NIS 2: Conheça as características da nova diretiva de segurança da União Europeia - OSTEC

This post is also available in: Português

Nos últimos anos, a cibersegurança tornou-se uma preocupação central para governos e empresas em todo o mundo. A União Europeia (EU), sempre à frente na proteção dos seus cidadãos e infraestrutura, implementou a Diretiva NIS 2, uma evolução da sua legislação anterior sobre segurança de redes e sistemas de informação.

Essa nova legislação é um marco importante, não só para a Europa, mas também para as empresas brasileiras que mantêm relações comerciais ou operacionais com países europeus.

Vamos explorar mais a fundo o que é a NIS 2, e como ela pode impactar as empresas brasileiras.

O que é a NIS 2?

A Diretiva NIS 2 (Diretiva (UE) 2022/2555) é uma atualização significativa da Diretiva NIS original, criada para reforçar a segurança cibernética em toda a União Europeia. Ela estabelece requisitos mais rígidos para a segurança das redes e sistemas de informação de entidades críticas, como provedores de serviços digitais e operadores de serviços essenciais. A NIS 2 visa melhorar a resiliência cibernética e garantir uma resposta rápida e eficaz a incidentes de cibersegurança.

Principais mudanças introduzidas pela NIS 2

Expansão do âmbito de aplicação

A NIS 2 expande significativamente o escopo das entidades cobertas, incluindo novos setores como saúde, energia e transporte. Isso significa que mais empresas terão que cumprir os requisitos de segurança cibernética, o que, por sua vez, aumenta a segurança geral da infraestrutura crítica.

Requisitos de relatório de incidentes

Uma das mudanças mais representativas é a introdução de requisitos mais rígidos para a notificação de incidentes. As empresas devem relatar incidentes significativos dentro de um prazo muito curto, geralmente 24 horas. Isso garante uma resposta rápida e coordenada a ataques cibernéticos, limitando o potencial de dano.

Reforço das obrigações de gestão de riscos

A NIS 2 também exige que as empresas adotem medidas de gestão de riscos mais robustas, incluindo a implementação de políticas de segurança cibernética, treinamento contínuo de funcionários, e avaliação regular de vulnerabilidades. Essas medidas são cruciais para criar uma cultura de segurança cibernética proativa.

Diferenças entre a NIS e NIS 2

A Diretiva NIS original, adotada em 2016, foi a primeira legislação de alcance europeu sobre cibersegurança, estabelecendo um nível comum de segurança para redes e sistemas de informação em toda a União Europeia. Com o avanço das tecnologias e a crescente sofisticação dos ciberataques, surgiu a necessidade de uma atualização, resultando na criação da Diretiva NIS 2.

Vamos conferir as principais diferenças entre a NIS e a NIS 2, e como estas mudanças podem impactar as empresas brasileiras:

Escopo

A Diretiva NIS original limitava-se a serviços essenciais e provedores de serviços digitais. Já a NIS 2 expande significativamente esse escopo, incluindo mais setores e organizações, como empresas de médio porte, entidades públicas e outros provedores de serviços digitais.

Classificação das entidades

A NIS focava nos operadores de serviços essenciais, enquanto a NIS 2 introduz uma distinção entre entidades essenciais (com requisitos mais rígidos) e entidades importantes (com obrigações mais flexíveis).

Requisitos de segurança

Antes, a NIS estabelecia medidas gerais de cibersegurança. A NIS 2 proporciona requisitos de segurança mais harmonizados e específicos em toda a UE, estabelecendo medidas mínimas de cibersegurança que as entidades devem seguir e relatar.

Relato de incidentes

A primeira diretiva possuía regras gerais para o relato de incidentes. A NIS 2 introduz regras mais estritas e claras, exigindo que incidentes sejam relatados dentro de 24 horas após a detecção e que sejam fornecidos relatórios de acompanhamento. Também amplia o escopo dos incidentes que devem ser relatados.

Supervisão e aplicação

Enquanto a NIS contava com autoridades nacionais competentes e Equipes de Resposta a Incidentes de Segurança de Computadores (CSIRTs), a NIS 2 reforça o papel dessas autoridades de CSIRTs, introduzindo a possibilidade de colaboração transfronteiriça e investigações conjuntas para incidentes que afetam múltiplos Estados membros.

Penalidades

A NIS tinha penalidades variáveis. Já a NIS 2 traz penalidades mais severas por não conformidade, incluindo multas que podem chegar a 10 milhões de euros ou 2% do faturamento global anual do ano financeiro anterior, o que for maior.

Segurança da cadeia de suprimentos

Na NIS, a segurança da cadeia de suprimentos não era enfatizada. A NIS 2 coloca um foco maior na avaliação e segurança dos riscos cibernéticos associados aos fornecedores e prestadores de serviços.

Impacto nas empresas brasileiras

Conformidade e adaptação

Para empresas brasileiras que operam na Europa ou têm parcerias com entidades europeias, a conformidade com a NIS 2 será essencial. A necessidade de alinhamento com essas regulamentações pode significar a adoção de novos processos e tecnologias de segurança, além de ajustes nos procedimentos internos de gestão de riscos e resposta a incidentes.

Competitividade no mercado internacional

A conformidade com a NIS 2 também pode ser vista como uma oportunidade. Empresas brasileiras que aderem a esses padrões mais rigorosos de segurança cibernética podem ganhar uma vantagem competitiva no mercado internacional. Demonstrar um compromisso com a segurança pode aumentar a confiança dos parceiros comerciais e clientes, abrindo portas para novas oportunidades de negócios.

Desafios e custos

Naturalmente, a adaptação às novas regras pode representar desafios significativos. Investimentos em tecnologia, treinamento e consultoria especializada serão necessários, dependendo do nível de maturidade em cibersegurança atual da empresa. Cada empresa estabelecerá os seus próprios critérios, para avaliar a viabilidade de adequação a NIS 2, podendo ser um caminho relativamente tranquilo, para empresas que já seguem normatizações de cibersegurança, ou mais longo, para aquelas que ainda estão dando os primeiros passos, para a implementação de uma estrutura consistente de cibersegurança.

Reflexões finais

A implementação da nova Diretiva pela União Europeia representa um avanço importante na proteção das infraestruturas críticas e na melhoria da resiliência cibernética para os países da Europa. Para as empresas brasileiras, a adaptação a essa nova legislação deve ser tratada como uma oportunidade para melhorar sua própria segurança cibernética e fortalecer sua posição no mercado global.

Adotar uma abordagem proativa e investir em medidas robustas de segurança cibernética não só ajudará a cumprir os requisitos da NIS 2, mas também protegerá as empresas brasileiras contra a crescente ameaça de ataques cibernéticos. Em um mundo cada vez mais digital, a segurança é um componente fundamental para o sucesso e a sustentabilidade a longo prazo das empresas.

This post is also available in: Português

Diagnóstico que avalia a nível de conformidade com a Lei Geral de Proteção de Dados

Fazer diagnóstico

Ebooks 5 Dicas para evitar sequestro de dados

Nossas 5 dicas fundamentais para evitar sequestro de dados

Baixar eBook

Ebooks 10 dicas essenciais para aquisição de firewalls

Conheça os principais tópicos a serem considerados na aquisição de um firewall.

Baixar eBook

Ebooks Guia Lei Geral de Proteção de Dados

Documento completo para ambientalização à Lei Geral de Proteção de Dados

Baixar eBook

O que é a NIS 2?

Principais mudanças introduzidas pela NIS 2

Expansão do âmbito de aplicação

Requisitos de relatório de incidentes

Reforço das obrigações de gestão de riscos

Diferenças entre a NIS e NIS 2

Impacto nas empresas brasileiras

Conformidade e adaptação

Competitividade no mercado internacional

Desafios e custos

Reflexões finais

VMware corrige vulnerabilidades críticas no vCenter Server

CVE-2024-4577: vulnerabilidade crítica no PHP, sendo utilizada em ataques Ransomware

Cadastre-se em nossa newsletter