação harmonizada sobre cibersegurança para toda a UE. A NIS2, ou Diretiva de Segurança de Redes e Informações (NIS)2 é uma atualização da Diretiva NIS anterior.

A NIS2 se aplica às organizações que atuam na União Europeia em 11 setores essenciais e sete setores importantes. As entidades cobertas devem estar em conformidade com as normas da NIS2 para proteger seus sistemas contra ataques cibernéticos e garantir que tenham planos robustos de resposta a incidentes. Mais detalhes sobre os setores que se enquadram nas duas categorias podem ser encontrados no texto completo da Diretiva NIS2.

Assim como o GDPR, o descumprimento da NIS2 acarreta multas pesadas. Por exemplo, o  artigo 34 da Diretiva NIS2 estabelece as seguintes penalidades por descumprimento:

Entidades essenciais: pelo menos até € 10 milhões ou 2% do volume de negócios anual mundial 
Entidades importantes: pelo menos até € 7 milhões ou 1,4% do volume de negócios anual mundial

 O artigo 23 da Diretiva NIS2 tem regras rigorosas a respeito da comunicação de violações cibernéticas. O regulamento estabelece que uma notificação de violação é feita "sem demora injustificada". O aviso deve ser emitido dentro de 24 horas após ter tomado conhecimento de um incidente significativo ("aviso antecipado") e fornecer uma avaliação inicial dentro de 72 horas. Esta regra é válida mesmo que não haja indicação de dados pessoais expostos.

O artigo 23 da NIS inclui um requisito para garantir que a Diretiva seja regularmente revista para considerar surtos de ataques cibernéticos, transformação digital e perturbações causadas pela pandemia e pelo trabalho remoto. O resultado foi uma Diretiva atualizada, a NIS2. As novas alterações de versão incluem um escopo ampliado de entidades cobertas, cobertura para todas as empresas de médio e grande porte nos setores cobertos e cobertura para organizações menores de alto risco. A NIS2 concentra-se em uma abordagem de segurança baseada em risco, abrangendo áreas como continuidade de negócios e gerenciamento de crises, tratamento e divulgação de vulnerabilidades e autenticação multifatorial.

