O que é a Diretiva NIS2: uma overview prática para organizações

A Diretiva NIS2 é a versão atualizada do quadro de cibersegurança da União Europeia, concebida para melhorar a resiliência cibernética em setores críticos. Com base na sua antecessora, a Diretiva de Segurança das Redes e da Informação (NIS), a NIS2 amplia consideravelmente o seu escopo para abranger setores como saúde, manufatura, energia, transporte e serviços gerenciados. A NIS2 também introduz requisitos de cibersegurança mais rigorosos, responsabilidade direta da alta liderança e prazos definidos para a notificação de incidentes. As organizações que operam na União Europeia não precisam apenas compreender essas obrigações, mas também implementar medidas de segurança concretas para atender aos requisitos de conformidade.

Principais pontos

• A NIS2 é o framework atualizado de cibersegurança da União Europeia. Ela introduz requisitos mais rigorosos, cobertura de mais setores e maior responsabilidade executiva para as organizações que operam na UE.
• A NIS2 substituiu a diretiva NIS original porque o framework anterior não conseguia acompanhar o ritmo dos ataques de ransomware modernos, dos ataques à cadeia de fornecimento e das ameaças cibernéticas avançadas que visam infraestruturas críticas.
• O NIS2 se aplica principalmente a organizações médias e grandes que atuam em setores abrangidos; no entanto, algumas entidades precisam cumprir independentemente do seu tamanho devido à natureza crítica de seus serviços.
• O Artigo 21 define as sete medidas de segurança fundamentais que as organizações precisam implementar, abrangendo desde a gestão de riscos até a resposta a incidentes e a segurança da cadeia de fornecimento.
• As lacunas mais comuns de conformidade com a NIS2 incluem a aplicação inconsistente de MFA, pouca visibilidade sobre fornecedores e um Gerenciamento de Acesso Privilegiado (PAM) deficiente.
• As consequências do não cumprimento podem incluir multas de até € 10.000.000 ou 2% do faturamento anual global (o que for maior) para entidades essenciais, além de obrigações de notificação obrigatória dentro de 24 horas, 72 horas e um mês após um incidente significativo.

Por que a NIS2 substituiu a diretiva NIS original

A diretiva NIS original abrangia principalmente infraestruturas críticas tradicionais e focava na segurança de perímetro. Ela carecia de obrigações claras de notificação e foi implementada de forma inconsistente nos estados-membros da UE, o que limitou sua eficácia. A NIS2 amplia a cobertura para os setores definidos nos Anexos I e II, introduz prazos mais rigorosos para a notificação de incidentes e aumenta a responsabilidade da alta gestão, incluindo responsabilidade pessoal em algumas implementações nacionais dos estados-membros. Essa mudança representa uma transição de requisitos mínimos de segurança para uma abordagem mais proativa à resiliência cibernética.

Quem é obrigado a cumprir a NIS2?

A NIS2 classifica as organizações em dois grupos principais: entidades essenciais e entidades importantes. Ambas precisam cumprir as obrigações de cibersegurança e notificação da NIS2, embora as entidades essenciais estejam sujeitas a uma supervisão mais rigorosa e, potencialmente, a penalidades mais severas.

Em geral, a NIS2 se aplica a organizações de médio e grande porte que atuam nos setores abrangidos pela diretiva. De acordo com a definição da UE, as médias empresas são aquelas com 50 ou mais funcionários e faturamento anual superior a € 10.000.000 — ambos os critérios são considerados em conjunto, e não como alternativas. Os setores abrangidos pela NIS2 incluem diversas indústrias, como saúde, manufatura, serviços financeiros, energia, transporte, água, infraestrutura digital, espaço e gestão de resíduos.

O tamanho de uma organização não determina o escopo da NIS2. Algumas entidades estão no escopo da diretiva se os seus serviços forem considerados críticos para a estabilidade social ou econômica. Para organizações que operam em vários estados-membros da UE, a NIS2 se aplica no nível nacional. Portanto, os requisitos de conformidade podem variar conforme a forma como cada país transpôs a diretiva para a legislação nacional.

7 medidas de segurança que as organizações precisam para a conformidade com a NIS2

O Artigo 21 da NIS2 estabelece as medidas de cibersegurança que as organizações devem implementar. As medidas de segurança refletem, em linhas gerais, como um programa de segurança bem gerido deve funcionar, mas muitas organizações enfrentam dificuldades na implementação devido ao extenso jargão jurídico da diretiva. A seguir, estão as sete principais áreas abordadas pelo framework.

1. Gerenciamento de risco

De acordo com a NIS2, as organizações precisam estabelecer um processo contínuo de gestão de riscos, em vez de depender de avaliações pontuais. As organizações precisam identificar continuamente onde estão as suas vulnerabilidades de segurança, avaliar os danos potenciais que esses riscos podem causar e tratá-los de forma regular. Isso implica realizar avaliações de risco frequentes, manter planos de mitigação documentados e monitorar continuamente as atividades para identificar novas ameaças. Em última análise, algum membro da organização precisa ser responsabilizado por cada risco identificado e encarregado de mitigá-lo.

2. Capacidade de resposta a incidentes

A NIS2 exige que as organizações mantenham procedimentos formais de resposta a incidentes antes que um incidente de segurança ocorra, para evitar o caos durante a sua gestão. Isso significa ter um plano de resposta a incidentes documentado, com responsabilidades definidas, e eliminar a ambiguidade sobre quem deve realizar determinadas tarefas. Tão importante quanto criar planos claros é testá-los. Por exemplo, se um ransomware for detectado em parte da rede de uma organização no meio da noite, a diferença entre conter o incidente e sofrer uma interrupção grave pode depender de a equipe ter ou não ensaiado o processo.

3. Continuidade dos negócios

A NIS2 exige que as organizações mantenham a resiliência durante e após incidentes cibernéticos, abrangendo processos de backup e recuperação, armazenamento de dados acessível em caso de comprometimento de sistemas e a capacidade de restaurá-los dentro de prazos definidos. O planejamento de recuperação de desastres deve definir objetivos claros de tempo de recuperação, contemplando por quanto tempo uma organização pode suportar, de forma realista, uma interrupção operacional. Testes regulares de resiliência garantem que esses planos funcionem na prática e, onde for operacionalmente adequado, a redundância em sistemas e infraestruturas críticos adiciona uma camada adicional de proteção. No centro da continuidade dos negócios está a necessidade de proteger as credenciais e os acessos conectados a sistemas críticos, pois a recuperação se torna muito mais difícil quando as chaves da infraestrutura estão entre os ativos comprometidos.

4. Segurança da cadeia de fornecimento

A NIS2 dá ênfase significativa à gestão de riscos de terceiros. A NIS2 deixa claro que as organizações são responsáveis por gerenciar os riscos introduzidos por fornecedores, prestadores de serviços e parceiros comerciais. Com a visibilidade em primeiro plano, as organizações precisam saber quais terceiros têm acesso aos seus sistemas, qual é o nível de acesso que possuem e se os fornecedores mantêm controles de segurança adequados. As avaliações de risco de fornecedores, as revisões de acesso e o monitoramento contínuo devem se tornar processos operacionais padrão. Os ataques modernos à cadeia de fornecimento demonstraram que a exposição a terceiros pode rapidamente se tornar um risco organizacional grave.

5. Controle de acesso e gerenciamento de identidade

As organizações precisam ser capazes de controlar quem tem acesso aos seus sistemas e o que podem fazer com esse acesso, a fim de reduzir a superfície de ataque. Como parte dos requisitos fundamentais da NIS2, o Princípio do Menor Privilégio (PoLP) deve orientar a concessão de acessos, com usuários e sistemas obtendo acesso apenas ao que é necessário. O Controle de Acesso Baseado em Funções (RBAC) fornece a estrutura para aplicar esse princípio de forma consistente em escala, e o gerenciamento do ciclo de vida de usuários ajuda a tratar contas inativas ou órfãs que podem se tornar vulnerabilidades de segurança exploráveis no futuro. Isso é especialmente importante para contas privilegiadas, principalmente porque administradores e contas de serviço com acesso privilegiado são alvos valiosos. PAM, combinado com forte segurança de credenciais em toda a organização, ajuda a garantir que essas contas sejam protegidas, monitoradas e auditadas.

6. Criptografia

Mesmo as organizações mais bem preparadas podem sofrer uma violação de dados, e a criptografia desempenha uma função importante na determinação do dano real causado por essa violação. A NIS2 exige que as organizações criptografem dados em repouso e em trânsito, protejam credenciais e dados confidenciais e adotem padrões criptográficos seguros. Embora a NIS2 não prescreva uma arquitetura de criptografia específica, a criptografia de conhecimento zero vai além dos requisitos mínimos e pode oferecer proteção adicional relevante para organizações que lidam com credenciais e dados confidenciais. Em um ambiente de conhecimento zero, os dados são criptografados e descriptografados no nível do dispositivo, o que significa que nem mesmo o prestador de serviços pode acessá-los.

7. MFA e autenticação segura

Como as credenciais comprometidas são um dos pontos de entrada mais comuns para cibercriminosos, a NIS2 exige que as organizações implementem controles de autenticação robustos em todos os sistemas e usuários. Isso inclui a aplicação da Autenticação Multifator (MFA), que adiciona uma camada adicional de verificação e limita o impacto de credenciais roubadas. Sempre que possível, as organizações devem habilitar métodos de autenticação sem senha resistentes a phishing para eliminar o risco de usuários serem manipulados a compartilhar credenciais ou aprovar solicitações. Esses controles tornam muito mais difícil para os cibercriminosos obter acesso não autorizado e reduzem significativamente o impacto de credenciais comprometidas.

As organizações que buscam próximos passos práticos podem consultar nosso guia sobre como se preparar para a NIS2 de forma eficaz.

Lacunas comuns de conformidade com a NIS2 que as organizações enfrentam

A maioria das organizações já conta com alguns controles de segurança, mas fragilidades operacionais frequentemente impedem a conformidade plena, especialmente com a Diretiva NIS2. Tanto a falta de compreensão da diretiva quanto a falha na implementação dos seus requisitos podem expor as organizações a consequências.

Aplicação de MFA incompleta

Muitas organizações implementam o MFA de forma inconsistente. Embora as contas de usuários possam estar protegidas, podem persistir lacunas em sistemas legados ou acessos via VPN que ainda dependem exclusivamente de senhas tradicionais. A cobertura parcial de MFA cria pontos de entrada exploráveis para cibercriminosos e compromete os esforços gerais de segurança por meio de acessos privilegiados ou de acesso remoto não protegido.

Baixa visibilidade do fornecedor

Os requisitos da NIS2 relativos à cadeia de fornecimento revelam uma realidade preocupante para muitas organizações: elas não têm uma compreensão clara de quem tem acesso aos seus ambientes ou quais riscos terceiros introduzem. O acesso de fornecedores é frequentemente superprovisionado e raramente revisado. Sem visibilidade plena, as organizações não conseguem gerenciar com eficácia os riscos de terceiros no âmbito da NIS2.

Controles de acesso privilegiado deficientes

As contas privilegiadas estão entre os ativos de maior risco em qualquer organização, mas os controles relacionados a elas costumam ser muito fracos. Credenciais administrativas compartilhadas e privilégios permanentes ainda são práticas comuns, mas aumentam a superfície de ataque e o risco de uso indevido de credenciais. A NIS2 exige uma governança mais robusta em relação ao acesso privilegiado, ao monitoramento de sessões e à auditoria.

Prazos de notificação de incidentes da NIS2

A NIS2 introduz obrigações de notificação estruturadas após incidentes cibernéticos significativos. As organizações devem seguir um processo multietapas definido a partir do momento em que tomam conhecimento de um incidente significativo:

1. Em até 24 horas: enviar um alerta antecipado às autoridades nacionais competentes confirmando que um incidente significativo está em andamento.
2. Em até 72 horas: fornecer um panorama mais completo do incidente, abrangendo o que se sabe sobre sua natureza e impacto.
3. Em até um mês: enviar um relatório final com um relato completo do ocorrido, de como foi gerenciado e das medidas que serão tomadas para evitar a recorrência.

Para cumprir esses prazos, as organizações precisam monitorar e registrar incidentes de segurança em tempo real, em vez de tentar reconstruir uma linha do tempo precisa dos eventos após o fato. Em última análise, a conformidade com a NIS2 exige que as organizações estabeleçam práticas maduras de cibersegurança, melhorem a resiliência operacional e mantenham visibilidade plena sobre usuários e sistemas para reduzir os riscos de segurança.

Como o Keeper pode ajudar a dar suporte à conformidade com a NIS2

Atender aos padrões de conformidade com a NIS2 exige uma infraestrutura de segurança confiável que possa aplicar controles de acesso granulares, proteger credenciais e oferecer visibilidade plena para gerenciar riscos em escala. A plataforma de segurança de identidade de conhecimento zero da Keeper apoia as organizações ao consolidar diversas soluções de segurança, incluindo PAM, gerenciamento de senhas, gerenciamento de segredos, gerenciamento de privilégios de endpoint e acesso remoto seguro. Para atender a vários dos requisitos mais exigentes da NIS2, o Keeper oferece recursos avançados como RBAC, aplicação de MFA, auditoria de credenciais, monitoramento de sessões e segurança de confiança zero. Seja para começar a implementar as medidas da NIS2 ou para aprimorar a postura de segurança existente, o Keeper oferece à sua organização a capacidade de atender aos requisitos da NIS2 com confiança.

Comece sua avaliação gratuita do Keeper hoje e fortaleça a prontidão da sua organização para atender aos requisitos da NIS2