NIS2: o que significa para sua organização e como se preparar

O que é a NIS2?

NIS2 é a diretiva atualizada da União Europeia sobre segurança cibernética em redes e segurança da informação (NIS, network and information systems). Ela ampliou o escopo da diretiva original, reforçou os requisitos para a notificação de incidentes e estabeleceu expectativas mais claras sobre como as organizações devem gerenciar os riscos cibernéticos.

No contexto empresarial, a NIS2 não se resume apenas a "mais controles de segurança"

Ela representa uma mudança em direção a uma governança cibernética demonstrável, ou seja, um cenário em que se espera que as organizações mostrem que os riscos estão sendo gerenciados ativamente, os incidentes são tratados de forma consistente e a responsabilização está assegurada nos níveis adequados da liderança.

A plataforma OneTrust dá suporte às organizações nessa mudança, ao oferecer uma forma única e estruturada de gerenciar riscos cibernéticos, fluxos de trabalho para incidentes, supervisão de terceiros e evidências de governança. Isso permite que os requisitos da NIS2 sejam atendidos por meio de processos reprodutíveis, e não pela coordenação pontual entre equipes.

A quem se aplica a NIS2?

A NIS2 aumentou os setores de abrangência da diretiva, geralmente classificando as entidades como essenciais ou importantes (com algumas diferenças quanto à supervisão e à aplicação).

Uma forma prática de compreender o escopo:

• Se a organização atua com serviços essenciais, infraestruturas nacionais, serviços digitais de grande porte, manufatura e logística em larga escala, pode-se presumir que a NIS2 seja aplicável, até que se prove o contrário.
• Se a organização fornece produtos ou serviços para setores regulados ou críticos, a NIS2 pode ter implicações relacionadas à cadeia de fornecimento, mesmo que a organização não seja diretamente classificada.

Os países-membros da UE devem manter listas de entidades essenciais e importantes, com revisão periódica.

Entidades essenciais e importantes

Normalmente, o termo "essencial" é atribuído a setores relacionados a infraestruturas críticas e a serviços de alto impacto. A classificação "importante" inclui outros setores frequentes na economia. A categorização e os limites exatos dependem da transposição da diretiva a cada legislação nacional.

Setores comumente associados ao escopo da NIS2 incluem energia, transporte, saúde, infraestrutura digital e outras categorias de serviços essenciais. 

Se uma organização atua em vários países da UE, não deve presumir que a interpretação de um país seja igual à de outro. A NIS2 foi concebida para harmonizar as expectativas, mas sua aplicação e fiscalização ocorre em âmbito nacional.

Requisitos principais da NIS2

A diretiva NIS2 reforçou as exigências em campos recorrentes: gestão de riscos, comunicação de incidentes, supervisão de terceiros e responsabilidade pela governança. Os requisitos são intencionalmente amplos, pois a diretiva se concentra menos nas ferramentas usadas e mais no funcionamento prático da governança.

Os itens descritos a seguir devem ser considerados indispensáveis em qualquer programa de preparação para a NIS2.

1) Medidas de gestão de riscos de segurança cibernética

A NIS2 determina que as organizações adotem medidas adequadas para gerenciar riscos cibernéticos em sistemas, serviços e operações. Na prática, isso significa que os controles devem ser:

• Documentados, de forma que as expectativas sejam claras;
• Implementados consistentemente, e não de forma seletiva ou informal;
• Revisados periodicamente, à medida que as ameaças, sistemas e modelos de negócios se transformam.

Este requisito vai além da elaboração de políticas ou do alinhamento a um marco regulatório. Os órgãos reguladores buscam evidências de que a gestão de riscos esteja incorporada às operações diárias das empresas – ou seja, que os controles tenham responsabilidade definida, sejam testados e atualizados e que eventuais lacunas sejam identificadas e solucionadas.

Em outras palavras, mais do que ter a política "certa", a ideia é conseguir comprovar que a gestão de riscos está ativa e é eficaz.

2) Obrigações quanto à notificação de incidentes com prazos rigorosos

A NIS2 introduziu um modelo estruturado de comunicação de incidentes, que inclui:

• Um alerta inicial em até 24 horas;
  
• Uma notificação mais detalhada sobre o incidente em até 72 horas;
  
• Um relatório final em até um mês.

Esses prazos não representam apenas um desafio para as operações de segurança. Seu cumprimento exige coordenação em toda a organização, enquanto o incidente está em andamento.

Para comunicar a ocorrência de forma eficaz, as organizações precisam de:

• Limites claros quanto ao que pode ser classificado como um incidente a ser comunicado;
  
• Responsáveis e rotas definidas para o encaminhamento do incidente aos superiores;
  
• Registro em tempo real de fatos, decisões e evidências;
• Coordenação entre as áreas jurídica, de segurança, privacidade, comunicação e liderança.

Sem essa estrutura, a geração de relatórios é reativa e inconsistente, o que aumenta os riscos jurídicos e de reputação.

3) Gestão da cadeia de fornecimento e de terceiros

A NIS2 dá mais ênfase aos riscos associados a terceiros e à cadeia de fornecimento, o que reflete a dependência de fornecedores externos por parte da maioria das organizações.

Isso inclui provedores e prestadores de serviços que:

• Hospedam ou gerenciam sistemas críticos;
  
• Fornecem serviços em nuvem ou serviços gerenciados;
• Processam dados sensíveis ou operacionais;
• Dão suporte a serviços essenciais ou voltados ao cliente.
  

Para organizações fortemente dependentes de operações terceirizadas de TI ou de serviços em nuvem, a NIS2 alterou a exigência quanto à avaliação, que antes era periódica e passou a ser de monitoramento contínuo. A gestão de terceiros não pode mais ser tratada somente como um questionário anual ou uma lista de tarefas em processos de aquisição e contratação. Ela deve estar vinculada a dependências operacionais reais, a avaliações de risco e à preparação para a gestão de incidentes.

4) Responsabilidade da liderança

A NIS2 reforça explicitamente a governança e a responsabilização no nível da gestão. A resiliência cibernética deixou de ser vista somente como uma responsabilidade da área de TI, passando a ser uma obrigação dos líderes das empresas.

Isso inclui a expectativa de que esses profissionais:

• Aprovem medidas de gestão de riscos;
  
• Compreendam os riscos cibernéticos mais relevantes;
• Supervisionem a comunicação e a resposta a incidentes;
• Demonstrem que a tomada de decisões é fundamentada em dados.

Para muitas empresas, este é o requisito mais difícil de operacionalizar. Não por falta de engajamento de seus líderes, mas porque a supervisão nessas organizações costuma ser fragmentada entre diferentes equipes e ferramentas. Sem um modelo operacional claro, a visibilidade da liderança depende de relatórios manuais, métricas inconsistentes e resumos elaborados após as ocorrências, ações insuficientes para atender às exigências regulatórias.

Nesse aspecto, a plataforma OneTrust desempenha um papel importante, ao oferecer à liderança uma visão consistente dos riscos cibernéticos, incidentes e responsabilidades em toda a organização, sem depender de relatórios isolados.

Como a NIS2 é aplicada

A NIS2 é uma diretiva, o que significa que cada país-membro da UE deve transpor a norma para sua legislação nacional e aplicá-la por meio de suas próprias autoridades. Embora a UE tenha estabelecido como prazo para a transposição a data de 17 de outubro de 2024, a implementação efetiva e as abordagens de fiscalização e aplicação têm sido desiguais.

Isso é importante porque as organizações não estão sendo avaliadas com referência em um único conjunto centralizado de regras. Em vez disso, as expectativas podem variar dependendo do local em que a empresa atua, de onde seus serviços essenciais são prestados e de que autoridade nacional é responsável pela supervisão. Com o tempo, espera-se que a aplicação e a fiscalização da diretiva se tornem mais consistentes, mas é provável que haja variações no curto prazo.

Para as organizações, isso significa que:

• É preciso acompanhar e interpretar os requisitos da NIS2 nos países em que a empresa atua ou no qual suas operações críticas são realizadas;
  
• Diferenças são esperadas nos processos de registro e na postura de supervisão e fiscalização dos diferentes países-membros da UE;
  
• Organizações que atuam em diferentes países precisam de uma camada de governança que absorva as diferenças nacionais, sem exigir programas de conformidade independentes ou a duplicação dos controles de um país a outro.

Por que a NIS2 é um desafio de governança, e não só de segurança cibernética

Um erro comum é tratar a NIS2 como uma simples lista de checagem de itens técnicos ou uma iniciativa exclusiva da área de segurança. Embora a segurança cibernética esteja no centro de tudo, a NIS2 trata, em última análise, de como as organizações gerenciam os riscos, e não só de como detectam as ameaças.

Na prática, a NIS2 exige a coordenação de várias funções que raramente operam sob um mesmo modelo operacional:

• Operações de segurança: área encarregada da detecção, resposta e monitoramento;
  
• Risco e conformidade: área responsável pelos controles, relatórios e alinhamento regulatório;
  
• Aquisição: gerenciamento da seleção e da supervisão de fornecedores;
• Setor jurídico e de privacidade: avaliação das implicações dos incidentes e das obrigações de notificação;
• Liderança: responsável pela supervisão, prestação de contas e comprovação da governança.

Quando essas equipes trabalham de forma isolada, as falhas e deficiências se manifestam rapidamente. Mesmo organizações com programas maduros de segurança enfrentam dificuldades para converter suas atividades nos resultados de governança que os órgãos reguladores esperam.

As consequências são previsíveis:

• A comunicação de incidentes é lenta, inconsistente ou incompleta;
  
• As evidências se dispersam entre diferentes caixas de entrada, planilhas e ferramentas;
  
• Os riscos dos fornecedores são avaliados de forma isolada em relação às operações reais;
  
• A liderança não consegue dizer com confiança se a empresa está preparada e como isso pode ser confirmado.

A preparação para a NIS2 deve ser tratada como um programa de governança operacional, e não como uma tarefa pontual de conformidade. O objetivo não é simplesmente responder aos incidentes, e sim demonstrar como os riscos cibernéticos são gerenciados, encaminhados e revisados de forma consistente dentro da organização.

O que as organizações precisam fazer

Agir imediatamente não significa tentar resolver a conformidade com a NIS2 ainda hoje. Significa desenvolver capacidades que tornem a conformidade viável sob pressão e fazer com que elas sejam sustentáveis ao longo do tempo.

1) Confirmação do escopo e das responsabilidades

Determine se sua organização é uma entidade essencial ou importante em cada um dos países em que atua. Atribua um responsável claro pela coordenação das ações relativas à conformidade com a NIS2 – de preferência, uma liderança interfuncional capaz de integrar as áreas de segurança, gestão de riscos, questões jurídicas e operações.

2) Criação de um fluxo de trabalho para incidentes preparado para a comunicação

Atender aos requisitos de notificação em 24 horas, 72 horas e 30 dias exige preparação para os estágios que antecedem os incidentes.

Isso inclui:

• Definir claramente os fatores internos que determinam o que constitui um incidente comunicável;
• Estabelecer rotas de encaminhamento e níveis de autoridade quanto às decisões;
• Funções, modelos e formas de comunicação pré-aprovadas;
• Uma forma de registrar fatos, decisões e evidências no decorrer dos eventos.

3) Gestão de terceiros como um processo contínuo

Identifique os fornecedores mais críticos e relacione os riscos associados a terceiros a dependências operacionais reais, como sistemas, acessos, dados e serviços. As revisões devem ser reprodutíveis, fundamentadas nos riscos e vinculadas à preparação para os incidentes – e não limitada a questionários periódicos.

4) Criação de uma fonte única de verdade para evidências de governança

É neste ponto que muitos programas fracassam. A diretiva NIS2 não exige somente que as organizações gerenciem os riscos, mas também que que elas comprovem que isso está sendo feito.

Uma abordagem unificada de governança ajuda a conectar:

• Controles;
  
• Incidentes;
• Supervisão de fornecedores;
• Responsabilização e aprovações;
• Evidências e relatórios.

A plataforma OneTrust oferece às organizações uma maneira estruturada de gerenciar riscos, fluxos de trabalho de conformidade, procedimentos de supervisão de terceiros e evidências de governança em um só lugar. Isso permite que a preparação para o cumprimento da diretiva NIS2 evolua junto com a transformação dos regulamentos e expectativas de fiscalização, sem a necessidade de reconstruir os programas desde o início.

O valor está na consistência das operações, e não em mais uma ferramenta.

Da obrigação de conformidade à vantagem operacional

A diretiva NIS2 faz parte de uma mudança ampla na regulamentação da União Europeia: a resiliência diante de riscos cibernéticos passa a ser uma expectativa de governança no nível da diretoria, e não somente mais uma iniciativa de segurança restrita ao back-office. Os órgãos reguladores não estão mais preocupados somente com a existência de controles, e sim em verificar se as organizações são capazes de demonstrar de forma consistente como os riscos cibernéticos são controlados, encaminhados internamente e revisados.

Organizações que encaram a NIS2 como um esforço pontual de conformidade costumam enfrentar os mesmos problemas:

• Trabalho duplicado em diferentes países e equipes;
• Inconsistência na comunicação e na supervisão de incidentes;
• Trilhas de evidências frágeis ou incompletas;
• Maior impacto quando os incidentes ocorrem.

Por outro lado, organizações que investem em uma governança reprodutível, com responsabilidades claras, fluxos de trabalho compartilhados e evidências conectadas, estão mais preparadas para se adaptarem à evolução da fiscalização. Essas empresas dedicam menos tempo à repetição de processos, respondem aos incidentes com mais confiança e reduzem os custos e os atritos relativos à conformidade em longo prazo.

A plataforma OneTrust dá suporte a uma abordagem duradoura para a conformidade com a diretiva NIS2.

Ao oferecer às organizações uma forma consistente de gerenciar riscos cibernéticos, incidentes, supervisão de terceiros e evidências de governança, a plataforma ajuda a transformar a pressão regulatória em estabilidade operacional, permitindo que a capacidade de resiliência acompanhe o crescimento dos negócios.

Saiba como uma abordagem orientada para a governança pode ajudar sua organização a se preparar para a diretiva NIS2 e a manter a conformidade diante da evolução dos requisitos regulatórios.

Perguntas frequentes