Os riscos relacionados com a cibersegurança estão a aumentar (o phishing continua a ser a ameaça mais comum : com cerca de 562,4 milhões de e-mails de phishing registados, torna-se necessário reforçar as normas relacionadas com a segurança. Dentro das organizações, a segurança deve ser reforçada tanto a nível técnico como organizacional. Nesta perspetiva, a Diretiva NIS, ou Diretiva relativa às redes e aos sistemas de informação, constituiu um marco importante nos esforços da União Europeia nos últimos anos para reforçar a cibersegurança e a resiliência das infraestruturas críticas. Cabe agora à NIS2 revolucionar as normas de cibersegurança da UE.
A primeira versão desta diretiva, vulgarmente designada por NIS1, foi adotada em 2016 e entrou em vigor em maio de 2018. O seu principal objetivo era estabelecer um quadro jurídico comum para a segurança das redes e dos sistemas de informação na União Europeia.
Esta diretiva foi elaborada no contexto da crescente ameaça de ataques cibernéticos e crimes cibernéticos. Estes podem ter consequências graves para a segurança nacional, a economia e os serviços públicos. Reconhecendo a importância crítica das infraestruturas essenciais, a diretiva visava criar um ambiente seguro e resiliente para as redes e os sistemas de informação na UE.
E quanto à sua irmã mais velha, a NIS 2? Quais são as novidades em relação à NIS 1? Quem é que isto diz respeito? Vamos dar uma vista de olhos a tudo isto.
Diretiva NIS2: um pequeno passo para a humanidade, um grande passo para a cibersegurança
A diretiva NIS2, tal como a sua antecessora NIS1, continua a ter como objetivo unificar e consolidar as normas de cibersegurança em toda a União Europeia, com a diferença — e não é pouca — de que, desta vez, irá alargar significativamente o seu âmbito de aplicação.
O principal objetivo do NIS2
O objetivo desta nova versão da diretiva é alargar o seu âmbito de aplicação de modo a incluir novos setores. Recorde-se que a NIS 1 abrangia apenas as entidades designadas como essenciais pelos Estados-Membros, ou seja, os Operadores de Serviços Essenciais, ou «OSE».
Agora que conhecemos a principal alteração da NIS 2 em relação à NIS 1, a questão é: quem é abrangido?
Quem é abrangido pela Diretiva NIS2?
A diretiva NIS2 abrange vários setores críticos, tais como a energia, os transportes, a saúde, os serviços bancários e financeiros, bem como os serviços digitais. Inicialmente, a NIS 1 abrangia 19 setores e, ao alargar o seu âmbito de aplicação, a diretiva NIS2 abrange agora um número maior de empresas. Cerca de 160 000 empresas são abrangidas. Este novo âmbito de aplicação inclui 16 setores adicionais, perfazendo um total de 35. Isto diz respeito a milhares de entidades, com mais de 50 funcionários e que realizam um volume de negócios superior a um milhão de euros.
Principais desafios da diretiva
- Alargamento do âmbito de aplicação. Conforme referido anteriormente, a NIS2 alarga o âmbito de aplicação da diretiva para incluir novos setores e serviços digitais. Trata-se de plataformas online, motores de busca e mercados online, que desempenham um papel cada vez mais crucial na economia digital.
- Reforço das obrigações de segurança.Tal como a sua versão anterior, a NIS2 impõe obrigações de segurança mais rigorosas aos prestadores de serviços digitais e aos operadores de infraestruturas essenciais.
- Reforço da cooperação internacional. Dada a natureza transnacional das ameaças cibernéticas, a NIS2 reforça a cooperação internacional entre os Estados-Membros da UE e com outros parceiros.
- Gestão de incidentes e riscos.A diretiva incluía disposições reforçadas para a gestão de incidentes e riscos, incluindo requisitos mais rigorosos em matéria de notificação de incidentes e de cooperação com as autoridades competentes.
- Foco nas tecnologias emergentes. Dada a rápida evolução das tecnologias, a NIS 2 centrou-se provavelmente na abordagem dos desafios relacionados com a IA, a Internet das Coisas (IoT) e outras inovações tecnológicas.
- Sanções e medidas corretivas. A NIS2 prevê sanções mais severas em caso de incumprimento e define medidas corretivas específicas para garantir a aplicação eficaz das medidas de cibersegurança.
Como cumprir esta exigência?
O que fazer para cumprir esta nova diretiva?
Existem várias formas de cumprir esta nova diretiva, mas é necessário, no mínimo:
- Conhecer o nível de maturidade do seu sistema de informação. É importante recordar que é essencial estar ciente da sua exposição aos riscos. Quanto mais souber sobre o seu sistema, seja ele organizacional ou técnico, mais estará apto a elaborar o plano de ação necessário para colmatar eventuais lacunas.
- Sensibilizar e preparar-se. A sensibilização e a prevenção são os seus dois melhores aliados neste processo de conformidade. Ao implementar medidas organizacionais, como o programa «Antes de Clicar», compromete-se a melhorar a higiene cibernética dos seus colaboradores e, consequentemente, a proteger a sua organização contra ciberataques.
- Adotar as boas práticas. Existem inúmeras boas práticas que podem ser adotadas na sua organização para melhorar a cibersegurança da mesma. Autenticação multifator (AMF), gestores de palavras-passe seguros, utilização de protocolos de encriptação para a troca de dados entre utilizadores e servidores…
- Elaborar um plano de continuidade de atividades (PCA).Para antecipar imprevistos, é altamente recomendável criar um PCA, a fim de minimizar os danos em caso de ciberataque.
Quando é que a NIS2 entrará em vigor em França?
A Diretiva NIS2 foi aprovada pelo Parlamento Europeu a 10 de novembro de 2022 e publicada a 27 de dezembro de 2022. Continua a ser implementada na União Europeia e prevê-se que entre em vigor em França, o mais tardar, em outubro de 2024.
Como é que o «Avant de Cliquer» pode cumprir esta diretiva?
Antes de clicar, sensibilize a sua organização para o phishing. Esta ferramenta SaaS de sensibilização para a cibersegurança permite que a sua organização cumpra esta diretiva.
Recorde-se que o «Antes de clicar» se articula em três fases essenciais:
| Aprendizagem pela prática |
|
| Formação Teórica |
|
| Acompanhamento |
|
Antes de clicar, de acordo com esta diretriz, permite, entre outras coisas:
-
- Sensibilizar os seus utilizadores para a cibersegurança. Também para as diferentes técnicas utilizadas pelos hackers e as boas práticas a adotar para limitar os riscos de intrusão
- Avalie a maturidade dos seus colaboradores em tempo real através de um espaço dedicado
- Desenvolver as competências dos seus utilizadores e torná-los autónomos perante qualquer tipo de situação
- Crie um clima de vigilância cibernética na sua organização.
Faça um mapeamento de riscos já
O Avant de Cliquer oferece-lhe um mapeamento da sua organização. Durante 5 dias, realizamos uma primeira campanha de phishing utilizando entre 50 e 100 modelos de e-mail diferentes, enviando entre 1 e 4 e-mails por utilizador.
O objetivo desta auditoria é avaliar o nível de vigilância dos seus utilizadores, tendo em conta três critérios principais:
- O número de e-mails recebidos;
- A taxa de e-mails abertos;
- A taxa de cliques nos e-mails.
No final desta auditoria, um especialista apresenta-lhe um relatório completo com todos os dados recolhidos ao longo de 5 dias por videoconferência. Este relatório é-lhe entregue juntamente com um infográfico que facilita a apresentação dos resultados a todos os seus colaboradores.
Então, do que está à espera para fazer um mapeamento dos riscos da sua organização?
Diretores de TI, Diretores de Segurança de Sistemas, Responsáveis pela Proteção de Dados: solicitem uma demonstração gratuita da solução totalmente automatizada de sensibilização para o phishing e o QRiching:
