No passado, a segurança da informação era considerada, principalmente, como uma responsabilidade do departamento de TI. As organizações encaravam a gestão dos riscos de segurança da informação principalmente como a implementação de medidas técnicas e confiavam na proteção das suas infraestruturas de TI através de firewalls, segurança de terminais, sistemas de detecção e prevenção de intrusões ou segmentação de rede. Esta abordagem era complementada por medidas de segurança física e formação de sensibilização para reforçar a «firewall humana», a fim de demonstrar uma abordagem estruturada à gestão dos riscos de segurança da informação.

Desde então, o foco alargou-se significativamente. Hoje em dia, a cibersegurança já não significa apenas proteger os ativos de informação relacionados com as TI, mas também evitar perdas financeiras, manter a continuidade das atividades, salvaguardar serviços críticos e cadeias de abastecimento, em suma: reforçar a resiliência de uma organização. Quase nada ilustra esta mudança de paradigma tão claramente como a Diretiva NIS2 da União Europeia.

O que é a NIS2?

A NIS2 é a diretiva atualizada da União Europeia relativa à segurança das redes e da informação (Diretiva (UE) 2022/2555), que estabelece obrigações harmonizadas em matéria de cibersegurança e notificação de incidentes para organizações de média e grande dimensão em setores-chave, tais como a energia, os produtos químicos, a indústria transformadora, os transportes, os cuidados de saúde, infraestruturas digitais e outros setores econômicos críticos. Uma vez transposta para a legislação nacional dos Estados-Membros da União Europeia, exigirá que as organizações em causa implementem medidas de cibersegurança baseadas no risco, cumpram prazos rigorosos de notificação de 24 ou 72 horas e enfrentem multas substanciais em caso de violações graves.

Embora a NIS2 seja uma diretiva da UE, o seu impacto prático estende-se muito para além das fronteiras da União. Fabricantes, fornecedores de tecnologia, empresas de logística e prestadores de serviços que fazem parte das cadeias de valor europeias são cada vez mais confrontados com expectativas específicas em matéria de cibersegurança e requisitos de comprovação por parte dos seus clientes. A certificação ISO 27001 está se tornando um sinal fundamental neste contexto: demonstra que uma organização gere os riscos de segurança da informação de forma sistemática e em conformidade com uma norma reconhecida internacionalmente.

Para muitas organizações, isto levanta uma questão estratégica:

Se quisermos participar de forma confiável nas cadeias de abastecimento europeias, será que a certificação ISO 27001 está se tornando um requisito de entrada?

A ISO 27001 como porta de entrada para as cadeias de abastecimento europeias

A partir de um número crescente de concursos públicos e avaliações de fornecedores, surge um quadro claro:

  • A ISO 27001 proporciona uma base reconhecida e auditável para muitas das expectativas em matéria de cibersegurança e governação que surgem na sequência da NIS2.
  • Para aceder a relações com clientes exigentes e a cadeias de abastecimento críticas, a certificação é cada vez mais vista como uma expectativa mínima, em vez de um fator diferenciador.
  • As organizações com um SGSI maduro e certificado estão melhor posicionadas para responder a questionários, auditorias e atividades de due diligence impulsionadas pela NIS2 ao longo da cadeia de abastecimento.

Neste sentido, a certificação ISO 27001 está se tornando uma porta de entrada eficaz para as cadeias de abastecimento europeias, não porque, por si só, cumpra todas as obrigações da NIS2, mas porque proporciona o quadro estruturado e verificável que muitos clientes europeus esperam agora como requisito mínimo.

O custo crescente das perturbações cibernéticas

Atualmente, os incidentes cibernéticos raramente permanecem isolados, propagam-se em cascata pelas cadeias de abastecimento, interrompem as operações e expõem as organizações ao escrutínio regulatório muito tempo depois da violação inicial.

Nos setores da indústria transformadora, dos cuidados de saúde, dos transportes e das infraestruturas críticas, as organizações têm enfrentado paragens operacionais que duram dias ou mesmo semanas: as linhas de produção pararam, as redes logísticas ficaram paralisadas e os serviços ao cliente tornaram-se indisponíveis.

O que torna muitos destes incidentes particularmente preocupantes é o fato de nem sempre terem começado com ataques altamente sofisticados. Em muitos casos, os atacantes exploraram vulnerabilidades nos ecossistemas de fornecedores, sistemas sem patches, monitorização insuficiente ou respostas tardias a incidentes.

Para os líderes empresariais, uma lição tornou-se clara:
A questão fundamental já não é se uma organização consegue prevenir todos os incidentes cibernéticos, mas sim se consegue continuar a operar quando um deles ocorre.

Esta mudança de mentalidade está no cerne da NIS2.

Por que razão a NIS2 é importante para os conselhos de administração

  • A cibersegurança tornou-se uma questão para os conselhos de administração, em vez de um assunto puramente de TI: os órgãos de gestão devem aprovar e supervisionar as medidas de gestão de riscos de cibersegurança.
  • As leis nacionais que implementam a NIS2 podem impor multas ao nível do RGPD, até 10 milhões de euros ou 2 % do volume de negócios anual global para entidades essenciais, e até 7 milhões de euros ou 1,4 % para entidades importantes.
  • Os membros do órgão de gestão podem ser responsabilizados por uma supervisão inadequada da gestão de riscos de cibersegurança, sujeita às regras nacionais em matéria de responsabilidade.

A NIS2 atribui grande importância à governação, à responsabilização e à resiliência organizacional. As organizações abrangidas pelo escopo de aplicação da diretiva devem demonstrar, entre outros aspetos:

  • O envolvimento ativo da direção de topo na implementação e monitorização das medidas de cibersegurança,
  • Processos eficazes de comunicação de incidentes de segurança significativos,
  • Uma gestão estruturada dos riscos de cibersegurança,
  • Controles de segurança eficazes na cadeia de abastecimento,
  • Medidas de continuidade de atividade 

A norma ISO 27001 proporciona uma base sólida

As organizações certificadas pela norma ISO 27001 já dispõem de um quadro estruturado para a gestão de riscos, a governação e o tratamento de incidentes, todos eles elementos que apoiam os requisitos da NIS2.

Na sua essência, a norma ISO 27001 baseia-se numa seleção, orientada pelo risco, de medidas de controlo relacionadas com os processos de negócio de uma organização, em responsabilidades e políticas de governação claras e na melhoria contínua (o ciclo PDCA). Estes princípios podem ser aplicados diretamente às medidas organizacionais e técnicas estabelecidas nos regulamentos da NIS2.

As organizações com um sistema de gestão da segurança da informação (SGSI) maduro geralmente já dispõem do seguinte:

  • Estruturas de governação para a segurança da informação
  • Processos eficazes de avaliação e tratamento de riscos
  • Políticas de segurança documentadas e responsabilidades claramente definidas
  • Procedimentos para a gestão de incidentes
  • Ciclos de auditorias internas e revisões da gestão
  • Medidas de gestão da cadeia de abastecimento
  • Planos de recuperação em caso de catástrofe e de continuidade das atividades

Estes elementos constituem uma base sólida para a implementação das principais medidas de gestão de riscos da NIS2.

Quando a ISO 27001, por si só, pode não ser suficiente

A norma ISO/IEC 27001:2022 é uma norma internacional, não uma lei. A certificação ISO 27001 não garante a conformidade com a NIS2. Três áreas. segurança da cadeia de abastecimento, responsabilização da gestão e a obrigação legal de comunicar incidentes de segurança, requerem, em geral, medidas e provas que vão além do que um certificado ISO 27001, por si só, pode demonstrar.

A ISO 27001 é uma norma internacional voluntária, enquanto a NIS2 é legislação europeia vinculativa. A certificação, por conseguinte, não substitui automaticamente a conformidade com todas as obrigações da NIS2, nomeadamente no que diz respeito à segurança da cadeia de abastecimento, às obrigações de notificação e à responsabilização da gestão.

O artigo 21.º, n.º 2, da NIS2 define dez categorias de medidas de gestão de riscos de cibersegurança que as organizações abrangidas são legalmente obrigadas a implementar. O conteúdo da norma ISO/IEC 27001:2022 e os controles enumerados no Anexo A podem ser associados à maioria destas categorias, embora sem corresponderem a elas numa base de um para um enquanto requisitos legais:

Segurança da cadeia de abastecimento

A Diretiva NIS2 exige que as organizações avaliem e gerem os riscos de cibersegurança em toda a sua cadeia de abastecimento, e não apenas dentro dos limites da própria empresa.

Incidentes recentes de cibersegurança têm demonstrado repetidamente que os atacantes exploram a cadeia de abastecimento para obter acesso não autorizado a redes de clientes de maior dimensão. Afinal, o princípio da eficiência, «alcançar o máximo alcance com o mínimo esforço!», também se aplica aqui.

Consequentemente, o artigo 21.º, n.º 2, alínea d), da NIS2 exige a segurança da cadeia de abastecimento, o que está em conformidade com os requisitos 5.19–5.23 do Anexo A da norma ISO 27001:

  • Segurança da informação nas relações com fornecedores
  • Abordagem da segurança da informação nos acordos com fornecedores
  • Gestão da segurança da informação na cadeia de abastecimento das TIC
  • Monitorização, auditoria e gestão de alterações dos serviços dos fornecedores
  • Segurança da informação na utilização de serviços na nuvem

Responsabilidade da direção

Ao abrigo da NIS2, a cibersegurança já não é considerada uma questão puramente técnica que possa ser delegada ao departamento de TI.

A diretiva estipula que o órgão de gestão da organização deve assumir a responsabilidade pela aprovação, monitorização e revisão regular da implementação das medidas de gestão de riscos de cibersegurança. Na prática, espera-se que a alta gestão:

  • Compreenda os riscos cibernéticos e se envolva ativamente com os mesmos,
  • Participar nas atividades de governação e nos processos de tomada de decisão relacionados com a cibersegurança,
  • Fornecer recursos adequados para medidas de resiliência, e
  • Monitorizar a preparação para a resposta a incidentes e as obrigações de comunicação.

Dependendo da implementação nacional da NIS2 e dos regulamentos empresariais e de responsabilidade aplicáveis, os membros do órgão de gestão podem também enfrentar consequências pessoais caso não cumpram adequadamente as suas obrigações em matéria de cibersegurança. A governação da cibersegurança está, assim, a tornar-se uma responsabilidade fundamental da gestão, com potenciais implicações regulamentares e financeiras caso não seja demonstrada de forma convincente uma supervisão suficiente.

Notificação de incidentes

A NIS2 introduz prazos juridicamente vinculativos: as organizações devem apresentar uma notificação inicial de alerta precoce à autoridade competente no prazo de 24 horas após tomarem conhecimento de um incidente significativo, seguida de um relatório mais detalhado no prazo de 72 horas e de um relatório final numa fase posterior, conforme definido na legislação.

Atualmente, muitas organizações carecem dos processos documentados, das responsabilidades claramente atribuídas e dos procedimentos testados necessários para cumprir estes prazos de forma fiável. As estruturas de gestão de incidentes existentes no âmbito de um SGSI requerem frequentemente ajustes específicos para refletir os prazos regulamentares e as obrigações de comunicação externa introduzidas pela NIS2.

Na prática, isto significa, normalmente, colmatar três lacunas específicas. Em primeiro lugar, definir e documentar um critério claro que determine quando o facto de «tomar conhecimento» de um incidente significativo dá início ao prazo de 24 horas — a maioria dos procedimentos do SGSI centra-se na classificação interna de gravidade, em vez de nos prazos regulamentares. Em segundo lugar, designar uma função específica responsável pela notificação de alerta precoce e pela ligação direta com o CSIRT nacional ou com a autoridade competente, separada da função que lidera a resposta interna. Em terceiro lugar, estabelecer um rasto de provas auditável — incluindo registos com data e hora, cópias das notificações e a fundamentação subjacente à avaliação inicial da gravidade — que possa ser apresentado caso uma autoridade de supervisão venha a analisar posteriormente como foram cumpridos os prazos de 24 e 72 horas previstos na NIS2.

Resiliência operacional

Os reguladores e os clientes esperam, cada vez mais, provas de que as medidas de resiliência foram testadas — e não apenas documentadas no papel.

Espera-se, portanto, que as organizações demonstrem que conseguem manter ou restabelecer rapidamente as operações críticas durante eventos perturbadores, em vez de se limitarem a apresentar planos escritos. Isto inclui normalmente:

  • Planeamento da continuidade das atividades e testes regulares
  • Exercícios de recuperação de desastres para sistemas e dados críticos
  • Simulações realistas de resposta a incidentes
  • Procedimentos de gestão de crises definidos e praticados

Em conjunto, estes elementos revelam se a resiliência está verdadeiramente integrada nas operações do dia-a-dia.

A sua organização também está a avaliar necessidades mais amplas de resiliência em matéria de cibersegurança?

A norma ISO 22301 (Gestão da Continuidade de Negócios) fornece um quadro complementar para demonstrar a continuidade operacional em situações de pressão.

Saiba mais

Novas questões que os clientes e parceiros estão a colocar

A certificação ISO 27001 está a tornar-se um pré-requisito nas negociações com fornecedores. Os clientes europeus esperam não só um certificado ISO 27001, mas também provas de resiliência comprovada.

As empresas da cadeia de abastecimento devem abordar as seguintes questões:

  • Com que rapidez conseguem recuperar de um incidente cibernético grave?
  • Como é que os fornecedores críticos e terceiros são avaliados em termos de riscos de segurança?
  • Que papel desempenha a gestão de topo na governação da cibersegurança?
  • Com que frequência são testados os planos de resposta a incidentes e de continuidade de negócios?
  • Que medidas estão em vigor para garantir a continuidade das operações durante uma interrupção?

As empresas que conseguem demonstrar tanto a certificação como uma resiliência operacional comprovada destacam-se em mercados altamente competitivos.

O que as equipas de gestão devem ter em conta

A abordagem mais eficaz consiste em utilizar um SGSI (Sistema de Gestão da Segurança da Informação) ISO 27001 já existente como base para uma conformidade mais abrangente com a NIS2 — e, em seguida, identificar e colmatar as lacunas específicas que a certificação, por si só, não aborda.

As organizações não precisam de escolher entre a conformidade com a norma ISO 27001 e a NIS2. Na maioria dos casos, a norma ISO 27001 fornece a plataforma do sistema de gestão; a NIS2 e as respetivas leis nacionais de implementação elevam os requisitos em áreas específicas. O essencial é compreender em que medida as práticas atuais já estão em conformidade com esses requisitos legais — e em que áreas ainda são necessárias melhorias específicas.

Questões úteis a considerar pelas equipas de gestão:

  • O nosso programa de cibersegurança aborda adequadamente os riscos em todo o nosso ecossistema de fornecedores?
  • Os líderes executivos estão ativamente envolvidos na governação da cibersegurança — e não apenas a serem informados a posteriori?
  • Conseguimos demonstrar resiliência operacional para além dos procedimentos documentados?
  • Os processos de resposta a incidentes e de recuperação são testados regularmente com base em cenários realistas?
  • Dispomos de processos documentados que cumprem os prazos de notificação de 24 e 72 horas previstos pela NIS2?
  • Os nossos clientes e parceiros de negócio esperam mais do que uma certificação como prova de resiliência?

De que forma os requisitos da NIS2 e da ISO 27001 se correspondem entre si?

Descarregue o white paper da DQS para obter uma comparação detalhada entre as obrigações da NIS2 e os controlos da ISO 27001, concebido para ajudar as organizações a avaliar em que medida o seu SGSI já cumpre as expectativas da diretiva e onde ainda podem existir lacunas.

Des­car­re­gue o do­cu­mento técnico

Pontos-chave

  1. A norma ISO/IEC 27001:2022 abrange uma grande parte das dez medidas de gestão de risco estabelecidas no artigo 21.º, n.º 2, da NIS2 – embora a extensão dessa correspondência dependa da maturidade e do âmbito do SGSI existente.
  2. As áreas típicas de foco nos SGSI certificados incluem principalmente: riscos da cadeia de abastecimento que se estendem para além dos parceiros diretamente contratados; um fluxo de trabalho documentado para a comunicação de incidentes em 24 horas/72 horas com gatilhos claros
  3. Responsabilidade claramente atribuída pela aceitação de riscos ao nível da gestão de topo
  4. Medidas de emergência e de continuidade de atividade que são regularmente testadas, e não apenas descritas.
  5. A norma ISO 27001 atribui a responsabilidade pelos riscos à gestão de topo (incluindo na cláusula 6.1.3(f)), mas não estabelece, por si só, responsabilidade pessoal — esta decorre apenas da NIS2 e da respetiva implementação nacional (por exemplo, no que diz respeito aos órgãos de gestão e às funções de supervisão).
  6. Os clientes e as equipas de compras consideram a certificação ISO 27001 um pré-requisito para a avaliação de fornecedores.
Perguntas e respostas

Perguntas frequentes.

O que é a Diretiva NIS2?

A NIS2 (a segunda Diretiva relativa à segurança das redes e da informação, Diretiva (UE) 2022/2555) é uma diretiva da UE que se aplica a nível da UE desde janeiro de 2023 e que deve ser transposta para o direito nacional pelos Estados-Membros até 17 de outubro de 2024. Estabelece requisitos obrigatórios em matéria de cibersegurança e resiliência para as organizações num vasto leque de setores essenciais e importantes em toda a Europa, incluindo a energia, os transportes, a indústria transformadora, os cuidados de saúde e as infraestruturas digitais. As leis nacionais que transpõem a NIS2 introduzem obrigações legais diretas, sanções financeiras que podem atingir até 10 milhões de euros ou 2 % do volume de negócios anual global para as entidades essenciais (e 7 milhões de euros ou 1,4 % para as entidades importantes), bem como uma responsabilização mais clara da direção em matéria de gestão de riscos de cibersegurança e conformidade.

A norma ISO 27001 abrange os requisitos da NIS2?

A norma ISO/IEC 27001 dá resposta a muitas das expectativas da NIS2 através da sua abordagem estruturada e baseada no risco à gestão da segurança da informação. No entanto, a certificação, por si só, não cumpre automaticamente todas as obrigações da NIS2, nomeadamente no que diz respeito aos prazos legais de notificação de incidentes, à gestão de riscos da cadeia de abastecimento e aos requisitos específicos de governação e responsabilização impostos aos órgãos de gestão ao abrigo das leis nacionais baseadas na NIS2.

A norma ISO 27001 é obrigatória ao abrigo da NIS2?

Não. A NIS2 não exige a certificação ISO 27001. No entanto, muitas organizações utilizam a norma ISO/IEC 27001 como um quadro reconhecido para estruturar e demonstrar as suas práticas de gestão de riscos de cibersegurança, o que pode apoiar significativamente os seus esforços para cumprir as obrigações da NIS2 e satisfazer as expectativas dos clientes e das entidades reguladoras.

Qual é a maior diferença entre a ISO 27001 e a NIS2?

A ISO/IEC 27001 é uma norma internacional voluntária de sistemas de gestão que as organizações podem adotar para demonstrar uma governação estruturada da segurança da informação. A NIS2 é uma diretiva da UE que, uma vez transposta para a legislação nacional, cria obrigações legais vinculativas relacionadas com a gestão de riscos de cibersegurança, resiliência, notificação de incidentes e supervisão ao nível da gestão — com sanções potencialmente significativas em caso de incumprimento.

Que sanções podem as organizações enfrentar ao abrigo da NIS2?

No âmbito da NIS2, a legislação nacional pode prever coimas administrativas para entidades essenciais até 10 milhões de euros ou 2 % do volume de negócios anual global, consoante o valor mais elevado, e para entidades importantes até 7 milhões de euros ou 1,4 % do volume de negócios anual global, consoante o valor mais elevado. A direção pode também enfrentar consequências ao abrigo da legislação nacional aplicável em matéria de direito das sociedades e de responsabilidade civil, caso negligencie gravemente as suas obrigações de supervisão no que diz respeito à cibersegurança.

Quais são os requisitos de notificação de incidentes da NIS2?

A NIS2 exige que as organizações abrangidas sigam um calendário de notificação por fases junto da autoridade nacional competente ou do CSIRT. Normalmente, isto inclui uma notificação de alerta precoce no prazo de 24 horas após a deteção de um incidente significativo, uma notificação mais detalhada do incidente no prazo de 72 horas e um relatório final dentro de um prazo posterior (frequentemente de um mês) estabelecido na legislação nacional. As organizações que não disponham de processos documentados, responsabilidades atribuídas e procedimentos testados para estas etapas poderão ter dificuldade em cumprir estes prazos juridicamente vinculativos.

A norma ISO 27001 pode ajudar a melhorar a resiliência operacional?

Sim. A norma ISO/IEC 27001 apoia a gestão de riscos, os procedimentos de resposta a incidentes, os controlos de segurança dos fornecedores e as práticas de governação que, em conjunto, contribuem para uma maior resiliência organizacional. Para as organizações que procuram demonstrar resiliência em conformidade com as expectativas da NIS2 e dos seus clientes, um SGSI baseado na norma ISO 27001 e bem implementado constitui um ponto de partida valioso e amplamente reconhecido.

Descubra o que envolve a certificação ISO 27001

Explore os serviços de certificação ISO 27001 da DQS — desde a avaliação inicial até à certificação e à vigilância contínua.

Explore os ser­vi­ços de cer­ti­fi­ca­ção da DQS
Autor

Markus Jegelka

Especialista na DQS para sistemas de gestão de segurança da informação (ISMS) e auditor de longa data para as normas ISO 9001, ISO/IEC 27001 e catálogo de segurança de TI de acordo com o parágrafo 11.1a da Lei da Indústria de Energia Alemã (EnWG) com competência em procedimentos de teste para § 8a (3) BSIG. 

Loading...

Eventos e artigos relevantes

Você também pode se interessar por
Blog
Loading...

Avaliação TISAX® de Nível 2: Por que razão a opção mais barata nem sempre é a mais rentável

Blog
Loading...

Lei da IA da UE: o que a sua organização precisa de saber em 2026

Blog
Loading...

Comunicação de crise durante um ataque de ransomware: Gerir a informação numa emergência