A conformidade está evoluindo. Sua resiliência está pronta?
NIS2 e DORA elevam os riscos para uma gama mais ampla de setores
Há uma década, nosso foco era assegurar que nossas organizações fossem transparentes e cuidadosas na coleta de dados pessoais dos indivíduos, oferecendo-lhes opções sobre o tratamento de seus dados, protegendo-os meticulosamente e orientando sobre obrigações e melhores práticas caso os dados pessoais fossem comprometidos.
Hoje, ainda faço todas essas coisas. Mas à medida que novos regulamentos como a segunda diretiva Network and Information Security Directive (NIS2) mudaram o ambiente regulatório de segurança cibernética, meu escopo cresceu para incluir não apenas manter os dados pessoais privados, mas também como lidar com ameaças à integridade e disponibilidade dos serviços que processam esses dados pessoais. Isso significa que passo muito tempo com as equipes de produto e engenharia da Cloudflare em questões relacionadas à disponibilidade e resiliência de nossos produtos. Trabalhamos no desenvolvimento de métodos para medir os efeitos das interrupções, determinando quais incidentes devem ser relatados e, quando necessário, realmente elaborando o relatório e a resposta.
Não estou sozinho em perceber uma mudança no mundo da privacidade e conformidade. Mais de 80% dos profissionais de privacidade são encarregados de trabalhar além de suas funções de privacidade mais tradicionais, de acordo com o International Association of Privacy Professionals’ 2024 Privacy Governance Report. A conformidade regulatória em segurança cibernética tornou-se a segunda responsabilidade mais comum entre os entrevistados cujas atribuições estão crescendo. Além de proteger a privacidade, agora precisamos garantir que nossas organizações estejam reduzindo os riscos cibernéticos e aumentando a resiliência.
Navegação pelas novas regulamentações
A mudança no papel dos profissionais de privacidade reflete uma grande mudança no ambiente de regulamentação de dados. Nos últimos dois anos, uma série de novas regulamentações tornou a resiliência e o gerenciamento de riscos tão essenciais para a conformidade quanto a privacidade de dados sempre foi.
Começando com o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia, a primeira onda de principais regulamentos de privacidade e segurança de dados se concentrou na proteção dos indivíduos contra os danos causados pelo comprometimento de seus dados. A conformidade com o RGPD, a Lei de Privacidade do Consumidor da Califórnia e outras regulamentações semelhantes significava respeitar os direitos dos titulares dos dados, limitar a quantidade de dados pessoais coletados pelas organizações e proteger essas informações contra divulgação não autorizada e agentes mal-intencionados.
Três novos regulamentos que entraram em vigor desde 2023 são representativos de como a conformidade está mudando: a diretiva Network and Information Security 2 (NIS2), a Digital Operational Resilience Act (DORA) e as regras de segurança cibernética da SEC (comissão de valores mobiliários dos EUA). Na Europa, a NIS2 tem como objetivo melhorar a resiliência digital e as práticas de segurança em 18 setores, enquanto a DORA se concentra na gestão de riscos de TI no setor financeiro. A nova regra da SEC eleva os padrões de segurança e relatórios para empresas americanas de capital aberto.
Por abranger tantos setores em toda a Europa, a NIS2 pode ter o impacto mais amplo dos três. A NIS2 desafia as organizações a avaliar os riscos de forma mais completa, lidar com incidentes de forma mais rápida e fazer mais para garantir a continuidade dos negócios.
A NIS2 exige que as organizações abordem:
A visibilidade de todos os ativos de TI em todos os ambientes, permitindo uma avaliação abrangente de riscos e o tratamento proativo de incidentes.
A segurança das cadeias de suprimentos de software que apoiam sistemas críticos.
A segurança ao longo de todo o ciclo de vida dos sistemas de rede e informação.
A vulnerabilidade de aplicativos web de missão crítica a ameaças de terceiros.
A criptografia, o controle de acesso e a autenticação para vários tipos de usuários, dispositivos e sistemas.
A NIS2 também impõe esses requisitos de segurança, privacidade e resiliência a um conjunto mais amplo de setores e organizações do que sua antecessora, a Information Security Directive (“NIS”) original. A NIS é aplicada a vários setores que funcionam como infraestrutura nacional crucial, incluindo energia, transporte, bancos e finanças, água e saúde. A NIS2 acrescenta a esse grupo gestão de águas residuais, indústria espacial, administração pública e serviços de TI B2B gerenciados. Também adiciona seis novos setores à categoria "importante": gestão de resíduos, processamento de alimentos, pesquisa, serviços postais e de mensageiro, produção e distribuição de produtos químicos e certos tipos de manufatura.
Empresas em ambas as categorias enfrentam os mesmos requisitos básicos, mas a NIS2 exige que as organizações em setores essenciais demonstrem conformidade proativamente. Fundamentalmente, os requisitos da NIS2 também são transmitidos pelas organizações sujeitas à norma para os processadores de dados terceirizados que elas empregam.
De acordo com o NIS2, organizações de médio porte (aquelas com mais de 50 funcionários ou € 10 milhões em faturamento anual) em setores essenciais ou importantes na UE estão agora sujeitas a padrões de segurança rigorosos. O não cumprimento tem consequências potencialmente desastrosas: multas de até 2% da receita global para empresas do setor "essencial" e 1,4% para as "importantes". A não conformidade persistente pode levar à suspensão dos serviços ou dos funcionários responsáveis.
O efeito líquido: mais empresas em mais setores estão sujeitas a padrões rigorosos de segurança e resiliência. E as equipes de privacidade desempenham um papel fundamental em ajudar a atender a esses requisitos.
Aproveitar os investimentos já feitos em privacidade
Muitas das organizações sujeitas à NIS2 estão enfrentando regulamentações rigorosas de segurança cibernética pela primeira vez. Elas fazem isso ao mesmo tempo em que gerenciam a complexidade que todos nós enfrentamos na TI moderna, enquanto operam em sistemas no local, implantações em nuvem híbrida e dispositivos na borda.
A NIS2 identifica dez medidas de gerenciamento de riscos que as entidades sujeitas à norma devem adotar. Elas incluem a avaliação e o planejamento para uma ampla gama de riscos, desde vulnerabilidades da cadeia de suprimentos e desastres naturais até interrupções de rede e erros humanos. Essa complicada mistura de riscos cruza os mundos físico e digital.
Mas há uma boa notícia para as organizações sujeitas à norma e para as equipes de privacidade que estão se desdobrando para garantir a conformidade: muitos dos esforços já realizados para desenvolver programas de privacidade maduros e abrangentes podem ser aproveitados para auxiliar na conformidade com as regulamentações de segurança cibernética.
Por exemplo, os mandatos de avaliação de risco da NIS2 exigem que as empresas sujeitas à norma façam o inventário de todos os ativos em seus patrimônios de TI. A DORA faz o mesmo para empresas no setor financeiro. Mapas de dados existentes desenvolvidos para fins de privacidade proporcionam às organizações uma vantagem inicial na compreensão de suas coleções de ativos e dos riscos que enfrentam.
As equipes de privacidade desempenham um papel essencial no cumprimento das exigências de tratamento de incidentes da NIS2 e de outras novas regulamentações. Por exemplo, ajudamos a determinar quando os incidentes atingem o limite de notificações e trabalhamos com equipes de observabilidade para garantir que nossas organizações possuam os dados que devemos compartilhar com os reguladores e o público.
Alcançar a conformidade sem aumentar a complexidade
Por mais sólida que seja sua base, atender aos mandatos da NIS2 apresenta novos desafios tecnológicos. Para muitas organizações, a continuidade dos negócios depende da disponibilidade contínua de aplicativos web. Isso significa proteção contra ataques de DDoS nas camadas de rede, transporte e de aplicação.
As empresas sujeitas à norma também têm um novo nível de responsabilidade pela segurança dos aplicativos de terceiros que utilizam e da cadeia de suprimentos de software que sustenta suas pilhas. As penalidades rígidas para a não conformidade tornam os fundamentos da segurança cibernética mais importantes do que nunca: prevenir ataques de phishing e malware, controle e gerenciamento de acesso, e o uso apropriado de criptografia e autenticação multifator (MFA).
Não há um único sistema ou peça de software que possa enfrentar esses desafios. É uma questão de estratégia, uma mistura de tecnologia, política, procedimento e engenhosidade. Mas as ferramentas realmente importam. E escolher soluções de segurança adequadas ao ambiente regulatório em evolução pode reduzir a complexidade e o custo à medida que as organizações buscam conformidade.
Aqui estão três perguntas principais a serem feitas ao avaliar soluções de segurança cibernética à luz da NIS2:
Essas soluções são versáteis o suficiente para ambientes de TI complexos? Existem soluções pontuais que podem ser bem adequadas para aspectos individuais da conformidade com a NIS2, mas integrar várias delas em ambientes híbridos pode complicar a gestão e deixar brechas de segurança.
Elas simplificam a visibilidade? Inventariar ativos de TI, identificar possíveis problemas de segurança e investigar rapidamente ameaças são essenciais para a conformidade com a NIS2. A plataforma de segurança certa fornecerá visibilidade e relatórios sob demanda.
Elas são feitas para a continuidade dos negócios? Interrupções em aplicativos web ameaçam serviços essenciais. Procure por soluções que reduzam o tempo de inatividade da web com múltiplas camadas de proteção contra ataques.
A nuvem de conectividade da Cloudflare — uma plataforma unificada e inteligente de serviços de segurança e rede, equipa as organizações para maior resiliência e conformidade com as regulamentações de segurança existentes e emergentes. Esta plataforma oferece monitoramento proativo e alertas para incidentes de segurança que são indispensáveis para cumprir os requisitos de relatório da NIS2, da DORA e das regras de segurança cibernética da SEC. Os serviços da Cloudflare também ajudam as organizações a identificar possíveis vulnerabilidades em suas cadeias de suprimentos de software e a escanear o tráfego da web em busca de dados sensíveis ou usuários maliciosos. A criptografia de ponta é padrão em nossos produtos, e nossos clientes podem configurar o controle de acesso, o gerenciamento de ativos e a autenticação.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Saiba mais sobre esse assunto
Saiba mais sobre como atender aos rígidos requisitos de gerenciamento de risco da conformidade com a NIS2 no artigo técnico Aligning to NIS2 cyber security risk management obligations in the EU.
Autoria
Emily Hancock — @emilyhancock
Chief Privacy Officer, Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
O papel da privacidade em meio a regulamentações em mudança
Por que políticas como NIS2, DORA e as regras de segurança cibernética da SEC elevaram a resiliência como uma exigência de conformidade
Como alcançar a conformidade sem aumentar a complexidade