S.Labs
O cumprimento dos requisitos da NIS 2 pelos operadores de serviços essenciais é fundamental para a proteção das infraestruturas críticas e a resiliência dos serviços prestados. A eficiência na implementação de estratégias de conformidade permite tirar partido das oportunidades desta regulamentação
Por David Grave, Security Director, e Manuel Ferreira, Consulting Lead na Claranet Portugal . 05/06/2024
A NIS 2 é a legislação europeia mais abrangente em matéria de cibersegurança, evoluindo nos objetivos da Diretiva (UE) 2016/1148. A materialização dos seus requisitos pelos Operadores de Serviços Essenciais (OSE) é um desafio complexo, exigindo uma abordagem integrada que garanta conformidade. Estabelecer uma abordagem baseada em riscoA NIS 2 requer que os OSE apliquem medidas de segurança proporcionais aos riscos identificados, exigindo uma metodologia de gestão de risco consistente e uniforme. É fundamental identificar os ativos críticos e os processos de negócio, avaliar os riscos e aplicar medidas de segurança adequadas. A adoção de um processo de gestão de risco sistemático permite aos OSE minimizarem as vulnerabilidades e os impactos das ciberameaças, estabelecendo prioridades para alocação de recursos financeiros e humanos. Implementar medidas de segurançaA implementação eficiente das medidas de segurança requer a integração de três pilares essenciais: tecnologia, processos e pessoas. Cabe aos OSE garantir a instalação e a configuração de soluções de segurança, como sistemas de deteção de intrusões, e estabelecer políticas e procedimentos que incluam proteção dos ativos, definição de responsabilidades e resposta a incidentes. Esta implementação pode requerer a seleção de um parceiro especializado que execute as medidas necessárias, facilite a operação, antecipe necessidades e promova a melhoria contínua. Sensibilizar e formar os colaboradoresA consciencialização e a formação das pessoas nas OSE são outro ângulo fundamental da NIS 2, exigindo aos colaboradores o conhecimento do seu papel na proteção dos ativos e infraestruturas críticas. Para isso, há que desenhar e implementar programas de formação e sensibilização, que ajudem na identificação de ciberataques, promovam a cooperação e partilha de conhecimento de cibersegurança entre departamentos e equipas dos OSE. Estabelecer mecanismos de resposta e recuperação de incidentesOs OSE precisam de implementar planos de resposta e recuperação de incidentes, com testes e atualização periódica, para serem ágeis na resposta a um ciberataque e restaurarem os serviços essenciais. Estes planos devem ainda integrar a comunicação interna e externa. É importante que a organização esteja informada, mas também é relevante planear o posicionamento face a parceiros, clientes e mercado, assegurando reputação e confiança, durante e após o incidente, designando pontos de contacto e garantindo a comunicação com a rede CSIRT. Auditoria e monitorização contínuaOs OSE devem garantir que o seu sistema de gestão de segurança da informação é analisado e monitorizado, com auditorias periódicas, por terceiros, e são implementados mecanismos de monitorização em tempo real, para identificar vulnerabilidades e corrigir incidentes de forma proativa. Parcerias estratégicas com prestadores de serviços que disponibilizem, por exemplo, um Security Operations Centre (SOC), assegura melhores práticas e adequação das soluções implementadas. Alavancar a conformidadeOs OSE devem encarar os requisitos da NIS 2 como um catalisador para a inovação e o fortalecimento das práticas de cibersegurança. Com uma abordagem baseada em risco, a integração de cibersegurança a todos os níveis operacionais e a adoção das medidas descritas, não só alcançarão conformidade normativa como impulsionarão a capacidade de resistência a ciberameaças. Esta vantagem competitiva gera confiança entre consumidores e parceiros, promovendo o sucesso a longo prazo. A NIS 2 deve ser, assim, vista como um alicerce para promoção da excelência operacional e liderança estratégica, oferecendo as diretrizes necessárias para uma defesa robusta, adaptável e responsiva.
Conteúdo co-produzido pela MediaNext e pela Claranet |