X
FALE CONNOSCO
lines-background-2

NIS 2 E DORA | SEGURANÇA DA INFORMAÇÃO EUROPeiA FORTALECIDA

Na década de 90 do século passado, a União Europeia passou a legislar sobre segurança da informação e proteção de dados como forma de assegurar o legítimo e salutar funcionamento da atividade digital das empresas dos Estados-Membros da União Europeia. A legislação formal teve início em 1995 e evoluiu significativamente ao longo dos últimos anos em resposta às novas necessidades e tecnologias.

A Diretiva 2002/58/CE (Privacidade e Comunicações Eletrónicas), criou normas específicas para a proteção da privacidade no setor das telecomunicações e comunicações digitais. A segurança da informação como área mais abrangente ganhou maior atenção com o Regulamento Geral sobre a Proteção de Dados (RGPD), que entrou em vigor em 2018, modernizando a proteção de dados no contexto digital.

Outras orientações legais europeias em vigor desempenham um papel crucial na segurança da informação, nomeadamente o Trusted Information Security Assessment Exchange (TISAX), que garante a proteção da propriedade intelectual e dados sensíveis, e o Regulamento eIDAS, que estabelece normas para serviços eletrónicos de confiança, incluindo assinaturas eletrónicas e autenticação.

Network and Information Systems – Diretivas NIS e NIS 2

A primeira Diretiva NIS (Segurança das Redes e da Informação) surgiu em 2016 e veio estabelecer normas para melhorar a cibersegurança nos Estados-Membros da UE.

Em outubro de 2024, passou a vigorar a Diretiva NIS 2, que veio alargar o perímetro de atuação da anterior NIS e impor novas responsabilidades para setores como, finanças, transportes, infraestruturas digitais, energia e saúde. A NIS 2 não só impõe a gestão de riscos em Tecnologia da Informação e Comunicação, como determina obrigatoriedade da notificação de incidentes e a aplicação de estratégias preventivas, promovendo ainda uma colaboração mais estreita entre os Estados-Membros.

Digital Operational Resilience Act – Regulamento DORA

Em vigor entre nós desde 17 de janeiro de 2025, regula a resiliência operacional digital dos serviços financeiros e aplica-se a uma vasta gama de entidades, incluindo bancos, seguradoras, prestadores de serviços financeiros e plataformas de pagamento. Pretende garantir que as empresas possam manter a continuidade dos seus serviços, mesmo perante incidentes cibernéticos ou falhas tecnológicas.

O DORA exige que as empresas adotem medidas rigorosas de gestão de riscos tecnológicos, incluindo a implementação de planos de contingência, a realização de testes regulares de resiliência e a gestão de riscos associados aos fornecedores de tecnologia. Além disso, impõe a notificação de incidentes graves dentro de prazos específicos e promove uma maior transparência e colaboração entre os reguladores financeiros, visando reforçar a confiança e a segurança no setor financeiro europeu.

Para uma melhor compreensão destas duas ferramentas legislativas compilamos abaixo as principais diferenças e interceções entre a NIS 2 e o DORA:

NIS 2

  • Objetivo
    Reforçar a segurança cibernética das redes e sistemas de informação.
  • Aplicação
    Setores essenciais e setores importantes.
  • Obrigações
    Implementar medidas de segurança e gestão de riscos, monitorização e resposta a incidentes.
  • Relatórios
    Obrigação de reportar incidentes significativos às autoridades competentes, dentro do prazo.
  • Coordenação e Supervisão
    Colaboração entre os Estados-membros da U.E. na abordagem e partilha de informações.
  • Conformidade Legal
    Transposição para legislações nacionais dos Estados-membros.
  • Multas e Sanções
    Definidas por cada Estado-membro, em caso de imcumprimento.
  • Fornecedores
    Exigência de requisitos de segurança a fornecedores de serviços críticos a entidades essenciais e importantes.
  • Entrada em Vigor
    Desde 01 de outubro de 2024

DORA

  • Objetivo
    Garantir a resiliência operacional de entidades financeiras e prestadores de serviços de T.I.C.
  • Aplicação
    Sector financeiro e prestadores de serviços de tecnologia.
  • Obrigações
    Criar estratégias para gerir incidentes cibernéticos, incluindo planos de continuidade.
  • Relatórios
    Reportar incidentes graves e ameaças às autoridades reguladoras e manter registos detalhados.
  • Coordenação e Supervisão
    Supervisionado por autoridades financeiras, nacionais e europeias.
  • Conformidade Legal
    Aplicação direta e uniforme em todos os estados membros.
  • Multas e Sanções
    Aplicadas diretamente em caso de não conformidade com os requisitos.
  • Fornecedores
    Impõe avaliação da segurança de fornecedores de T.I.C. no setor financeiro.
  • Entrada em Vigor
    Desde 17 de janeiro de 2025

EM COMUM

  • Objetivo
    Aumentar a resiliência cibernética e a proteção contra incidentes digitais em setores estratégicos.
  • Aplicação
    Aplicam-se a setores críticos, embora com foco em áreas específicas (infraestruturas vs. setor financeiro).
  • Obrigações
    Exigem gestão de riscos, monitorização contínua e resposta a incidentes para garantir resiliência operacional.
  • Relatórios
    Exigencia de notificação de incidentes.
  • Coordenação e Supervisão
    Incentivam a cooperação entre autoridades e partes interessadas a nível europeu.
  • Conformidade Legal
    São ambos documentos orientadores europeus.
  • Multas e Sanções
    Ambos incluem penalizações financeiras para garantir conformidade.
  • Fornecedores
    Destacam a importância da segurança na cadeia de fornecimento.
  • Entrada em Vigor
    Têm prazos de implementação para garantir a conformidade das organizações.

Porque é importante adotar a NIS2 e o DORA nas empresas?

Estas regulamentações ajudam a minimizar os riscos associados à infraestrutura digital das empresas, essencial no contexto crescente de digitalização e da ameaça cibernética.
Fique a conhecer os principais benefícios:

  • Proteção contra Ciberameaças – Podem comprometer dados sensíveis e afetar a continuidade dos negócios.
  • Reforço da Resiliência Operacional – As empresas precisam de planos de recuperação e gestão de crises bem definidos.
  • Conformidade Regulamentar – O cumprimento das normas evita sanções, multas significativas e danos na reputação.
  • Aumento da Confiança do Cliente e Mercado – A proteção dos dados e a continuidade das operações em momentos de crise, aumenta a fiabilidade e confiança na empresa.
  • Gestão de Riscos – Avaliar e mitigar riscos, implementar controles de segurança e garantir práticas de gestão de crises contínuas, e não reativas, torna as empresas cada vez menos vulneráveis a futuras ameaças.
  • Impacto no Mercado Digital – Empresas que cumprem com a implementação destas duas normas contribuem para a confiança geral na infraestrutura digital europeia e global.

A que perigos as empresas ficam vulneráveis, caso não se adequem à NIS2 e DORA?

O cumprimento destas regras europeias permite às empresas protegerem-se e aos seus funcionários de riscos de cibersegurança, tais como:

  • Ataques de Ransomware: Os atacantes bloqueiam o acesso aos sistemas e exigem um resgate para liberar os dados.
  • Phishing e Engenharia Social: Os atacantes fazem-se passar por fontes confiáveis para obter informações sensíveis ou aceder a sistemas críticos.
  • Ataques de DDoS (Distributed Denial of Service): Ataques que visam sobrecarregar servidores ou redes, causando paragens e prejudicando os serviços.
  • Exploração de Vulnerabilidades de Software: Ataques que exploram vulnerabilidades, permitindo acesso não autorizado ou comprometer dados sensíveis.
  • Comprometimento de Fornecedores: Sem medidas adequadas, um fornecedor comprometido pode ser uma porta de entrada para ataques cibernéticos direcionados à organização.
  • Acesso não autorizado e exfiltração de dados: Os atacantes podem obter acesso não autorizado a sistemas e dados sensíveis, levando à exfiltração de dados confidenciais ou proprietários.
  • Ataques internos: A falta de uma gestão adequada dos riscos internos, como o controlo de privilégios de acesso e monitorização contínua, pode tornar a organização vulnerável a ataques provenientes de funcionários ou terceiros com acesso a sistemas internos.
  • Roubo de credenciais: Otenção de credenciais de login para aceder a sistemas e dados sensíveis, normalmente através de phishing ou de websites falsos;
  • Abuso de falhas de configuração de segurança: ataque que explora configurações incorretas ou fracas em sistemas de IT;
  • Ataques de Zero-Day e explorações de vulnerabilidades de software: ataques que exploram vulnerabilidades desconhecidas ou não corrigidas de um sistema ou software.

Garanta a Segurança da Sua Empresa

A conformidade com as regulamentações de cibersegurança, como o NIS2 e o DORA, pode ser um desafio, dado a sua complexidade e abrangência.

Mas não se preocupe, estamos aqui para ajudar os nossos Clientes.

Oferecemos o apoio especializado de que a sua empresa precisa para garantir a conformidade com estas normas, implementar as melhores práticas e preparar adequadamente para auditorias e potenciais incidentes.

Confie na nossa experiência comprovada para fortalecer a segurança da sua empresa e proteger o seu futuro digital.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *