A nova diretiva NIS2 foi criada para fortalecer a resiliência cibernética de mais de 160.000 empresas que operam na UE — direta ou indiretamente. Entrando em vigor em 17 de outubro, os regulamentos NIS2 descreverão como essas entidades essenciais podem combater ataques cibernéticos cada vez mais sofisticados e frequentes.
Apesar dos atrasos na implementação da legislação local, a diretiva NIS2 fornece uma indicação das obrigações de conformidade que afetam as organizações que se enquadram no escopo das novas regras. Em última análise, o NIS2 visa reduzir inconsistências na resiliência da segurança cibernética ao ser a “única fonte da verdade” para que os órgãos reguladores supervisionem como as organizações implementam estruturas de segurança cibernética cada vez mais rigorosas. Como vimos nas últimas semanas, elas são cruciais, especialmente durante incidentes ou crises de segurança cibernética em larga escala.
À medida que os estados-membros se preparam para formular e publicar suas versões locais da diretiva NIS2 em lei, as organizações devem atualizar seus planos de resposta a incidentes para garantir que estejam preparadas para cumprir com os novos requisitos de relatórios. Embora muitos países-membros estejam bem encaminhados, alguns reconheceram que não conseguem cumprir o prazo. À medida que outubro se aproxima rapidamente, isso deixa as organizações um tanto no escuro sobre os requisitos que precisarão cumprir — tendo um impacto prejudicial em sua postura geral de segurança cibernética.
As organizações precisam ter clareza sobre os requisitos de relatórios de incidentes
Primeiro, é importante reconhecer que qualquer organização que conduza negócios na UE deve cumprir com os novos regulamentos, mesmo que esteja sediada fora da UE. Isso amplia significativamente o escopo do alcance do NIS2 e deve alertar os CISOs e os tomadores de decisão de segurança cibernética sênior — se ainda não o fizeram — sobre as implicações e pontos de contato mais amplos do NIS2.
Ao comparar os requisitos do NIS2 com outros regulamentos, como o GDPR, semelhanças claras e algumas diferenças importantes são cruciais para destacar. Por exemplo, surgem questões sobre o que a diretiva define como um “incidente”? A quem um incidente precisa ser relatado e quais limites de tempo são estabelecidos para cada estágio do processo de relato? Essas questões se tornam ainda mais complexas para organizações que operam sob vários regimes regulatórios ou em múltiplas jurisdições.
O Artigo 21 do NIS2 descreve uma série de medidas mínimas de gerenciamento de risco cibernético que as organizações devem implementar. Aqueles sob os regulamentos do NIS2, estados-membros, deverão incorporar essas medidas na legislação local, incluindo o tratamento de incidentes. O tratamento de incidentes é definido ainda pelo NIS2 como “ações e procedimentos que visam prevenir, detectar, analisar, conter, responder e se recuperar de um incidente”.
Muitas organizações grandes e até menores provavelmente implementarão uma política de resposta a incidentes, por mais rudimentar que seja. Se uma organização não tem uma estratégia de resposta a incidentes, é imperativo começar a colocar uma em prática o mais rápido possível.
Mesmo organizações com um plano de resposta a incidentes robusto podem descobrir que ele não leva em conta os rigorosos requisitos de relatórios descritos no NIS2. As organizações são obrigadas a informar sua autoridade competente sobre um incidente significativo dentro de 24 horas, fornecer detalhes adicionais sobre o escopo e o impacto dentro de 72 horas e enviar um relatório abrangente dentro de um mês.
Definindo um incidente de segurança cibernética sob os regulamentos NIS2
A definição de um incidente também garante consideração cuidadosa. O NIS2 afirma que um incidente deve ser considerado significativo se:
- O incidente causou ou tem potencial para causar interrupções operacionais substanciais ou perdas financeiras para a entidade em questão.
- O incidente afetou ou tem potencial para afetar outras pessoas físicas ou jurídicas, causando perdas materiais ou imateriais consideráveis.
Para organizações que operam em vários países da UE, garantir que o planejamento local de resposta a incidentes esteja em conformidade com os requisitos de cada jurisdição acrescenta outra camada de complexidade.
Com base em experiências passadas com o GDPR, o regulamento de privacidade de dados da UE obriga as organizações a relatar uma violação de dados em todas as jurisdições afetadas. Se uma violação impactar os titulares de dados em vários países onde uma organização opera, eles devem cumprir os requisitos de relatórios de cada regulador nacional de proteção de dados. Isso se torna cada vez mais complexo quando os dados são compartilhados entre fronteiras nacionais para backup, resiliência operacional e processamento em nuvem.
Considerações semelhantes provavelmente entrarão em jogo quando as organizações planejarem suas estratégias locais para implementar medidas de resposta a incidentes em conformidade com o NIS2. As autoridades nacionais esperarão que as organizações não apenas tenham políticas e procedimentos de resposta a incidentes em conformidade, mas também os complementem com manuais eficazes.
Além disso, as organizações serão obrigadas a garantir um alto padrão de testes e ensaios de suas disposições de resposta a incidentes por meio de exercícios de simulação e outras atividades de simulação.
Uma cultura de segurança proativa é primordial
Testar a eficácia e a viabilidade operacional dos planos de resposta a incidentes antes que uma emergência real surja vai além de considerações técnicas. Também envolve a capacidade de uma organização de reunir efetivamente as partes interessadas relevantes para montar uma resposta eficaz.
Preparar efetivamente uma estratégia de tratamento de incidentes também requer que uma organização entenda sua infraestrutura, ativos digitais e cenário de dados. Organizações com ferramentas de endpoint eficazes e ativos digitais e registros de dados atualizados estão melhor posicionadas para identificar, coletar, preservar e analisar dados após um incidente.
Além disso, tais organizações são mais capazes de conter, erradicar e se recuperar de um incidente, bem como mitigar riscos futuros por meio de análise eficaz da causa raiz. A maioria das organizações precisará ajustar cuidadosamente seu planejamento de resposta a incidentes para atender a requisitos de relatórios mais rigorosos.
Embora os planos de resposta a incidentes devam aderir às melhores práticas, é crucial personalizar ações e estratégias específicas para alinhá-las à estrutura da organização, às obrigações de conformidade, ao cenário de dados e às necessidades operacionais.
Crédito da imagem: ojka/Shutterstock
Alisdair McLaughlin é Arquiteto de Soluções Técnicas na BlueVoyant
