Compliance

NIS 2 será desafio substancial para infraestruturas críticas

Estudo indica que a futura legislação NIS 2 será um desafio substancial para as indústrias de infraestruturas críticas

13/09/2023

NIS 2 será desafio substancial para infraestruturas críticas

Um estudo da Nozomi e da Exclusive Networks mostra que a diretiva NIS 2 será um desafio substancial para as empresas, nomeadamente para as que operam em indústrias com infraestruturas críticas. As coimas por incumprimento podem ascender a dez milhões de euros ou 2% do volume de negócios global para entidades essenciais, e sete milhões de euros ou 1,4% do volume de negócios global para as entidades importantes.

A nova legislação entrará em vigor em outubro de 2024, aumentando a resiliência coletiva das infraestruturas críticas europeias através da aplicação de sete requisitos de segurança abrangentes. A NIS 2 não aborda explicitamente os ativos e redes OT e IoT, mas inclui-os implicitamente nos seus muitos requisitos.

Criado para avaliar o grau de preparação do alinhamento da segurança OT e IoT com a Diretiva NIS 2, o estudo “Driving Cyber Resilience: The Impact of the NIS 2 Directive”, sublinha que, apesar das prioridades competitivas, é necessário colocar uma tónica especial na gestão do risco para além das TI, de modo a incluir a tecnologia operacional (TO) Uma maior visibilidade de todos os ativos e redes é crucial - não só ajudando as organizações a protegerem-se melhor, mas também a garantir o cumprimento da legislação fundamental.

Cada vez mais, os líderes de TI são enviados para avaliar os requisitos de conetividade e segurança de OT e IoT para proteger seus negócios contra acesso não autorizado, manipulação e paralisações inesperadas causadas por ataques que atingem ou contornam os ativos de OT e IoT. A maioria das organizações espera que a responsabilidade pela cibersegurança OT passe dos diretores e gestores para os CISO nos próximos 12 meses. 

O estudo revela que, embora pouco mais de um terço das organizações atribua a responsabilidade final ao CISO (35%), muitas outras confiam no departamento de TI como um todo (24%) e/ou na tecnologia operacional (18%), entre outros. Estas respostas mostram até onde os líderes têm de ir para transferir esta responsabilidade para os CISO. Entretanto, os inquiridos também indicaram que a formação e a educação são as áreas de política menos maduras nas suas empresas, seguidas da gestão de vulnerabilidades.

Em conjunto, as perspetivas de controlo da cibersegurança de OT e IoT têm cada vez mais espaço para crescer em termos de responsabilidade, formação, sensibilização e ação. De acordo com os líderes de TI inquiridos, “a responsabilidade pela segurança da tecnologia operacional (TO) e dos dispositivos e redes IoT é partilhada entre as partes interessadas internas e terceiros externos”.

As respostas das organizações e dos decisores ao inquérito revelaram uma grande dependência de fornecedores externos de managed services para consultoria, threat intelligence e resposta a incidentes. De acordo com o estudo, para endereçar violações, é mais provável que os responsáveis pela segurança das TI contactem um consultor de TI (60%) ou um fornecedor de soluções de (56%), o que mostra o papel fundamental que terceiros externos desempenham quando se trata de cibersegurança.

Quando questionados se as suas organizações realizam e atualizam regularmente análises de risco relacionadas com sistemas de informação críticos (CIS), 50% seguem um calendário quando se trata de realizar e atualizar uma análise de risco relacionada com os seus CIS. 34% realizam/atualizam a análise de risco do CIS numa base ad hoc. Surpreendentemente, 15% não efetuam atualmente qualquer análise de risco.

A maioria das organizações continua a sofrer ataques de malware, phishing e engenharia social, e ransomware direcionado tanto para TI como para OT. No inquérito dirigido pela Nozomi Networks, 81% dos líderes de TI indicaram que as suas organizações têm mais falta de programas associados à identificação de ativos e à gestão de inventários, 80% também mencionam falta de mapeamento de vulnerabilidades e deteção de ameaças, e 75% falta de consciência situacional e capacidades de análise de dados.

Estas tendências indicam que os profissionais de segurança podem não estar preparados para identificar e remediar com êxito os eventos de segurança que conduzem a incidentes catastróficos. É impraticável proteger o que se ignora, e é cada vez mais difícil efetuar uma análise da causa principal e rever até mesmo eventos e atividades benignos sem visibilidade do tráfego dos ativos e da rede.

Finalmente, de acordo com dados da McKinsey and Company, aproximadamente 96% dos líderes empresariais indicam a necessidade de investir na cibersegurança das OT, e aproximadamente 70% dos que investiram nela estão a enfrentar desafios de implementação. A chave para a monitorização eficaz da rede e para a gestão do risco reside na utilização de informações para obter uma visão precisa do risco.


NOTÍCIAS RELACIONADAS

REVISTA DIGITAL

IT SECURITY Nº17 Abril 2024

IT SECURITY Nº17 Abril 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.