Preços
Teste

Requisitos do NIS2 | Lista de verificação

A Diretiva Segurança das Redes e da Informação 2 (NIS2) é uma diretiva da UE relativa à cibersegurança das redes e dos sistemas de informação.

Requisitos do NIS2 | Lista de verificação

A Diretiva Segurança das Redes e da Informação 2 (NIS2) é uma diretiva da UE relativa à cibersegurança das redes e dos sistemas de informação. As organizações classificadas como essenciais ou importantes na Diretiva SRI2 devem cumprir as suas regras.

Quem deve cumprir a NIS2?

As organizações classificadas como essenciais ou importantes são basicamente as organizações que fornecem serviços ou produtos dos quais depende o bom funcionamento da sociedade. Pode tratar-se de organizações de sectores como os transportes, o abastecimento de água, o abastecimento de energia, a gestão de resíduos, etc.

Regra geral, apenas as organizações classificadas como essenciais ou importantes, com pelo menos 50 trabalhadores ou com um volume de negócios ou balanço anual superior a 10 milhões de euros, estão sujeitas ao NIS2. As organizações mais pequenas também podem ser abrangidas pelo NIS2 se tiverem uma importância especial para a sociedade ou para a economia, por exemplo, se forem o único fornecedor de um serviço crítico.

Gestão do risco

O n.º 1 do artigo 21.º da NIS2 exige que adopte uma abordagem baseada no risco e que aplique as medidas de segurança necessárias para proteger os seus serviços importantes em função do risco que correm. Por conseguinte, são as circunstâncias específicas da tua organização que determinam as medidas de segurança que deves aplicar.

A gestão do risco torna-se, assim, a base da conformidade com a NIS2, devendo desenvolver e implementar uma metodologia de avaliação do risco adequada à sua organização. Independentemente da tua avaliação de riscos, tens de implementar os requisitos mínimos.

Requisitos mínimos do NIS2

O n.º 2 do artigo 21.º da NIS2 contém um conjunto de requisitos mínimos que todas as organizações devem respeitar, independentemente da sua avaliação dos riscos. Segue-se uma breve introdução a estes requisitos mínimos.

Política de Gestão de Riscos e Segurança da Informação

A tua organização deve ter uma política clara e baseada no risco para a segurança da informação. Esta política estabelece o enquadramento para a forma como gere a segurança e garante que as suas medidas são adequadas aos seus riscos, objectivos comerciais e obrigações legais.

Lê o guia NIS2: Gestão do risco e política de segurança da informação.

Tratamento de incidentes

Tens de ser capaz de detetar, comunicar e responder a incidentes. Isto significa ter procedimentos claros para identificar incidentes, analisar o seu impacto, restabelecer as operações e aprender com o que aconteceu para evitar problemas semelhantes no futuro.

Lê o guia NIS2: Tratamento de incidentes.

Continuidade do negócio

A NIS2 exige que te prepares para as perturbações. O planeamento da continuidade do negócio garante que as suas operações críticas podem continuar durante uma crise e que os sistemas e serviços podem ser restaurados de forma controlada e atempada.

Lê o guia NIS2: Continuidade do Negócio.

Segurança da cadeia de abastecimento

Os teus fornecedores e prestadores de serviços podem ser um elo fraco se não forem geridos corretamente. Tens de avaliar os riscos na tua cadeia de abastecimento, definir requisitos de segurança claros nos contratos e garantir que os fornecedores cooperam contigo em caso de incidentes.

Lê o guia NIS2: Segurança da cadeia de abastecimento.

Aquisição, desenvolvimento e manutenção

A segurança deve ser integrada nos teus sistemas e serviços de TI ao longo do seu ciclo de vida – desde a aquisição e desenvolvimento até à operação diária e eventual eliminação. Isto inclui a aplicação de patches, a configuração segura e a aplicação das melhores práticas, como a Security by Design.

Lê o guia NIS2: Aquisição, desenvolvimento e manutenção.

Eficácia das medidas

Não basta ter medidas de segurança em vigor – elas também têm de funcionar. Deves testar e avaliar regularmente a eficácia das tuas medidas, incluindo através de testes técnicos, revisões e auditorias, e melhorá-las quando forem encontrados pontos fracos.

Lê o guia NIS2: Eficácia das medidas.

Formação em ciber-higiene e ciber-segurança

As práticas básicas de segurança – como aplicação de patches, cópias de segurança, proteção contra malware e autenticação forte – devem fazer parte das suas operações diárias. Os teus funcionários também precisam de formação regular para compreenderem os riscos, seguirem as melhores práticas e saberem como agir em caso de incidentes.

Lê o guia NIS2: Formação em ciber-higiene e ciber-segurança.

Criptografia

A tua organização tem de proteger a confidencialidade, a integridade e a autenticidade dos dados com medidas criptográficas fortes. Isto significa definir regras claras sobre normas de encriptação, gestão de chaves e utilização segura da criptografia, de acordo com as avaliações de risco e a classificação de activos.

Lê o guia NIS2: NIS2 e Criptografia.

Segurança dos Recursos Humanos, Controlo de Acessos e Gestão de Activos

As pessoas, o acesso e os activos estão no centro da segurança. Os teus funcionários têm de compreender as suas responsabilidades, o acesso tem de ser controlado e revisto e os teus activos têm de ser classificados, acompanhados e protegidos ao longo do seu ciclo de vida.

Lê o guia NIS2: Segurança dos Recursos Humanos, Controlo de Acessos e Gestão de Activos.

Autenticação multi-fator e sistemas de comunicação de emergência

Para reduzir o risco de acesso não autorizado, tens de proteger os sistemas e dados críticos com autenticação multifactor. Deves também garantir uma comunicação fiável em todos os momentos, incluindo em situações de emergência, com confidencialidade, integridade e disponibilidade preservadas.

Lê o guia NIS2: Autenticação multi-fator e sistemas de comunicação de emergência.

Governação da cibersegurança NIS2

Historicamente, as medidas de cibersegurança têm sido negligenciadas pela gestão de topo e deixadas ao cuidado do pessoal de TI.

O n.º 1 do artigo 20.º da NIS2 altera esta situação, exigindo que a direção de topo aprove as medidas de gestão dos riscos de cibersegurança tomadas pela organização. A direção de topo deve garantir que essas medidas são suficientes e eficazes para reduzir os riscos para um nível aceitável. Deve também supervisionar a aplicação dessas medidas e pode ser responsabilizada em caso de incumprimento.

Lê o guia NIS2: Governação da Cibersegurança NIS2.

Formação em gestão NIS2

A NIS2 vai mais longe no n.º 2 do artigo 20.º, que exige que os gestores de topo recebam formação em cibersegurança. Esta formação deve dar-lhes as competências necessárias para identificar os riscos, avaliar as práticas de gestão dos riscos de cibersegurança e compreender o seu impacto nos serviços críticos.

Lê o guia NIS2: Formação em gestão NIS2.

Obrigações de comunicação

A tua organização deve comunicar os incidentes que tenham um impacto significativo na prestação dos seus serviços críticos à CSIRT nacional, e o mais rapidamente possível. Inicialmente, pode ser feito um alerta precoce no prazo de 24 horas e, no prazo de 72 horas, deve ser comunicada uma avaliação inicial. O relatório final do incidente deve ser entregue à CSIRT no prazo de um mês após a ocorrência do incidente.

A organização deve também notificar os destinatários deste serviço da forma como o incidente pode afetar o fornecimento do serviço e das medidas ou soluções que podem tomar em resposta ao incidente.

Sanções e responsabilidade

Por último, é importante seguir os requisitos da NIS2, uma vez que se trata de uma lei. No entanto, deves também saber que os gestores de topo podem ser responsabilizados pessoalmente pelo não cumprimento da NIS2. A tua organização pode ser multada em até 10 milhões de euros ou 2% do volume de negócios mundial para organizações essenciais, e em até 7 milhões de euros ou 1,4% do volume de negócios mundial para organizações importantes.

Para cumprires a NIS2, terás uma grande ajuda nos guias referidos neste artigo.

Teste RGPD

Vê se conheces bem o RGPD.

  • Vais responder a 13 perguntas sobre o RGPD.
  • Demora apenas 1-2 minutos.
  • Normalmente, os especialistas respondem corretamente a todas as 13 perguntas.
Iniciar o teste

Teste gratuito

Entraremos em contacto contigo por e-mail o mais rapidamente possível.