Infelizmente, a possibilidade de sua empresa ser alvo de ataques maliciosos já não é mais uma exceção, mas uma realidade cotidiana enfrentada por qualquer empresa moderna. Independentemente do tamanho ou do perfil da sua empresa, os criminosos explorarão todas as oportunidades para a manter refém com o objetivo de obter ganhos financeiros.
In part one we discussed how NIS2 legislation places a large importance on business continuity and how the right processes and backup tools can help in response to ransomware and other cybersecurity incidents.
No entanto, há outro aspecto crucial em qualquer resposta de segurança: a necessidade de, eventualmente, notificar a violação às autoridades. A seguir, abordamos algumas dessas obrigações.
Embora possa ser tentador priorizar a resolução da violação, a contagem regressiva geralmente começa no momento em que você percebe que seus sistemas foram comprometidos. Os prazos podem ser rigorosos, por isso não é algo que possa ser resolvido durante a resposta. Isso precisa estar integrado aos seus processos, com expectativas claras sobre quem será responsável pelos relatórios necessários.
O tempo está passando — é hora de comunicar a violação
É importante lembrar que, em alguns casos, é necessário notificar o órgão competente no prazo de 24 horas após a constatação de um incidente e, em certas situações, em até quatro horas.
Aqui estão as principais leis que podem afetar a sua organização.
RGPD/RGPD do Reino Unido – 72 horas
Quem: Qualquer responsável pelo tratamento de dados que exerça atividades na UE ou no Reino Unido, respectivamente.
Se você detectar uma violação que pareça representar um risco para os dados pessoais, a autoridade competente deverá ser notificada no prazo de 72 horas após a descoberta do problema.
Pode tratar-se de uma violação intencional dos seus sistemas que tenha permitido o acesso aos dados dos clientes, ou de um incidente acidental, como a perda de um disco rígido que contenha esses dados. O ponto fundamental é determinar se as pessoas podem ser prejudicadas pelas consequências.
Se você tiver dúvidas se o seu incidente atinge o limite de notificação, é melhor iniciar a contagem regressiva de qualquer maneira e agir com cautela. Certifique-se de registrar tudo o que fizer como parte da sua resposta e, em seguida, entre em contato antes que as 72 horas se esgotem.
NIS2 – 24 horas
Quem: A NIS2 é uma legislação da UE voltada para empresas consideradas “críticas” ou “importantes”, com o objetivo de minimizar as perturbações em setores e infraestruturas vitais. No entanto, você pode ser afetado indiretamente se for um elemento-chave da cadeia de suprimentos de uma empresa que se enquadra na regulamentação da NIS2.
No caso de violações de dados significativas, deve ser feita uma notificação inicial no prazo de 24 horas à CSIRT (equipe de resposta a incidentes de segurança informática) do Estado-Membro. Em seguida, deve ser apresentada uma notificação completa do incidente no prazo de 72 horas e um relatório completo no prazo de um mês.
Se você é um fornecedor na cadeia de suprimentos de uma empresa NIS2, não é obrigado a comunicar um incidente às autoridades, mas deve informar seu cliente; o prazo para fazê-lo pode estar especificado no seu contrato.
O Reino Unido também possui sua própria regulamentação sobre segurança das redes de informação (NIS), que exige a apresentação de um relatório à ICO no prazo de 72 horas para qualquer incidente que tenha um impacto significativo na prestação dos serviços de uma empresa.
DORA – 4 horas
Quem: Quaisquer instituições financeiras que operem na UE. Isso inclui (mas não se limita a) bancos, seguradoras e instituições de pagamento. No entanto, assim como a NIS2 pode abranger entidades além das empresas sob sua alçada, a DORA também considera os prestadores de serviços de TI terceirizados essenciais como parte de seu âmbito de aplicação.
Se uma empresa sujeita à legislação DORA detectar uma violação, ela deve apresentar um relatório inicial no prazo de 24 horas a partir da detecção. No entanto, caso a investigação conclua que se trata de um incidente grave, o prazo para a notificação é reduzido para apenas quatro horas (ou o tempo restante dentro do prazo de 24 horas).
Um relatório intermediário deve ser apresentado no prazo de 72 horas, e um relatório completo no prazo de um mês.
Outra legislação
Existem outras exigências regionais, com países como os Emirados Árabes Unidos e a Arábia Saudita possuindo, cada um, sua própria Lei de Proteção de Dados Pessoais (PDPL). Isso ressalta a necessidade de compreender a legislação dos países em que você opera, e que as respostas podem variar de acordo com a localização.
A possível tríade do jornalismo
Para algumas empresas, pode ser necessário notificar uma violação às autoridades responsáveis pelo RGPD, NIS2 e DORA. Cada uma delas possui um procedimento de notificação e prazos diferentes.
Isso ressalta a necessidade real de se estabelecer processos claros, com responsabilidades bem definidas que determinem quem faz o quê e quando. As consequências de não se fazer isso podem ser onerosas.
Lembre-se: as autoridades estão lá para ajudar
Embora possam aplicar multas pesadas por violações graves e de grande alcance, é importante não ver as autoridades competentes apenas como órgãos de fiscalização. Ao notificá-las rapidamente, elas podem ajudá-lo a lidar com possíveis implicações e a minimizar os danos. No caso dos países da UE, os órgãos competentes também podem facilitar a coordenação transfronteiriça.
Conforme explica a ICO em relação às violações do GDPR: “É compreensível que você esteja preocupado com o que acontecerá a seguir. Mas estamos aqui para ajudá-lo a entender o que aconteceu e para evitar que isso se repita.”
Tudo isso faz parte da gestão de incidentes
Todos esses requisitos de comunicação constituem o cerne de uma gestão eficaz de incidentes. Eles garantem que todos os membros da equipe estejam em sintonia, facilitam a tomada rápida de decisões e ajudam a acompanhar o andamento da resolução do incidente.
Se uma violação for comunicada a uma autoridade, você poderá ser solicitado a demonstrar, passo a passo, todas as medidas que tomou, como parte do processo de identificação e resolução do problema. Também poderá ser solicitado que você apresente provas das medidas tomadas nos meses que antecederam o incidente.
Por isso, é necessário contar com as ferramentas certas para documentar processos e sistemas — não apenas para comprovar que você possui os dados necessários, mas também para mostrar como os utiliza para gerenciar os riscos na sua empresa. Descubra como IT Glue, com seus recursos robustos de documentação, pode ajudá-lo a gerenciar sua resposta a um incidente.
