Formação

A NIS2 é a segunda versão da diretiva da UE relativa à segurança das redes e da informação. Trata-se de uma lei que estabelece regras sobre a forma como as organizações de sectores-chave devem proteger os seus sistemas e dados digitais. O seu objetivo é melhorar a cibersegurança em toda a UE, garantindo que os serviços “essenciais” e “importantes” – como a energia, os transportes, os cuidados de saúde, a banca e os serviços digitais – tomam medidas claras para prevenir incidentes cibernéticos, detectá-los rapidamente e recuperá-los eficazmente.

O NIS2 aplica-se a médias e grandes empresas de sectores “essenciais” e “importantes”, basicamente o que se caracteriza como infra-estruturas críticas.

Também se aplica a algumas organizações mais pequenas se estas prestarem serviços críticos ou fizerem parte da cadeia de abastecimento dos sectores anteriormente mencionados. Se a tua organização trabalha nos sectores da energia, dos cuidados de saúde, das infra-estruturas digitais, da água, da banca ou em muitos outros sectores semelhantes, é provável que estejas abrangido.

Descobre todos os sectores abrangidos pelo NIS2 neste artigo.

Os requisitos mínimos do NIS2 são os seguintes:

• Políticas de análise de risco e de segurança dos sistemas de informação.
• Procedimentos de tratamento de incidentes.
• Planeamento da continuidade das actividades, incluindo:
  • Gestão de cópias de segurança
  • Recuperação de desastres
  • Gestão de crises
• Segurança da cadeia de abastecimento, abrangendo as relações com fornecedores diretos e prestadores de serviços.
• Segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, incluindo o tratamento e a divulgação de vulnerabilidades.
• Políticas e procedimentos para avaliar a eficácia da gestão do risco de cibersegurança.
• Práticas básicas de higiene cibernética e formação regular em cibersegurança
• Políticas e procedimentos para a utilização da criptografia e da cifragem.
• Segurança dos recursos humanos, políticas de controlo de acesso e gestão de activos.
• Utiliza ferramentas de autenticação e comunicação seguras, sempre que adequado, tais como:
  • Autenticação multi-fator ou contínua.
  • Comunicação segura de voz, vídeo e texto.
  • Protege os sistemas de comunicação de emergência.

Medidas de gestão do risco

Todas as organizações devem adotar uma abordagem estruturada do risco de cibersegurança. Isto inclui a identificação de possíveis ameaças, a proteção dos sistemas, a deteção precoce de problemas e a preparação para responder e recuperar. Estas medidas devem incluir os requisitos mínimos acima referidos e abranger medidas de segurança técnicas e organizacionais.

Responsabilidade da liderança

Os gestores de topo são diretamente responsáveis pela cibersegurança e são responsabilizados pelas autoridades por falhas graves. Devem aprovar estratégias de segurança, certificar-se de que as medidas corretas são aplicadas e manter-se informados através de formação regular.

Comunicação de incidentes

As organizações devem comunicar os incidentes de segurança significativos à autoridade nacional de cibersegurança (CSIRT).

A NIS2 exige que todo o pessoal relevante, incluindo os dirigentes, receba regularmente formação básica em cibersegurança (também designada por “ciber-higiene”).

Para os dirigentes, a formação é obrigatória. Os membros do órgão de administração devem concluir cursos relevantes sobre a gestão dos riscos de cibersegurança e devem promover a formação em toda a organização.

Não existem regras rigorosas quanto ao formato ou ao conteúdo, mas a formação deve corresponder ao papel dos dirigentes na avaliação dos riscos e na supervisão das medidas de cibersegurança. A equipa de gestão, no seu conjunto, deve possuir as competências necessárias para assumir as responsabilidades em matéria de cibersegurança no âmbito da NIS2.

A formação pertinente pode incluir cursos gerais de cibersegurança, workshops de gestão, certificações em normas reconhecidas ou formação interna destinada à liderança.

Todas as actividades de formação devem ser documentadas, por exemplo, através de um certificado ou de uma prova escrita de participação.

A NIS2 exige que o pessoal receba formação em cibersegurança adequada às suas funções e responsabilidades. Todas as organizações devem ter uma política clara para garantir que os funcionários adquirem os conhecimentos e as competências corretas para proteger os sistemas e lidar com as ameaças digitais.

A liderança desempenha um papel central neste domínio. Deve encorajar ativamente o pessoal a receber formação semelhante à que a direção recebe. Isto reforça o facto de que a sensibilização do pessoal e a criação de hábitos de segurança é uma responsabilidade da liderança.

A formação deve ser prática e fácil de aplicar, e deve abranger temas como detetar phishing, tratar os dados de forma segura, utilizar corretamente as palavras-passe e saber o que fazer em caso de incidente. Pode ser ministrada através de e-learning, workshops ou sessões internas.

A tónica deve ser colocada na criação de uma cultura em que a aprendizagem e a sensibilização sejam contínuas. Todas as actividades de formação devem ser planeadas, registadas e acompanhadas para garantir a sua eficácia.

Porque mesmo com uma tecnologia forte, o erro humano continua a ser um dos maiores riscos. A formação ajuda o pessoal a detetar ameaças atempadamente e a agir de forma responsável. Para a liderança, trata-se de responsabilidade. A formação mostra aos reguladores que a empresa leva a sério a segurança e está a tomar medidas reais para reduzir os riscos.

• Identifica se a organização está abrangida pelo âmbito de aplicação.
• Nomeia uma pessoa ou equipa responsável pela cibersegurança.
• Revê as políticas e os procedimentos actuais.
• Preenche todas as lacunas de segurança.
• Cria ou melhora os planos de comunicação e resposta a incidentes.
• Inicia uma formação regular sobre cibersegurança.
• Documenta tudo para demonstrar a conformidade.
• Consulta a tua autoridade nacional de cibersegurança para obteres orientações locais.

A NIS2 e o GDPR são leis diferentes da UE, mas sobrepõem-se, o que significa que o teu trabalho numa pode apoiar a outra. Ambas exigem uma forte segurança dos dados pessoais e dos sistemas, e ambas exigem uma abordagem baseada no risco.

Por exemplo, na sua conformidade com o RGPD, mapeou os fluxos de dados pessoais e os activos utilizados para processar os dados, que pode reutilizar para mapear os activos e processos digitais para o NIS2.

Do mesmo modo, as suas avaliações de risco para a proteção de dados pessoais também alimentam as avaliações de risco de cibersegurança para a prestação de serviços críticos, e o seu plano de resposta a incidentes ao abrigo do RGPD pode constituir a base para o requisito NIS2 de detetar, comunicar e responder a incidentes de segurança.

É quase impossível estar em conformidade com o RGPD sem que o pessoal receba formação sobre proteção de dados e segurança da informação e, por isso, já abrange as noções básicas de segurança, como o controlo de acesso e a formação de sensibilização para o phishing. Isto pode ser expandido para cumprir os requisitos NIS2 com pouco esforço extra. As políticas relativas a controlos de acesso, encriptação e canais de comunicação seguros também apoiam ambas as leis.

Os teus esforços de conformidade com o RGPD e o NIS2 devem definitivamente ser alinhados para evitar duplicações e reduzir custos.