NIS 2 e a materialização da cibersegurança: resiliência e conformidade dos operadores de serviços essenciais
A NIS 2 é a legislação europeia mais abrangente em matéria de cibersegurança, evoluindo nos objetivos da Diretiva (UE) 2016/1148. A materialização dos seus requisitos pelos Operadores de Serviços Essenciais (OSE) é um desafio complexo, exigindo uma abordagem integrada que garanta conformidade.
Estabelecer uma abordagem baseada em risco
A NIS 2 requer que os OSE apliquem medidas de segurança proporcionais aos riscos identificados, exigindo uma metodologia de gestão de risco consistente e uniforme.
É fundamental identificar os ativos críticos e os processos de negócio, avaliar os riscos e aplicar medidas de segurança adequadas. A adoção de um processo de gestão de risco sistemático permite aos OSE minimizarem as vulnerabilidades e os impactos das ciberameaças, estabelecendo prioridades para alocação de recursos financeiros e humanos.
Implementar medidas de segurança
A implementação eficiente das medidas de segurança requer a integração de três pilares essenciais: tecnologia, processos e pessoas.
Cabe aos OSE garantir a instalação e a configuração de soluções de segurança, como sistemas de deteção de intrusões, e estabelecer políticas e procedimentos que incluam proteção dos ativos, definição de responsabilidades e resposta a incidentes.
Esta implementação pode requerer a seleção de um parceiro especializado que execute as medidas necessárias, facilite a operação, antecipe necessidades e promova a melhoria contínua.
Sensibilizar e formar os colaboradores
A consciencialização e a formação das pessoas nas OSE são outro ângulo fundamental da NIS 2, exigindo aos colaboradores o conhecimento do seu papel na proteção dos ativos e infraestruturas críticas.
Para isso, há que desenhar e implementar programas de formação e sensibilização, que ajudem na identificação de ciberataques, promovam a cooperação e partilha de conhecimento de cibersegurança entre departamentos e equipas dos OSE.
Estabelecer mecanismos de resposta e recuperação de incidentes
Os OSE precisam de implementar planos de resposta e recuperação de incidentes, com testes e atualização periódica, para serem ágeis na resposta a um ciberataque e restaurarem os serviços essenciais.
Estes planos devem ainda integrar a comunicação interna e externa. É importante que a organização esteja informada, mas também é relevante planear o posicionamento face a parceiros, clientes e mercado, assegurando reputação e confiança, durante e após o incidente, designando pontos de contacto e garantindo a comunicação com a rede CSIRT.
Auditoria e monitorização contínua
Os OSE devem garantir que o seu sistema de gestão de segurança da informação é analisado e monitorizado, com auditorias periódicas, por terceiros, e são implementados mecanismos de monitorização em tempo real, para identificar vulnerabilidades e corrigir incidentes de forma proativa.
Parcerias estratégicas com prestadores de serviços que disponibilizem, por exemplo, um Security Operations Centre (SOC), assegura melhores práticas e adequação das soluções implementadas.
Alavancar a conformidade
Os OSE devem encarar os requisitos da NIS 2 como um catalisador para a inovação e o fortalecimento das práticas de cibersegurança. Com uma abordagem baseada em risco, a integração de cibersegurança a todos os níveis operacionais e a adoção das medidas descritas, não só alcançarão conformidade normativa como impulsionarão a capacidade de resistência a ciberameaças.
Esta vantagem competitiva gera confiança entre consumidores e parceiros, promovendo o sucesso a longo prazo. A NIS 2 deve ser, assim, vista como um alicerce para promoção da excelência operacional e liderança estratégica, oferecendo as diretrizes necessárias para uma defesa robusta, adaptável e responsiva.
David Grave, Security Director - Claranet Portugal
Manuel Ferreira, Consulting Lead - Claranet Portugal
Related articles
CISO: o pivot da Cibersegurança nas organizações
Claranet @ IT Security Conference 2024 - Mesa redonda "Melhorar a Proteção com Inteligência Artificial"
Claranet @ IT Security | O Estado da Nação (em Cibersegurança) 2024
A Cibersegurança como vantagem competitiva no Mercado de TI: o caso 360 Security Audit
Regulamentações de segurança: dos desafios às oportunidades