A perspetiva da Cyber Academy
NIS 2 é a diretiva europeia que coloca a responsabilidade de cibersegurança nos conselhos de administração. Se a organização for de média ou grande dimensão e operar num dos 18 setores listados, está em âmbito. O relógio começa no primeiro incidente significativo: alerta precoce em 24 horas, notificação em 72 horas, relatório completo ao fim de um mês. As sanções são pesadas (10 milhões de euros ou 2% do volume de negócios mundial). O estado de transposição varia de país para país.
O que a NIS 2 muda de facto
A NIS 2 é a segunda iteração da Diretiva europeia relativa à segurança das redes e da informação, e alarga consideravelmente o âmbito em relação ao regime NIS original. Onde a primeira diretiva se apoiava nas autoridades nacionais para identificar os operadores de serviços essenciais caso a caso, a NIS 2 estabelece critérios de autoidentificação: se opera num dos setores listados e ultrapassa o limiar de dimensão, está abrangido pelo âmbito de aplicação e espera-se que o saiba. A diretiva classifica as organizações abrangidas em dois níveis, entidades "essenciais" e "importantes", o que afeta sobretudo a forma como a supervisão e a execução são aplicadas, e não as obrigações de base em si.
A mudança principal é a responsabilização. A NIS 2 torna os órgãos de direção responsáveis por aprovar e supervisionar as medidas de gestão dos riscos de cibersegurança, e espera que sigam formação para poderem exercer efetivamente essa supervisão. A segurança deixa de ser algo que o departamento de TI gere discretamente e passa a ser um tema de governação que o conselho de administração tem de aprovar. Essa é a razão prática pela qual a diretiva é tão frequentemente resumida como "responsabilizar os conselhos de administração".
Âmbito de aplicação, setores e o teste de dimensão
O âmbito de aplicação assenta em duas perguntas: opera num setor listado e é suficientemente grande? A diretiva abrange setores divididos entre as categorias de "alta criticidade" e "outros setores críticos", abrangendo energia, transportes, banca, saúde, água, infraestrutura digital, administração pública, serviços postais, fabrico de determinados produtos, alimentação e mais. O teste de dimensão abrange geralmente as organizações médias e grandes, sendo as entidades mais pequenas por vezes incluídas quando o seu papel é crítico independentemente do número de efetivos. Como os Estados-Membros podem designar entidades adicionais, a única abordagem segura é mapear as suas próprias atividades face aos anexos setoriais em vez de presumir que é demasiado pequeno para ter relevância.
O relógio da notificação de incidentes
O que os profissionais sentem de forma mais direta é o calendário de notificação, que entra em vigor perante um incidente significativo. Desenrola-se por fases: um alerta precoce no prazo de 24 horas, uma notificação mais completa no prazo de 72 horas e um relatório final ao fim de um mês, sendo a autoridade competente ou o CSIRT o destinatário. O objetivo do modelo faseado é fazer emergir os incidentes rapidamente sem impor um retrato forense completo logo no primeiro dia. Para o cumprir, precisa de uma deteção que sinalize rapidamente a gravidade, de um responsável de decisão capaz de classificar um incidente e de modelos de notificação previamente elaborados, para que o relógio não o apanhe a escrever do zero.
A sustentar o calendário estão obrigações de gestão de risco que se leem como uma base familiar: tratamento de incidentes, continuidade de negócio e cópias de segurança, segurança da cadeia de abastecimento, desenvolvimento e manutenção seguros, tratamento de vulnerabilidades, utilização de criptografia, controlo de acessos e autenticação multifator, e políticas para testar até que ponto tudo isso funciona. Nada disto é exótico. Uma organização que opera um SGSI maduro, por exemplo alinhado com a ISO 27001, já cobre a maior parte do terreno; o trabalho consiste em mapear os controlos existentes face às expectativas da NIS 2 e em colmatar as lacunas de governação e de notificação.
O que significa, na prática, estar abrangido pelo âmbito de aplicação
Se concluir que está abrangido pelo âmbito de aplicação, o programa prático é bastante consistente: registar-se junto da autoridade nacional competente quando exigido, formalizar a supervisão do risco cibernético ao nível do conselho de administração, documentar as suas medidas de gestão de risco face às rubricas da diretiva, criar um processo de classificação e notificação de incidentes capaz de cumprir as janelas de 24/72 horas e de um mês, e estender a devida diligência à sua cadeia de abastecimento porque os fornecedores fazem explicitamente parte do panorama de risco.
A execução tem dentes, com coimas que atingem dezenas de milhões de euros ou uma percentagem do volume de negócios mundial, além da possibilidade de responsabilização da direção, que é exatamente a razão pela qual a diretiva empurra a responsabilidade para cima.
Frequently asked questions
01Como sei se a minha organização está abrangida pelo âmbito de aplicação da NIS 2?
Verifique duas coisas: se opera num dos setores listados pela diretiva e se cumpre o limiar de dimensão, que geralmente abrange as organizações médias e grandes. Algumas entidades mais pequenas são incluídas quando o seu papel é crítico, e os Estados-Membros podem designar outras, por isso mapeie as suas atividades face aos anexos setoriais em vez de fazer suposições.
02Quais são os prazos de notificação de incidentes da NIS 2?
Para um incidente significativo, o relógio desenrola-se por fases: um alerta precoce no prazo de 24 horas, uma notificação no prazo de 72 horas e um relatório final no prazo de um mês. O destinatário é a autoridade nacional competente ou o CSIRT.
03Qual é a diferença entre NIS 1 e NIS 2?
A NIS 2 alarga o âmbito a mais setores e utiliza critérios de dimensão autoidentificativos em vez de depender principalmente das autoridades nacionais para designar os operadores. Reforça também a notificação de incidentes, a segurança da cadeia de abastecimento e, sobretudo, torna os órgãos de direção diretamente responsáveis pelas medidas de cibersegurança.
04Como se relaciona a NIS 2 com a ISO 27001?
Sobrepõem-se fortemente quanto à substância. Um SGSI alinhado com a ISO 27001 já aborda a maioria das medidas de gestão de risco da NIS 2, como o tratamento de incidentes, a continuidade de negócio, o controlo de acessos e a criptografia. A ISO 27001 é uma norma certificável que se adota voluntariamente, ao passo que a NIS 2 é uma obrigação legal; a tarefa prática consiste em mapear os seus controlos existentes face à diretiva e em preencher as lacunas de notificação e governação.
05Porque é que a NIS 2 fala tanto sobre a responsabilidade da direção?
Porque torna os órgãos de direção responsáveis por aprovar e supervisionar as medidas de gestão dos riscos de cibersegurança, e espera que estejam formados para o fazer. A segurança torna-se um tema de governação ao nível do conselho de administração, e a responsabilização pode recair sobre a liderança, e não apenas sobre a função de TI.