Como Cumprir com a NIS2: Guia para PMEs Portuguesas

A transformação digital trouxe inúmeros benefícios para as empresas, mas também aumentou exponencialmente os riscos associados à cibersegurança. Reconhecendo esta realidade, a União Europeia implementou a diretiva NIS2, que estabelece novas normas para reforçar a segurança das redes e sistemas de informação. Neste artigo, exploramos como cumprir com a NIS2, focando-nos no impacto para as Pequenas e Médias Empresas (PME) e nos passos necessários para a conformidade.

Em Resumo:

• Várias empresas passam agora a ser abrangidas pela NIS2 e em caso de incumprimento, a administração das empresas pode ser responsabilizada.
• As coimas podem ser elevadas, pelo que o cumprimento passa a ser de extrema importância. Contudo, estudos mostram que o investimento em cibersegurança pode ajudar a vender mais.
• De modo a cumprir, deve testar regularmente a sua infraestrutura e desenvolver planos de mitigação e notificação de incidentes, entre outras medidas.

Quem é abrangido pela NIS2?

A NIS2 alarga o âmbito da diretiva original (a NIS), abrangendo um leque mais amplo de setores e empresas. Além das grandes organizações, muitas PME passam agora a estar sujeitas a estas regulamentações, especialmente se operarem em setores críticos como:

• Energia
• Transportes
• Setor bancário
• Infraestruturas do mercado financeiro
• Saúde
• Água potável
• Águas residuais
• Infraestruturas digitais
• Gestão de serviços TIC (B2B)
• Administração pública
• Espaço
• Serviços postais e de estafeta
• Gestão de resíduos
• Produção, fabrico e distribuição de produtos químicos
• Produção, transformação e distribuição de produtos alimentares
• Indústria transformadora
• Prestadores de serviços digitais
• Investigação

Se a sua empresa desempenha um papel essencial no funcionamento da sociedade ou da economia, é provável que precise de entender como cumprir com a NIS2 para evitar sanções e garantir a continuidade do negócio.

Quais São os Requisitos da NIS2?

Para cumprir a NIS2, as empresas devem implementar medidas que fortaleçam a sua resiliência digital. Os principais requisitos incluem:

1. Gestão de Risco de Segurança: devem estabelecer políticas e procedimentos para identificar e mitigar riscos de segurança das redes e sistemas de informação, fazer avaliações regulares dos riscos e garantir a segurança em todas as relações com fornecedores e prestadores de serviços diretos. É importante estar a par das normas de segurança implementadas pelos seus fornecedores, pois tem implicações para si.
   
   
2. Medidas Técnicas e Organizacionais: deve implementar processos eficazes para lidar com incidentes de segurança quando estes ocorrem. A certificação ISO 27001 ajuda nestes passos. Além disso, deve desenvolver planos de continuidade, incluindo gestão de cópias de segurança e assegurar que os sistemas informáticos são adquiridos, desenvolvidos e mantidos com a segurança em mente.
   
   
3. Avaliação e Monitorização: deve avaliar regularmente a eficácia das medidas e implementar políticas de criptografia para proteger dados sensíveis.
   
   
4. Segurança de Recursos Humanos e Acesso: definir políticas claras de controle de acesso e gestão de ativos. Pode fazer sentido, dependendo do tamanho da sua empresa, investir numa auditoria SOC 2. Isto também inclui soluções de autenticação multifator ou autenticação contínua para fortalecer a segurança de acesso, como o Autenticador Google ou a Yubikey.
   
   
5. Notificação de Incidentes: é fundamental utilizar sistemas de monitorização para identificar imediatamente quaisquer incidentes de segurança assim como a sua gravidade. Em caso de incidente, deve notificar as autoridades competentes sem demora injustificada e, em qualquer caso, no prazo de 24 horas após tomar conhecimento do incidente. Também deve ter relatórios detalhados prontos a partilhar.
   
   
6. Responsabilidade da Gestão de Topo: a administração da empresa passa a ser responsabilizada pelo cumprimento da NIS2, pelo que é obrigatória formação dos orgãos da direção em matéria de cibersegurança.
   
   
7. Cooperação Internacional: em certos casos, colaborar com outras entidades e países membros da UE para partilha de informações e melhores práticas e participar em esforços coordenados para responder a ameaças cibernéticas que possam ter impacto transfronteiriço.

Como Notificar Incidentes?

A notificação de incidentes é crucial na NIS2. Para cumprir este requisito:

1. Deteção e Avaliação: use sistemas de monitorização para identificar rapidamente incidentes de segurança, avaliar a sua gravidade, e o impacto potencial nos serviços prestados.
   
   
2. Notificações Obrigatórias: Enviar um alerta rápido às autoridades no prazo de 24 horas após a detecção de um incidente crítico. Dentro de 72 horas, tem de fornecer uma notificação inicial avaliando a gravidade e impacto. No prazo máximo de 1 mês após a notificação inicial, deve enviar um relatório final detalhado com a descrição do incidente, tipo de ameaça ou causa provável, medidas de atenuação e impacto transfronteiriço, se aplicável.
   
   
3. Comunicação com Stakeholders: informe clientes e parceiros sobre o incidente, quando apropriado, incluindo as medidas tomadas para mitigar os efeitos.

Em Portugal, a autoridade competente para a notificação é o Centro Nacional de Cibersegurança, que possui uma página dedicada para a notificação de incidentes. A falha no cumprimento destes passos pode levar a coimas, dependendo da gravidade do incidente.

Envolvimento da Gestão: Porquê e Como?

A NIS2 coloca a responsabilidade de conformidade diretamente na gestão de topo. Isto deve-se ao facto da administração poder ditar quanto é investido em cibersegurança. Assim, de modo a cumprir com a NIS2, precisa de garantir que são alocados recursos suficientes para cibersegurança e tratar esta área como um investimento em vez de um custo. Este é o primeiro passo para cumprir com todos os outros requisitos da NIS2 - afinal, se não existirem recursos suficientes, é impossível proteger toda a sua superfície de ataque.

Consequências da Inação

As multas devido ao incumprimento passam uma mensagem clara - isto não é algo que se possa ignorar. A cibersegurança é uma prioridade para a União Europeia devido às potenciais ramificações que um ataque pode ter e ao atual clima geopolítico. Ignorar os requisitos da NIS2 pode resultar em:

1. Multas Elevadas: As entidades essenciais podem enfrentar coimas de até 10 milhões de EUR ou 2% do volume de negócios anual global, enquanto entidades importantes podem ser multadas em até 7 milhões de EUR ou 1,4% do volume de negócios anual global.
   
   
2. Danos Reputacionais: Falhas de segurança podem causar perda de confiança de clientes e parceiros, prejudicando a posição competitiva da empresa no mercado. Por exemplo, a cotação da Capital One nos mercados desceu 14% nas duas semanas após ter divulgado um ciberataque.
   
   
3. Responsabilidade Legal: A gestão pode enfrentar consequências legais por negligência na implementação de medidas necessárias, e o descumprimento da obrigação de formação em cibersegurança pode acarretar penalizações adicionais.
   
   
4. Interrupção do Negócio: Incidentes de segurança podem paralisar operações e causar perda de dados críticos, além de gerar custos elevados e tempo prolongado para recuperação.

NIS2 Como Cumprir: Passos Práticos para as PME

Claro que esta diretiva pode parecer complexa - são vários passos, várias medidas, e coimas elevadas para o incumprimento,. Contudo, assegurar a conformidade é mais fácil do que parece. Para começar, pode seguir este plano:

1. Avaliação Inicial: comece por realizar uma auditoria completa dos sistemas para identificar vulnerabilidades, utilizando uma solução de Pentest Contínuo para detectar riscos e melhorias, e avalie os riscos específicos da organização.
   
   
2. Implemente Medidas de Segurança: Adote soluções tecnológicas para mitigar riscos identificados e implemente autenticação multifator (MFA), preferencialmente com soluções avançadas que atendam aos requisitos sem complicar a experiência do usuário, conforme recomendado pela Silverfort.
   
   
3. Invista na Formação de Colaboradores: Promova educação contínua sobre as melhores práticas de cibersegurança, destacando a importância do papel de cada um na proteção da empresa, e incentive uma cultura de segurança com responsabilidade compartilhada.
   
   
4. Plano de Resposta a Incidentes: Desenvolva e teste regularmente um plano eficaz de resposta a incidentes e estabeleça uma equipa dedicada para a gestão de incidentes. A sua equipa de IT pode assumir este papel no inicio.
   
   
5. Monitorização Contínua: Utilize ferramentas para monitorar continuamente os sistemas e detectar atividades suspeitas, e revise e atualize regularmente as medidas de segurança.

Este plano irá ajudar numa fase inicial. Podem ser necessários mais passos a seguir a estes, pelo que recomendamos confirmar com um consultor especializado se está no caminho certo.

Benefícios de Cumprir a NIS2

Embora pareça um desafio e apenas uma obrigação legal, a NIS2 traz benefícios significativos.

Além de obviamente prevenir contra ataques e potenciais tentativas de ransomware, investir em cibersegurança significa que também está a investir na sua marca e na confiança que os seus clientes depositam em si. Um relatório da Cisco mostra que mais de metade dos inquiridos está disposto a pagar mais por um produto que invista em cibersegurança e, consecutivamente, na proteção dos seus dados pessoais.

Além disso, a NIS2 também impacta as empresas a quem fornece. Ao mostrar que investe em cibersegurança, está a assegurar que não será um potencial vetor de ataque que afete as empresas a quem fornece, ajudando a fechar negócios. É uma garantia adicional.

Como a Ethiack pode ajudar

Se está interessado em iniciar a sua jornada de cumprimento com a NIS2, nós podemos ajudar em vários destes passos:

• A nossa solução de Continuous Pentesting irá testar a sua infraestrutura 24 horas, 7 dias por semanas, identificando vulnerabilidades críticas na maioria dos casos. Isto é essencial para identificar riscos na sua infraestrutura. Sempre que é identificado um risco, também entregamos um guia de mitigação.
• A nossa ferramenta de Risk Exposure Management fornece um indicador da saúde da sua postura de segurança, para que consiga facilmente perceber qual o seu nivel de risco. Também é útil para perceber o impacto dos seus esforços de cibersegurança.
• Além disso, geramos relatórios que podem ser utilizados para motivos de compliance e cumprimento com a lei.

Conclusão

Com a crescente ameaça de ciberataques, a NIS2 surge como uma medida necessária para proteger as infraestruturas digitais na Europa. Para as PME, compreender como cumprir com a NIS2 é essencial não só para evitar penalizações, mas também para garantir a segurança e continuidade do negócio.

A ação proativa é a chave. Comece por envolver a gestão de topo, realize avaliações de risco e implemente medidas de segurança robustas. Em última análise, cumprir a NIS2 não é apenas uma obrigação legal, mas uma oportunidade para fortalecer a resiliência cibernética da sua empresa e construir uma base sólida para o crescimento futuro num mundo cada vez mais digital.