O panorama regulatório europeu está em constante mudança, com novas leis e regulamentos introduzidos a bom ritmo, com alterações a serem sentidas com o recente DORA e o NIS2.
O DORA (Digital Operational Resilience Act) e o NIS2 (Cybersecurity Directive II) são duas das diretivas mais recentes que impactam significativamente os mais diferentes setores.
Desafios que o DORA e o NIS2 trazem para as empresas
Embora sejam essenciais para aumentar a resiliência digital e a cibersegurança na Europa, elas também apresentam desafios consideráveis para as empresas, como sejam:
- Melhoria da resiliência operacional: As empresas devem implementar medidas para garantir que seus sistemas e serviços possam resistir a interrupções e ciberataques. Falamos nomeadamente da criação de planos de disaster recovery, a realização de análises de vulnerabilidades e testes de intrusão regulares e a implementação de controlos de segurança robustos.
- Third party risk management: Devem avaliar e gerir os riscos de cibersegurança associados aos seus fornecedores e parceiros, nomeadamente através da realização de due diligence, a implementação de contratos de nível de serviço (SLAs) de segurança, a existência de condições (como por exemplo certificações que contribuam para a cibersegurança) e a monitorização contínua do desempenho dos fornecedores.
- Report de incidentes: As organizações devem fazer o report de incidentes cibernéticos graves às autoridades competentes dentro de prazos específicos. Para tal, necessitam de processos eficazes de deteção e investigação de incidentes em vigor (como por exemplo fornece o serviço SOC da Eurotux), de colaboração com outras entidades e formalização de mecanismos de reporting.
- Compliance com requisitos de segurança de dados: Devem cumprir requisitos de segurança de referenciais que forem mais adequados em cada caso (NIST, ISO20000, ISO27001 entre outros) passando pela definição e publicação das suas Políticas e Normas de cibersegurança, implementação de medidas de segurança adequadas, rastreabilidade das actividades técnicas realizadas nos seus serviços críticos, assegurar patch management, etc).
Neste campo, empresas como a Eurotux, responsáveis por uma oferta abrangente no campo de managed services, podem ser um aliado de valor acrescentado na preparação e implementação da DORA e NIS2.
Tenhamos em consideração que uma das principais preocupações inerentes às duas normas tem que ver com a supracitada segurança de fornecedores ou parceiros. No caso da Eurotux, e durante o ciclo de vida dos contratos de Managed Services, é feito um cuidadoso registo de informações e de definição de planos de ação com base na norma ISO 27001.
As atividades inerentes a estes planos de ação respondem precisamente a preocupações enunciadas tanto no DORA como na NIS2 – falamos nomeadamente de gestão de risco, resposta a incidentes, segurança de rede, políticas de controlos, a implementação de firewalls, sistemas de deteção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS), bem como a realização de testes de intrusão regulares, entre outras.
Além disso, e através de soluções de managed services, é possível implementar atividades proativas de verificação de conformidade para interpretar e avaliar a eficiência de medidas de cibersegurança.
Desta forma, torna-se óbvio que os Managed Services têm em si um papel e uma voz ativa na preparação para os exigentes requisitos DORA e NIS2, assumindo-se como uma solução que pode ajudar as organizações a responderem ao enquadramento das duas normas regulatórias.
Este artigo de opinião foi escrito por Ricardo Oliveira, CSO e CISO na Eurotux.
Participe no sorteio:
