A DISS-CO® é uma empresa inovadora de tecnologia jurídica com um forte enfoque em eGRC e RegTech. Criada por investigadores com experiência na deteção de fraudes e outras violações em vários sectores.
Biscoito | Duração | Descrição |
---|---|---|
cookielawinfo-checkbox-analytics | 11 meses | Este cookie é definido pelo plugin GDPR Cookie Consent. O cookie é utilizado para armazenar o consentimento do utilizador para os cookies na categoria "Analytics". |
cookielawinfo-checkbox-functional | 11 meses | O cookie é definido pelo consentimento do cookie GDPR para registar o consentimento do utilizador para os cookies na categoria "Funcional". |
cookielawinfo-checkbox-necessary | 11 meses | Este cookie é definido pelo plugin GDPR Cookie Consent. Os cookies são utilizados para armazenar o consentimento do utilizador para os cookies na categoria "Necessário". |
cookielawinfo-checkbox-others | 11 meses | Este cookie é definido pelo plugin GDPR Cookie Consent. O cookie é utilizado para armazenar o consentimento do utilizador para os cookies na categoria "Outros". |
cookielawinfo-checkbox-performance | 11 meses | Este cookie é definido pelo plugin GDPR Cookie Consent. O cookie é utilizado para armazenar o consentimento do utilizador para os cookies na categoria "Desempenho". |
política_de_cookies_visualizados | 11 meses | O cookie é definido pelo plug-in GDPR Cookie Consent e é utilizado para armazenar se o utilizador consentiu ou não na utilização de cookies. Não armazena quaisquer dados pessoais. |
EU NIS 2 - Guia para a conformidade com a IA
A Diretiva SRI 2 (Diretiva (UE) 2022/2555) actualiza e alarga significativamente as obrigações em matéria de cibersegurança e gestão de riscos em toda a União Europeia, revogando a Diretiva SRI original (Diretiva (UE) 2016/1148). Introduz medidas abrangentes destinadas a alcançar um elevado nível comum de cibersegurança em todos os Estados-Membros, melhorando o funcionamento do mercado interno através de melhores protocolos de segurança e capacidades de resposta a incidentes.
A Diretiva NIS 2 (Diretiva (UE) 2022/2555) entrou em vigor em 16 de janeiro de 2023, 20 dias após a sua publicação no Jornal Oficial da União Europeia em 27 de dezembro de 2022. Os Estados-Membros são obrigados a transpor a diretiva para o seu direito nacional até 17 de outubro de 2024.
Compreensão da Aplicação
A diretiva aplica-se a entidades públicas e privadas identificadas como entidades "essenciais" ou "importantes" em vários sectores, como a energia, os transportes, a saúde e as infra-estruturas digitais. Incluem-se aqui os fornecedores de redes públicas de comunicações electrónicas, os fornecedores de serviços de confiança e os fornecedores de serviços de sistemas de nomes de domínio, independentemente da sua dimensão. As entidades da administração pública, especialmente as que se situam a nível da administração central, estão também abrangidas em condições específicas. Os Estados-Membros devem elaborar e atualizar regularmente uma lista de entidades essenciais e importantes.
Identificação das partes obrigadas
Nos termos da Diretiva SRI 2, as empresas são obrigadas a cumprir os seus requisitos se forem consideradas "médias empresas" ou se excederem os limites máximos das médias empresas definidos no artigo 2.º do anexo à Recomendação 2003/361/CE.
Trata-se, em geral, de empresas com mais de 250 trabalhadores ou com um volume de negócios anual superior a 50 milhões de euros e/ou um balanço total anual superior a 43 milhões de euros.
Nos termos da Diretiva SRI 2, determinados sectores são obrigados a cumprir os seus requisitos, independentemente da dimensão das entidades que os integram. Estes sectores incluem:
Esta categoria engloba, de um modo geral, entidades que oferecem serviços e infra-estruturas essenciais para as comunicações digitais em toda a UE.
Estas entidades oferecem serviços e ferramentas digitais para garantir a segurança e a autenticidade das transacções electrónicas, incluindo assinaturas digitais, selos, selos temporais e serviços de certificação conexos.
Incluem-se aqui as organizações responsáveis pela gestão e exploração de domínios de topo (por exemplo, .com, .eu) e as que fornecem serviços DNS essenciais para o funcionamento da Internet.
Trata-se de entidades consideradas essenciais para a manutenção de funções vitais da sociedade ou de actividades económicas, abrangendo um leque mais vasto de sectores e não limitadas pela dimensão.
Além disso, a diretiva aplica-se a qualquer entidade, independentemente da sua dimensão, se:
1) O serviço prestado pela entidade é essencial para a manutenção de actividades sociais ou económicas críticas.
Compreender os requisitos
As entidades abrangidas pelo âmbito de aplicação da diretiva são obrigadas a adotar medidas de gestão do risco e a comunicar incidentes significativos de cibersegurança. Estes requisitos estão detalhados na Diretiva NIS 2 e incluem políticas de análise de risco, tratamento de incidentes, continuidade das actividades e segurança da cadeia de abastecimento. Além disso, as entidades devem aderir a normas de segurança das redes e dos sistemas de informação, abrangendo aspectos que vão desde a ciber-higiene básica até à utilização de criptografia e soluções de autenticação contínua.
Sanções potenciais em caso de incumprimento
Em caso de incumprimento, a Diretiva SRI 2 confere aos Estados-Membros o poder de aplicar coimas administrativas a entidades essenciais e importantes, que podem atingir 10 milhões de euros ou 2% do volume de negócios anual total a nível mundial da empresa a que a entidade pertence, consoante o montante mais elevado. Estas sanções foram concebidas para serem eficazes, proporcionadas e dissuasivas, tendo em conta a gravidade, a duração e a natureza intencional da infração, entre outros factores.
Aplicação e controlo do cumprimento
Os Estados-Membros são responsáveis pela designação de autoridades competentes para supervisionar a aplicação da Diretiva SRI 2. Estas autoridades têm poderes para realizar inspecções, ordenar medidas correctivas e impor coimas. A diretiva estabelece também um grupo de cooperação e uma rede de CSIRTs para facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados-Membros, reforçando a postura colectiva de cibersegurança da UE.
A NIS 2 define um conjunto abrangente de medidas de cibersegurança que as empresas obrigadas têm de implementar. Veja a seguir os principais domínios e os artigos correspondentes:
1. Medidas técnicas e operacionais
Tomar medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que a empresa utiliza para o seu funcionamento ou para a prestação dos seus serviços e para prevenir ou minimizar o impacto dos incidentes nos destinatários dos seus serviços e noutros serviços.
2. Avaliação dos riscos
Ao avaliar a proporcionalidade dessas medidas, devem ser devidamente tidos em conta o grau de exposição da entidade aos riscos, a dimensão da entidade e a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto social e económico.
3. Implementação do SGSI
Garantir um nível de segurança das redes e dos sistemas de informação adequado aos riscos existentes:
Estabeleça políticas sobre a análise de riscos e a segurança dos sistemas de informação e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança; políticas sobre a utilização da criptografia e, se for caso disso, da cifragem.
Responda a incidentes e atenue os riscos para evitar tais incidentes no futuro; assegure a comunicação às autoridades competentes dentro dos prazos legais, em conformidade com o RGPD
Desenvolva um plano de gestão de cópias de segurança e de recuperação de desastres, bem como de gestão de crises.
Considere os aspectos relacionados com a segurança das relações entre cada entidade e os seus fornecedores directos ou prestadores de serviços.
Garantir a segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, incluindo o tratamento e a divulgação de vulnerabilidades.
O controlo criptográfico refere-se à utilização de técnicas e ferramentas criptográficas para proteger a confidencialidade, a integridade e a autenticidade da informação. Estes controlos são componentes vitais das medidas de cibersegurança e proteção de dados de uma entidade, ajudando a proteger os dados sensíveis contra o acesso não autorizado, a divulgação, a alteração e a destruição.
A segurança dos recursos humanos na cibersegurança refere-se às políticas, procedimentos e medidas implementadas para gerir e mitigar os riscos que os funcionários, contratantes e prestadores de serviços terceiros representam para a segurança da informação de uma organização. Engloba uma série de actividades destinadas a garantir que os indivíduos que são contratados, trabalham ou deixam a organização não afectam negativamente a sua postura de cibersegurança. Os principais aspectos da segurança dos recursos humanos incluem:
Realização de controlos de antecedentes e verificação das credenciais de potenciais empregados para avaliar a sua fiabilidade e integridade antes da contratação.
Garantir que os funcionários têm acesso apenas às informações e recursos necessários para as suas funções. Isto envolve a implementação do princípio do menor privilégio e a revisão e ajuste regular dos direitos de acesso à medida que as funções mudam ou os funcionários deixam a organização. Deve ser considerada a utilização de autenticação multi-fator ou de soluções de autenticação contínua.
A gestão de activos é o processo sistemático de identificação, catalogação, gestão e proteção dos activos digitais e físicos de uma organização ao longo do seu ciclo de vida.
Quando os funcionários deixam a organização, é crucial terminar de forma segura o seu acesso a todos os sistemas e recuperar qualquer equipamento ou informação pertencente à empresa. Este processo ajuda a evitar que os antigos funcionários acedam a informações ou sistemas sensíveis de forma não autorizada.
Inclua acordos de confidencialidade e cláusulas relacionadas com a segurança da informação nos contratos de trabalho. Desta forma, garante que os funcionários são legalmente obrigados a proteger as informações sensíveis da organização.
Efetuar avaliações regulares dos processos e práticas de segurança dos recursos humanos para identificar e atenuar quaisquer riscos novos ou em evolução associados ao pessoal.
Fornecer formação regular e programas de sensibilização para educar os funcionários sobre os riscos, políticas e procedimentos de cibersegurança. Isto inclui formação sobre o reconhecimento de tentativas de phishing, proteção de informações sensíveis, utilização de ferramentas de segurança e comunicação de incidentes de segurança.
1. Aproveitando o poder da inteligência artificial, a nossa plataforma oferece uma solução holística para a gestão de políticas e procedimentos, orquestrando respostas a incidentes e, simultaneamente, abordando os riscos de privacidade dos dados.
2. Simplifica a gestão de activos, a integração e monitorização de fornecedores e prestadores de serviços e simplifica a gestão das tarefas de redução de riscos.
3. Com a IA no seu núcleo, a nossa plataforma não só facilita a criação de um painel de gestão intuitivo para uma supervisão abrangente, como também fornece controlo orçamental inteligente e processos de aprovação para tarefas únicas e recorrentes.
Conformidade com a Diretiva NIS 2
Eleve a estratégia de conformidade da sua organização com a nossa Plataforma de Integridade Inteligente melhorada por IA, assegurando uma abordagem perfeita, eficiente e eficaz para cumprir os requisitos da Diretiva NIS 2!