What is the NIS2 Directive?

O NIS2 é a segunda iteração da diretiva de segurança de redes e informações (NIS) da UE e é o principal padrão de segurança cibernética na UE. O NIS2 atualiza o NIS expandindo os setores afetados pela lei e seus requisitos. Até 17 de outubro de 2024, os estados membros da UE devem implementar o NIS2 em suas leis nacionais, portanto, todas as organizações afetadas pelo NIS2 devem estar em conformidade até o quarto trimestre de 2024.

Serviços globais da Infinity ENTRE EM CONTATO COM UM ESPECIALISTA

What is the NIS2 Directive?

A importância da diretriz NIS2

O NIS2 cria um conjunto padrão de requisitos de segurança cibernética para organizações que fornecem serviços essenciais ou importantes para os estados membros da UE. Ao fazer isso, reduz o risco de que ataques cibernéticos contra essas organizações possam resultar em repercussões significativas para os cidadãos da UE.

Setores afetados pela Diretiva NIS2

A diretriz NIS2 classifica os setores em entidades essenciais e importantes. Exemplos de entidades essenciais (EE) incluem:

  • Energy
  • Transporte
  • Financeiro
  • Administração pública
  • Serviço de saúde
  • Espaço
  • Abastecimento de água
  • Infraestrutura digital

O NIS2 também afeta entidades importantes (IE), como o senhor:

  • Serviços postais
  • Gerenciamento de resíduos
  • Produtos químicos
  • Pesquisa
  • Alimentos
  • Manufatura
  • Provedores digitais

Além dos setores, a Conformidade NIS2 também é afetada pelo tamanho da organização. Em geral, as EEs devem ter pelo menos 250 funcionários e um faturamento anual de mais de 50 milhões de euros ou um balanço patrimonial de 43 milhões de euros. Em geral, as IEs devem ter pelo menos 50 funcionários e um faturamento ou balanço anual de pelo menos 10 milhões de euros. No entanto, essas regras variam de acordo com o setor. Além disso, as empresas que são o único fornecedor de um determinado serviço em um estado membro da UE podem ser classificadas como EE ou IE, independentemente do tamanho.

Quais são os requisitos do NIS2?

O NIS2 cria quatro conjuntos de requisitos organizacionais de alto nível, incluindo:

  • Gerenciamento de riscos: As organizações devem gerenciar seus riscos cibernéticos por meio de resposta a incidentes, segurança da cadeia de suprimentos, segurança de rede, controle de acesso e uso de criptografia.
  • Responsabilidade corporativa: A gerência corporativa é responsável pela segurança da organização e deve assumir um papel ativo e informado no gerenciamento de riscos cibernéticos.
  • Obrigações de comunicação: A NIS2 define os requisitos de comunicação para incidentes de segurança significativos, incluindo um "aviso prévio" de 24 horas.
  • Continuidade dos negócios: As organizações afetadas devem ter estratégias de continuidade dos negócios em vigor, incluindo a criação de planos de recuperação, procedimentos de emergência e uma equipe de resposta a crises.

Além disso, ele especifica um conjunto de dez requisitos mínimos, que incluem:

  1. Realização de avaliações de risco e implementação de políticas de segurança para sistemas de TI.
  2. Implementação de políticas e procedimentos para o uso de criptografia e codificação.
  3. Protegendo e gerenciando a vulnerabilidade na aquisição de sistemas.
  4. Implementação de procedimentos de segurança para usuários que podem acessar dados confidenciais.
  5. Usar autenticação multifatorial (MFA), autenticação contínua e comunicações criptografadas quando apropriado.
  6. Avaliar a eficácia dos controles de segurança implementados.
  7. Planejamento para detecção e resposta a incidentes.
  8. Treinamento de funcionários sobre higiene básica do computador.
  9. Planejamento para continuidade dos negócios e recuperação de desastres (backups, acesso contínuo, etc.)
  10. Proteger a cadeia de suprimentos e como a empresa gerencia a vulnerabilidade potencial em relacionamentos com terceiros.

Penalidades por violações da NIS2

A NIS2 estabelece vários tipos de penalidades que podem ser aplicadas a uma organização por não conformidade, incluindo

  • Penalidades não monetárias: As autoridades nacionais de supervisão têm permissão para forçar as organizações a entrar em conformidade, seguir instruções obrigatórias, realizar uma auditoria de segurança ou notificar seus clientes sobre uma possível ameaça.
  • Multas administrativas: As penalidades administrativas dependem do tipo de entidade. As EEs estão sujeitas a multas de até 10 milhões de euros ou 2% da receita anual global, o que for maior. Os IEs podem ser multados em até 7 milhões de euros ou 1,4% da receita anual global.
  • Sanções penais: Em caso de negligência grave, o NIS2 permite que a alta gerência seja responsabilizada pessoalmente por incidentes de segurança. Isso inclui ordenar que a empresa torne públicas as violações da Conformidade, declare publicamente qual violação ocorreu e quem é o culpado, e impeça temporariamente que indivíduos ocupem cargos de gerência.

Garanta que sua empresa esteja em conformidade com o NIS2 com o IGS

A diretiva NIS2 foi criada para limitar o risco de que ataques cibernéticos contra entidades essenciais e importantes na UE afetem sua capacidade de prestar serviços aos cidadãos da UE. Essa atualização do NIS original amplia o escopo da diretiva, implementa requisitos atualizados e fornece aos órgãos reguladores o poder de aplicar penalidades adicionais e mais rigorosas contra as organizações que não cumprirem seus requisitos.

Alcançar a conformidade com a diretiva NIS2 dentro dos prazos no quarto trimestre de 2024 é essencial para todas as organizações afetadas e exige a implementação de um programa robusto de segurança cibernética. A Check Point oferece suporte para empresas que tentam atingir esse e outros objetivos de segurança cibernética por meio de seu programa Infinity Global Services.

 

Check PointA avaliação de prontidão para NIS2/DORA da KPMG envolve uma avaliação no local, realizada por consultores sênior da Check Point, da conformidade atual de uma organização com a diretiva NIS2. Com base nessa avaliação, o site Check Point fornece orientações sobre como as organizações podem fechar a segurança de API identificada e obter a conformidade com o padrão. Para obter mais informações sobre como atingir suas metas de Conformidade NIS2 antes do prazo, entre em contato conosco.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK