Como se preparar para o NIS2: o que você precisa saber

Muito foi escrito sobre o NIS2 recentemente, à medida que avançamos em direção a um marco importante em sua implementação. Aos 18^o de outubro de 2024, os estados membros devem adotar e publicar as medidas necessárias para cumprir a diretiva NIS2.

Embora essa data possa causar pânico entre muitos, é apenas a data em que cada país precisa adotar o NIS2 como lei e revogar o NIS1 (UE 2016/1148). O cronograma de conformidade de organizações individuais será definido nas leis promulgadas por estados individuais. Para alguns, isso pode levar até quatro anos após essa data.

Não importa quando NIS2 entrará em vigor, é hora de as organizações começarem a se preparar para cumprir os mandatos do NIS2 para resiliência cibernética.

Qual é a diferença entre NIS1 e NIS2?

Muitos perguntaram por que há a necessidade de uma versão dois ou mesmo de uma futura versão três da diretiva NIS.

A resposta simples é que as coisas mudam.

A nova diretiva NIS2 reflete melhor o cenário atual de segurança cibernética. Ele também faz atualizações com base nos aprendizados do NIS1.

Desde NIS1 entrou em vigor em 2016:

• Os tipos de organizações que são vistas como críticas mudaram.

• A tecnologia mudou com o aumento da automação e dos dispositivos inteligentes.
• A segurança cibernética mudou quando o antigo foco na proteção de redes estáticas foi substituído por uma abordagem mais ágil.
• A adoção de Confiança zero simplificou a forma como a cibersegurança é implantada, resultando em uma abordagem mais segura a um custo menor.
• Os tipos de ataques cibernéticos mudaram com o aumento dos ataques disruptivos e o surgimento de ataques gerados por IA.

O outro motivo principal para uma atualização do NIS1 é melhorar a governança. A ideia em 2016 era que cada estado desenvolvesse seu próprio conjunto de regulamentações e o regulador nacional as aplicasse. Infelizmente, houve uma grande disparidade na forma como cada país implementou o NIS1 e, portanto, o NIS2 estabeleceu alguns padrões mínimos para determinadas áreas de foco e proporcionou maior supervisão à Comissão Europeia.

A mudança final é uma reclassificação das organizações e uma expansão no número e tamanho das organizações incluídas na diretiva:

• A distinção entre serviços essenciais e provedores de serviços digitais é substituída pela classificação das organizações de acordo com sua importância para o país e pela divisão em categorias essenciais e importantes.

• Organizações com mais de 50 funcionários e um faturamento anual de mais de €50 milhões agora são categorizadas como importantes.

Como o NIS2 afetará minha organização?

O NIS2 busca harmonizar os requisitos entre os estados membros, estabelecendo regras específicas para as estruturas que os membros implementaram. Isso se concentra em certos medidas de cibersegurança, incluindo:

• Análise de risco e políticas de segurança do sistema de informação
• Tratamento de incidentes
• Continuidade de negócios e gerenciamento de crises
• Segurança da cadeia de suprimentos

• Aquisição, desenvolvimento e manutenção seguros de redes e sistemas, incluindo tratamento e divulgação de vulnerabilidades
• Políticas e procedimentos para avaliar a eficácia das medidas
• Práticas básicas de higiene informática e treinamento em cibersegurança
• Políticas e procedimentos relacionados ao uso de criptografia/criptografia
• O uso de MFA, comunicações seguras e comunicações de emergência seguras

Os estados membros onde essas medidas ainda não estão incorporadas nas regulamentações nacionais precisarão adicionar esses recursos. E as organizações nesses países que ainda não implementam esses controles precisarão adotá-los.

Provavelmente, o maior impacto do NIS2 está em organizações que não foram cobertas anteriormente pelo NIS1. Embora isso pareça preocupante, pesquisas da ENISA mostram que o orçamento médio para implementações de NIS é para projetos que duram de 14 a 18 meses.

O que minha organização pode fazer agora para se preparar para o NIS2?

Em 2016, as organizações estavam limitadas nas ferramentas e abordagens de segurança disponíveis, presas a tecnologias estáticas, como AV, NAC e firewalls tradicionais, e à visibilidade limitada.

Embora o Zero Trust estivesse sendo discutido na época, o foco ainda estava em tentar evitar todos os ataques tentando detectar todos os malwares. Hoje, a ameaça combinada de ransomware e IA apresenta novos problemas que a diretiva NIS2 tentará resolver.

Embora os requisitos técnicos específicos do NIS2 ainda não estejam disponíveis para cada estado membro, as organizações podem começar sua jornada rumo à conformidade adotando uma abordagem de contenção de violações usando tecnologias como Segmentação Zero Trust, também chamada de microssegmentação. Essa abordagem moderna pressupõe que as violações sejam inevitáveis e, em resposta, garante que medidas de segurança proativas estejam em vigor.

Uma estratégia de contenção de violações da Zero Trust inclui esses pilares principais:

1. Suponha uma violação e planeje para ela

2. Identifique todos os ativos e recursos e mapeie as interdependências

3. Proteja-se contra todas as vulnerabilidades e portas expostas

4. Responda rapidamente e com agilidade

5. Restaure com segurança sem reinfecção

O objetivo da diretiva NIS é melhorar a resiliência da infraestrutura crítica em toda a União Europeia. Isso significa garantir que os serviços possam ser mantidos enquanto estão sob ataque.

Para conseguir isso, o foco deve mudar de tentar impedir um ataque para garantir que ele seja contido e não alcance os recursos essenciais para os negócios de uma organização.

Como o Illumio se alinha aos requisitos do NIS2?

O NIS2 se concentra na padronização das principais medidas de segurança cibernética, e a Illumio Zero Trust Segmentation (ZTS) ajuda você a cumprir o seguinte.

1. Políticas sobre análise de risco e segurança da informação

O mapeamento da dependência de aplicativos fornece visibilidade completa do tráfego em todas as cargas de trabalho, incluindo contêineres, IoT e máquinas virtuais, em um único console. Isso permite que as equipes de segurança identifiquem os riscos da rede e criem políticas de segurança que bloqueiam conexões desnecessárias entre portas.

2. Tratamento de incidentes

Durante uma violação ativa, a Illumio pode responder rapidamente para restringir o acesso a recursos essenciais, impedindo a propagação de um ataque e isolando totalmente os sistemas comprometidos. Após a violação, a ZTS separa de forma inteligente o sistema infectado em tempo real para permitir a restauração segura dos dados.

3. Continuidade de negócios e gerenciamento de crises

As equipes de segurança e TI podem usar o Illumio para configurar a proteção em departamentos e sistemas individuais para que possam retomar as operações enquanto estão protegidos contra ataques. Qualquer tentativa de reinfecção pode ser evitada permitindo somente a conexão com uma fonte de dados imutável durante a recuperação da violação.

4. Segurança da cadeia de suprimentos

O Illumio permite apenas a comunicação conhecida e verificada entre ambientes. Isso garante que, quando houver uma violação na cadeia de suprimentos, a ZTS impeça que a violação entre e se espalhe nos sistemas da organização.

5. Segurança em redes e sistemas de informação

A Illumio estende a microsegmentação consistente em todos os ambientes, desde data centers locais até ambientes híbridos e multinuvem. Isso garante que uma violação seja interrompida e contida imediatamente, para que os invasores não possam se mover para outras partes da rede.

6. Políticas e procedimentos para avaliar a eficácia das medidas

O Painel de Proteção contra Ransomware da Illumio ajuda a se preparar e proteger melhor contra a ameaça de ataque, fornecendo informações sobre a exposição ao risco da carga de trabalho, visibilidade das cargas de trabalho protegidas versus desprotegidas e uma pontuação de cobertura de proteção.

7. Práticas básicas de higiene informática e treinamento em cibersegurança

A visibilidade de ponta a ponta da Illumio de toda a superfície de ataque fornece informações sobre as lacunas de segurança que ajudam a informar as necessidades de higiene cibernética e treinamento. A ZTS também garante que erros humanos inevitáveis não deixem vulnerabilidades para os invasores explorarem.

8. Segurança de recursos humanos, controles de acesso e medidas de gerenciamento de ativos

Com o Illumio, as equipes de segurança podem implementar políticas de segmentação granulares para limitar o acesso aos sistemas, incluindo recursos de RH. Isso significa que, se uma parte da rede for violada, os invasores não poderão se espalhar para recursos críticos.

Obtenha mais detalhes em Alcance a conformidade do NIS2 com a Illumio.

NIS2: Uma estrutura mais simples para proteger serviços essenciais

Em comparação com as estratégias tradicionais de prevenção e detecção, uma abordagem de contenção de violações é muito mais simples porque as organizações só precisam definir as poucas coisas que são permitidas na rede, em oposição às milhares de coisas que precisam ser interrompidas. A capacidade da IA de encontrar vulnerabilidades e abrir conexões nos torna mais suscetíveis a uma violação, mas uma mudança na abordagem pode ajudar.

O foco na proteção do recurso, independentemente de ele estar em um servidor, na nuvem ou em um dispositivo de OT, evita a complexidade de tentar criar políticas para tecnologias de segurança estáticas baseadas em rede.

Obtenha mais informações sobre como A Illumio protege organizações de serviços essenciais.

Entre em contato conosco hoje para uma demonstração e consulta gratuitas.