NIS 2… era necessária

Em 30 de janeiro do ano 2020, a Organização Mundial de Saúde declarou uma emergência de saúde pública devido à COVID-19 que iria perturbar a vida de todos nós. Semanas mais tarde, a maioria dos cidadãos ficou confinada às suas casas e teve de realizar as suas atividades profissionais à distância. Claro que nem todos estavam preparados para esta situação. Nem as organizações. No entanto, os grupos de cibercrime foram mais rápidos do que ninguém a ver a oportunidade que esta situação representava. As fronteiras entre estar dentro e fora dos sistemas de informação das empresas tinham-se desfeito e medidas como a autenticação de dois fatores eram uma necessidade. Estes grupos não iam perder a oportunidade que a situação lhes apresentava.

Entretanto, os grupos de cibercrime conseguiram adaptar-se rapidamente face à evolução da implantação defensiva e das ações operacionais levadas a cabo pelas entidades e também por uma indústria em constante evolução. Quando as grandes empresas instalaram sistemas de cibersegurança mais robustos, procuraram uma forma alternativa de penetrar nos seus sistemas. Por exemplo, atacando a sua cadeia de abastecimento, imitando as operações dos administradores ou aprendendo a utilizar os sistemas operativos a um nível baixo.

E, em consonância com o ataque à cadeia de abastecimento, os adversários encontraram setores que aparentemente não eram críticos e, portanto, não estavam vinculados à Diretiva NIS, onde os ciberataques afetaram sensivelmente um conjunto considerável de cidadãos.

Algo também não parecia estar a fluir de forma adequada em conformidade com a regra. Por exemplo, se o regulamento relativo à NIS afirmava a necessidade de comunicar, porque é que isso não estava a ser feito, ou pelo menos não como se esperava? Se lermos os artigos da Diretiva, esta não especifica os prazos para o fazer. É curioso o facto de o artigo 23.º, relativo à notificação, conter o seguinte título: “Flexibilidade no cumprimento dos prazos de notificação”. Ora, a nova norma NIS 2 estabelece prazos bastante cristalinos.

A UE apressou-se a apresentar uma diretiva como a NIS 2 quando a anterior tinha apenas seis anos

Fatores como os acima mencionados são, sem dúvida, a inspiração para a Diretiva NIS 2 de que falámos recentemente. E podemos dizer que a União Europeia foi rápida a publicar uma diretiva como a NIS 2, quando a anterior tinha apenas 6 anos em vigor. Mas a tendência que está a marcar a cibercriminalidade exigia mudanças e, sobretudo, a clarificação de alguns aspetos que podiam permanecer nebulosos.

Por um lado, a transposição aclarou as funções e os mecanismos de relacionamento entre os diferentes agentes afetados pela Diretiva. Por outro lado, tornou claro para as organizações o papel do Responsável de Segurança, bem como a necessidade de corresponsabilidade e a necessidade, se não mesmo a obrigação, de colaborar para um objetivo comum.

Agora que o anteprojeto foi apresentado, os prazos estão meio desenhados. Embora possa logicamente ser modificado quando a lei for publicada, o mês de abril deste ano parece ser uma data-chave, fixando o dia em que serão notificados os nomes das entidades classificadas como essenciais e importantes. A partir daí, é tempo de adaptação, e sem grandes demoras. A Diretiva NIS está em vigor e a Lei determinará que a sua entrada em vigor terá lugar no dia seguinte ao da sua publicação no Boletín Oficial del Estado, em Espanha.

Para aqueles que já estão a trabalhar para a certificação ENS de alto nível, será mais fácil. Também aqueles que estão certificados pela ISO 27001, embora seja necessário cobrir um certo GAP, uma vez que as medidas técnicas não têm necessariamente de estar totalmente alinhadas. Os que não seguiram este caminho terão um pouco mais de dificuldade. Mas não é impossível, se houver vontade.

O que é que a Izertis tem feito durante este período? Em primeiro lugar, temos estado a preparar-nos e a desenvolver as competências para ajudar os nossos clientes a adaptarem-se ou aplicar estas normativas futuras. É verdade que já temos um historial de conhecimento e implementação de muitas normativas já em vigor, mas cada um deles tem as suas particularidades.

Em segundo lugar, temos vindo a identificar quem, porquê e como. A Diretiva tem as suas particularidades. Por exemplo, se falarmos do setor essencial “transportes rodoviários” e nos cingirmos à formulação literal da expressão, podemos entrar numa confusão lógica. Mas se lermos o texto que acompanha a diretiva sobre o tipo de entidade, fica claro que esta se aplica aos “operadores de sistemas de transporte inteligentes, tal como definidos no artigo 4.º, n.º 1, da Diretiva 2010/40/UE do Parlamento Europeu e do Conselho (14)”.

É igualmente necessário considerar quem, a priori, pode ser afetado pelo setor, mas não está abrangido pela Diretiva NIS 2. Existe um conceito interessante na lei para a aplicação do conceito ‘Lex specialis derogat legi generali’. A DORA é um exemplo de Lex specialis que está harmonizada com a Diretiva NIS.

Uma vez que muitas organizações seguiram caminhos como a conformidade com a ENS ou a ISO 27001, preparámos uma análise GAP para uma adaptação ágil. Isto porque, nalguns casos, pode ser necessário adaptar os procedimentos de resposta a incidentes, os protocolos de comunicação ou, quiçá, os processos de avaliação da cadeia de fornecimento.

As organizações podem contar com o apoio oferecido pela nossa solução Sidertia

A nossa equipa de arquitetura e hardening trabalha há anos em regulamentações tão sensíveis como as dos materiais classificados, adaptando os sistemas de informação às medidas mais complexas, em que a Zero Trust não é uma condição possível. É uma obrigação. Por isso, tem as competências para ajudar as organizações a implementar as medidas necessárias exigidas pela norma. E, como se isso não bastasse, são complementados por equipas de segurança ofensiva que, num esforço coordenado, se posicionam com a visão do atacante para descobrir as lacunas que precisam de ser colmatadas.

Por fim, as organizações são apoiadas pela nossa solução Sidertia. Avaliar-se num modelo de análise contínua ou realizar uma análise e assessment técnico da cadeia de abastecimento é simples de realizar com a nossa solução. Além disso, será mantido um histórico da evolução da conformidade e da centralização dos diferentes ativos, fazendo a abordagem a partir de diferentes perspetivas: global, empresarial, técnica, ...

O desafio está lançado e nós estamos totalmente preparados.

Blog

< Voltar

Nó: portalesizertis-webapp-6896d4b56c-nlqsh:8080

Nome	Descrição	Tipo	Fornecedor
COOKIE_SUPPORT	Este cookie determina se o seu navegador aceita cookies.	HTTP	izertis.com
INGRESSCOOKIE	Grava a piscina que serve o visitante. Isto é usado em relação ao equilíbrio de carga para otimizar a experiência do utilizador.	HTTP	izertis.com
JSESSIONID	Preserva os estados dos utilizadores em todos os pedidos da página.	HTTP	izertis.com
LFR_SESSION_STATE_20103	Cookie utilizado pelo portal web para controlo de tempo de sessão.	HTTP	izertis.com

Nome	Descrição	Tipo	Fornecedor	com.cookies.table.life
GUEST_LANGUAGE_ID	Os cookies preferenciais permitem ao site lembrar informações que alteram a forma como a página se comporta ou como parece, como o seu idioma preferido ou a região em que está localizada. ...	HTTP	izertis.com
lang	Lembre-se do idioma selecionado por um utilizador para ver uma página web	HTTP	ads.linkedin.com

Nome	Descrição	Tipo	Fornecedor
_ga	Regista uma identificação única que é usada para gerar dados estatísticos sobre como a visita utiliza o website.	HTTP	izertis.com
_gat	Usado pelo Google Analytics para controlar a taxa de pedidos.	HTTP	izertis.com
_gid	Regista uma identificação única que é usada para gerar dados estatísticos sobre como o visitante utiliza o site.	HTTP	izertis.com
bounce	Determina se um visitante sai imediatamente do site - Esta informação é utilizada para estatísticas internas e análise pelo operador web.	Pixel	adnxs.com
cb	Recoge información de la dirección de IP del visitante, localización geográfica y navegación. Esta información se utiliza para la optimización interna y estadísticas para el operador de la web.	Pixel	pixel.prfct.co
cb	Recolher informações sobre o endereço IP do visitante, localização geográfica e navegação. Esta informação é utilizada para otimização interna e estatísticas para o operador web.	Pixel	pixel-geo.prfct.co
personalization_id	Definido pelo Twitter - O cookie permite ao visitante partilhar conteúdo sonoro no seu perfil de Twitter.	HTTP	twitter.com
seg	Regista dados estatísticos do comportamento dos visitantes na web. Isto é usado para análise interna pelo operador web.	Pixel	adnxs.com
seg	Regista dados estatísticos do comportamento dos visitantes na web. Isto é usado para análise interna pelo operador web.	Pixel	pixel-geo.prfct.co

Nome	Descrição	Tipo	Fornecedor
__ss	Recoge información del comportamiento del visitante en múltiples webs - Esta información se utiliza dentro de la web para optimizar la relevancia de la publicidad. La cookie también ayuda a determinar cómo el visitante accede a la web	HTTP	izertis.com
__ss_referrer	Recolher informações sobre o comportamento do visitante em vários sites - Esta informação é usada dentro da web para otimizar a relevância da publicidade. O cookie também ajuda a determinar como o visitante acede ao site.	HTTP	izertis.com
__ss_tk	Recolher informações sobre o comportamento do visitante em vários sites - Esta informação é usada dentro da web para otimizar a relevância da publicidade. O cookie também ajuda a determinar como o visitante acede ao site	HTTP	izertis.com
_fbp	Usado pelo Facebook para fornecer uma série de produtos publicitários, como licitação em tempo real de anunciantes de terceiros.	HTTP	izertis.com
A3	Recoge información del comportamiento del visitante en múltiples webs - Esta información se utiliza dentro de la web para optimizar la relevancia de la publicidad.	HTTP	yahoo.com
ads/ga-audiences	Recolher informações sobre o comportamento do visitante em vários sites - Esta informação é usada dentro da web para otimizar a relevância da publicidade.	Pixel	google.com
anj	Registra una identificación única que identifica el dispositivo de un usuario que vuelve. La identificación se utiliza para los anuncios específicos.	HTTP	adnxs.com
bcookie	Regista um ID único que identifica o dispositivo de um utilizador de retorno. A identificação é usada para anúncios específicos.	HTTP	linkedin.com
bscookie	Utilizado pelo serviço de redes sociais LinkedIn para acompanhar a utilização de serviços embutidos	HTTP	linkedin.com
cs	Esta cookie se utiliza para mejorar la relevancia de anuncios por medio de recoger datos del visitante en múltiples sitios web. Este intercambio de datos de visitante lo ofrece habitualmente un in tercambio de anuncios o centro de datos de terceros.	Pixel	pixel-geo.prfct.co
d/px	Este cookie é usado para melhorar a relevância dos anúncios, recolhendo dados de visitantes em vários sites. Esta troca de dados de visitantes é geralmente oferecida por uma troca de anúncios ou por um centro de dados de terceiros.	Pixel	adsymptotic.com
fr	Usado pelo Facebook para fornecer uma série de produtos publicitários, como licitação em tempo real de anunciantes de terceiros.	HTTP	facebook.com
getuid	O gestor de audiências configura este cookie para determinar a hora e a frequência de nenhum tempo de dados do visitante. Sincronizar o cookie de dados é usado para sincronizar e recolher dados de visitantes de vários websites.	Pixel	adnxs.com
i	O gestor de audiências configura este cookie para determinar a hora e a frequência de nenhum tempo de dados do visitante. Sincronizar o cookie de dados é usado para sincronizar e recolher dados de visitantes de vários websites. ...	HTTP	openx.net
i/adsct	Regista dados anónimos de utilizadores, tais como o seu endereço IP, localização geográfica, websites visitados e quais anúncios o utilizador clicou, de forma a otimizar a exibição de anúncios com base no movimento do utilizador em websites que utilizam a mesma rede de anúncios. ...	Pixel	twitter.com
IDE	Utilizada por Google DoubleClick para registrar e informar sobre las acciones del usuario en el sitio web tras visualizar o hacer clic en uno de los anuncios del anunciante con el propósito de medir la eficacia de un anuncio y presentar anuncios específicos para el usuario.	HTTP	doubleclick.net
koitk	Utilizado pelo Google DoubleClick para gravar e reportar ações de utilizador no site após visualizar ou clicar num dos anúncios do anunciante com o propósito de medir a eficácia de um anúncio e apresentar anúncios específicos do utilizador.	HTTP	marketingautomation.services
lang	Definido pelo LinkedIn quando uma página web contém um painel incorporado Siga-nos.	HTTP	linkedin.com
lidc	Utilizado pelo serviço de redes sociais LinkedIn para acompanhar o uso de serviços incorporados.	HTTP	linkedin.com
lissc	Utilizado pelo serviço de redes sociais LinkedIn para acompanhar o uso de serviços incorporados.	HTTP	linkedin.com
na_id	Costumava reconhecer o visitante na sua reentrada. Isto permite que o site registem o comportamento do visitante e facilitem a funcionalidade de partilha de redes sociais fornecida por Addthis.com.	HTTP	addthis.com
ouid	Define uma cadeia de identificação para um visitante específico. Isto é usado para reconhecer o visitante na sua reentrada. Além disso, permite ao site registar o comportamento do visitante e facilita a função de partilha nas redes sociais fornecidas por Addthis.com.	HTTP	addthis.com
pa_#_ts	Usado em sites que usam a mesma rede de anúncios para mostrar anúncios a outros para nunciants de rede.	HTTP	prfct.co
pa_uid	Utilizada en sitios web que utilizan la misma red publicitaria para mostrar anuncios a los otros anunciantes de la red.	HTTP	prfct.co
test_cookie	Usado em sites que usam a mesma rede de anúncios para mostrar anúncios a outros anunciantes na rede.	HTTP	doubleclick.net
tr	Usado pelo Facebook para fornecer uma série de produtos publicitários, como licitação em tempo real de anunciantes de terceiros.	Pixel	facebook.com
uid	Cria um ID de utilizador único gerado por uma máquina. AddThis, que é um anúncio da Clearspring Technologies, utiliza a identificação do utilizador para permitir que o utilizador partilhe conteúdos em várias redes sociais, fornecendo estatísticas detalhadas a vários fornecedores.	HTTP	addthis.com
usermap	Utilizada para presentar al visitante contenido y publicidad relevante - El servicio está provisto por grupos de proveedores de publicidad externos, que facilitan ofertas en tiempo real a los anunciantes.	Pixel	pixel-geo.prfct.co
UserMatchHistory	Utilizado para apresentar ao visitante conteúdo e publicidade relevantes - O serviço é fornecido por grupos de fornecedores de publicidade de terceiros, que fornecem ofertas em tempo real aos anunciantes.	HTTP	linkedin.com
uuid2	Regista um ID único que identifica o dispositivo de um utilizador de retorno. A identificação é usada para anúncios específicos.	HTTP	adnxs.com
VISITOR_INFO1_LIVE	Tente calcular a largura de banda do utilizador em páginas com vídeos incorporados no YouTube.	HTTP	youtube.com
w/1.0/sd	Registem dados de visitantes como o seu endereço IP, localização geográfica e envolvimento publicitário. Esta informação é usada para otimizar a publicidade em sites que utilizam OpenX.net.	Pixel	openx.net
YSC	Grave um ID único para manter as estatísticas dos vídeos do YouTube que o utilizador viu.	HTTP	youtube.com
yt-remote-cast-installed	Grava as preferências dos jogadores de vídeo do utilizador ao ver vídeos incorporados no YouTube.	HTML	youtube.com
yt-remote-connected-devices	Grava as preferências dos jogadores de vídeo do utilizador ao ver vídeos incorporados no YouTube.	HTML	youtube.com
yt-remote-device-id	Grava as preferências dos jogadores de vídeo do utilizador ao ver vídeos incorporados no YouTube.	HTML	youtube.com
yt-remote-fast-check-period	Grava as preferências dos jogadores de vídeo do utilizador ao ver vídeos incorporados no YouTube.	HTML	youtube.com
yt-remote-session-app	Grava as preferências dos jogadores de vídeo do utilizador ao ver vídeos incorporados no YouTube.	HTML	youtube.com
yt-remote-session-name	Registra las preferencias del reproductor de vídeo del usuario al ver vídeos incrustados de YouTube.	HTML	youtube.com
li_sugr	Grava as preferências dos jogadores de vídeo do utilizador ao ver vídeos incorporados no YouTube.	HTTP	linkedin.com