A importância da diretriz NIS2
O NIS2 cria um conjunto padrão de requisitos de segurança cibernética para organizações que fornecem serviços essenciais ou importantes para os estados membros da UE. Ao fazer isso, reduz o risco de que ataques cibernéticos contra essas organizações possam resultar em repercussões significativas para os cidadãos da UE.
Setores afetados pela Diretiva NIS2
A diretriz NIS2 classifica os setores em entidades essenciais e importantes. Exemplos de entidades essenciais (EE) incluem:
- Energy
- Transporte
- Financeiro
- Administração pública
- Serviço de saúde
- Espaço
- Abastecimento de água
- Infraestrutura digital
O NIS2 também afeta entidades importantes (IE), como o senhor:
- Serviços postais
- Gerenciamento de resíduos
- Produtos químicos
- Pesquisa
- Alimentos
- Manufatura
- Provedores digitais
Além dos setores, a Conformidade NIS2 também é afetada pelo tamanho da organização. Em geral, as EEs devem ter pelo menos 250 funcionários e um faturamento anual de mais de 50 milhões de euros ou um balanço patrimonial de 43 milhões de euros. Em geral, as IEs devem ter pelo menos 50 funcionários e um faturamento ou balanço anual de pelo menos 10 milhões de euros. No entanto, essas regras variam de acordo com o setor. Além disso, as empresas que são o único fornecedor de um determinado serviço em um estado membro da UE podem ser classificadas como EE ou IE, independentemente do tamanho.
Quais são os requisitos do NIS2?
O NIS2 cria quatro conjuntos de requisitos organizacionais de alto nível, incluindo:
- Gerenciamento de riscos: As organizações devem gerenciar seus riscos cibernéticos por meio de resposta a incidentes, segurança da cadeia de suprimentos, segurança de rede, controle de acesso e uso de criptografia.
- Responsabilidade corporativa: A gerência corporativa é responsável pela segurança da organização e deve assumir um papel ativo e informado no gerenciamento de riscos cibernéticos.
- Obrigações de comunicação: A NIS2 define os requisitos de comunicação para incidentes de segurança significativos, incluindo um "aviso prévio" de 24 horas.
- Continuidade dos negócios: As organizações afetadas devem ter estratégias de continuidade dos negócios em vigor, incluindo a criação de planos de recuperação, procedimentos de emergência e uma equipe de resposta a crises.
Além disso, ele especifica um conjunto de dez requisitos mínimos, que incluem:
- Realização de avaliações de risco e implementação de políticas de segurança para sistemas de TI.
- Implementação de políticas e procedimentos para o uso de criptografia e codificação.
- Protegendo e gerenciando a vulnerabilidade na aquisição de sistemas.
- Implementação de procedimentos de segurança para usuários que podem acessar dados confidenciais.
- Usar autenticação multifatorial (MFA), autenticação contínua e comunicações criptografadas quando apropriado.
- Avaliar a eficácia dos controles de segurança implementados.
- Planejamento para detecção e resposta a incidentes.
- Treinamento de funcionários sobre higiene básica do computador.
- Planejamento para continuidade dos negócios e recuperação de desastres (backups, acesso contínuo, etc.)
- Proteger a cadeia de suprimentos e como a empresa gerencia a vulnerabilidade potencial em relacionamentos com terceiros.
Penalidades por violações da NIS2
A NIS2 estabelece vários tipos de penalidades que podem ser aplicadas a uma organização por não conformidade, incluindo
- Penalidades não monetárias: As autoridades nacionais de supervisão têm permissão para forçar as organizações a entrar em conformidade, seguir instruções obrigatórias, realizar uma auditoria de segurança ou notificar seus clientes sobre uma possível ameaça.
- Multas administrativas: As penalidades administrativas dependem do tipo de entidade. As EEs estão sujeitas a multas de até 10 milhões de euros ou 2% da receita anual global, o que for maior. Os IEs podem ser multados em até 7 milhões de euros ou 1,4% da receita anual global.
- Sanções penais: Em caso de negligência grave, o NIS2 permite que a alta gerência seja responsabilizada pessoalmente por incidentes de segurança. Isso inclui ordenar que a empresa torne públicas as violações da Conformidade, declare publicamente qual violação ocorreu e quem é o culpado, e impeça temporariamente que indivíduos ocupem cargos de gerência.
Garanta que sua empresa esteja em conformidade com o NIS2 com o IGS
A diretiva NIS2 foi criada para limitar o risco de que ataques cibernéticos contra entidades essenciais e importantes na UE afetem sua capacidade de prestar serviços aos cidadãos da UE. Essa atualização do NIS original amplia o escopo da diretiva, implementa requisitos atualizados e fornece aos órgãos reguladores o poder de aplicar penalidades adicionais e mais rigorosas contra as organizações que não cumprirem seus requisitos.
Alcançar a conformidade com a diretiva NIS2 dentro dos prazos no quarto trimestre de 2024 é essencial para todas as organizações afetadas e exige a implementação de um programa robusto de segurança cibernética. A Check Point oferece suporte para empresas que tentam atingir esse e outros objetivos de segurança cibernética por meio de seu programa Infinity Global Services.
Check PointA avaliação de prontidão para NIS2/DORA da KPMG envolve uma avaliação no local, realizada por consultores sênior da Check Point, da conformidade atual de uma organização com a diretiva NIS2. Com base nessa avaliação, o site Check Point fornece orientações sobre como as organizações podem fechar a segurança de API identificada e obter a conformidade com o padrão. Para obter mais informações sobre como atingir suas metas de Conformidade NIS2 antes do prazo, entre em contato conosco.
Opinião