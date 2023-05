O Conselho da União Europeia adotou a Diretiva NIS2 para reforçar a resiliência em cibersegurança face à evolução das ciberameaças. Paralelamente a esta iniciativa, a UE adotou também o Regulamento da Resiliência Operacional Digital (DORA), que visa consolidar e harmonizar o quadro regulamentar existente para a resiliência operacional digital no setor financeiro. Tanto a NIS2, como o DORA, fazem parte de um esforço mais complexo para melhorar a postura da UE em matéria de cibersegurança, incluindo a introdução do Cyber Resilience Act (CRA) e, de forma semelhante, no Reino Unido, o Telecoms Security Act (TSA).

A Diretiva NIS2 alarga o seu âmbito, estabelece medidas de segurança harmonizadas e requisitos de comunicação de incidentes e promove a cooperação entre os Estados-Membros na partilha de informações sobre ameaças e melhores práticas.

O DORA centra-se no setor financeiro, garantindo que as entidades financeiras dispõem de medidas sólidas de cibersegurança para manter a resiliência operacional. Introduz um conjunto de regras normalizadas para a gestão do risco das TIC, a comunicação de incidentes no domínio das TIC, os testes de resiliência operacional digital e a supervisão dos prestadores de serviços críticos de TIC a terceiros. Ao integrar os requisitos do DORA, a UE pretende criar um ambiente digital mais abrangente e resiliente em vários setores.

A Diretiva NIS2 abrange novos setores, como os prestadores de infraestruturas digitais, e introduz as classificações de entidades "essenciais" e "importantes". As entidades devem apresentar um relatório de alerta precoce no prazo de 24 horas após terem tido conhecimento de um incidente, seguido de uma avaliação inicial no prazo de 72 horas e de um relatório final no prazo de um mês. O incumprimento pode resultar em coimas até 10 milhões de euros ou 2% das receitas globais anuais, consoante o valor mais elevado.

Os principais aspetos da Diretiva NIS2 e do DORA incluem a avaliação contínua dos riscos e das vulnerabilidades, a atenuação proativa dos riscos, a gestão eficaz das crises e a partilha rápida de informações. As diretivas adotam uma abordagem holística, abrangendo a proteção contra vários eventos e incluindo características como a análise de riscos, a prevenção, deteção e resposta a incidentes, a continuidade das atividades e a gestão de crises, a segurança de terceiros/cadeia de abastecimento e a segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação.

A Diretiva NIS2 e o DORA reforçam a importância da partilha de informações sobre ciberameaças, incidentes, vulnerabilidades e técnicas de segurança. As organizações devem considerar a incorporação de recomendações das discussões em torno do Cybersecurity Framework (CSF) 2.0 e aderir a normas de segurança de informação bem estabelecidas, como a ISO 27001. A automatização dos processos de gestão dos riscos de cibersegurança utilizando uma estrutura como o PolicyOps pode ajudar a manter uma postura de segurança sólida e demonstrar a conformidade com os requisitos regulamentares, incluindo a NIS2 e o DORA.

A preparação para ser compliance da Diretiva NIS2 e o DORA é uma oportunidade para fortalecer a resiliência de cibersegurança das organizações. As empresas devem avaliar e abordar proativamente as suas necessidades de cibersegurança para gerir efetivamente os riscos, cumprir requisitos rigorosos de apresentação de relatórios e manter uma infraestrutura de rede resiliente aproveitando tecnologias tais como a SD-WAN e Universal Zero Trust Network Access (ZTNA). Uma arquitetura de segurança integrada, como a Fortinet Security Fabric, fornece proteção sofisticada contra ameaças, visibilidade em todo o património, inteligência artificial (IA) orientada para ameaças e operações otimizadas de rede e segurança para simplificar os processos de conformidade em toda a UE, incluindo o setor financeiro regido pelo DORA.

Ricardo Ferreira, EMEA Field CISO, Fortinet