Por que precisamos do Regulamento NIS (security of network and information systems)

Adriano Martins Antonio

Adriano Martins Antonio

em 13 de setembro de 2018

Fique ligado

​Entre para nossa lista e receba conteúdos exclusivos e com prioridade

Qual a necessidade dos Regulamentos NIS?

Se a segurança cibernética não foi uma das principais preocupações de sua organização há alguns meses atrás, provavelmente agora é. Isso se dá pelo fato que o crime cibernético vem crescendo, com isso, duas novas legislações entraram em vigor a fim de garantir que as organizações tenham as devidas salvaguardas.

Dessas legislações, a maioria das pessoas se concentrou no GDPR da UE (Regulamento Geral de Proteção de Dados da União Europeia). Restou pouco espaço para discutir os Regulamentos NIS (Regulamento de Sistemas de Rede e de Informação 2018 – security of network and information systems), que entraram em vigor em 10 de maio de 2018.

GDPR é um projeto para proteção de dados e identidade dos cidadãos da União Europeia, esse projeto começou se idealizar em 2012 e foi aprovado posteriormente, no ano de 2016. Um ponto que causa uma certa confusão sobre o GDPR é sua prevalência na União Europeia. O regulamento é válido para todo tipo de serviço que chega a um cidadão de um dos países do bloco da UE. Isso significa, que uma loja online no Brasil ou de qualquer outro país, tem que se adaptar ao GDPR, se o mesmo quiser enviar produtos para clientes na União Europeia, sem desrespeitar a determinada lei de proteção.

Menos conhecida do que o GDPR, a diretiva NIS sobre a segurança de redes e sistemas de informação possui o mesmo impacto nos setores críticos da indústria. Este novo regulamento tem como objetivo criar um nível de segurança para as organizações que atuam com serviços essenciais.

Os principais setores que o NIS abrange são: infraestrutura de serviços financeiros, transporte, bancos, saúde e provedores de infraestrutura digital. As organizações inseridas neste contexto são chamadas de operadores de serviços essenciais e devem implementar as regras desse regulamento para formar o nível básico de segurança o qual é exigido.

Vamos explicar aqui o porquê você precisa levar a sério os Regulamentos NIS e como você pode alcançar a conformidade.

Regulamentos GDPR vs. NIS

Separar o GDPR e o Regulamento NIS não é tão simples quanto parece. Ambas são legislações da UE (União Europeia) que cobrem a segurança e partilham maior parte dos mesmos requisitos. Porém, enquanto o GDPR se concentra em dados pessoais, os Regulamentos NIS estão preocupados com a infraestrutura crítica.

O regulamento NIS traz especificações detalhadas sobre quais elementos devem ser levados em conta pelos prestadores de serviços digitais, na identificação e adoção de medidas que visam garantir o nível de segurança dos sistemas de informação, que esses prestadores usam para oferta de serviços. O NIS especifica ainda de forma detalhada, quais são os parâmetros a se considerar para determinar se o impacto de um incidente na prestação desses serviços é considerado grande.

A necessidade de legislação para lidar com isso deveria ser óbvia. Há receios crescentes de ataques direcionados a serviços essenciais, que podem causar o maior caos. Isso foi parcialmente visto com o ataque WannaCry de 2017, O WannaCry foi um ataque cibernético que infectou os computadores do Serviço Nacional de Saúde (NHS) britânico, infectou também computadores das empresas de telecomunicações espanhola (Telefónica) e da empresa americana de logística (FedEx), entre outros. Um ataque deliberado provavelmente causaria um dano ainda maior.

Mas o Regulamento NIS não é apenas sobre ataques cibernéticos. Seu escopo inclui qualquer tipo de falha que tenha ramificações de segurança ou que leve à interrupção.

A quem se aplicam os regulamentos do NIS?

Os regulamentos do NIS aplicam-se a dois tipos de organização:

  • OES (operadores de serviços essenciais) estabelecidos na UE; e
  • DSPs (provedores de serviços digitais) que oferecem serviços a pessoas dentro da UE.

Há uma ressalva: os regulamentos não se aplicam a DSPs que empregam menos de 50 pessoas e cujo faturamento anual e / ou balanço total é inferior a € 10 milhões (euros).

O que é um OES?

Um OES é uma organização em qualquer um dos seguintes setores: Energia, Transporte, Saúde, agua e Infraestrutura digital

O que é um DSP?

Os DSPs consistem em três tipos de organização: Motores de busca, Serviços de computação em nuvem e Mercados online.

Os requisitos do Regulamento NIS

Os regulamentos do NIS exigem que o OES e os DSPs:

  • Tome medidas técnicas e organizacionais apropriadas para proteger os sistemas de rede e informação;
  • Ter em conta os desenvolvimentos mais recentes e considerar os riscos potenciais que os sistemas enfrentam.
  • Tomar medidas apropriadas para prevenir e minimizar o impacto de incidentes de segurança para garantir a continuidade do serviço; e
  • Notifique a autoridade supervisora ​​relevante de qualquer incidente de segurança que tenha um impacto significativo na continuidade do serviço sem atrasos indevidos.

Existem também requisitos específicos para OES (descritos nos 14 princípios do Centro Nacional de Segurança Cibernética) e DSPs (descritos no Regulamento de Execução).

O NIS é um instrumento fundamental para se obter um nível elevado de segurança das redes e dos sistemas de informação na União Europeia, operando da seguinte forma:

  • Estabelece que Estados-Membros adotem uma Estratégia nacional de segurança das redes e dos sistemas de informação;
  • Cria um Grupo de Cooperação com o objetivo de apoiar e facilitar a cooperação estratégica e a troca de informações entre os Estados-Membros;
  • Estabelece a necessidade de adotar requisitos de segurança para os operadores de serviços essenciais (OES) e para os prestadores de serviços digitais (DSP);
  • Cria a obrigação dos Estados-Membros designarem as autoridades nacionais competentes e os pontos de contato relacionadas com a segurança das redes e dos sistemas de informação.

Análise de lacunas do NIS Regulations

Com o Regulamento NIS, as organizações devem começar a avaliar suas necessidades de conformidade. A implementação dos requisitos do regulamento é um processo longo e difícil, por isso é importante estar o mais preparado possível. Uma análise de Lacunas de Regulamentos do NIS, pode fornecer todas as informações de que você precisa desde o início, simplificando o processo de conformidade.

Um consultor especialista em segurança cibernética pode atuar com você para:

  • Entrevistar pessoas chave em sua organização;
  • Avaliar seus arranjos atuais de segurança cibernética; e
  • Analisar as suas políticas e procedimentos existentes quanto à relevância, eficácia e eficiência para determinar quaisquer problemas potenciais que possam indicar a não conformidade com os Regulamentos do NIS.
Compartilhar no facebook
Facebook
Compartilhar no google
Google+
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn

Artigos Relacionados

Manifesto ágil
Artigos
Henrique Mata

O Manifesto Ágil!

O Manifesto Ágil! Lembra que falamos sobre o movimento da agilidade no post anterior? Então,

Leia Mais »

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

×

Olá Visitante! 😊 Você têm: Expirado!
00 Days
00 Hrs
00 Mins
00 Secs
para aproveitar o desconto de 15% (apenas nos cursos) Resgatar Agora!

@

Não ativo recentemente
X
X
X