A NIS2 foca a sua atenção em 3 vetores fundamentais, a capacidade ao nível dos Estados, incluindo a obrigação da identificação das Entidades críticas de cada Estado e a definição de uma Estratégia Nacional para a Cibersegurança; as capacidades e responsabilidades das próprias Entidades identificadas como Essenciais e Importantes da UE; e finalmente, a cooperação e comunicação entre Entidades, através da disponibilização de mecanismos específicos para esse fim entre as Entidades competentes de cada Estado e a própria UE, por via da Agência da União Europeia para a Cibersegurança (ENISA).

Num quadro de crise cibernética de grande escala na UE a cooperação entre Estados assume especial relevância, sendo criada para este efeito uma estrutura que engloba a “Rede de Organizações de Coordenação de Cibercrises (EU-CyCLONe), a rede de CSIRT¹ e o grupo de cooperação.” Ainda no referente à gestão de crises ao nível da UE, a NIS2 refere que “as partes responsáveis deverão recorrer ao Mecanismo Integrado da UE de Resposta Política a Situações de Crise (…). A Comissão deverá utilizar, para esse efeito, o processo de alto nível para a coordenação de crises transetoriais do sistema geral de alerta rápido (ARGUS). Se a crise implicar uma dimensão importante a nível externo ou da política comum de segurança e defesa, deverá ser ativado o mecanismo de resposta a situações de crise do Serviço Europeu para a Ação Externa.”

Tendo como pressuposto que todas as medidas a implementar devem ter sempre em conta a dimensão da organização, a sua complexidade e a sua área de atuação (criticidade), neste artigo iremos analisar com maior detalhe como as empresas deverão atuar de modo a cumprirem com os principais requisitos da NIS2 ao nível da Cibersegurança. Identificados fundamentalmente no Capítulo IV da Diretiva, veremos como estes devem ser integrados nas capacidades e responsabilidades das próprias Entidades identificadas como importantes e essenciais da UE.

 

1. Gestão do Risco (Artigo 21º):

A identificação e a gestão do risco são elementos fundamentais da NIS2, que visa garantir que as Entidades que operam em setores críticos estejam protegidas contra incidentes de segurança da informação. Nos seus artigos 24º (certificações) e 25º (normalização) a UE aponta para a necessidade destas Entidades certificarem os seus sistemas de acordo com as “normas e especificações técnicas europeias e internacionais aplicáveis à segurança dos sistemas de rede e informação”. Para cumprir com este objetivo identificamos 6 etapas em alinhamento com a norma ISO 27001:2022.

Identificação de Ativos Críticos:

Identificar todos os ativos críticos da organização, incluindo a informação classificada (aquela que se comprometida pode causar danos significativos à organização), quais os sistemas críticos (essenciais ao funcionamento da organização, incluindo as pessoas) e a infraestrutura crítica (aquela que suporta a operação da organização).

Processo Formal de Gestão de Riscos:

Implementar um processo formal e documentado para identificar, analisar, avaliar e tratar os riscos de segurança da informação. Este processo deve ser abrangente e considerar os seguintes elementos: as Ameaças (eventos ou ações que podem causar danos aos seus ativos críticos, mas não só) de informação, as Vulnerabilidades existentes que podem ser exploradas e a determinação dos Impactos da exploração com sucesso das vulnerabilidades.

Implementação de Medidas de Controlo:

Implementar medidas de controlo adequadas para mitigar ou eliminar os riscos identificados é essencial para efetivar a gestão do risco. Tipicamente deverá ser considerada a implementação de controlos Operacionais (ao nível da própria Organização, através da definição de políticas e procedimentos), controlos Tecnológicos (através da utilização de ferramentas que ajam proativamente em função da segurança e facilitadoras da monitorização), controlos específicos a aplicar aos Colaboradores e controlos Físicos que garantam a segurança física dos sistemas e dos dados.

Monitorização e Revisão Contínua:

Monitorizar e rever continuamente os riscos identificados e as medidas de controlo implementadas, de modo a garantir que estas mantêm a sua eficácia, realizando periodicamente avaliações de risco para identificar novos riscos.

Testes de Penetração:

Realizar testes de penetração regulares para avaliar a segurança dos sistemas e das redes, por Entidades devidamente certificadas para o efeito, ajudando a identificar vulnerabilidades suscetíveis de serem exploradas por atacantes cibernéticos.

Consciencialização sobre Segurança da Informação:

Fornecer treino e realizar ações de consciencialização sobre segurança da informação aos seus colaboradores. A educação e o alerta para os riscos envolvidos na operação de sistemas em ambientes cada vez mais desmaterializados são fundamentais para a construção de cultura organizacional de segurança, fator essencial para a prevenção de ocorrência de incidentes de segurança da informação.

 

2. Governação e Gestão de Incidentes (artigo 20º):

A governação e a gestão de incidentes são elementos cruciais da NIS2, que visa garantir que as Entidades que operam em setores críticos estejam preparadas para gerir a resposta a incidentes de segurança da informação.

Estrutura de Governação:

Implementar uma estrutura de governação de segurança da informação clara e documentada que defina:

• • Papéis e responsabilidades: quem é responsável e porque ativos na segurança da informação.
  • Processos de tomada de decisão: como as decisões de segurança da informação são tomadas.
  • Mecanismos de comunicação: como as informações de segurança da informação são comunicadas dentro da organização.

Responsável Segurança da Informação:

Considerando a dimensão da Entidade em causa e a fim de facilitar a aplicação efetiva dos requisitos da Diretiva, nomeadamente no que se refere à gestão de vulnerabilidades, a implementação de medidas de gestão dos riscos de cibersegurança, bem como a criação de um ponto único de contacto entre Entidades, é recomendável a nomeação formal de um Responsável pela Segurança da Informação, que, para além das responsabilidades já mencionadas, deverá garantir a implementação e gestão de um programa de segurança da informação, a conformidade das políticas e processos da empresa com a NIS2 e assegurar que estão estabelecidas as condições para uma efetiva capacidade de resposta a incidentes de segurança da informação.

Plano de Resposta a Incidentes:

A capacidade de resposta a incidentes de segurança da informação deve estar apoiada num plano que identifique as diferentes etapas de resposta, e o que fazer em caso de ocorrer um incidente de segurança da informação. O plano deve identificar claramente os recursos necessários e as responsabilidades dos colaboradores envolvidos em todo processo de resposta a incidentes (quem faz e o quê).

Teste e Exercício do Plano:

Para garantir que o plano é eficaz e que todo o processo funciona como esperado, este deve ser testado regularmente através de exercícios e simulações de incidentes, os quais permitam treinar os colaboradores e testar a capacidade de resposta da organização.

Notificação de Autoridades (artigo 23º):

Todas as Entidades essenciais ou importantes têm a obrigação de notificar ao seu CSIRT ou Autoridade competentes, “sem demora injustificada”, todos os incidentes que tenham “um impacto significativo na prestação dos seus serviços”.

Perante um incidente significativo existe a obrigação de, nas primeiras 24 horas, ser enviado um alerta e, nas 72 horas consequentes, uma notificação que atualize a primeira comunicação e que contenha informação sobre a gravidade do incidente e do seu impacto nas operações, e se possível, “dos indicadores de exposição a riscos”. No prazo de um mês após a primeira notificação deverá ser apresentado um relatório do incidente. Esse relatório deve conter toda a informação recolhida durante a fase de investigação, nomeadamente as vulnerabilidades exploradas e as ações de gestão do risco realizadas. O não cumprimento destes prazos dará origem a contraordenações efetivas, devendo estas ser “proporcionadas e dissuasivas, tendo em conta as circunstâncias de cada caso concreto”

Esta informação deverá ser tida em conta no planeamento da melhoria continua do programa de segurança da informação das Entidades.  

 

3. Garantir a Segurança Operacional:

A segurança operacional é outro dos objetivos da NIS2, que visa garantir que as Entidades que operam em setores críticos estejam habilitadas a operar de forma segura, mesmo em ambientes de ameaça cibernética.

Identificam-se de seguida alguns dos principais elementos a implementar, que contribuem para a Segurança Operacional.

Gestão de Identidades e Acessos (GIA):

A Implementação de um sistema de GIA para gerir o acesso dos utilizadores aos seus sistemas e dados, permite garantir que apenas os utilizadores autorizados tenham acesso aos recursos de que precisam. O sistema GIA permite implementar medidas de controlo de Autenticação, Autorização e de Auditoria, verificando a identidade dos utilizadores, garantindo que estes apenas acedem aos recursos a que estão autorizados, fazendo a monitorização e registo das suas atividades.

Criptografia:

A criptografia desempenha um papel importante na proteção da confidencialidade e integridade dos dados. Essa proteção criptográfica deve ser aplicada não apenas aos dados quando armazenados, mas também nos dados em trânsito, garantindo que a informação se encontra protegida também durante a sua transmissão entre sistemas. As Entidades essenciais e importantes devem utilizar soluções criptográficas robustas e interoperáveis.

Segurança de Sistemas e Redes:

A eficácia das equipas de CSIRT está também muito ligada à qualidade das ferramentas que têm ao seu dispor para monitorizar, detetar e responder às ameaças. Devem ser garantidos os meios técnicos que permitam implementar medidas de proteção ativas (ex: Firewall, IPS, entre outros) tendo em vista detetar e bloquear as atividades suspeitas nos sistemas e nas redes de comunicações, bem como ferramentas que permitam correlacionar a informação recebida e permitir a gestão de incidentes de forma integrada (ex: SIEM), facilitando a partilha do conhecimento da situação de segurança com as Entidades parceiras. Só através de um sistema adequado de monitorização e registo das atividades dos sistemas e redes, será possível detetar atempadamente atividades maliciosas e responder às mesmas com eficácia e eficiência.

Atualização de Software:

A sofisticação e a complexidade dos programas informáticos potenciam o surgimento de vulnerabilidades que são exploradas pelos atacantes. Os produtores de software disponibilizam regularmente “pacotes” de correções que permitem eliminar as vulnerabilidades conhecidas. Manter os seus sistemas atualizados é uma atividade fundamental que as Entidades essenciais e importantes têm de garantir.

Treino de Segurança da Informação:

Tal como identificamos anteriormente no que se refere à Gestão do Risco, a Segurança Operacional também beneficia de ações de consciencialização e do treino baseado em exercícios de Segurança da Informação, com diferentes graus de complexidade. Estes permitem à comunidade de segurança da Entidade (todos os seus colaboradores) estar mais preparada para detetar e reagir a eventos de segurança, ficando mais capacitada a operar os sistemas de informação e os dados de forma segura.

 

4. Resiliência Organizacional:

O incremento da resiliência é outro dos objetivos da NIS2, que visa garantir que as Entidades que operam em setores críticos estejam aptas a recuperarem de incidentes de segurança da informação de forma rápida e eficaz, mantendo a sua operacionalidade.

Backup e Recuperação de Desastres:

Um dos principais pontos a considerar na resiliência organizacional é a implementação de um plano de backup e recuperação de desastres para os seus sistemas e dados. Para isso deve ser claramente definida a regularidade com que devem ocorrer os backups dos seus sistemas e dos dados, de acordo com a sua criticidade.

A capacidade deste plano permitir a efetiva recuperação da informação e dos sistemas deve ser regularmente testada e o plano deve ser suficientemente dinâmico para incorporar as eventuais mudanças que ocorram na infraestrutura.

Plano de Continuidade do Negócio:

De igual modo é essencial a existência de um plano de continuidade do negócio, que defina as etapas que a Entidade tem de executar para recuperar de um incidente de segurança, garantindo que esta possa manter a entrega dos seus serviços e produtos, dentro de níveis aceitáveis e pré-definidos, em caso de incidente de segurança da informação.

Também aqui é fundamental que o plano seja regularmente testado, para verificar se este se mantém atualizado e eficaz, num esforço de monitorização e revisão contínua.

Gestão da Mudança:

A implementação um processo de gestão da mudança é uma ferramenta que auxilia a manter atualizados, quer o plano de recuperação de desastres, quer o plano de continuidade de negócio que apresentamos anteriormente, garantindo que as alterações realizadas nos sistemas de informação ou nas infraestruturas da Entidade, fruto da evolução tecnológica ou outras, sejam feitas de forma segura e controlada, ajudando a prevenir incidentes de segurança causados por mudanças mal planeadas ou executadas.

Consciencialização e cultura de segurança:

A construção de uma cultura de segurança no âmbito das Entidades essenciais ou importantes é fundamental à redução do risco de incidentes de segurança da informação. A existência de Colaboradores consciencializados, cientes dos riscos e das ameaças, bem como da importância do seu papel a desempenhar na solução global de segurança é de extrema relevância para uma Entidade mais resiliente.

 

Conclusão

Os requisitos da Diretiva 2022/2555 da UE, vulgo NIS2, abrangem várias áreas, com o objetivo claro de incrementar a resiliência organizacional das empresas e das organizações, que prestam serviços de elevado impacto para a sociedade e para a economia, e de as habilitar a responder a crises cibernéticas de grande dimensão no espaço da União Europeia, dando relevo a medidas de gestão do risco, governação e gestão de incidentes (incluindo a notificação de autoridades), segurança operacional e resiliência operacional.

Neste artigo destacamos alguns elementos essenciais que têm de ser garantidos pelas Entidades com vista à conformidade com a diretiva. Sendo este um assunto de grande abrangência na área da segurança da informação, para uma consulta mais detalhada recomendamos a leitura das medidas que constam no Quadro Nacional de Referência para a Cibersegurança (QNRCS) publicado pelo CNCS².

A NIS2 releva também a importância da cooperação entre Estados, devendo esta ser coordenada com a ENISA, através da “Rede de Organizações de Coordenação de Cibercrises (EU-CyCLONe), a rede de CSIRT e o Grupo de Cooperação (constituído pelas autoridades nacionais de cibersegurança entre outras).

Compete às autoridades nacionais competentes a supervisão e a aplicação de sanções (coimas), em caso de não conformidade. Uma avaliação de conformidade deve ser realizada regularmente para identificar áreas de melhoria, podendo estas ser conduzidas internamente ou por um terceiro independente.  É importante monitorizar e rever continuamente a conformidade com a NIS2 para garantir que a organização cumpre com os padrões de segurança específicos a que está obrigada.

Recordamos que os Estados-Membros da UE têm até 17 de outubro de 2024 para transpor a diretiva para a sua legislação nacional e até 17 de abril de 2025 para identificar os operadores de serviços essenciais e as entidades importantes.

 

Para saber mais:

• Diretiva 2022/2555 (NIS2)
• Cibersegurança na UE: a nova Diretiva NIS2 (artigo)
• CNCS – Quadro Nacional de Referência para a Cibersegurança

 

¹ CSIRT – Computer Security Incident Response Team
² O atual QNRC encontra-se em processo de revisão de modo a incorporar os novos requisitos da NIS2