Diretiva NIS2: a resposta da UE para combater o aumento dos ciberataques

Os cibercriminosos visam, cada vez mais, um conjunto mais vasto de vítimas, desde empresas a instituições de ensino. Para piorar a situação, apresentam novos métodos diariamente em constante evolução.
20 de Agosto, 2024

O número de ciberataques disparou nos últimos anos, com algumas estimativas a apontar para um aumento de 600% desde 2020. Este aumento deve-se, em parte, à rápida transição para o trabalho remoto que criou vulnerabilidades nos sistemas recentemente digitalizados. 

Os cibercriminosos visam, cada vez mais, um conjunto mais vasto de vítimas, desde empresas a instituições de ensino. Para piorar a situação, apresentam novos métodos diariamente em constante evolução.

Esta tendência alarmante realça a necessidade crítica de implementar medidas robustas de cibersegurança. As empresas e as organizações devem investir na proteção de dados, na disponibilização de formação aos colaboradores e num software de segurança atualizado, de forma a manterem-se um passo à frente dos cibercriminosos. A proteção do mundo cada vez mais interligado exige uma abordagem proativa da cibersegurança. 

Neste contexto, a União Europeia (UE) introduziu uma nova Diretiva relativa às redes e aos sistemas de informação, denominada NIS2. Esta diretiva representa uma importante revisão das normas de cibersegurança em todo o território europeu, com o objetivo de reforçar as defesas contra as ameaças em constante evolução da era digital. 

A diretiva aplica-se a uma gama mais vasta de sectores e classifica as entidades em dois grupos, tendo por base a importância dos seus serviços: 

  • Entidades essenciais: são organizações consideradas essenciais para o funcionamento quotidiano da UE. Incluem sectores como a energia, os transportes, a banca, a água, os cuidados de saúde, a gestão de resíduos e os fornecedores de infraestruturas digitais (computação em nuvem, mercados online, motores de busca). 
  • Entidades importantes: estas organizações prestam normalmente serviços de apoio a entidades críticas. Podem ser fabricantes, distribuidores, empresas de gestão de resíduos em sectores críticos e fornecedores de serviços Internet (ISP).

Os principais objetivos da NIS2 consistem na imposição de medidas de cibersegurança. Estas medidas incluem práticas de gestão do risco, obrigação de comunicar um incidente e avaliações da segurança da cadeia de abastecimento. 

Por outro lado, a diretiva também pretende melhorar a cooperação europeia em matéria de ameaças à cibersegurança. Assim, a diretiva estabelece uma obrigação para as autoridades competentes, autoridades de gestão de crises, pontos de contacto únicos de cibersegurança e equipas de resposta a incidentes de cibersegurança (CSIRT) de cada Estado-Membro, incentivando o intercâmbio de informações entre essas autoridades e a colaboração de todos os intervenientes.

Conformidade NIS2 e fornecedores de serviços 

A diretiva NIS2 classifica a gestão de serviços TIC, que inclui os prestadores de serviços geridos (MSP) e os prestadores de serviços de segurança geridos (MSS), como um sector altamente crítico. Isto significa que os MSP e os MSSP estão sujeitos a requisitos de cibersegurança mais rigorosos ao abrigo da Diretiva NIS2. 

Isto significa que devem aplicar medidas técnicas, operacionais e organizacionais adequadas para gerir os riscos de cibersegurança, abrangendo a prevenção de incidentes, a minimização do impacto e a comunicação às autoridades. Mantendo o foco e a atenção na segurança das cadeias de abastecimento, as organizações classificadas como críticas, que dependem de MSPs e de MSSPs, podem ser obrigadas a avaliar as práticas de cibersegurança dos seus fornecedores como parte da gestão do risco dos fornecedores.

Medidas de base em matéria de cibersegurança

As entidades críticas e importantes de vários sectores são obrigadas a cumprir um conjunto de medidas de cibersegurança que se centram numa abordagem de gestão dos riscos e exigem que as organizações efetuem avaliações regulares dos riscos, apliquem salvaguardas técnicas e organizacionais, como firewalls e controlos de acesso, e estabeleçam procedimentos para detetar, comunicar e responder a incidentes de segurança. 

Estas medidas devem ser adaptadas aos riscos específicos da rede e dos sistemas de informação da entidade. Isto inclui medidas para prevenir incidentes, minimizar o seu impacto nos destinatários dos serviços e noutros serviços e, em última análise, manter um nível de segurança que esteja alinhado com os riscos potenciais.

Para determinar as medidas adequadas, devem ser tidos em conta fatores como a evolução tecnológica, as normas de segurança europeias e internacionais pertinentes e os custos de aplicação. Além disso, a proporcionalidade dessas medidas deve ser avaliada em função da dimensão da instituição, da probabilidade e gravidade dos potenciais incidentes (incluindo os impactos sociais e económicos) e da exposição global da instituição às ciberameaças.

Como cumprir a diretiva NIS2

É possível simplificar e facilitar a conformidade com a diretiva através da utilização de tecnologias de ponta, embora isto seja mais fácil na teoria do que na prática, que implica o cumprimento dos requisitos rigorosos dos regulamentos. 

No entanto, a tendência para a consolidação de tecnologias é uma fórmula que está a ganhar força entre os MSP, uma vez que os ajuda a simplificar os relatórios, a detetar ameaças e a manter a postura geral de segurança, disponibilizando a visibilidade, o controlo e a escalabilidade necessários para executar a NIS2. Isto facilita muito a conformidade regulamentar.

Por conseguinte, dispor de uma plataforma única para implementar e gerir um conjunto de funções de segurança e poder intervir remotamente em qualquer altura para gerir estes diferentes serviços, permitirá aos MSP serem mais eficientes na proteção dos seus clientes, enquanto asseguram a conformidade regulamentar.

António Correia é Area Sales Manager da WatchGuard Portugal

Opinião