Por que precisamos do Regulamento NIS (security of network and information systems)

Escrito por

Qual a necessidade dos Regulamentos NIS?

Se a segurança cibernética não foi uma das principais preocupações de sua organização há alguns meses atrás, provavelmente agora é. Isso se dá pelo fato que o crime cibernético vem crescendo, com isso, duas novas legislações entraram em vigor a fim de garantir que as organizações tenham as devidas salvaguardas.

Dessas legislações, a maioria das pessoas se concentrou no GDPR da UE (Regulamento Geral de Proteção de Dados da União Europeia). Restou pouco espaço para discutir os Regulamentos NIS (Regulamento de Sistemas de Rede e de Informação 2018 - security of network and information systems), que entraram em vigor em 10 de maio de 2018.

GDPR é um projeto para proteção de dados e identidade dos cidadãos da União Europeia, esse projeto começou se idealizar em 2012 e foi aprovado posteriormente, no ano de 2016. Um ponto que causa uma certa confusão sobre o GDPR é sua prevalência na União Europeia. O regulamento é válido para todo tipo de serviço que chega a um cidadão de um dos países do bloco da UE. Isso significa, que uma loja online no Brasil ou de qualquer outro país, tem que se adaptar ao GDPR, se o mesmo quiser enviar produtos para clientes na União Europeia, sem desrespeitar a determinada lei de proteção.

Menos conhecida do que o GDPR, a diretiva NIS sobre a segurança de redes e sistemas de informação possui o mesmo impacto nos setores críticos da indústria. Este novo regulamento tem como objetivo criar um nível de segurança para as organizações que atuam com serviços essenciais.

Os principais setores que o NIS abrange são: infraestrutura de serviços financeiros, transporte, bancos, saúde e provedores de infraestrutura digital. As organizações inseridas neste contexto são chamadas de operadores de serviços essenciais e devem implementar as regras desse regulamento para formar o nível básico de segurança o qual é exigido.

Vamos explicar aqui o porquê você precisa levar a sério os Regulamentos NIS e como você pode alcançar a conformidade.

Regulamentos GDPR vs. NIS

Separar o GDPR e o Regulamento NIS não é tão simples quanto parece. Ambas são legislações da UE (União Europeia) que cobrem a segurança e partilham maior parte dos mesmos requisitos. Porém, enquanto o GDPR se concentra em dados pessoais, os Regulamentos NIS estão preocupados com a infraestrutura crítica.

O regulamento NIS traz especificações detalhadas sobre quais elementos devem ser levados em conta pelos prestadores de serviços digitais, na identificação e adoção de medidas que visam garantir o nível de segurança dos sistemas de informação, que esses prestadores usam para oferta de serviços. O NIS especifica ainda de forma detalhada, quais são os parâmetros a se considerar para determinar se o impacto de um incidente na prestação desses serviços é considerado grande.

A necessidade de legislação para lidar com isso deveria ser óbvia. Há receios crescentes de ataques direcionados a serviços essenciais, que podem causar o maior caos. Isso foi parcialmente visto com o ataque WannaCry de 2017, O WannaCry foi um ataque cibernético que infectou os computadores do Serviço Nacional de Saúde (NHS) britânico, infectou também computadores das empresas de telecomunicações espanhola (Telefónica) e da empresa americana de logística (FedEx), entre outros. Um ataque deliberado provavelmente causaria um dano ainda maior.

Mas o Regulamento NIS não é apenas sobre ataques cibernéticos. Seu escopo inclui qualquer tipo de falha que tenha ramificações de segurança ou que leve à interrupção.

A quem se aplicam os regulamentos do NIS?

Os regulamentos do NIS aplicam-se a dois tipos de organização:

  • OES (operadores de serviços essenciais) estabelecidos na UE; e
  • DSPs (provedores de serviços digitais) que oferecem serviços a pessoas dentro da UE.

Há uma ressalva: os regulamentos não se aplicam a DSPs que empregam menos de 50 pessoas e cujo faturamento anual e / ou balanço total é inferior a € 10 milhões (euros).

O que é um OES?

Um OES é uma organização em qualquer um dos seguintes setores: Energia, Transporte, Saúde, agua e Infraestrutura digital

O que é um DSP?

Os DSPs consistem em três tipos de organização: Motores de busca, Serviços de computação em nuvem e Mercados online.

Os requisitos do Regulamento NIS

Os regulamentos do NIS exigem que o OES e os DSPs:

  • Tome medidas técnicas e organizacionais apropriadas para proteger os sistemas de rede e informação;
  • Ter em conta os desenvolvimentos mais recentes e considerar os riscos potenciais que os sistemas enfrentam.
  • Tomar medidas apropriadas para prevenir e minimizar o impacto de incidentes de segurança para garantir a continuidade do serviço; e
  • Notifique a autoridade supervisora ​​relevante de qualquer incidente de segurança que tenha um impacto significativo na continuidade do serviço sem atrasos indevidos.

Existem também requisitos específicos para OES (descritos nos 14 princípios do Centro Nacional de Segurança Cibernética) e DSPs (descritos no Regulamento de Execução).

O NIS é um instrumento fundamental para se obter um nível elevado de segurança das redes e dos sistemas de informação na União Europeia, operando da seguinte forma:

  • Estabelece que Estados-Membros adotem uma Estratégia nacional de segurança das redes e dos sistemas de informação;
  • Cria um Grupo de Cooperação com o objetivo de apoiar e facilitar a cooperação estratégica e a troca de informações entre os Estados-Membros;
  • Estabelece a necessidade de adotar requisitos de segurança para os operadores de serviços essenciais (OES) e para os prestadores de serviços digitais (DSP);
  • Cria a obrigação dos Estados-Membros designarem as autoridades nacionais competentes e os pontos de contato relacionadas com a segurança das redes e dos sistemas de informação.

Análise de lacunas do NIS Regulations

Com o Regulamento NIS, as organizações devem começar a avaliar suas necessidades de conformidade. A implementação dos requisitos do regulamento é um processo longo e difícil, por isso é importante estar o mais preparado possível. Uma análise de Lacunas de Regulamentos do NIS, pode fornecer todas as informações de que você precisa desde o início, simplificando o processo de conformidade.

Um consultor especialista em segurança cibernética pode atuar com você para:

  • Entrevistar pessoas chave em sua organização;
  • Avaliar seus arranjos atuais de segurança cibernética; e
  • Analisar as suas políticas e procedimentos existentes quanto à relevância, eficácia e eficiência para determinar quaisquer problemas potenciais que possam indicar a não conformidade com os Regulamentos do NIS.

Deixe um comentário

Certifique-se de preencher os campos indicados com (*). Não é permitido código HTML.


Nossos produtos


  • Curso e Exame Online EXIN SCRUM Agile MASTER
    Agile Scrum Master
  • Curso e Exame Online EXIN SCRUM Agile FOUNDATION
    Agile Scrum Foundation
  • Curso e Exame Online Ethical Hacking Foundation
    Ethical Hacking Foundation
  • Curso e Exame Online SECURE PRO FOUNDATION
    Secure Programming Foundation
  • Curso e Exame Online ITIL v3 Foundation
    ITIL v3 Foundation
  • Curso e Exame Online ITIL PRACTITIONER
    ITIL v3 Practitioner
  • Curso e Exame Online ITIL Intermediate RCV
    ITIL Intermediate - RCV
  • Curso e Exame Online ITIL Intermediate PPO
    ITIL Intermediate - PPO
  • Curso e Exame Online COBIT 5 Foundation
    CobiT 5
  • Curso e Exame Online Cloud Computing Foundation
    Cloud
  • Curso e Exame Online BISL Foundation
    BiSL Foundation
  • Curso e Exame Online ISO 27002 FOUN ISFS
    ISO 27002
  • Curso e Exame Online ISO 20000 FOUNDATION
    ISO 20000 Foundation
  • Curso e Exame Online ISO 27002 Advanced ISMAS
    ISMAS - ISO 27002 Advanced
  • Curso e Exame Online EXIN GREEN IT FOUNDA
    Green IT Foundation
  • Curso e Exame Online EXIN GREEN IT CITIZEN
    Green IT Citizen
  • Curso e Exame Online Val IT ISACA
    Val IT
  • Curso e Exame Online ISO 20000 BRIDGE Foundation
    ISO 20000 Bridge Foundation
  • Curso e Exame Online MOF FOUNDATION
    MOF 4.0 Foundation
  • Curso e Exame Online Pacote INTEGRATOR
    Integrator Secure Cloud Services
  • VIRTUALIZ
    LPIC-3
  • BIG DATA C
    Fundamentos do Big Data
  • REDE WIFI
    Práticas de Wifi
  • Qlikview
    QlikView
  • Visual Basic .NET na Prática
    .Net na Prática
  • Net VB .Net Grátis
    Introdução ao .Net
  • Curso e Exame Online ITMP GR C3 81TIS
    ITMP
  • SURFANDO NO SCRUM
    Surfando no Scrum
  • Curso e Exame Online COBIT 4.1 Foundation
    CobiT 4.1
  • rede wifi introdução Grátis
    Redes Wi-Fi Grátis
  • Curso Online Preparatorio RHCSA RH135 Centos 7 System Linux Administrator II
    RH135