5 junho 2024

NIS 2 e a materialização da cibersegurança: resiliência e conformidade dos operadores de serviços essenciais

A NIS 2 é a legislação europeia mais abrangente em matéria de cibersegurança, evoluindo nos objetivos da Diretiva (UE) 2016/1148. A materialização dos seus requisitos pelos Operadores de Serviços Essenciais (OSE) é um desafio complexo, exigindo uma abordagem integrada que garanta conformidade.

Estabelecer uma abordagem baseada em risco

A NIS 2 requer que os OSE apliquem medidas de segurança proporcionais aos riscos identificados, exigindo uma metodologia de gestão de risco consistente e uniforme.

É fundamental identificar os ativos críticos e os processos de negócio, avaliar os riscos e aplicar medidas de segurança adequadas. A adoção de um processo de gestão de risco sistemático permite aos OSE minimizarem as vulnerabilidades e os impactos das ciberameaças, estabelecendo prioridades para alocação de recursos financeiros e humanos.

Implementar medidas de segurança

A implementação eficiente das medidas de segurança requer a integração de três pilares essenciais: tecnologia, processos e pessoas.

Cabe aos OSE garantir a instalação e a configuração de soluções de segurança, como sistemas de deteção de intrusões, e estabelecer políticas e procedimentos que incluam proteção dos ativos, definição de responsabilidades e resposta a incidentes.

Esta implementação pode requerer a seleção de um parceiro especializado que execute as medidas necessárias, facilite a operação, antecipe necessidades e promova a melhoria contínua.

Sensibilizar e formar os colaboradores

A consciencialização e a formação das pessoas nas OSE são outro ângulo fundamental da NIS 2, exigindo aos colaboradores o conhecimento do seu papel na proteção dos ativos e infraestruturas críticas.

Para isso, há que desenhar e implementar programas de formação e sensibilização, que ajudem na identificação de ciberataques, promovam a cooperação e partilha de conhecimento de cibersegurança entre departamentos e equipas dos OSE.

Estabelecer mecanismos de resposta e recuperação de incidentes

Os OSE precisam de implementar planos de resposta e recuperação de incidentes, com testes e atualização periódica, para serem ágeis na resposta a um ciberataque e restaurarem os serviços essenciais.

Estes planos devem ainda integrar a comunicação interna e externa. É importante que a organização esteja informada, mas também é relevante planear o posicionamento face a parceiros, clientes e mercado, assegurando reputação e confiança, durante e após o incidente, designando pontos de contacto e garantindo a comunicação com a rede CSIRT.

Auditoria e monitorização contínua

Os OSE devem garantir que o seu sistema de gestão de segurança da informação é analisado e monitorizado, com auditorias periódicas, por terceiros, e são implementados mecanismos de monitorização em tempo real, para identificar vulnerabilidades e corrigir incidentes de forma proativa.

Parcerias estratégicas com prestadores de serviços que disponibilizem, por exemplo, um Security Operations Centre (SOC), assegura melhores práticas e adequação das soluções implementadas.

Alavancar a conformidade

Os OSE devem encarar os requisitos da NIS 2 como um catalisador para a inovação e o fortalecimento das práticas de cibersegurança. Com uma abordagem baseada em risco, a integração de cibersegurança a todos os níveis operacionais e a adoção das medidas descritas, não só alcançarão conformidade normativa como impulsionarão a capacidade de resistência a ciberameaças.

Esta vantagem competitiva gera confiança entre consumidores e parceiros, promovendo o sucesso a longo prazo. A NIS 2 deve ser, assim, vista como um alicerce para promoção da excelência operacional e liderança estratégica, oferecendo as diretrizes necessárias para uma defesa robusta, adaptável e responsiva.

Security


David Grave, Security Director - Claranet Portugal

Manuel Ferreira, Consulting Lead - Claranet Portugal