As empresas europeias estão preparadas para a implementação do NIS2?
A nova legislação entrará em vigor em outubro de 2024
18 de setembro, 2023
Estudo diz que futura legislação NIS2 será um desafio substancial para indústrias de infraestruturas críticas.
Um estudo da Nozomi e da Exclusive Networks mostra que a diretiva NIS2 será um desafio substancial para as empresas, nomeadamente para as que operam em indústrias com infraestruturas críticas.
As coimas por incumprimento podem ascender a 10 milhões de euros ou 2% do volume de negócios global para entidades essenciais, e 7 milhões de euros ou 1,4% do volume de negócios global para as entidades importantes.
A nova legislação entrará em vigor em outubro de 2024, aumentando a resiliência coletiva das infraestruturas críticas europeias através da aplicação de sete requisitos de segurança abrangentes. A NIS2 não aborda explicitamente os ativos e redes OT e IoT, mas inclui-os implicitamente nos seus muitos requisitos.
Criado para avaliar o grau de preparação do alinhamento da segurança OT e IoT com a Diretiva NIS2, o estudo «Driving Cyber Resilience:The Impact of the NIS2 Directive», sublinha que, apesar das prioridades competitivas, é necessário colocar uma tónica especial na gestão do risco para além das TI, de modo a incluir a tecnologia operacional (TO) Uma maior visibilidade de todos os ativos e redes é crucial - não só ajudando as organizações a protegerem-se melhor, mas também a garantir o cumprimento da legislação fundamental.
A Exclusive Networks e a Nozomi partilham algumas das conclusões deste estudo.
Quem é responsável pela segurança cibernética de TO e IoT?
Cada vez mais, os líderes de TI são enviados para avaliar os requisitos de conetividade e segurança de OT e IoT para proteger seus negócios contra acesso não autorizado, manipulação e paralisações inesperadas causadas por ataques que atingem ou contornam os ativos de OT e IoT. A maioria das organizações espera que a responsabilidade pela cibersegurança OT passe dos diretores e gestores para os CISO nos próximos 12 meses.
O estudo revela que, embora pouco mais de um terço das organizações atribua a responsabilidade final ao CISO (35%), muitas outras confiam no departamento de TI como um todo (24%) e/ou na tecnologia operacional (18%), entre outros. Estas respostas mostram até onde os líderes têm de ir para transferir esta responsabilidade para os CISO. Entretanto, os inquiridos também indicaram que a formação e a educação são as áreas de política menos maduras nas suas empresas, seguidas da gestão de vulnerabilidades.
Em conjunto, as perspetivas de controlo da cibersegurança de OT e IoT têm cada vez mais espaço para crescer em termos de responsabilidade, formação, sensibilização e ação. De acordo com os líderes de TI inquiridos, "a responsabilidade pela segurança da tecnologia operacional (TO) e dos dispositivos e redes IoT é partilhada entre as partes interessadas internas e terceiros externos".
Quão preparados estão os líderes para defender as redes OT e IoT?
As respostas das organizações e dos decisores ao inquérito revelaram uma grande dependência de fornecedores externos de «managed services» para consultoria, «threat intelligence» e resposta a incidentes. De acordo com o estudo, para endereçar violações, é mais provável que os responsáveis pela segurança das TI contactem um consultor de TI (60%) ou um fornecedor de soluções de (56%), o que mostra o papel fundamental que terceiros externos desempenham quando se trata de cibersegurança.
Quando questionados se as suas organizações realizam e atualizam regularmente análises de risco relacionadas com sistemas de informação críticos (CIS), 50% seguem um calendário quando se trata de realizar e atualizar uma análise de risco relacionada com os seus CIS. 34% realizam/atualizam a análise de risco do CIS numa base ad hoc. Surpreendentemente, 15% não efetuam atualmente qualquer análise de risco.
A maioria das organizações continua a sofrer ataques de malware, phishing e engenharia social, e ransomware direcionado tanto para TI como para OT. No inquérito dirigido pela Nozomi Networks, 81% dos líderes de TI indicaram que as suas organizações têm mais falta de programas associados à identificação de ativos e à gestão de inventários, 80% também mencionam falta de mapeamento de vulnerabilidades e deteção de ameaças, e 75% falta de consciência situacional e capacidades de análise de dados.
Estas tendências indicam que os profissionais de segurança podem não estar preparados para identificar e remediar com êxito os eventos de segurança que conduzem a incidentes catastróficos. É impraticável proteger o que se ignora, e é cada vez mais difícil efetuar uma análise da causa principal e rever até mesmo eventos e atividades benignos sem visibilidade do tráfego dos ativos e da rede.
Como é que uma maior visibilidade ajuda a defender as redes críticas?
Finalmente, de acordo com dados da McKinsey and Company, aproximadamente 96% dos líderes empresariais indicam a necessidade de investir na cibersegurança das OT, e aproximadamente 70% dos que investiram nela estão a enfrentar desafios de implementação. A chave para a monitorização eficaz da rede e para a gestão do risco reside na utilização de informações para obter uma visão precisa do risco.
Munida de informação, uma organização pode identificar riscos e ameaças ativas no seu ambiente. «Adotar uma abordagem dupla (que consiste em elementos de cima para baixo e de baixo para cima) para avaliar a cibersegurança OT permite às organizações identificar rapidamente os riscos críticos para os ambientes e operações OT. Este é um ponto de partida fundamental para as organizações industriais nas suas jornadas para garantir a proteção contra os ciberataques que representam um risco para as suas operações», sublinha o estudo.
Com base numa análise abrangente baseada no comportamento da IA e em motores de deteção baseados em assinaturas, a plataforma Nozomi deteta de forma fiável incidentes de segurança, violações de políticas e anomalias de processos que podem afetar o fornecimento de produtos, recursos e serviços essenciais. Se a atividade da rede não for monitorizada em tempo real, o estado dos ativos é largamente desconhecido e, quer tenham ou não vulnerabilidades, estes ativos não podem ser protegidos sem a visibilidade necessária para a sua funcionalidade diária.
As coimas por incumprimento podem ascender a 10 milhões de euros ou 2% do volume de negócios global para entidades essenciais, e 7 milhões de euros ou 1,4% do volume de negócios global para as entidades importantes.
A nova legislação entrará em vigor em outubro de 2024, aumentando a resiliência coletiva das infraestruturas críticas europeias através da aplicação de sete requisitos de segurança abrangentes. A NIS2 não aborda explicitamente os ativos e redes OT e IoT, mas inclui-os implicitamente nos seus muitos requisitos.
Criado para avaliar o grau de preparação do alinhamento da segurança OT e IoT com a Diretiva NIS2, o estudo «Driving Cyber Resilience:The Impact of the NIS2 Directive», sublinha que, apesar das prioridades competitivas, é necessário colocar uma tónica especial na gestão do risco para além das TI, de modo a incluir a tecnologia operacional (TO) Uma maior visibilidade de todos os ativos e redes é crucial - não só ajudando as organizações a protegerem-se melhor, mas também a garantir o cumprimento da legislação fundamental.
A Exclusive Networks e a Nozomi partilham algumas das conclusões deste estudo.
Quem é responsável pela segurança cibernética de TO e IoT?
Cada vez mais, os líderes de TI são enviados para avaliar os requisitos de conetividade e segurança de OT e IoT para proteger seus negócios contra acesso não autorizado, manipulação e paralisações inesperadas causadas por ataques que atingem ou contornam os ativos de OT e IoT. A maioria das organizações espera que a responsabilidade pela cibersegurança OT passe dos diretores e gestores para os CISO nos próximos 12 meses.
O estudo revela que, embora pouco mais de um terço das organizações atribua a responsabilidade final ao CISO (35%), muitas outras confiam no departamento de TI como um todo (24%) e/ou na tecnologia operacional (18%), entre outros. Estas respostas mostram até onde os líderes têm de ir para transferir esta responsabilidade para os CISO. Entretanto, os inquiridos também indicaram que a formação e a educação são as áreas de política menos maduras nas suas empresas, seguidas da gestão de vulnerabilidades.
Em conjunto, as perspetivas de controlo da cibersegurança de OT e IoT têm cada vez mais espaço para crescer em termos de responsabilidade, formação, sensibilização e ação. De acordo com os líderes de TI inquiridos, "a responsabilidade pela segurança da tecnologia operacional (TO) e dos dispositivos e redes IoT é partilhada entre as partes interessadas internas e terceiros externos".
Quão preparados estão os líderes para defender as redes OT e IoT?
As respostas das organizações e dos decisores ao inquérito revelaram uma grande dependência de fornecedores externos de «managed services» para consultoria, «threat intelligence» e resposta a incidentes. De acordo com o estudo, para endereçar violações, é mais provável que os responsáveis pela segurança das TI contactem um consultor de TI (60%) ou um fornecedor de soluções de (56%), o que mostra o papel fundamental que terceiros externos desempenham quando se trata de cibersegurança.
Quando questionados se as suas organizações realizam e atualizam regularmente análises de risco relacionadas com sistemas de informação críticos (CIS), 50% seguem um calendário quando se trata de realizar e atualizar uma análise de risco relacionada com os seus CIS. 34% realizam/atualizam a análise de risco do CIS numa base ad hoc. Surpreendentemente, 15% não efetuam atualmente qualquer análise de risco.
A maioria das organizações continua a sofrer ataques de malware, phishing e engenharia social, e ransomware direcionado tanto para TI como para OT. No inquérito dirigido pela Nozomi Networks, 81% dos líderes de TI indicaram que as suas organizações têm mais falta de programas associados à identificação de ativos e à gestão de inventários, 80% também mencionam falta de mapeamento de vulnerabilidades e deteção de ameaças, e 75% falta de consciência situacional e capacidades de análise de dados.
Estas tendências indicam que os profissionais de segurança podem não estar preparados para identificar e remediar com êxito os eventos de segurança que conduzem a incidentes catastróficos. É impraticável proteger o que se ignora, e é cada vez mais difícil efetuar uma análise da causa principal e rever até mesmo eventos e atividades benignos sem visibilidade do tráfego dos ativos e da rede.
Como é que uma maior visibilidade ajuda a defender as redes críticas?
Finalmente, de acordo com dados da McKinsey and Company, aproximadamente 96% dos líderes empresariais indicam a necessidade de investir na cibersegurança das OT, e aproximadamente 70% dos que investiram nela estão a enfrentar desafios de implementação. A chave para a monitorização eficaz da rede e para a gestão do risco reside na utilização de informações para obter uma visão precisa do risco.
Munida de informação, uma organização pode identificar riscos e ameaças ativas no seu ambiente. «Adotar uma abordagem dupla (que consiste em elementos de cima para baixo e de baixo para cima) para avaliar a cibersegurança OT permite às organizações identificar rapidamente os riscos críticos para os ambientes e operações OT. Este é um ponto de partida fundamental para as organizações industriais nas suas jornadas para garantir a proteção contra os ciberataques que representam um risco para as suas operações», sublinha o estudo.
Com base numa análise abrangente baseada no comportamento da IA e em motores de deteção baseados em assinaturas, a plataforma Nozomi deteta de forma fiável incidentes de segurança, violações de políticas e anomalias de processos que podem afetar o fornecimento de produtos, recursos e serviços essenciais. Se a atividade da rede não for monitorizada em tempo real, o estado dos ativos é largamente desconhecido e, quer tenham ou não vulnerabilidades, estes ativos não podem ser protegidos sem a visibilidade necessária para a sua funcionalidade diária.
Últimas Notícias