/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
Nos últimos anos, a União Europeia (UE) tem reforçado significativamente suas regulamentações voltadas para a segurança da informação, buscando proteger dados e assegurar a resiliência digital das organizações. As mais recentes e importantes regulamentações que passam a compor esse conjunto são a NIS 2 e DORA.
Uma análise comparativa das regulamentações
A Diretiva sobre a Segurança das Redes e da Informação 2 (NIS 2), que entrará em vigor em outubro de 2024, amplia a cobertura da NIS original, exigindo que setores críticos – como saúde, energia, transporte, finanças, e infraestrutura digital – implementem medidas robustas de segurança cibernética. A NIS2 visa mitigar os riscos de ciberataques e aumentar a cooperação entre os estados-membros da UE. Os principais aspetos da NIS 2 incluem a exigência de gestão de riscos de Tecnologia da Informação e Comunicação (TIC), notificações obrigatórias de incidentes, e a implementação de medidas preventivas para proteger as redes e sistemas de informação.
O Digital Operational Resilience Act (DORA) está previsto entrar em vigor em janeiro de 2025, concentrando-se especificamente no setor financeiro. O DORA estabelece requisitos rigorosos para a gestão de riscos de TIC, abrangendo bancos, seguradoras, empresas de investimento, provedores de serviços de pagamento e outras instituições financeiras. O DORA exige que essas instituições implementem medidas para garantir a resiliência operacional, realizem testes periódicos de resiliência, notifiquem incidentes de TIC e mantenham planos de continuidade de negócio robustos.
A tabela abaixo resume os principais pontos de contraste entre a NIS 2 e o DORA:
|
|
NIS 2 |
DORA |
|
Data de criação |
14 de dezembro de 2022 |
16 de janeiro de 2023 |
|
Data de entrada em vigor |
17 de outubro de 2024 |
17 de janeiro de 2025 |
|
Setores críticos abrangidos |
|
|
|
Objetivos principais |
|
|
|
Sanções em |
As sanções variam de acordo com a legislação nacional dos estados-membros. Podem incluir:
|
As sanções variam e podem incluir:
|
|
Outras datas relevantes |
|
Prazo para que as instituições cumpram com os requisitos específicos: até 18 meses após a entrada em vigor. |
Porque devo me adequar?
A não adequação a estas regulamentações traz riscos significativos para as instituições. As empresas podem enfrentar multas substanciais e sanções legais, implicando a perda de confiança dos clientes e o enfraquecimento do negócio.
Adicionalmente, a exposição a ciberataques pode resultar em violações de dados sensíveis, perdas financeiras, e danos irreparáveis à reputação da empresa.
Que ciberataques e ameaças poderão estar em causa?
Os regulamentos de segurança da informação NIS 2 e DORA têm por objetivo melhorar a resiliência global das empresas que trabalham em setores sensíveis, de forma que possam preparar-se a si próprias e aos seus funcionários para evitar ou gerir riscos de cibersegurança, tais como:
- Malware: software malicioso como vírus, worms, trojans, spyware, ou ransomware (que criptografa dados e exige um pagamento/resgate para entrega da chave de descriptografia);
- Phishing e spear phishing: envio de e-mails fraudulentos (direcionados ou não) que parecem ser de fontes confiáveis para obter informações sensíveis ou distribuir malware;
- Ataques de Negação de Serviço (DoS) e Ataques Distribuídos de Negação de Serviço (DDoS): focados em tornar serviços online indisponíveis, sobrecarregando servidores ou a rede com um tráfego massivo;
- Roubo de credenciais: obtenção de credenciais de login para acessar sistemas e dados sensíveis, normalmente através de phishing ou de websites falsos;
- Abuso de falhas de configuração de segurança: ataque que explora configurações incorretas ou fracas em sistemas de IT;
- Ataques de Zero-Day e explorações de vulnerabilidades de software: ataques que exploram vulnerabilidades desconhecidas ou não corrigidas de um sistema ou software.
Outros regulamentos relevantes
Além da NIS 2 e DORA, outras regulamentações europeias em andamento desempenham um papel crucial na segurança da informação, nomeadamente:
- Regulamento Geral sobre a Proteção de Dados (RGPD)
Em vigor desde 2018, regula o tratamento de dados pessoais e impõe severas penalidades para violações. - Trusted Information Security Assessment Exchange (TISAX)
Norma específica da indústria automotiva, que garante a proteção da propriedade intelectual e dados sensíveis. - Regulamento eIDAS
Estabelece normas para serviços eletrônicos de confiança, incluindo assinaturas eletrônicas e autenticação.
Dividir a responsabilidade
Dada a complexidade e a abrangência dessas regulamentações, é altamente recomendável que as empresas busquem o suporte de consultorias especializadas que podem fornecer a expertise necessária para garantir conformidade, ajudar na implementação de melhores práticas e na preparação das empresas para auditorias e possíveis incidentes.
Além disso, as consultorias – como a da Alter Solutions – oferecem suporte contínuo, ajudando as empresas a se adaptarem às mudanças regulamentares e a manterem-se focadas em suas atividades principais, enquanto permanecem seguras e em conformidade com a legislação vigente.
Em resumo, a conformidade com as regulamentações de segurança da informação na Europa não é apenas uma exigência legal, mas uma prática essencial para proteger os negócios e manter a confiança no mercado digital.
