Quando a ISO 27001, por si só, pode não ser suficiente
A norma ISO/IEC 27001:2022 é uma norma internacional, não uma lei. A certificação ISO 27001 não garante a conformidade com a NIS2. Três áreas. segurança da cadeia de abastecimento, responsabilização da gestão e a obrigação legal de comunicar incidentes de segurança, requerem, em geral, medidas e provas que vão além do que um certificado ISO 27001, por si só, pode demonstrar.
A ISO 27001 é uma norma internacional voluntária, enquanto a NIS2 é legislação europeia vinculativa. A certificação, por conseguinte, não substitui automaticamente a conformidade com todas as obrigações da NIS2, nomeadamente no que diz respeito à segurança da cadeia de abastecimento, às obrigações de notificação e à responsabilização da gestão.
O artigo 21.º, n.º 2, da NIS2 define dez categorias de medidas de gestão de riscos de cibersegurança que as organizações abrangidas são legalmente obrigadas a implementar. O conteúdo da norma ISO/IEC 27001:2022 e os controles enumerados no Anexo A podem ser associados à maioria destas categorias, embora sem corresponderem a elas numa base de um para um enquanto requisitos legais:
Segurança da cadeia de abastecimento
A Diretiva NIS2 exige que as organizações avaliem e gerem os riscos de cibersegurança em toda a sua cadeia de abastecimento, e não apenas dentro dos limites da própria empresa.
Incidentes recentes de cibersegurança têm demonstrado repetidamente que os atacantes exploram a cadeia de abastecimento para obter acesso não autorizado a redes de clientes de maior dimensão. Afinal, o princípio da eficiência, «alcançar o máximo alcance com o mínimo esforço!», também se aplica aqui.
Consequentemente, o artigo 21.º, n.º 2, alínea d), da NIS2 exige a segurança da cadeia de abastecimento, o que está em conformidade com os requisitos 5.19–5.23 do Anexo A da norma ISO 27001:
- Segurança da informação nas relações com fornecedores
- Abordagem da segurança da informação nos acordos com fornecedores
- Gestão da segurança da informação na cadeia de abastecimento das TIC
- Monitorização, auditoria e gestão de alterações dos serviços dos fornecedores
- Segurança da informação na utilização de serviços na nuvem
Responsabilidade da direção
Ao abrigo da NIS2, a cibersegurança já não é considerada uma questão puramente técnica que possa ser delegada ao departamento de TI.
A diretiva estipula que o órgão de gestão da organização deve assumir a responsabilidade pela aprovação, monitorização e revisão regular da implementação das medidas de gestão de riscos de cibersegurança. Na prática, espera-se que a alta gestão:
- Compreenda os riscos cibernéticos e se envolva ativamente com os mesmos,
- Participar nas atividades de governação e nos processos de tomada de decisão relacionados com a cibersegurança,
- Fornecer recursos adequados para medidas de resiliência, e
- Monitorizar a preparação para a resposta a incidentes e as obrigações de comunicação.
Dependendo da implementação nacional da NIS2 e dos regulamentos empresariais e de responsabilidade aplicáveis, os membros do órgão de gestão podem também enfrentar consequências pessoais caso não cumpram adequadamente as suas obrigações em matéria de cibersegurança. A governação da cibersegurança está, assim, a tornar-se uma responsabilidade fundamental da gestão, com potenciais implicações regulamentares e financeiras caso não seja demonstrada de forma convincente uma supervisão suficiente.
Notificação de incidentes
A NIS2 introduz prazos juridicamente vinculativos: as organizações devem apresentar uma notificação inicial de alerta precoce à autoridade competente no prazo de 24 horas após tomarem conhecimento de um incidente significativo, seguida de um relatório mais detalhado no prazo de 72 horas e de um relatório final numa fase posterior, conforme definido na legislação.
Atualmente, muitas organizações carecem dos processos documentados, das responsabilidades claramente atribuídas e dos procedimentos testados necessários para cumprir estes prazos de forma fiável. As estruturas de gestão de incidentes existentes no âmbito de um SGSI requerem frequentemente ajustes específicos para refletir os prazos regulamentares e as obrigações de comunicação externa introduzidas pela NIS2.
Na prática, isto significa, normalmente, colmatar três lacunas específicas. Em primeiro lugar, definir e documentar um critério claro que determine quando o facto de «tomar conhecimento» de um incidente significativo dá início ao prazo de 24 horas — a maioria dos procedimentos do SGSI centra-se na classificação interna de gravidade, em vez de nos prazos regulamentares. Em segundo lugar, designar uma função específica responsável pela notificação de alerta precoce e pela ligação direta com o CSIRT nacional ou com a autoridade competente, separada da função que lidera a resposta interna. Em terceiro lugar, estabelecer um rasto de provas auditável — incluindo registos com data e hora, cópias das notificações e a fundamentação subjacente à avaliação inicial da gravidade — que possa ser apresentado caso uma autoridade de supervisão venha a analisar posteriormente como foram cumpridos os prazos de 24 e 72 horas previstos na NIS2.
Resiliência operacional
Os reguladores e os clientes esperam, cada vez mais, provas de que as medidas de resiliência foram testadas — e não apenas documentadas no papel.
Espera-se, portanto, que as organizações demonstrem que conseguem manter ou restabelecer rapidamente as operações críticas durante eventos perturbadores, em vez de se limitarem a apresentar planos escritos. Isto inclui normalmente:
- Planeamento da continuidade das atividades e testes regulares
- Exercícios de recuperação de desastres para sistemas e dados críticos
- Simulações realistas de resposta a incidentes
- Procedimentos de gestão de crises definidos e praticados
Em conjunto, estes elementos revelam se a resiliência está verdadeiramente integrada nas operações do dia-a-dia.