nis 2 izertis
Juan Luis García Lead of Cybersecurity Business Development

NIS 2… era necessária

Em 30 de janeiro do ano 2020, a Organização Mundial de Saúde declarou uma emergência de saúde pública devido à COVID-19 que iria perturbar a vida de todos nós. Semanas mais tarde, a maioria dos cidadãos ficou confinada às suas casas e teve de realizar as suas atividades profissionais à distância. Claro que nem todos estavam preparados para esta situação. Nem as organizações. No entanto, os grupos de cibercrime foram mais rápidos do que ninguém a ver a oportunidade que esta situação representava. As fronteiras entre estar dentro e fora dos sistemas de informação das empresas tinham-se desfeito e medidas como a autenticação de dois fatores eram uma necessidade. Estes grupos não iam perder a oportunidade que a situação lhes apresentava.

Entretanto, os grupos de cibercrime conseguiram adaptar-se rapidamente face à evolução da implantação defensiva e das ações operacionais levadas a cabo pelas entidades e também por uma indústria em constante evolução. Quando as grandes empresas instalaram sistemas de cibersegurança mais robustos, procuraram uma forma alternativa de penetrar nos seus sistemas. Por exemplo, atacando a sua cadeia de abastecimento, imitando as operações dos administradores ou aprendendo a utilizar os sistemas operativos a um nível baixo.

E, em consonância com o ataque à cadeia de abastecimento, os adversários encontraram setores que aparentemente não eram críticos e, portanto, não estavam vinculados à Diretiva NIS, onde os ciberataques afetaram sensivelmente um conjunto considerável de cidadãos.

Algo também não parecia estar a fluir de forma adequada em conformidade com a regra. Por exemplo, se o regulamento relativo à NIS afirmava a necessidade de comunicar, porque é que isso não estava a ser feito, ou pelo menos não como se esperava? Se lermos os artigos da Diretiva, esta não especifica os prazos para o fazer. É curioso o facto de o artigo 23.º, relativo à notificação, conter o seguinte título: “Flexibilidade no cumprimento dos prazos de notificação”. Ora, a nova norma NIS 2 estabelece prazos bastante cristalinos.

A UE apressou-se a apresentar uma diretiva como a NIS 2 quando a anterior tinha apenas seis anos

Fatores como os acima mencionados são, sem dúvida, a inspiração para a Diretiva NIS 2 de que falámos recentemente. E podemos dizer que a União Europeia foi rápida a publicar uma diretiva como a NIS 2, quando a anterior tinha apenas 6 anos em vigor. Mas a tendência que está a marcar a cibercriminalidade exigia mudanças e, sobretudo, a clarificação de alguns aspetos que podiam permanecer nebulosos.

Por um lado, a transposição aclarou as funções e os mecanismos de relacionamento entre os diferentes agentes afetados pela Diretiva. Por outro lado, tornou claro para as organizações o papel do Responsável de Segurança, bem como a necessidade de corresponsabilidade e a necessidade, se não mesmo a obrigação, de colaborar para um objetivo comum.

Agora que o anteprojeto foi apresentado, os prazos estão meio desenhados. Embora possa logicamente ser modificado quando a lei for publicada, o mês de abril deste ano parece ser uma data-chave, fixando o dia em que serão notificados os nomes das entidades classificadas como essenciais e importantes. A partir daí, é tempo de adaptação, e sem grandes demoras. A Diretiva NIS está em vigor e a Lei determinará que a sua entrada em vigor terá lugar no dia seguinte ao da sua publicação no Boletín Oficial del Estado, em Espanha.

Para aqueles que já estão a trabalhar para a certificação ENS de alto nível, será mais fácil. Também aqueles que estão certificados pela ISO 27001, embora seja necessário cobrir um certo GAP, uma vez que as medidas técnicas não têm necessariamente de estar totalmente alinhadas. Os que não seguiram este caminho terão um pouco mais de dificuldade. Mas não é impossível, se houver vontade.

O que é que a Izertis tem feito durante este período? Em primeiro lugar, temos estado a preparar-nos e a desenvolver as competências para ajudar os nossos clientes a adaptarem-se ou aplicar estas normativas futuras. É verdade que já temos um historial de conhecimento e implementação de muitas normativas já em vigor, mas cada um deles tem as suas particularidades.

Em segundo lugar, temos vindo a identificar quem, porquê e como. A Diretiva tem as suas particularidades. Por exemplo, se falarmos do setor essencial “transportes rodoviários” e nos cingirmos à formulação literal da expressão, podemos entrar numa confusão lógica. Mas se lermos o texto que acompanha a diretiva sobre o tipo de entidade, fica claro que esta se aplica aos “operadores de sistemas de transporte inteligentes, tal como definidos no artigo 4.º, n.º 1, da Diretiva 2010/40/UE do Parlamento Europeu e do Conselho (14)”.

É igualmente necessário considerar quem, a priori, pode ser afetado pelo setor, mas não está abrangido pela Diretiva NIS 2. Existe um conceito interessante na lei para a aplicação do conceito ‘Lex specialis derogat legi generali’. A DORA é um exemplo de Lex specialis que está harmonizada com a Diretiva NIS.

Uma vez que muitas organizações seguiram caminhos como a conformidade com a ENS ou a ISO 27001, preparámos uma análise GAP para uma adaptação ágil. Isto porque, nalguns casos, pode ser necessário adaptar os procedimentos de resposta a incidentes, os protocolos de comunicação ou, quiçá, os processos de avaliação da cadeia de fornecimento.

As organizações podem contar com o apoio oferecido pela nossa solução Sidertia

A nossa equipa de arquitetura e hardening trabalha há anos em regulamentações tão sensíveis como as dos materiais classificados, adaptando os sistemas de informação às medidas mais complexas, em que a Zero Trust não é uma condição possível. É uma obrigação. Por isso, tem as competências para ajudar as organizações a implementar as medidas necessárias exigidas pela norma. E, como se isso não bastasse, são complementados por equipas de segurança ofensiva que, num esforço coordenado, se posicionam com a visão do atacante para descobrir as lacunas que precisam de ser colmatadas.

Por fim, as organizações são apoiadas pela nossa solução Sidertia. Avaliar-se num modelo de análise contínua ou realizar uma análise e assessment técnico da cadeia de abastecimento é simples de realizar com a nossa solução. Além disso, será mantido um histórico da evolução da conformidade e da centralização dos diferentes ativos, fazendo a abordagem a partir de diferentes perspetivas: global, empresarial, técnica, ...

O desafio está lançado e nós estamos totalmente preparados.