A perspetiva da Cyber Academy
A ANSSI é a agência nacional de cibersegurança francesa, sob tutela do Primeiro-Ministro desde 2009. É a autoridade nacional em matéria de política de cibersegurança em França, qualifica produtos e prestadores de serviços, publica o EBIOS Risk Manager e atua como autoridade competente para a transposição do NIS 2. As suas qualificações (SecNumCloud, PVID, PASSI) são o padrão de referência no setor público francês.
A ANSSI e a autoridade nacional francesa em materia de ciberseguranca. O seu nome completo e Agence nationale de la securite des systemes d'information.
O que a ANSSI faz
Onde se situa
A ANSSI esta subordinada ao Secretariat-General for National Defence and Security. Esse orgao situa-se sob a alcada do Primeiro-Ministro.
Isso mantem a ANSSI separada dos servicos de informacoes e das forcas de seguranca. A agencia e defensiva por concecao.
Essa separacao importa na pratica. As organizacoes podem partilhar livremente os detalhes de um incidente com a ANSSI. Nao precisam de recear que a mesma agencia conduza operacoes ofensivas ou acoes judiciais.
As suas principais funcoes
O seu ambito e amplo. A ANSSI faz varias coisas ao mesmo tempo:
- Define a politica e a doutrina nacionais de ciberseguranca.
- Opera o CERT-FR para a resposta a incidentes e a informacao sobre ameacas.
- Supervisiona os operadores de importancia vital e as entidades essenciais.
- Publica guias e metodos usados como referencia em toda a Franca.
A ANSSI tambem mantem o EBIOS Risk Manager. E o metodo de analise de riscos que muitas organizacoes francesas utilizam. Ajuda-as a construir os cenarios de ameaca subjacentes ao seu programa de seguranca. E a ANSSI que o mantem, e nao um organismo de normalizacao privado.
Qualificacoes e vistos
A maioria dos profissionais aborda primeiro o esquema de qualificacao. A ANSSI faz mais do que escrever regras.
Avalia produtos e prestadores de servicos face a requisitos publicados. Em seguida concede uma qualificacao ou um visto de seguranca.
Estes rotulos tem um peso real. O setor publico e os operadores regulados exigem-nos muitas vezes por politica interna.
Os principais rotulos
- SecNumCloud qualifica os prestadores de servicos cloud. Assenta numa base exigente de seguranca e soberania. E cada vez mais citado como o patamar para as cargas de trabalho sensiveis do setor publico.
- PASSI qualifica os prestadores de auditoria de seguranca. Abrange os testes de intrusao, a revisao de configuracao e a auditoria de arquitetura. O comprador sabe assim que o auditor cumpriu um padrao comum.
- PVID abrange os prestadores de verificacao de identidade a distancia. Operam fluxos de adesao que devem resistir a deepfakes e a fraude documental.
A ANSSI face a ENISA e a NIS 2
A ANSSI nao e a ENISA
Confunde-se frequentemente a ANSSI com a ENISA. Situam-se em niveis diferentes.
- A ANSSI e a autoridade nacional de um unico Estado-Membro, a Franca.
- A ENISA e a agencia da UE que apoia todos os Estados-Membros. Gere o quadro europeu de certificacao da ciberseguranca.
As duas cooperam. Ainda assim, e a ANSSI que supervisiona as entidades francesas. Pode atuar como autoridade competente quando as regras da UE se tornam direito frances.
O cenario da NIS 2
A NIS 2 e o exemplo mais claro. A diretiva e europeia. Mesmo assim, tem de ser transposta e aplicada a nivel nacional.
Em Franca, a ANSSI e a autoridade competente para a NIS 2. Faz tres coisas:
- Define que entidades estao abrangidas pelo ambito de aplicacao.
- Estabelece as expectativas em materia de gestao de riscos e de notificacao de incidentes.
- Fiscaliza a conformidade.
Assim, uma entidade essencial ou importante francesa pergunta-se a quem notificar apos um incidente significativo. A resposta passa pela ANSSI e pelo CERT-FR. Nao vai diretamente para Bruxelas.
Frequently asked questions
01A ANSSI e o mesmo que a ENISA?
Nao. A ANSSI e a autoridade nacional de ciberseguranca da Franca, enquanto a ENISA e a agencia da Uniao Europeia que apoia todos os Estados-Membros. A ANSSI supervisiona as entidades francesas e atua como autoridade competente a nivel nacional; a ENISA opera a nivel da UE, incluindo o quadro europeu de certificacao.
02A ANSSI investiga ou processa os ciberataques?
A ANSSI e uma autoridade defensiva centrada na protecao, na orientacao e na resposta a incidentes atraves do CERT-FR. Esta deliberadamente separada dos organismos de informacoes e judiciais, pelo que a acao penal e tratada por outras autoridades e nao pela propria ANSSI.
03O que sao SecNumCloud, PASSI e PVID?
Sao qualificacoes da ANSSI. O SecNumCloud abrange os prestadores de servicos de nuvem, o PASSI abrange os prestadores de auditoria de seguranca e o PVID abrange os prestadores de verificacao de identidade a distancia. Cada uma sinaliza que o prestador foi avaliado face aos requisitos da ANSSI, e sao frequentemente exigidas na contratacao do setor publico frances.
04Que papel desempenha a ANSSI na NIS 2?
A NIS 2 e uma diretiva da UE que cada pais transpoe para o seu direito nacional. Em Franca, a ANSSI e posicionada como a autoridade competente: ajuda a definir quais entidades estao no ambito e supervisiona as suas obrigacoes de gestao de riscos e de notificacao de incidentes, com o CERT-FR como ponto de contacto operacional.
05Quem mantem o metodo EBIOS Risk Manager?
O EBIOS Risk Manager e publicado e mantido pela ANSSI. E o metodo de analise de riscos amplamente utilizado no setor publico frances e pelos operadores de importancia vital para construir os cenarios de ataque que orientam os seus controlos de seguranca.