A diretiva NIS2 poderá vir a ser um desafio substancial para as empresas, nomeadamente para as que operam em indústrias com infraestruturas críticas, indica um estudo da Nozomi e da Exclusive Networks.

Criado para avaliar o grau de preparação do alinhamento da segurança OT e IoT com a nova diretiva, o estudo “Driving Cyber Resilience:The Impact of the NIS2 Directive” sublinha que é necessário colocar uma tónica especial na gestão do risco para além das TI, de modo a incluir a tecnologia operacional (TO).

Em conjunto, as perspetivas de controlo da cibersegurança de OT e IoT têm cada vez mais espaço para crescer em termos de responsabilidade, formação, sensibilização e ação, aponta o estudo. De acordo com os líderes de TI inquiridos, "a responsabilidade pela segurança da tecnologia operacional (TO) e dos dispositivos e redes IoT é partilhada entre as partes interessadas internas e terceiros externos".

NIS2 e DORA: Conselho europeu dá luz verde a novas regras que reforçam cibersegurança na Europa
NIS2 e DORA: Conselho europeu dá luz verde a novas regras que reforçam cibersegurança na Europa
Ver artigo

As respostas das organizações e dos decisores ao inquérito revelaram uma grande dependência de fornecedores externos de "managed services" para consultoria, "threat intelligence" e resposta a incidentes. De acordo com o estudo, é mais provável que os responsáveis pela segurança das TI contactem um consultor de TI (60%) ou um fornecedor de soluções de (56%) para endereçar violações, o que mostra o papel fundamental que terceiros externos desempenham quando se trata de cibersegurança.

Quando questionados se as suas organizações realizam e atualizam regularmente análises de risco relacionadas com sistemas de informação críticos (CIS), 50% seguem um calendário quando se trata de realizar e atualizar uma análise de risco relacionada com os seus CIS. Já 34% realizam/atualizam a análise de risco do CIS numa base ad hoc e, surpreendentemente, 15% não fazem atualmente qualquer análise de risco.

A maioria das organizações continua a sofrer ataques de malware, phishing e engenharia social, e ransomware direcionado tanto para TI como para OT. No inquérito dirigido pela Nozomi Networks, 81% dos líderes de TI indicaram que as suas organizações têm mais falta de programas associados à identificação de ativos e à gestão de inventários, 80% também mencionam falta de mapeamento de vulnerabilidades e deteção de ameaças, e 75% falta de consciência situacional e capacidades de análise de dados.

Clique nas imagens para mais detalhe sobre os resultados do estudo

Estas tendências indicam que "os profissionais de segurança podem não estar preparados para identificar e remediar com êxito os eventos de segurança que conduzem a incidentes catastróficos". É impraticável proteger o que se ignora, e é cada vez mais difícil efetuar uma análise da causa principal e rever até mesmo eventos e atividades benignos sem visibilidade do tráfego dos ativos e da rede, sublinha o estudo.

Munida de informação, uma organização pode identificar riscos e ameaças ativas no seu ambiente, defendem Nozomi e da Exclusive Networks. "Adotar uma abordagem dupla (que consiste em elementos de cima para baixo e de baixo para cima) para avaliar a cibersegurança OT permite às organizações identificar rapidamente os riscos críticos para os ambientes e operações OT. Este é um ponto de partida fundamental para as organizações industriais nas suas jornadas para garantir a proteção contra os ciberataques que representam um risco para as suas operações", sublinha o estudo.

Criada para aumentar a resiliência coletiva das infraestruturas críticas na Europa com a aplicação de um conjunto de requisitos de segurança abrangentes, a nova legislação entra em vigor em outubro do próximo ano. A NIS2 não aborda explicitamente os ativos e redes OT e IoT, mas inclui-os implicitamente nos seus muitos requisitos.

A diretiva de cibersegurança recebeu luz verde do Conselho Europeu no final do ano passado, naquele que foi o último passo do processo legislativo na União Europeia, marcando a sua adoção em substituição da atual diretiva sobre segurança de redes e sistemas de informação (NIS).

A NIS2 estabelece os princípios de gestão da segurança informática e as obrigações de comunicação de incidentes em vários setores indicados como relevantes, entre os quais estão a energia, transporte, saúde e infraestrutura digital, mas alarga o número de organizações abrangidas. Pretende ainda harmonizar os requisitos e a implementação de medidas de segurança informática nos vários Estados-membros.

Uma das medidas é a criação formal da Rede Europeia de Organização de Ligação para Crises Cibernéticas, EU-CyCLONE, que apoia a coordenação e gestão de incidentes e crises de segurança informática em larga escala.