Por que precisamos do Regulamento NIS?
Se a segurança cibernética não foi uma das principais preocupações de sua empresa há alguns meses atrás, provavelmente agora é. Ou seja, isso se dá pelo fato que o crime cibernético vir crescendo. E com isso, duas novas legislações entraram em vigor a fim de garantir que as empresas tenham as devidas defesas.
Dessas legislações, a maioria das pessoas se focou no GDPR da UE (Regulamento Geral de Proteção de Dados da União Europeia). Assim, restou pouco espaço para debater os Regulamentos NIS (Regulamento de Sistemas de Rede e de Informação 2018 – Security of Network and Information Systems), que entraram em vigor em 10 de maio de 2018.
Saiba o que é a GDPR
GDPR é um projeto para proteção de dados e identidade dos cidadãos da União Europeia. Esse projeto iniciou a se idealizar, de fato, em 2012. E foi aprovado logo após, no ano de 2016. Um ponto que causa uma certa confusão sobre o GDPR é sua prevalência na União Europeia.
A norma é válido para todo tipo de serviço que chega a um cidadão de um dos países do bloco da UE. Isso significa, que uma loja online no Brasil ou de qualquer outro país, tem que se adaptar ao GDPR. Isto é, se o mesmo quiser enviar produtos para clientes na União Europeia, sem desrespeitar a definida lei de proteção.
Menos conhecida do que o GDPR, a diretiva NIS sobre a segurança de redes e sistemas de informação possui o mesmo impacto nos setores críticos da indústria.
E neste nova norma, conforme sua meta, visa criar um nível de segurança para as empresas que atuam com serviços essenciais.
Os principais setores que o NIS abrange são: Infraestrutura de Serviços Financeiros, Transporte, Bancos, Saúde e Provedores de Infraestrutura Digital.
Assim sendo, as empresas inseridas neste contexto são chamadas de operadores de serviços essenciais e devem implementar as regras dessa norma para formar o nível básico de segurança o qual é exigido.
Mas, vamos explicar aqui o porquê você precisa levar a sério os Regulamentos NIS e como você pode alcançar a conformidade.
Regulamentos GDPR x NIS
Separar o GDPR e o Regulamento NIS não são tão simples quanto parecem. Ambas são legislações da UE (União Europeia) que cobrem a segurança e partilham maior parte dos mesmos requisitos. Porém, enquanto o GDPR se concentra em dados pessoais, os Regulamentos NIS estão preocupados com a infraestrutura crítica.
O Regulamento NIS traz fatores em detalhes sobre quais elementos devem ser levados em conta pelos prestadores de serviços digitais, na identificação e adoção de medidas que visam garantir o nível de segurança dos sistemas de informação, que esses prestadores usam para oferta de serviços.
Desse modo, o NIS especifica ainda de forma detalhada, quais são os parâmetros a se considerar para determinar se o impacto de um incidente na prestação desses serviços é considerado grande.
De acordo com isso, a necessidade de legislação para lidar com isso deveria ser óbvia. Há receios crescentes de ataques direcionados a serviços essenciais, que podem causar o maior caos.
Isso foi visto de modo parcial com o ataque WannaCry, de 2017. O WannaCry foi um ataque cibernético que infectou os computadores do Serviço Nacional de Saúde (NHS) britânico.
Além disso, infectou também computadores da empresa de telecomunicações espanhola (Telefónica) e da empresa americana de logística (FedEx), entre outros. Um ataque deliberado por certo causaria um dano ainda maior.
Mas, o Regulamento NIS não é apenas sobre ataques cibernéticos. Em outras palavras, seu escopo inclui qualquer tipo de falha que tenha ramificações de segurança ou que leve à interrupção.
A quem se aplicam os regulamentos do NIS?
Os regulamentos do NIS aplicam-se a dois tipos de empresas. Veja-os em seguida:
- OES (operadores de serviços essenciais) estabelecidos na UE;
- DSPs (provedores de serviços digitais) que oferecem serviços a pessoas dentro da UE.
E há uma ressalva! As normas não se aplicam a DSPs que empregam menos de 50 pessoas e cujo faturamento anual e/ou balanço total é inferior a € 10 milhões (euros).
O que é um OES?
Um OES é uma empresa em qualquer um dos seguintes setores: Energia, Transporte, Saúde, Água e Infraestrutura Digital.
O que é um DSP?
Os DSPs consistem em três tipos de empresas: Motores de Busca, Serviços de Computação em Nuvem e Mercados Online.
Os requisitos do Regulamento NIS
Em princípio, os Regulamentos do NIS exigem que o OES e os DSPs:
- Tome medidas técnicas e organizacionais apropriadas para proteger os sistemas de rede e informação;
- Ter em conta os desenvolvimentos mais recentes e considerar os riscos potenciais que os sistemas enfrentam;
- Tomar medidas apropriadas para prevenir e minimizar o impacto de incidentes de segurança para garantir a continuidade do serviço;
- Notifique a autoridade supervisora relevante de qualquer incidente de segurança que tenha um impacto intenso na continuidade do serviço sem atrasos indevidos.
Existem também requisitos específicos para OES (descritos nos 14 princípios do Centro Nacional de Segurança Cibernética) e DSPs (descritos no Regulamento de Execução).
O NIS é um instrumento vital para se obter um nível elevado de segurança das redes e dos sistemas de informação na União Europeia, que operam da seguinte forma:
- Estabelece que Estados-Membros adotem uma Estratégia nacional de segurança das redes e dos sistemas de informação;
- Cria um Grupo de Cooperação com a meta de apoiar e facilitar a cooperação estratégica e a troca de dados entre os Estados-Membros;
- Estabelece a necessidade de adotar requisitos de segurança para os operadores de serviços essenciais (OES) e para os prestadores de serviços digitais (DSP);
- Cria a obrigação dos Estados-Membros designarem as autoridades nacionais competentes e os pontos de contato relacionadas com a segurança das redes e dos sistemas de informação.
Análise de lacunas do NIS Regulations
Com o Regulamento NIS, as empresas devem começar a avaliar suas necessidades de conformidade. A implementação dos requisitos da norma é um processo longo e difícil, por isso é importante estar o mais preparado possível.
Em suma, uma análise de Lacunas de Regulamentos do NIS, pode fornecer todas os dados de que você precisa desde o início, simplificando o processo de conformidade.
Um consultor especialista em segurança cibernética pode atuar com você para:
- Entrevistar pessoas chave em sua empresa;
- Avaliar seus arranjos atuais de segurança cibernética;
- Analisar as suas políticas e procedimentos existentes quanto à relevância, eficácia e eficiência para definir quaisquer problemas potenciais que possam indicar a não conformidade com os Regulamentos do NIS.
Enfim, chegamos ao final do texto. E nós queremos, antes de tudo, saber o seu ponto de vista. Então, nos diga do que mais gostou!
Mas se acaso, você ficou com alguma questão, não hesite em comentar também.
Que logo após, nós, da PMG Academy, vamos te responder o mais breve. Até mais!
Artigos Relacionados