| Biscoito | Duração | Descrição |
|---|---|---|
| cookielawinfo-checkbox-analytics | 11 meses | Este cookie é definido pelo plugin GDPR Cookie Consent. O cookie é utilizado para armazenar o consentimento do utilizador para os cookies na categoria "Analytics". |
| cookielawinfo-checkbox-functional | 11 meses | O cookie é definido pelo consentimento do cookie GDPR para registar o consentimento do utilizador para os cookies na categoria "Funcional". |
| cookielawinfo-checkbox-necessary | 11 meses | Este cookie é definido pelo plugin GDPR Cookie Consent. Os cookies são utilizados para armazenar o consentimento do utilizador para os cookies na categoria "Necessário". |
| cookielawinfo-checkbox-others | 11 meses | Este cookie é definido pelo plugin GDPR Cookie Consent. O cookie é utilizado para armazenar o consentimento do utilizador para os cookies na categoria "Outros". |
| cookielawinfo-checkbox-performance | 11 meses | Este cookie é definido pelo plugin GDPR Cookie Consent. O cookie é utilizado para armazenar o consentimento do utilizador para os cookies na categoria "Desempenho". |
| política_de_cookies_visualizados | 11 meses | O cookie é definido pelo plug-in GDPR Cookie Consent e é utilizado para armazenar se o utilizador consentiu ou não na utilização de cookies. Não armazena quaisquer dados pessoais. |
EU NIS 2 - Guia para o cumprimento com IA
-
-
-
-
-
5.0A Diretiva NIS 2 (Diretiva (UE) 2022/2555) atualiza e expande significativamente as obrigações de cibersegurança e gestão de riscos em toda a União Europeia, revogando a Diretiva NIS original (Diretiva (UE) 2016/1148). Introduz medidas abrangentes com o objetivo de alcançar um elevado nível comum de cibersegurança em todos os Estados-Membros, melhorando o funcionamento do mercado interno através de protocolos de segurança melhorados e capacidades de resposta a incidentes.
A Diretiva NIS 2 (Diretiva (UE) 2022/2555) entrou em vigor em 16 de janeiro de 2023, 20 dias após a sua publicação no Jornal Oficial da União Europeia em 27 de dezembro de 2022. Os Estados membros devem transpor a diretiva para sua legislação nacional até 17 de outubro de 2024.
Para Entender a Aplicação:
A Diretiva se aplica tanto a entidades públicas como privadas identificadas como "essenciais" ou "importantes" em vários setores como energia, transporte, saúde e infraestrutura digital. Isso inclui provedores de redes públicas de comunicações eletrônicas, provedores de serviços de confiança e provedores de serviços do sistema de nomes de domínio, independentemente do seu tamanho. Entidades de administração pública, especialmente aquelas ao nível do governo central, também estão cobertas sob condições específicas. Os Estados membros devem estabelecer e atualizar regularmente uma lista de entidades essenciais e importantes.
Identificação das Partes Obrigadas
De acordo com a Diretiva NIS 2, as empresas são obrigadas a cumprir os seus requisitos se se qualificarem como "empresas de média dimensão" ou excederem os limites para empresas de média dimensão, conforme definido no Artigo 2 do Anexo da Recomendação 2003/361/CE.
Isso geralmente inclui empresas com mais de 250 funcionários ou um volume de negócios anual superior a 50 milhões de euros e/ou um total de balanço anual superior a 43 milhões de euros.
De acordo com a Diretiva NIS 2, certos setores são obrigados a cumprir os seus requisitos independentemente do tamanho das entidades dentro desses setores. Estes incluem:
Esta categoría abarca entidades que ofrecen servicios e infraestructura esenciales para las comunicaciones digitales en toda la UE.
Estas entidades oferecem serviços e ferramentas digitais para garantir a segurança e a autenticidade das transacções electrónicas, incluindo assinaturas digitais, selos, selos temporais e serviços de certificação conexos.
Incluem-se aqui as organizações responsáveis pela gestão e exploração de domínios de topo (por exemplo, .com, .eu) e as que fornecem serviços DNS essenciais para o funcionamento da Internet.
Trata-se de entidades consideradas essenciais para a manutenção de funções vitais da sociedade ou de actividades económicas, abrangendo um leque mais vasto de sectores e não limitadas pela dimensão.
Além disso, a Diretiva aplica-se a qualquer entidade, independentemente do tamanho, se:
1) O serviço prestado pela entidade é essencial para a manutenção de actividades sociais ou económicas críticas.
Compreensão dos Requisitos
As entidades abrangidas pelo âmbito da Diretiva são obrigadas a adotar medidas de gestão de riscos e a reportar incidentes significativos de cibersegurança. Estes requisitos estão detalhados na Diretiva NIS 2 e incluem políticas de análise de riscos, gestão de incidentes, continuidade de negócio e segurança da cadeia de fornecimento. Além disso, as entidades devem cumprir com normas de segurança de redes e sistemas de informação, cobrindo desde a ciber-higiene básica até o uso de criptografia e soluções de autenticação contínua.
Sanções potenciais em caso de incumprimento
Em caso de incumprimento, a Diretiva NIS 2 confere aos Estados-Membros o poder de aplicar coimas administrativas a entidades essenciais e importantes, que podem atingir 10 milhões de euros ou 2% do volume de negócios anual total a nível mundial da empresa a que a entidade pertence, consoante o montante mais elevado. Estas sanções foram concebidas para serem eficazes, proporcionadas e dissuasivas, tendo em conta a gravidade, a duração e a natureza intencional da infração, entre outros factores.
Aplicação e Controlo do Cumprimento
Os Estados membros são responsáveis por designar autoridades competentes para supervisionar a implementação da Diretiva NIS 2. Estas autoridades têm poderes para realizar inspeções, ordenar medidas corretivas e impor multas. A Diretiva também estabelece um Grupo de Cooperação e uma rede de CSIRTs (Equipas de Resposta a Incidentes de Segurança Cibernética) para facilitar a cooperação estratégica e a troca de informações entre os Estados membros, melhorando a postura coletiva de cibersegurança da UE.
A NIS 2 define um conjunto abrangente de medidas de cibersegurança que as empresas obrigadas têm de implementar. Veja a seguir os principais domínios e os artigos correspondentes:
1. Medidas técnicas e operacionais
Tomar medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que a empresa utiliza para o seu funcionamento ou para a prestação dos seus serviços e para prevenir ou minimizar o impacto dos incidentes nos destinatários dos seus serviços e noutros serviços.
2. Avaliação dos riscos
Ao avaliar a proporcionalidade dessas medidas, devem ser devidamente tidos em conta o grau de exposição da entidade aos riscos, a dimensão da entidade e a probabilidade de ocorrência de incidentes e a sua gravidade, incluindo o seu impacto social e económico.
3. Implementação do SGSI
Garantir um nível de segurança das redes e dos sistemas de informação adequado aos riscos existentes:
Estabeleça políticas sobre a análise de riscos e a segurança dos sistemas de informação e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança; políticas sobre a utilização da criptografia e, se for caso disso, da cifragem.
Responda a incidentes e atenue os riscos para evitar tais incidentes no futuro; assegure a comunicação às autoridades competentes dentro dos prazos legais, em conformidade com o RGPD
Desenvolva um plano de gestão de cópias de segurança e de recuperação de desastres, bem como de gestão de crises.
Considere os aspectos relacionados com a segurança das relações entre cada entidade e os seus fornecedores directos ou prestadores de serviços.
Garantir a segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, incluindo o tratamento e a divulgação de vulnerabilidades.
O controlo criptográfico refere-se à utilização de técnicas e ferramentas criptográficas para proteger a confidencialidade, a integridade e a autenticidade da informação. Estes controlos são componentes vitais das medidas de cibersegurança e proteção de dados de uma entidade, ajudando a proteger os dados sensíveis contra o acesso não autorizado, a divulgação, a alteração e a destruição.
A segurança dos recursos humanos na cibersegurança refere-se às políticas, procedimentos e medidas implementadas para gerir e mitigar os riscos que os funcionários, contratantes e prestadores de serviços terceiros representam para a segurança da informação de uma organização. Engloba uma série de actividades destinadas a garantir que os indivíduos que são contratados, trabalham ou deixam a organização não afectam negativamente a sua postura de cibersegurança. Os principais aspectos da segurança dos recursos humanos incluem:
Realização de controlos de antecedentes e verificação das credenciais de potenciais empregados para avaliar a sua fiabilidade e integridade antes da contratação.
Garantir que os funcionários têm acesso apenas às informações e recursos necessários para as suas funções. Isto envolve a implementação do princípio do menor privilégio e a revisão e ajuste regular dos direitos de acesso à medida que as funções mudam ou os funcionários deixam a organização. Deve ser considerada a utilização de autenticação multi-fator ou de soluções de autenticação contínua.
A gestão de activos é o processo sistemático de identificação, catalogação, gestão e proteção dos activos digitais e físicos de uma organização ao longo do seu ciclo de vida.
Quando os funcionários deixam a organização, é crucial terminar de forma segura o seu acesso a todos os sistemas e recuperar qualquer equipamento ou informação pertencente à empresa. Este processo ajuda a evitar que os antigos funcionários acedam a informações ou sistemas sensíveis de forma não autorizada.
Inclua acordos de confidencialidade e cláusulas relacionadas com a segurança da informação nos contratos de trabalho. Desta forma, garante que os funcionários são legalmente obrigados a proteger as informações sensíveis da organização.
Efetuar avaliações regulares dos processos e práticas de segurança dos recursos humanos para identificar e atenuar quaisquer riscos novos ou em evolução associados ao pessoal.
Fornecer formação regular e programas de sensibilização para educar os funcionários sobre os riscos, políticas e procedimentos de cibersegurança. Isto inclui formação sobre o reconhecimento de tentativas de phishing, proteção de informações sensíveis, utilização de ferramentas de segurança e comunicação de incidentes de segurança.
1. Aproveitando o poder da inteligência artificial, a nossa plataforma oferece uma solução holística para a gestão de políticas e procedimentos, orquestrando respostas a incidentes e, simultaneamente, abordando os riscos de privacidade dos dados.
2. Simplifica a gestão de activos, a integração e monitorização de fornecedores e prestadores de serviços e simplifica a gestão das tarefas de redução de riscos.
3. Com a IA no seu núcleo, a nossa plataforma não só facilita a criação de um painel de gestão intuitivo para uma supervisão abrangente, como também fornece controlo orçamental inteligente e processos de aprovação para tarefas únicas e recorrentes.
Conformidade com a Diretiva NIS 2
Aprimore a estratégia de conformidade da sua organização com nossa Smart Integrity Platform aprimorada com IA, garantindo uma abordagem fluida, eficiente e eficaz para atender aos requisitos da Diretiva NIS 2!