ANSSI Agência Nacional de Cibersegurança Francesa.

A ANSSI é a agência nacional de cibersegurança francesa, sob tutela do Primeiro-Ministro desde 2009. É a autoridade nacional em matéria de política de cibersegurança em França, qualifica produtos e prestadores de serviços, publica o EBIOS Risk Manager e atua como autoridade competente para a transposição do NIS 2. As suas qualificações (SecNumCloud, PVID, PASSI) são o padrão de referência no setor público francês.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyStandards bodiesAll entries

A perspetiva da Cyber Academy

A ANSSI é a agência nacional de cibersegurança francesa, sob tutela do Primeiro-Ministro desde 2009. É a autoridade nacional em matéria de política de cibersegurança em França, qualifica produtos e prestadores de serviços, publica o EBIOS Risk Manager e atua como autoridade competente para a transposição do NIS 2. As suas qualificações (SecNumCloud, PVID, PASSI) são o padrão de referência no setor público francês.

A ANSSI e a autoridade nacional francesa em materia de ciberseguranca. O seu nome completo e Agence nationale de la securite des systemes d'information.

O que a ANSSI faz

Onde se situa

A ANSSI esta subordinada ao Secretariat-General for National Defence and Security. Esse orgao situa-se sob a alcada do Primeiro-Ministro.

Isso mantem a ANSSI separada dos servicos de informacoes e das forcas de seguranca. A agencia e defensiva por concecao.

Essa separacao importa na pratica. As organizacoes podem partilhar livremente os detalhes de um incidente com a ANSSI. Nao precisam de recear que a mesma agencia conduza operacoes ofensivas ou acoes judiciais.

As suas principais funcoes

O seu ambito e amplo. A ANSSI faz varias coisas ao mesmo tempo:

  • Define a politica e a doutrina nacionais de ciberseguranca.
  • Opera o CERT-FR para a resposta a incidentes e a informacao sobre ameacas.
  • Supervisiona os operadores de importancia vital e as entidades essenciais.
  • Publica guias e metodos usados como referencia em toda a Franca.

A ANSSI tambem mantem o EBIOS Risk Manager. E o metodo de analise de riscos que muitas organizacoes francesas utilizam. Ajuda-as a construir os cenarios de ameaca subjacentes ao seu programa de seguranca. E a ANSSI que o mantem, e nao um organismo de normalizacao privado.

Qualificacoes e vistos

A maioria dos profissionais aborda primeiro o esquema de qualificacao. A ANSSI faz mais do que escrever regras.

Avalia produtos e prestadores de servicos face a requisitos publicados. Em seguida concede uma qualificacao ou um visto de seguranca.

Estes rotulos tem um peso real. O setor publico e os operadores regulados exigem-nos muitas vezes por politica interna.

Os principais rotulos

  • SecNumCloud qualifica os prestadores de servicos cloud. Assenta numa base exigente de seguranca e soberania. E cada vez mais citado como o patamar para as cargas de trabalho sensiveis do setor publico.
  • PASSI qualifica os prestadores de auditoria de seguranca. Abrange os testes de intrusao, a revisao de configuracao e a auditoria de arquitetura. O comprador sabe assim que o auditor cumpriu um padrao comum.
  • PVID abrange os prestadores de verificacao de identidade a distancia. Operam fluxos de adesao que devem resistir a deepfakes e a fraude documental.

A ANSSI face a ENISA e a NIS 2

A ANSSI nao e a ENISA

Confunde-se frequentemente a ANSSI com a ENISA. Situam-se em niveis diferentes.

  • A ANSSI e a autoridade nacional de um unico Estado-Membro, a Franca.
  • A ENISA e a agencia da UE que apoia todos os Estados-Membros. Gere o quadro europeu de certificacao da ciberseguranca.

As duas cooperam. Ainda assim, e a ANSSI que supervisiona as entidades francesas. Pode atuar como autoridade competente quando as regras da UE se tornam direito frances.

O cenario da NIS 2

A NIS 2 e o exemplo mais claro. A diretiva e europeia. Mesmo assim, tem de ser transposta e aplicada a nivel nacional.

Em Franca, a ANSSI e a autoridade competente para a NIS 2. Faz tres coisas:

  • Define que entidades estao abrangidas pelo ambito de aplicacao.
  • Estabelece as expectativas em materia de gestao de riscos e de notificacao de incidentes.
  • Fiscaliza a conformidade.

Assim, uma entidade essencial ou importante francesa pergunta-se a quem notificar apos um incidente significativo. A resposta passa pela ANSSI e pelo CERT-FR. Nao vai diretamente para Bruxelas.

Frequently asked questions

01A ANSSI e o mesmo que a ENISA?

Nao. A ANSSI e a autoridade nacional de ciberseguranca da Franca, enquanto a ENISA e a agencia da Uniao Europeia que apoia todos os Estados-Membros. A ANSSI supervisiona as entidades francesas e atua como autoridade competente a nivel nacional; a ENISA opera a nivel da UE, incluindo o quadro europeu de certificacao.

02A ANSSI investiga ou processa os ciberataques?

A ANSSI e uma autoridade defensiva centrada na protecao, na orientacao e na resposta a incidentes atraves do CERT-FR. Esta deliberadamente separada dos organismos de informacoes e judiciais, pelo que a acao penal e tratada por outras autoridades e nao pela propria ANSSI.

03O que sao SecNumCloud, PASSI e PVID?

Sao qualificacoes da ANSSI. O SecNumCloud abrange os prestadores de servicos de nuvem, o PASSI abrange os prestadores de auditoria de seguranca e o PVID abrange os prestadores de verificacao de identidade a distancia. Cada uma sinaliza que o prestador foi avaliado face aos requisitos da ANSSI, e sao frequentemente exigidas na contratacao do setor publico frances.

04Que papel desempenha a ANSSI na NIS 2?

A NIS 2 e uma diretiva da UE que cada pais transpoe para o seu direito nacional. Em Franca, a ANSSI e posicionada como a autoridade competente: ajuda a definir quais entidades estao no ambito e supervisiona as suas obrigacoes de gestao de riscos e de notificacao de incidentes, com o CERT-FR como ponto de contacto operacional.

05Quem mantem o metodo EBIOS Risk Manager?

O EBIOS Risk Manager e publicado e mantido pela ANSSI. E o metodo de analise de riscos amplamente utilizado no setor publico frances e pelos operadores de importancia vital para construir os cenarios de ataque que orientam os seus controlos de seguranca.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.