A conformidade com a norma NIS2 no contexto da cibersegurança empresarial tornou-se numa prioridade estratégica para as empresas. A Diretiva NIS2 define medidas que visam alcançar um nível comum elevado de cibersegurança em toda a União Europeia, de forma a melhorar o funcionamento do mercado interno. Assim, vem reforçar o enquadramento regulamentar de cibersegurança na UE, impondo obrigações novas e rigorosas tanto às empresas privadas como às entidades públicas, que são classificadas como entidades críticas ou importantes.
O que é a NIS2 e qual a sua importância?
A Diretiva NIS2 substitui a sua antecessora, a Diretiva NIS1, alargando o âmbito e a profundidade da regulamentação de cibersegurança e aumentando a lista de entidades afetadas. A conformidade com a Diretiva NIS2 no domínio da cibersegurança das empresas é essencial para melhorar a resistência destas às ciberameaças.
A NIS2 introduz novas obrigações para os Estados-Membros da UE, que devem ser incluídas nas suas estratégias nacionais de cibersegurança. Têm também de designar autoridades competentes e estabelecer mecanismos de supervisão e execução, incluindo sanções por incumprimento. Estas sanções podem ir até 10 milhões de euros ou até 2% do total do volume de negócios global anual para as entidades consideradas “críticas”. Para além disso, esta nova ampliação da NIS2 inclui também sanções até 7 milhões de euros para as entidades consideradas “significativas”, sublinhando a seriedade com que estas obrigações europeias devem ser encaradas.
Quem é afetado pela NIS2?
A Diretiva NIS2 aplica-se a um amplo espectro de entidades que operam em setores considerados críticos ou importantes. Estes setores incluem o da energia, transportes, banca, infraestruturas digitais e cuidados de saúde, entre outros. A novidade da NIS2 é a inclusão de setores adicionais, como o da gestão de serviços TIC, fabrico de dispositivos médicos e administração pública, alargando assim o âmbito de aplicação em comparação com a NIS1.
Tanto as médias como as grandes empresas podem ser abrangidas por esta diretiva, devido ao seu potencial impacto na segurança e na estabilidade do mercado económico.
Principais requisitos e etapas para a conformidade com a NIS2
O artigo 21 da Diretiva NIS2 exige que as entidades “críticas” e “significativas” adotem as medidas técnicas, operacionais e organizacionais adequadas para gerir os riscos de cibersegurança, conforme exigido pela diretiva. Na Schneider Electric, podemos ajudar as organizações a cumprir estes requisitos através de oito passos fundamentais:
- Política de análise de riscos: Definir planos para a análise de riscos e a segurança dos sistemas de informação.
- Gestão de incidentes: Estabelecer um plano de resposta a ciberincidentes que limite os danos e preserve a continuidade do negócio.
- Continuidade do negócio: Implementar um plano robusto de recuperação de desastres que inclua procedimentos de backup e restauração.
- Cadeia de abastecimento: Garantir a segurança em toda a cadeia de abastecimento através de políticas rigorosas de controlo e avaliação.
- Avaliação da eficácia: Monitorizar e avaliar continuamente a eficácia das medidas de cibersegurança implementadas.
- Ciberhigiene básica: Desenvolver práticas básicas de ciberhigiene e proporcionar formação contínua sobre cibersegurança.
- Segurança dos recursos humanos: Assegurar que todos os colaboradores estão alinhados com as políticas de segurança e de controlo de acessos.
- Autenticação: Implementar soluções de autenticação multi-fator para proteger o acesso a sistemas críticos.
O posicionamento-chave da Schneider Electric para ajudar com a NIS2
Na Schneider Electric, não só fornecemos soluções tecnológicas avançadas, como também oferecemos uma abordagem abrangente que vai desde a avaliação de riscos até à implementação de medidas de proteção em ambientes operacionais (OT), incluindo os domínios da gestão de energia e da automação industrial. Tudo isto graças a uma equipa global de consultores e especialistas certificados em cibersegurança, capazes de adaptar as soluções técnicas às necessidades específicas de cada organização, garantindo assim o cumprimento efetivo da diretiva.
As nossas soluções são agnósticas quanto ao fornecedor e permitem-nos adaptar as melhores tecnologias disponíveis à situação do cliente, sem estarmos limitados a um único fornecedor de tecnologia. Para além disso, compreendemos e aplicamos soluções de cibersegurança de TI (Tecnologias de Informação) dentro de um contexto e uma perspetiva de TO (Tecnologias Operacionais), o que garante a melhor proteção na convergência de ambos os domínios.
As nossas soluções de segurança são flexíveis para garantir valor e eficácia máximos, e estão concebidas para se adaptarem às necessidades em constante mudança de cada organização. Através da integração de controlos de cibersegurança personalizados, com base nos requisitos do cliente, garantimos que as nossas soluções não apenas cumprem as normas, como também estão alinhadas com as prioridades específicas de cada empresa.
A entrada em vigor da Diretiva NIS2 marca um ponto de viragem para a cibersegurança na Europa. Num ambiente em que as ciberameaças são cada vez mais sofisticadas, a conformidade com a NIS2 não é apenas uma questão de compliance, mas sim uma estratégia essencial de proteção. Assim, aumentará a confiança na infraestrutura digital de qualquer organização. As empresas que operam em setores críticos devem garantidamente preparar-se para cumprir estes novos requisitos. A cibersegurança é um elemento-chave, uma prioridade e um processo que não pode ser ignorado, e a NIS2 é uma legislação que nos recorda e obriga a fazê-lo.
Adicione um comentário