BLOG

NIS2: Um novo e marcante holofote sobre a segurança cibernética

Miniatura de Bart Salaets
Bart Salaets
Publicado em 29 de setembro de 2023

Nova diretiva da UE significa que muito mais empresas precisam de melhor segurança, visibilidade e controle

Ao impor novos requisitos rigorosos, a reformulada Diretiva de Segurança de Redes e Informações (NIS) exigirá que muito mais empresas da UE levem a segurança cibernética a sério. 

Em menos de um ano, a NIS2 (como a nova diretiva é conhecida) tornará um requisito legal para uma ampla gama de organizações proteger totalmente os sistemas internos e garantir que as interfaces externas não sejam vulneráveis a ataques e roubo de dados. 

Ela dá grande ênfase à gestão de riscos, relatórios e recuperação, com multas por não conformidade definidas para atingir € 10 milhões ou 2% das receitas globais anuais (o que for maior). 

Mas essas multas podem ser a ponta de um iceberg financeiro muito maior.

Com o NIS2 se aplicando a um grupo muito mais amplo de empresas do que seu antecessor, o impacto se espalhará pelas cadeias de suprimentos. A segurança cibernética se tornará prioridade nos processos de aquisição e poderá determinar quais empresas ganharão novos contratos.

Infelizmente, a maioria das organizações não tem as habilidades internas para gerenciar os muitos requisitos da nova diretiva, principalmente porque seus sistemas abrangem cada vez mais vários ambientes de nuvem e um grande número de funcionários continua trabalhando em casa. 

O NIS2 torna a visibilidade total essencial

Abrangendo qualquer empresa com mais de 50 funcionários e um faturamento anual superior a € 10 milhões, o NIS2 será aplicado a telecomunicações, alimentos, gerenciamento de resíduos, plataformas digitais, agências públicas e serviços de entrega. Também terá um grande impacto nos serviços essenciais cobertos pelo NIS original, como energia, saúde, serviços bancários e transporte.

À medida que o NIS2 for implementado pelos estados-membros da UE, as empresas afetadas precisarão garantir que todas as interfaces externas estejam protegidas, incluindo os aplicativos usados para interagir com clientes e fornecedores. 

Se ocorrer uma violação, eles terão que enviar um relatório de alerta precoce dentro de 24 horas após tomar conhecimento de um incidente, seguido por uma avaliação inicial dentro de 72 horas e um relatório final dentro de um mês. 

Consequentemente, será essencial que as empresas tenham visibilidade total do que está acontecendo em suas operações digitais e em suas interfaces digitais com clientes, parceiros e fornecedores. 

Em um mundo ideal, uma medida regulatória não seria realmente necessária: a maioria das interações comerciais agora acontece on-line, então os líderes empresariais já deveriam estar exigindo esse tipo de visibilidade. 

No entanto, muitas empresas menores que se enquadram no escopo da nova diretiva não necessariamente terão um centro de operações de segurança e as ferramentas de relatórios relacionadas necessárias para estar em conformidade. Além disso, é improvável que tenham as competências e os recursos necessários para construir e desenvolver essas ferramentas internamente.   

Nem é preciso dizer que há pressão para implantar mecanismos fáceis de implementar para atender às obrigações do NIS2. E fazer isso sem afetar negativamente a experiência de seus clientes e parceiros. 

Em particular, eles precisarão de um console centralizado por meio do qual possam gerenciar todo o seu portfólio de aplicativos. Propostas de segurança de aplicativos e entrega de aplicativos baseadas em nuvem, como o F5 Distributed Cloud Services , podem atender a essa necessidade.

Também não é uma tarefa fácil para organizações maiores. Um dos maiores desafios apresentados pela intensificação dos holofotes regulatórios sobre segurança é a complexidade adicional de proteger e monitorar uma infraestrutura digital que abrange cada vez mais várias nuvens e data centers internos.

Hoje, muitos executam aplicativos e seus microsserviços constituintes em vários ambientes. Enquanto o front-end de um aplicativo pode estar em execução em uma nuvem pública, o back-end pode estar em um data center interno. Ao mesmo tempo, os funcionários estão cada vez mais acessando sistemas e aplicativos de muitos locais diferentes, como suas casas e espaços de trabalho compartilhado.  

Para proteger esse cenário digital cada vez mais complexo de uma forma amigável ao NIS2, muitas empresas precisarão de um serviço gerenciado equipado para abranger diversos ambientes de nuvem, computação e rede. Mais uma vez, na F5, temos essa expertise. 

Embora o tempo esteja passando cada vez mais alto, ainda há tempo para agir.

Os estados-membros da UE devem incorporar a nova diretiva em suas leis nacionais até 18 de outubro de 2024, então a corrida está aberta para que todas as organizações impactadas garantam que suas capacidades de segurança e monitoramento sejam robustas o suficiente para evitar multas e, mais importante, os danos à reputação associados a falhas de conformidade. 

Felizmente, a tecnologia de que precisam para prosperar neste novo ambiente regulatório está pronta para ser usada. 

Iremos nos aprofundar nos detalhes em uma futura postagem do blog explorando como a F5 já está ajudando os clientes a cumprir o NIS2. Fique atento!