Um estudo realizado pela Waterfall Security revela um aumento dramático — em 140 % — dos ciberataques a infraestruturas críticas entre 2021 e 2022. Segundo o estudo, a maioria dos ataques em 2022 foi de ransomware e afetou redes informáticas, tendo tido também consequências físicas, com danos em sistemas informáticos. O relatório enumera vários exemplos, como interrupções em 14 fábricas de automóveis de topo, 23 fábricas de pneus, uma grande empresa alimentar e uma editora, atrasos de voos para dezenas de milhares de passageiros e avarias na carga e descarga de contentores.
Porquê a NIS2: cibersegurança para infraestruturas críticas
A diretiva NIS2 exige que as organizações que se constituem como infraestruturas críticas estejam cientes dos riscos potenciais que enfrentam — tais como erro humano, falhas do sistema, agentes maliciosos, catástrofes naturais e a segurança física e ambiental dos sistemas que afetam a rede e a segurança da sua informação. Estas organizações devem monitorizar as ameaças à sua cibersegurança e dispor de planos para assegurar a continuidade das suas atividades.
As consequências do incumprimento destas regras são preocupantes, uma vez podem motivar coimas até 10 milhões de euros, ou 2 % do volume de negócios anual global.
Quando é que a NIS2 entra em vigor
A diretiva NIS2 da União Europeia entrou em vigor a 16 de janeiro de 2023 e será integrada na legislação de todos os Estados-Membros até 17 de outubro de 2024. Embora exista um antecedente para a nova diretiva (a NIS foi originalmente introduzida em 2016), a segunda versão aplica-se a mais organizações do que a primeira.
Este artigo vai ajudá-lo a descobrir se a sua organização é abrangida pela NIS2 e, se sim, irá fornecer-lhe dicas sobre como pode cumprir esta diretiva e evitar os perigos do incumprimento.
A sua organização está sujeita ao cumprimento da NIS2?
Estar ou não abrangido pela NIS2 depende, essencialmente, de dois fatores: o setor em que opera e a dimensão da sua organização.
Os setores abrangidos pela NIS2 (divididos em «muito Crítico» e «crítico») incluem:
Muito crítico |
Crítico |
Transporte |
Indústria |
Energia |
Gestão de resíduos |
Bancos e infraestrutura do mercado financeiro |
Serviços postais e de correio |
Cuidados de saúde |
Produção, processamento e distribuição de comida |
Água potável |
Produção química e farmacêutica |
Saneamento |
Fornecedores de serviços digitais |
Infraestrutura digital |
Investigação |
Gestão serviços de TIC (B2B) |
|
Governo |
|
Exploração espacial |
|
A
dimensão da empresa/organização também é um fator decisivo, sendo que todas as organizações de dimensão média (51-249 trabalhadores, volume de negócios anual <50 milhões de euros) e as organizações grandes (>250 trabalhadores, volume de negócios anual >50 milhões de euros) são abrangidas pela legislação.
A sua organização é essencial ou importante?
Se a sua organização for abrangida pela NIS2, há uma distinção adicional a fazer. As empresas «muito críticas» são também «organizações essenciais»; e as empresas «críticas» são também «organizações importantes».
Ambas estão sujeitas aos mesmos requisitos de gestão da cibersegurança e obrigações de comunicação de incidentes ao abrigo da NIS2. No entanto, o controlo da conformidade é diferente para cada uma delas:
Muito crítica = Essencial
Para as «organizações essenciais», a monitorização deve ser proativa e deve refletir-se claramente nos processos, devendo os reguladores verificar se estas organizações estão a aplicar as medidas e a cumpri-las corretamente.
Crítica = Importante
Para as «organizações importantes», a monitorização será reativa quando houver provas de um incidente cibernético.
Quatro áreas de requisitos essenciais
A NIS2 baseia-se na NIS e tem
quatro novas áreas de requisitos essenciais que foram concebidas para garantir a cibersegurança da sua organização.
É necessário garantir que pode demonstrar o seguinte:
- Gestão de riscos: as organizações têm de conhecer todos os riscos potenciais, incluindo erro humano, falhas do sistema, agentes maliciosos, catástrofes naturais e a segurança física e ambiental dos sistemas.
- Responsabilidade empresarial: a NIS2 responsabiliza os quadros diretivos das organizações e exige que estes supervisionem, aprovem, recebam formação e façam a gestão dos riscos para a cibersegurança da sua organização. Os executivos serão considerados pessoalmente responsáveis, através de medidas como a suspensão do exercício de cargos de direção, se não cumprirem a diretiva.
- Obrigações de comunicação: a NIS2 tem requisitos pormenorizados para a comunicação de incidentes de segurança, pelo que, se a sua organização estiver sob a alçada da NIS2, é vital que tenha todos os protocolos atualizados para comunicar prontamente os incidentes de segurança.
- Continuidade das atividades: uma vez que a NIS2 se aplica a empresas prestadoras de serviços vitais para o funcionamento da sociedade, estas organizações devem dispor de planos para manter os seus serviços em funcionamento caso sofram um incidente de segurança grave. Estes planos devem incluir a recuperação do sistema, procedimentos de emergência e a criação de uma equipa de gestão de crise.
Medidas mínimas de segurança que é obrigado a adotar ao abrigo da NIS2
Se a sua organização estiver sujeita à NIS2, deve tomar medidas de gestão de risco adequadas e proporcionais para evitar incidentes de segurança e minimizar o seu impacto.
Para ajudar a resolver estas questões, a NIS2 estipula
dez medidas básicas que deve considerar:
- Políticas de análise de risco e de segurança dos sistemas de informação;
- Tratamento de incidentes;
- Continuidade das atividades, tais como gestão de cópias de segurança e recuperação de desastres, gestão de crise;
- Segurança da cadeia de abastecimento, incluindo aspetos relacionados com a segurança das relações entre cada entidade e os seus fornecedores diretos ou prestadores de serviços;
- Segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, incluindo o tratamento e a divulgação de vulnerabilidades;
- Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança;
- Práticas básicas de ciber-higiene e formação em cibersegurança;
- Políticas e procedimentos relativos à utilização de criptografia e, se for caso disso, encriptação;
- Segurança dos recursos humanos, políticas de controlo de acesso e gestão de ativos;
- A utilização de soluções de autenticação multifator ou de autenticação contínua, de comunicações seguras de voz, vídeo e texto e de sistemas seguros de comunicação de emergência na entidade, quando necessário.
Garanta o cumprimento dos requisitos da NIS2: como a Konica Minolta pode ajudar
Chegou o momento de agir, afirma Martin Mølvig, diretor dos Serviços de Segurança na Europa da Konica Minolta: «O lançamento da NIS2 trouxe o foco para as preocupações com a cibersegurança, sobretudo em muitas organizações que não foram afetadas pela diretiva NIS original e que podem não ter tido conhecimento prévio desta regulamentação. É vital que todas as organizações considerem a forma como são afetadas e saibam o que devem fazer para estar em conformidade.»
Martin Mølvig acrescenta: «Pode ser tentador evitar investir na proteção correta da cibersegurança, mas a NIS2 eleva a fasquia para todos. Do ponto de vista da continuidade da atividade, por exemplo, pode haver soluções alternativas para manter a atividade até à recuperação. Mas estará definido o que dizer às partes interessadas — clientes, imprensa, etc. — quando há interrupções nas operações?»
A Konica Minolta oferece uma série de soluções de segurança profissional que podem ajudar a abordar alguns dos principais requisitos NIS2, tais como:
- Gestão e recuperação de incidentes, incluindo tratamento e divulgação de vulnerabilidades;
- Continuidade das atividades, com gestão de cópias de segurança;
- Utilização de autenticação multi-fator.
Gestão e recuperação de incidentes, incluindo tratamento e divulgação de vulnerabilidades
O serviço de proteção de endpoint da Konica Minolta, Workplace Intrusion Patrol, com Microsoft Defender, protege todos os dispositivos de IT: portáteis, tablets e telemóveis, bem como servidores, independentemente do local em que os funcionários trabalhem e mesmo durante períodos curtos, em que não estejam ligados a uma rede. O serviço deteta e neutraliza ataques furtivos que consigam contornar outras medidas de segurança e proteção (como palavras-passe e ferramentas antivírus tradicionais) e que entrem no ambiente informático, impedindo os intrusos de utilizarem o dispositivo como trampolim para ataques maiores ou mais graves aos sistemas e dados centrais. Na eventualidade de uma ameaça, este serviço com base na cloud isola o dispositivo e elimina a ameaça antes que se propague por todo o ambiente de IT.
A solução antivírus de ponta Bitdefender pode ser incorporada no firmware da impressora multifuncional Konica Minolta bizhub i-Series e monitoriza todos os ficheiros digitalizados e documentos transferidos em tempo real. Deteta imediatamente vírus e malware e informa sobre uma potencial ameaça. Também permite uma verificação manual dos discos rígidos, bem como verificação a pedido. Tal evita a propagação de vírus a outros PC e servidores e garante que os equipamentos multifuncionais (MFP) não se tornam um trampolim para a perda de informações da empresa.
Além disso, com o Shield Guard, serviço de cloud da Konica Minolta para gestão remota da segurança dos MFP, as definições de segurança podem ser monitorizadas a partir de qualquer lugar. Recolhe informações sobre o estado de segurança de todos os dispositivos, envia notificações no caso de um incidente e executa a mitigação.
Continuidade do negócio com gestão de cópias de segurança
O Workplace One da Konica Minolta é uma solução abrangente que inclui ambiente Microsoft 365, serviços de gestão de cópia de segurança, monitorização remota proativa e ativação de serviços online como Exchange, Teams, OneDrive e outros no Microsoft 365. O serviço de gestão de cópia de segurança do Workplace One fornece um serviço de segurança e recuperação de dados totalmente gerido e automatizado para evitar perdas e interrupções dispendiosas do negócio. Com os seus serviços de gestão e cópias de segurança diárias, a Konica Minolta garante que todos os seus e-mails e ficheiros (incluindo no OneDrive, SharePoint e Microsoft Teams) estão sempre protegidos e restaura os dados com cópia de segurança no Centro de Dados em caso de perda devido a uma ameaça de ciberataque. Os dados são alojados nos centros de dados da Konica Minolta com certificação ISO27001 na Alemanha e na Suécia.
A utilização da autenticação multifator
Além disso, o Workplace One oferece autenticação multifactor (MFA), que impede o acesso não autorizado a informações sensíveis. Com MFA, os seus utilizadores têm de apresentar uma combinação de duas ou mais credenciais para verificar a sua identidade para iniciar sessão. A solução de impressão na cloud da Konica Minolta Workplace Pure também oferece MFA.
Pode experimentar o Workplace Pure gratuitamente durante 30 dias (sem qualquer compromisso) aqui.
Ajudamos nos seus requisitos de cibersegurança
Para obter mais ajuda e assistência relativamente às suas necessidades e obrigações em matéria de cibersegurança, descarregue o nosso guia gratuito de cibersegurança.