A Diretiva NIS de 2016 original concentrava-se principalmente no estabelecimento de medidas essenciais de segurança cibernética para proteger alguns dos principais serviços interconectados da UE. O foco estava na infraestrutura considerada essencial (como energia, água, transporte, saúde e bancos) e coberta pelas proteções básicas definidas pela diretiva.
A Diretiva NIS2 expande o escopo da Diretiva NIS original ao abranger outros setores e entidades. Ela abrange operadores de serviços essenciais (OES) em setores como energia, transporte, infraestrutura bancária e de mercado financeiro, saúde, abastecimento de água e infraestrutura digital (como mercados on-line, computação em nuvem e mecanismos de busca), bem como as organizações que dão suporte aos OES.
As organizações incluídas na NIS2 precisam estar em conformidade com suas diretrizes até 17 de outubro de 2024. É do interesse das organizações cumprir esse prazo: além de fornecer recomendações eficazes de segurança cibernética, a NIS2 também prevê multas de até 2% do faturamento global para as organizações que não cumprirem em determinadas situações.
Mas, embora a NIS2 seja clara sobre quem precisa seguir as diretrizes e quais são as penalidades por não cumpri-las, uma coisa que ela não define é como as organizações devem se preparar. Portanto, vamos analisar as diretrizes da NIS2 e as práticas recomendadas que as organizações devem adotar para atender à conformidade e se defender de ameaças emergentes.
Para definir melhor as organizações que precisam ser incluídas, foram estabelecidos dois critérios básicos: setor e tamanho. Para tratar do setor, os Anexos 1 e 2 do NIS2 identificam os setores "Altamente Crítico" (também conhecido como entidades essenciais) e "Crítico" (também conhecido como entidades importantes). Há onze setores altamente críticos, principalmente aqueles ligados às operações cotidianas da economia de um país, como energia, transporte, serviços bancários, serviços de água, saúde, infraestrutura digital, governo e espaço. Os setores críticos estão associados aos principais serviços que apoiam a economia de um país, como fabricação e distribuição de alimentos, produtos químicos e mercadorias, gerenciamento de resíduos, provedores digitais, como provedores de serviços de Internet (ISPs) e pesquisa.
Para tratar do tamanho, o NIS2 categoriza as organizações como de grande ou médio porte. As organizações de grande porte são aquelas com mais de 250 funcionários e receita de pelo menos 50 milhões de euros. As organizações de médio porte são aquelas com menos de 250 funcionários e faturamento anual não superior a 50 milhões de euros.
Para tratar da cooperação, a NIS2 também estabelece uma estrutura para a comunicação de incidentes. Isso inclui a formação de componentes como autoridade competente, ponto único de contato e CSIRT (Computer Security Incident Response Team). O artigo 23 estabelece o que precisa ser relatado e os prazos.
A aplicação é definida pela adesão das organizações à implementação das medidas recomendadas de gerenciamento de riscos de segurança cibernética e aos requisitos de relatórios. As multas por não conformidade para essas empresas podem chegar a 10 milhões de euros (ou até 2% do faturamento global) para entidades "altamente críticas" ou 7 milhões de euros para entidades "críticas".
Até 17 de outubro de 2024, os estados-membros devem adotar e publicar as medidas necessárias para cumprir a Diretiva NIS2. Mas o que isso significa exatamente para as empresas afetadas?
A NIS2 descreve as principais medidas que os setores e as organizações de infraestrutura digital em toda a UE precisam implementar, incluindo o uso de autenticação multifator (MFA), políticas de controle de acesso e gerenciamento de ativos, higiene cibernética básica e treinamento, entre outras medidas.
O NIS2 não define como atender a essas medidas. Em vez disso, ele se refere a outros padrões, como ISO, CIS, NIST ou IEC, juntamente com os princípios de confiança zero, como diretrizes que as organizações devem seguir para obter conformidade.
Esses padrões priorizam a segurança da identidade - por exemplo, o ISO27002 O padrão de segurança da informação, segurança cibernética e proteção da privacidade do NIST fornece orientações úteis sobre o avanço do controle de acesso, gerenciamento de identidade, autenticação segura e outros recursos que se alinham ao NIS2. O NIS2 também recomenda o sete princípios da confiança zero, que também enfatizam os controles de segurança de identidade.
Seguindo essas duas abordagens, as organizações afetadas terão uma metodologia completa para obter conformidade com o NIS2 e se defender dos ataques cibernéticos mais frequentes e prejudiciais.
Há um velho ditado que diz que as organizações nunca devem desperdiçar uma boa crise, e esse é o caso da NIS2, que obriga as organizações a avaliar todos os aspectos de seus protocolos de segurança e a se concentrar nos princípios de confiança zero e nos padrões relevantes que se aplicam aos seus negócios. Ao fazer isso, as organizações não devem abordar a NIS2 como uma exercício de verificação da caixaSe eles estão dedicando tempo para avaliar sua postura de segurança cibernética, devem investir nos recursos que defendem contra os impactos mais frequentes e mais altos.
Na maioria dos casos, isso tende a ser a identidade. O 2023 Verizon Data Breach Investigations Report descobriu que as "três principais maneiras pelas quais os invasores acessam uma organização são credenciais roubadas, phishing e exploração de vulnerabilidades". Além disso, o uso de credenciais roubadas "tornou-se o ponto de entrada mais popular para violações" no último ano; o relatório constatou que 49% de todas as violações de dados envolviam credenciais.
Não se trata apenas do fato de a identidade ser o domínio comprometido na maioria dos ataques, mas também do fato de que os ataques relacionados à identidade tendem a custar mais às organizações. O Cost of a Data Breach Report 2023 da IBM constatou que o vetor de ataque inicial mais frequente era o phishing; ele também era um dos mais caros, custando às organizações uma média de $4,76 milhões.
Embora todos os domínios de segurança sejam importantes, a identidade, especialmente no ambiente de trabalho híbrido, desempenha um papel fundamental na proteção de sua organização. As organizações devem indicar um parceiro de segurança focado em identidade para realizar uma avaliação NIS2 e recomendar a melhor combinação de inteligência de identidade automatizada, autenticação, gerenciamento de acesso e soluções de governança e ciclo de vida para permitir a proteção de todos os recursos, identidades e ambientes definidos pela diretriz NIS2.
As organizações descobrirão que uma plataforma de identidade unificada será a maneira mais simples de garantir uma análise completa e abrangente de ponta a ponta e um conjunto de soluções que podem ser estabelecidas para exceder todos os requisitos da NIS2 e escalonar para atender às necessidades futuras à medida que os requisitos comerciais e de segurança evoluem.
Para saber mais, contate a RSA para iniciar sua avaliação de segurança de identidade NIS2.
