Conformidade com a NIS2: o que a diretiva de cibersegurança da UE exige e como se preparar

A NIS2, a segunda Diretiva relativa à segurança das redes e dos sistemas de informação da UE, entrou em vigor em 17 de outubro de 2024, data limite para que os Estados-Membros a transponham para o direito nacional. Ela substituiu a Diretiva NIS original de 2016, apresentando um âmbito de aplicação substancialmente mais amplo, um conjunto de obrigações de segurança mais prescritivo e um regime de fiscalização suficientemente rigoroso para tornar o incumprimento um risco financeiro ao nível do conselho de administração, em vez de uma mera questão de gestão interna de TI.

As implicações operacionais ainda estão sendo analisadas em toda a UE. A transposição pelos Estados-Membros ocorreu em prazos diferentes e com graus distintos de rigor, e o conjunto de entidades consideradas “essenciais” e “importantes” é significativamente maior do que no âmbito da NIS1. Para as empresas que operam na UE ou vendem para o mercado da UE, a NIS2 não é uma questão para o futuro. Trata-se de uma obrigação legal atual, e as disposições relativas à cadeia de suprimentos ampliam seu alcance muito além das entidades diretamente mencionadas.

Este guia aborda o aspecto operacional da conformidade com a NIS2. O que a diretiva realmente exige, a quem se aplica, como funciona na prática o prazo para notificação de incidentes e como as equipes de TI e os MSPs podem criar um programa de conformidade defensável. Para uma visão mais ampla da governança no nível do conselho de administração, incluindo a responsabilidade pessoal da alta administração, consulte “Seja você sediado na UE ou não, a NIS2 é uma preocupação no nível do conselho de administração”.

O que é o NIS2?

A NIS2 (Diretiva UE 2022/2555) é a diretiva atualizada da UE sobre segurança cibernética, publicada em dezembro de 2022 e que deve ser transposta para a legislação nacional pelos Estados-Membros até 17 de outubro de 2024. Ela substitui a Diretiva NIS original (2016), apresentando um âmbito de aplicação ampliado, requisitos mais prescritivos e medidas de fiscalização significativamente mais rigorosas.

O objetivo da diretiva é claro. Elevar o nível básico de segurança cibernética em toda a UE, garantir que os serviços essenciais possam resistir a incidentes cibernéticos e se recuperar deles, e estabelecer a responsabilização no nível da liderança, em vez de tratar a segurança cibernética como uma questão puramente técnica.

A expansão da NIS1 para a NIS2 é significativa. A NIS1 abrangia um conjunto restrito de serviços essenciais (energia, transportes, água, saúde e infraestrutura digital). A NIS2 abrange 18 setores, incluindo manufatura, alimentos, produtos químicos, serviços postais, administração pública e provedores digitais, e inclui um conjunto muito mais amplo de entidades dentro de cada setor. As leis nacionais de transposição podem ir além dos requisitos mínimos da diretiva, o que significa que o quadro preciso de conformidade para qualquer empresa depende do Estado-Membro em que ela opera, bem como da própria diretiva.

A quem se aplica a NIS2

A NIS2 classifica as organizações abrangidas em dois níveis com base na sua importância crítica, aplicando a cada um deles diferentes graus de fiscalização.

Entidades essenciais são organizações que atuam em setores altamente críticos. Energia (eletricidade, petróleo, gás, aquecimento urbano, hidrogênio), transporte (aéreo, ferroviário, aquático, rodoviário), setor bancário, infraestrutura do mercado financeiro, saúde, água potável, águas residuais, infraestrutura digital (pontos de troca de tráfego de internet, DNS, registros de TLD, provedores de nuvem, data centers, CDNs, provedores de serviços de confiança), gestão de serviços de TIC (managed services serviços de segurança gerenciados), administração pública e espaço.

Entidades importantes são organizações em outros setores essenciais. Serviços postais e de entrega, gestão de resíduos, fabricação de produtos essenciais (produtos químicos, farmacêuticos, dispositivos médicos, computadores, eletrônicos, veículos), produção e distribuição de alimentos, provedores digitais (marketplaces online, mecanismos de busca, plataformas de redes sociais) e organizações de pesquisa.

Os limites de tamanho são importantes. O NIS2 aplica-se, em geral, a empresas de médio porte (com 50 ou mais funcionários ou faturamento anual igual ou superior a 10 milhões de euros) e a grandes empresas nos setores abrangidos. As micro e pequenas empresas são normalmente excluídas, exceto quando prestam serviços específicos de alta criticidade, caso em que o tamanho não as isenta.

Os MSPs estão explicitamente abrangidos. A NIS2 identifica os “prestadores de managed servicese os “prestadores de serviços de segurança gerenciados” como entidades de gestão de serviços de TIC abrangidas, reconhecendo o risco na cadeia de suprimentos que uma violação de segurança por parte desses MSPs representa para os clientes que eles atendem. A exposição da cadeia de suprimentos também se estende na direção oposta. Mesmo uma organização que não esteja, ela própria, em um setor abrangido pode enfrentar obrigações indiretas da NIS2 por meio de cláusulas contratuais de repasse, caso forneça serviços ou produtos a entidades abrangidas.

O que a NIS2 exige: as dez medidas fundamentais

O artigo 21.º da NIS2 exige que as entidades abrangidas implementem “medidas técnicas, operacionais e organizacionais adequadas e proporcionadas” para gerir os riscos de cibersegurança. A diretiva identifica dez áreas mínimas que essas medidas devem abranger:

1. Análise de riscos e políticas de segurança da informação. Processos documentados de gestão de riscos e políticas de segurança, revisados e atualizados regularmente.

2. Gestão de incidentes. Processos documentados de detecção, resposta e recuperação, com funções e procedimentos de comunicação definidos.

3. Continuidade dos negócios. Gerenciamento de backup, recuperação de desastres e capacidade de gestão de crises, ou seja, a capacidade de manter ou restaurar rapidamente funções críticas após um incidente.

4. Segurança da cadeia de suprimentos. Avaliação e gestão dos riscos de segurança decorrentes de fornecedores e prestadores de serviços, incluindo requisitos de segurança incorporados aos contratos com fornecedores. Esta é a cláusula que abrange explicitamente as relações com MSPs.

5. Segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação. Práticas de desenvolvimento seguro, tratamento de vulnerabilidades e testes de segurança.

6. Políticas e procedimentos para avaliar a eficácia das medidas de gestão de riscos de segurança cibernética. Avaliar se os controles implementados estão realmente funcionando. Auditorias, testes e métricas de desempenho.

7. Práticas de higiene em segurança cibernética e treinamento. Sensibilização e treinamento para os funcionários em todos os níveis, não apenas da área de TI.

8. Políticas e procedimentos relativos ao uso de criptografia e, quando apropriado, à criptografia de dados . Criptografia de dados em trânsito e em repouso, sempre que a sensibilidade dos dados assim o justifique.

9. Segurança de recursos humanos, políticas de controle de acesso e gestão de ativos. Verificação de antecedentes, princípio do privilégio mínimo de acesso e inventário completo de ativos.

10. Autenticação multifatorial, autenticação contínua e comunicações seguras. MFA em sistemas e contas críticos, além de canais seguros de voz, vídeo e texto.

Essas dez áreas representam requisitos mínimos, não um limite máximo. A expressão “adequado e proporcionado” do Artigo 21 significa que uma entidade abrangida deve abordar qualquer risco significativo de segurança cibernética, mesmo que esse risco não se encaixe perfeitamente em uma das dez categorias. As leis nacionais de transposição, por vezes, especificam isso de forma mais prescritiva do que a própria diretiva.

Notificação de incidentes: a regra das 24 horas

A obrigação de notificação de incidentes é, em termos operacionais, a parte da NIS2 que mais provavelmente pegará as organizações de surpresa. O cronograma é escalonado e bastante apertado.

Um incidente significativo, definido como aquele com impacto substancial na prestação de serviços, deve ser comunicado em três etapas. No prazo de 24 horas após tomar conhecimento do incidente, a entidade abrangida deve enviar um alerta precoce à CSIRT (Equipe de Resposta a Incidentes de Segurança Informática) nacional relevante ou à autoridade competente. Trata-se de uma notificação inicial. Ela não requer uma investigação completa, mas exige que a entidade tenha conhecimento de que ocorreu um incidente e disponha de um processo para enviar o alerta precoce com rapidez suficiente para cumprir o prazo.

No prazo de 72 horas, a entidade deve enviar uma notificação mais completa sobre o incidente, incluindo a natureza, a gravidade e o impacto avaliado, além de quaisquer indicadores iniciais de comprometimento ou informações sobre a causa raiz disponíveis.

No prazo de um mês, deve ser apresentado um relatório final com uma descrição detalhada do incidente, da causa principal, das medidas tomadas e de qualquer impacto transfronteiriço.

O aviso prévio de 24 horas é o aspecto que desafia a realidade operacional das organizações que não dispõem de monitoramento 24 horas por dia, 7 dias por semana. Considere o que a regra realmente exige. Um ataque de ransomware que começa às 03h00 de um sábado de manhã é detectado e avaliado às 09h00 da segunda-feira, quando o escritório reabre. Às 09h00 de segunda-feira, o prazo do aviso prévio já se esgotou há 30 horas, e a entidade já está 6 horas atrasada em relação ao prazo. A regra das 24 horas é, na prática, uma exigência de monitoramento contínuo imposta por um prazo regulatório, e não por uma cláusula de controle. As organizações que dependem de detecção apenas durante o horário comercial, ou de encaminhamento de alertas que podem ficar em fila durante a noite, não conseguirão cumpri-la de forma confiável.

Aplicação da lei e sanções

O regime de fiscalização da NIS2 é substancialmente mais rigoroso do que o da NIS1, sendo que a diferença é mais evidente em três áreas.

As sanções financeiras variam de acordo com o tipo de entidade. As entidades essenciais estão sujeitas a multas de até € 10 milhões ou 2% do faturamento anual global, o que for maior. As entidades importantes estão sujeitas a multas de até € 7 milhões ou 1,4% do faturamento anual global, o que for maior. Como o limite máximo é baseado no faturamento global e não na receita na UE, uma multinacional com presença reduzida na UE ainda pode estar sujeita a uma multa substancial.

A alta administração pode ser responsabilizada pessoalmente. Os Estados-Membros podem proibir temporariamente que determinadas pessoas ocupem cargos de gestão caso se comprove que descumpriram suas obrigações decorrentes da NIS2 por negligência grave. Trata-se de uma mudança significativa em relação à percepção da segurança cibernética como um problema de TI, mas as implicações detalhadas em termos de governança são abordadas na publicação complementar sobre por que a NIS2 é uma questão que diz respeito ao conselho de administração.

Os poderes de supervisão são amplos. As autoridades nacionais competentes podem realizar auditorias, solicitar informações e provas, emitir advertências formais e exigir medidas corretivas específicas de segurança. As entidades essenciais são submetidas a um escrutínio proativo por parte das autoridades de supervisão em intervalos regulares. As entidades importantes são geralmente supervisionadas de forma reativa, em resposta a incidentes ou a indícios de não conformidade.

Como a NIS2 se articula com o GDPR, a ISO 27001 e a DORA

A NIS2 não existe isoladamente. Ela se sobrepõe a outros marcos regulatórios e normativos com os quais as organizações que operam na UE muitas vezes já estão trabalhando.

GDPR

Tanto a NIS2 quanto o GDPR se aplicam a organizações que tratam dados pessoais na UE, e ambas abordam a resposta a incidentes e a segurança organizacional. O prazo de 24 horas para alerta precoce da NIS2 é mais rigoroso do que o prazo de 72 horas para notificação de violação de dados do GDPR, e quando um incidente envolve tanto dados pessoais quanto a interrupção de um serviço abrangido, os dois prazos correm paralelamente. A coordenação entre o responsável pela proteção de dados e o líder de resposta a incidentes é fundamental, pois o mesmo evento deve ser comunicado a dois reguladores diferentes em dois prazos distintos.

ISO 27001

A ISO 27001 está fortemente alinhada com a NIS2 no que diz respeito à gestão de riscos, ao tratamento de incidentes e à continuidade dos negócios. A certificação não significa automaticamente conformidade com a NIS2, especialmente no que se refere aos requisitos setoriais específicos e ao prazo de 24 horas para notificação, mas oferece uma base sólida. As organizações já certificadas geralmente conseguem mapear a maioria dos controles existentes do SGSI para as dez medidas da NIS2, documentando as lacunas no que resta.

DORA

As entidades do setor financeiro podem estar sujeitas tanto à NIS2 quanto à Lei de Resiliência Operacional Digital (DORA). A DORA impõe requisitos adicionais de gestão de riscos de TIC específicos para os serviços financeiros e, nos casos em que ambas se aplicam, os controles devem ser concebidos de forma a satisfazer ambos os regimes sem duplicação de esforços. Tratar a DORA e a NIS2 como programas de conformidade distintos, mas baseados nos mesmos controles, é um erro comum de implementação.

Preparação para a conformidade com a NIS2: um caminho prático

O trabalho se divide em cinco etapas.

1. Determinar a aplicabilidade e o contexto do Estado-Membro. Confirmar se a organização pertence a um setor abrangido, se cumpre o limite de dimensão e qual a legislação de transposição do Estado-Membro aplicável. No caso de MSPs que prestam serviços a clientes abrangidos, identificar quais contratos com clientes já incluem ou implicam obrigações decorrentes da NIS2.

2. Realize uma avaliação de lacunas com base nas dez medidas. Relacione os controles atuais a cada uma das dez áreas do Artigo 21. Identifique lacunas significativas, especialmente no que diz respeito à capacidade de detecção de incidentes 24 horas por dia, à avaliação da segurança da cadeia de suprimentos e à cobertura de MFA em contas críticas. Essas são as três áreas em que a maioria das organizações apresenta deficiências.

3. Preencha primeiro as lacunas de maior risco. A capacidade de detecção e notificação de incidentes costuma ser a lacuna mais urgente do ponto de vista operacional. A implantação da autenticação multifatorial (MFA) em todas as contas administrativas e de alto valor é a medida de controle mais rápida de se implementar, considerando a magnitude da redução de risco que proporciona. A avaliação da cadeia de suprimentos pode ser um processo mais demorado, mas não deve ser deixada de lado; o maior risco de não conformidade com a NIS2 para muitas organizações reside nos fornecedores que ainda não foram avaliados.

4. Envolva formalmente a alta administração. As disposições da NIS2 relativas à responsabilidade pessoal significam que a alta administração não pode delegar essa tarefa ao departamento de TI e presumir que o assunto está resolvido. Informe o conselho de administração sobre as obrigações da diretiva, documente a conversa e obtenha uma aprovação explícita do programa de gestão de riscos. O envolvimento documentado da alta administração constitui, por si só, parte das evidências de conformidade.

5. Documente e comprove continuamente. A conformidade com a NIS2 deve ser comprovada, não presumida. Avaliações de risco, políticas de segurança, manuais de resposta a incidentes, registros de treinamento, avaliações de segurança de fornecedores e comprovantes de implantação da autenticação multifatorial (MFA) devem ser registrados e mantidos atualizados. A trilha de auditoria é tão importante quanto os próprios controles.

Compliance Manager GRC avaliação de lacunas da NIS2 e à gestão contínua da conformidade em todas as dez medidas do Artigo 21, juntamente com os outros marcos normativos com os quais uma organização provavelmente esteja trabalhando (RGPD, ISO 27001, CIS Controls, normas setoriais específicas). Explore Compliance Manager GRC para conhecer o lado operacional da gestão de um programa NIS2 em vários marcos normativos simultaneamente.

NIS2 e MSPs: âmbito, cadeia de suprimentos e repasse contratual

Para os MSPs, a NIS2 estabelece obrigações em dois aspectos.

A primeira orientação é direta. Managed services os serviços de segurança gerenciados são classificados como categorias de gestão de serviços de TIC no âmbito da NIS2. Um MSP de dimensão significativa que opere na UE ou preste serviços à UE é, por si só, uma entidade essencial ou importante, dependendo do seu perfil, e está sujeito à mesma obrigação de cumprir as dez medidas e ao mesmo requisito de notificação 24 horas por dia que os seus clientes.

A segunda abordagem é indireta, por meio da cláusula da cadeia de suprimentos. Todos os clientes abrangidos pelo MSP têm a obrigação regulatória de avaliar e gerenciar o risco de segurança cibernética representado por seus fornecedores. Na prática, essa obrigação se traduz em questionários de segurança, solicitações de comprovação, direitos de auditoria nos contratos e atestados obrigatórios. Os MSPs que atendem a clientes abrangidos devem esperar e se preparar para um aumento significativo na due diligence de segurança dos fornecedores, impulsionada pelos clientes.

A oportunidade comercial está diretamente ligada à obrigação. Os clientes que precisam comprovar a segurança da cadeia de suprimentos, a cobertura de autenticação multifatorial (MFA) e a capacidade de resposta a incidentes em seus próprios ambientes precisam de um local onde possam obter esses serviços. Os MSPs que conseguem demonstrar sua própria conformidade com a NIS2 e oferecer managed services ao quadro de dez medidas estão posicionados para atender a essa demanda. Compliance Manager GRC, combinado com os recursos de segurança e documentação Kaseya 365 , oferece aos MSPs a infraestrutura multilocatária necessária para fornecer serviços alinhados à NIS2 sem a necessidade de recriar uma prática de conformidade para cada cliente.

A conformidade com a NIS2 não é um projeto que chega ao fim. A diretiva já está em vigor, o conjunto de entidades abrangidas está sendo ativamente identificado pelas autoridades reguladoras nacionais, e o prazo de 24 horas para notificação já está em andamento, independentemente de a organização ter desenvolvido a capacidade necessária para cumpri-lo ou não. As organizações que saírem ilesas da primeira onda de ações de fiscalização são aquelas que trataram a NIS2 como uma mudança permanente no modelo operacional, em vez de uma corrida temporária para cumprir a conformidade. As que não o fizerem descobrirão, em reuniões com os reguladores, e não em auditorias internas, exatamente em qual das dez medidas elas apresentaram deficiências.