Navegar pelos regulamentos de cibersegurança mais importantes da atualidade

Porque é que a conformidade é importante na regulamentação da cibersegurança

No mundo conectado de hoje, a segurança dos dados e a segurança da rede já não são apenas preocupações técnicas - são imperativos legais e de reputação. medida que as ameaças evoluem e a infraestrutura digital se expande, os sistemas regulamentaresconcebidos para manter os sistemas seguros têm de acompanhar essa evolução. No entanto, a conformidade com estes regulamentos não se limita a evitar coimas ou a assinalar caixas. Trata-se de integrar a segurança em todas as fases do desenvolvimento de produtos e da integração de sistemas.

Nos dois primeiros blogues desta série, explorámos o lado humano da cibersegurança porque é que a sensibilização é importante e como lidar com as vulnerabilidades de forma responsável. Agora, centramo-nos nos regulamentos de cibersegurança que definem a norma mínima para sistemas seguros.

Para os gestores de propriedades, promotores imobiliários e integradores de sistemas, a questão é simples: confiaria num dispositivo que não cumpre as mais recentes normas de cibersegurança? Por outro lado, quando um fabricante ignora os regulamentos obrigatórios em matéria de cibersegurança, isso suscita uma preocupação muito maior - o que mais poderá estar a negligenciar?

Regulamentos obrigatórios: O que deve seguir

Diretiva 2 relativa à segurança das redes e da informação (NIS2): Reforçar a sensibilização para a cibersegurança em toda a UE

O que é o NIS2?
Adoptada pela UE em 2022, a Diretiva relativa à segurança das redes e da informação 2 (NIS2) alarga os requisitos obrigatórios de cibersegurança a um leque mais vasto de indústrias, incluindo infra-estruturas críticas, serviços digitais, fabricantes de dispositivos conectados, serviços postais/correios, ciência, investigação e educação. Ao abrigo da NIS2, as empresas devem:

• Adotar medidas de segurança baseadas no risco para as suas redes e sistemas de informação.

• Comunicar incidentes de segurança graves no prazo de 24 horas após a sua deteção. 

• Implementar requisitos de segurança mais rigorosos para a cadeia de abastecimento, garantindo que todo o ecossistema - incluindo fabricantes, integradores e fornecedores de serviços - adere a práticas de segurança sólidas.

A NIS2 desempenha um papel crucial na salvaguarda dos serviços essenciais em toda a UE, aplicando medidas de cibersegurança mais rigorosas e sensibilizando para a proteção das infra-estruturas críticas, incluindo as redes de energia, os sistemas de abastecimento de água e os sistemas de saúde. Ao fazê-lo, garante que os bens essenciais do dia a dia - como a eletricidade, a água potável e os serviços médicos - permaneçam resistentes às ciberameaças, preservando assim a estabilidade social e a segurança pública.

Saiba mais na nossa publicação no blogue: O caminho para a segurança digital: um olhar sobre a diretiva NIS2 da UE.

A diretiva relativa aos equipamentos de rádio (RED): Requisitos de cibersegurança para dispositivos sem fios

O que é o RED?

A Diretiva relativa aos equipamentos de rádio (RED), aplicada pela União Europeia, está a evoluir no sentido de introduzir requisitos obrigatórios de cibersegurança para todos os dispositivos sem fios e ligados por rádio. Isto também é relevante para intercomunicadores baseados em IP e sistemas de controlo de acesso, uma vez que estes sistemas utilizam frequentemente tecnologias baseadas em rádio para o controlo de acesso, tais como leitores de cartões RFID ou leitores Bluetooth. Se um dispositivo não estiver em conformidade com a RED, poderá sofrer interrupções de funcionamento ou mesmo ser proibido de vender na UE. Isto inclui:

• Garantir a resiliência da rede para impedir o acesso não autorizado.

• Proteger os dados pessoais e a privacidade, exigindo que os fabricantes apliquem uma cifragem e uma autenticação mais fortes.

• Prevenir a fraude, assegurando que os dispositivos não podem ser explorados através de configurações de segurança fracas.

Mantenha-se atualizado com o nosso blogue: Pronto para o RED? Em conformidade com a diretiva relativa aos equipamentos de rádio.

Segurança dos produtos e infra-estruturas de telecomunicações (PSTI)

• Declarar durante quanto tempo as actualizações de software estarão disponíveis antes do fim da vida útil do produto.

• Desativar a utilização de produtos com palavras-passe predefinidas, garantindo que os dispositivos impõem a configuração de palavras-passe únicas.

• Disponibilizar publicamente meios para que os utilizadores e investigadores se mantenham conscientes da cibersegurança e comuniquem potenciais falhas.

Normas do sector: Ir para além da conformidade

Embora os regulamentos obrigatórios estabeleçam os requisitos mínimos de cibersegurança, as certificações do sector demonstram um compromisso com normas de segurança mais elevadas. Embora estas certificações não sejam legalmente exigidas, servem como indicadores poderosos de que uma empresa leva a sério a sensibilização para a cibersegurança e tem processos estruturados e repetíveis para gerir os riscos. Os principais fornecedores seguem estruturas como:

• ISO 27001 - A norma internacional para a gestão da segurança da informação
  Uma certificação reconhecida mundialmente que garante que uma empresa segue políticas estruturadas de cibersegurança e estratégias de gestão de riscos. A 2N possui esta certificação, o que demonstra o nosso empenho em práticas rigorosas de cibersegurança.

• EN 303 645 - Uma norma de segurança para dispositivos IoT
  Uma norma europeia que define as melhores práticas de segurança para dispositivos ligados, incluindo actualizações de software seguras, políticas de palavras-passe, requisitos de proteção de dados e muito mais.

• Conformidade com a NDAA - Garantir a confiança para o mercado dos EUA e para além dele
  Os Estados Unidos A Lei de Autorização da Defesa Nacional (NDAA) restringe a utilização de equipamento de telecomunicações e de segurança de determinados fabricantes que são considerados um risco para a cibersegurança. Os integradores que trabalham em projectos governamentais ou de infra-estruturas críticas devem garantir que todos os dispositivos, como câmaras IP, intercomunicadores e leitores de acesso, cumprem os requisitos de conformidade da NDAA. No entanto, este não é apenas um requisito do governo dos EUA; muitas organizações não governamentais em todo o mundo estão a adotar voluntariamente as mesmas normas de segurança. Ao excluir marcas não fiáveis, reforçam a resiliência dos seus sistemas e garantem a cibersegurança a longo prazo.
  
  

A conformidade é apenas o início - a liderança em matéria de cibersegurança vai mais além

Embora a adesão a normas como RED, NIS2 ou PSTI seja essencial, a conformidade por si só não significa que uma empresa seja líder em cibersegurança. A conformidade regulamentar é o requisito mínimo - ir mais além e compreender a complexidade da cibersegurança é o que diferencia as marcas seguras e com visão de futuro.

Muitas empresas continuam a encarar a sensibilização para a cibersegurança como uma necessidade de conformidade e não como uma vantagem estratégica. No entanto, incidentes reais mostraram que investir em medidas de segurança robustas não se trata apenas de evitar coimas - trata-se de proteger a continuidade do negócio, a confiança dos clientes e até mesmo vidas.

Para os integradores de sistemas e gestores de propriedades, a escolha dos fornecedores certos é crucial. Antes de tomar uma decisão, pergunte a si próprio:

• O fabricante fornece suporte de software a longo prazo e actualizações de segurança?

• São transparentes quanto à divulgação de vulnerabilidades e correcções?

• Excedem os requisitos legais ao aderirem às melhores práticas, como a ISO 27001 e a EN 303 645?

Se a resposta for não, talvez seja altura de reconsiderar as suas opções. As ciberameaças não esperam - porque é que você deveria esperar?