Empresas podem estar pouco preparadas para a nova diretiva europeia de cibersegurança - Negócios Tek

Criada para aumentar a resiliência coletiva das infraestruturas críticas na Europa com a aplicação de um conjunto de requisitos de cibersegurança, a nova diretiva NIS2 entra em vigor em outubro do próximo ano. Fly :D | Unsplash

A 💥️diretiva NIS2 poderá vir a ser um 💥️desafio substancial para as empresas, nomeadamente para as que operam em indústrias com infraestruturas críticas, indica um estudo da Nozomi e da Exclusive Networks.

Criado para avaliar o grau de preparação do alinhamento da segurança OT e IoT com a nova diretiva, o estudo “Driving Cyber Resilience:The Impact of the NIS2 Directive” sublinha que é necessário 💥️colocar uma tónica especial na gestão do risco para além das TI, de modo a incluir a tecnologia operacional (TO).

Em conjunto, 💥️as perspetivas de controlo da cibersegurança de OT e IoT têm cada vez mais espaço para crescer em termos de responsabilidade, formação, sensibilização e ação, aponta o estudo. De acordo com os líderes de TI inquiridos, "a responsabilidade pela segurança da tecnologia operacional (TO) e dos dispositivos e redes IoT é partilhada entre as partes interessadas internas e terceiros externos".

NIS2 e DORA: Conselho europeu dá luz verde a novas regras que reforçam cibersegurança na Europa

Ver artigo

As respostas das organizações e dos decisores ao inquérito revelaram uma 💥️grande dependência de fornecedores externos de "managed services" para consultoria, "threat intelligence" e resposta a incidentes. De acordo com o estudo, é mais provável que os responsáveis pela segurança das TI contactem um consultor de TI (60%) ou um fornecedor de soluções de (56%) para endereçar violações, o que mostra o 💥️papel fundamental que terceiros externos desempenham quando se trata de cibersegurança.

Quando questionados se as suas organizações realizam e atualizam regularmente análises de risco relacionadas com sistemas de informação críticos (CIS), 💥️50% seguem um calendário quando se trata de realizar e atualizar uma análise de risco relacionada com os seus CIS. Já 💥️34% realizam/atualizam a análise de risco do CIS numa base ad hoc e, surpreendentemente, 1💥️5% não fazem atualmente qualquer análise de risco.

A maioria das organizações continua a sofrer 💥️ataques de malware, phishing e engenharia social, e ransomware direcionado tanto para TI como para OT. No inquérito dirigido pela Nozomi Networks, 81% dos líderes de TI indicaram que as suas organizações têm mais falta de programas associados à identificação de ativos e à gestão de inventários, 80% também mencionam falta de mapeamento de vulnerabilidades e deteção de ameaças, e 75% falta de consciência situacional e capacidades de análise de dados.

💥️Clique nas imagens para mais detalhe sobre os resultados do estudo

Estas tendências indicam que "💥️os profissionais de segurança podem não estar preparados para identificar e remediar com êxito os eventos de segurança que conduzem a incidentes catastróficos". É impraticável proteger o que se ignora, e é cada vez mais difícil efetuar uma análise da causa principal e rever até mesmo eventos e atividades benignos sem visibilidade do tráfego dos ativos e da rede, sublinha o estudo.

💥️Munida de informação, uma organização pode identificar riscos e ameaças ativas no seu ambiente, defendem Nozomi e da Exclusive Networks. "Adotar uma abordagem dupla (que consiste em elementos de cima para baixo e de baixo para cima) para avaliar a cibersegurança OT permite às organizações identificar rapidamente os riscos críticos para os ambientes e operações OT. Este é um ponto de partida fundamental para as organizações industriais nas suas jornadas para garantir a proteção contra os ciberataques que representam um risco para as suas operações", sublinha o estudo.

Criada para aumentar a resiliência coletiva das infraestruturas críticas na Europa com a aplicação de um conjunto de requisitos de segurança abrangentes, 💥️a nova legislação entra em vigor em outubro do próximo ano. A NIS2 não aborda explicitamente os ativos e redes OT e IoT, mas inclui-os implicitamente nos seus muitos requisitos.

A diretiva de cibersegurança recebeu luz verde do Conselho Europeu no final do ano passado, naquele que foi o 💥️último passo do processo legislativo na União Europeia, marcando a sua adoção em substituição da atual diretiva sobre segurança de redes e sistemas de informação (NIS).

A NIS2 estabelece💥️ os princípios de gestão da segurança informática e as obrigações de comunicação de incidentes em vários setores indicados como relevantes, entre os quais estão a energia, transporte, saúde e infraestrutura digital, mas alarga o número de organizações abrangidas. Pretende ainda 💥️harmonizar os requisitos e a implementação de medidas de segurança informática nos vários Estados-membros.

Uma das medidas é a c💥️riação formal da Rede Europeia de Organização de Ligação para Crises Cibernéticas, EU-CyCLONE, que apoia a coordenação e gestão de incidentes e crises de segurança informática em larga escala.

O que você está lendo é [Empresas podem estar pouco preparadas para a nova diretiva europeia de cibersegurança - Negócios Tek].Se você quiser saber mais detalhes, leia outros artigos deste site.