Maio 2018 é um mês importante para o segmento de Cyber Security, sendo o mês que será aplicado o Regulamento Geral de Proteção de Dados (GDPR – General Data Protection Regulation), assim como a diretiva europeia de Redes e Segurança da Informação (NIS – Network and Information Security).

O que é a diretiva NIS?

Esta diretiva apoia na melhoria dos processos de segurança em serviços críticos essenciais (OoESs – Operators of Essential Services) , assim como um provedor de serviços digitais (DSP – Digital Service Providers), que é um serviço que pode impactar um serviço crítico essencial, como por exemplo um serviço de cloud computing.

Normalmente encontrados em empresas nos segmentos de bancos, energia, telecomunicações, saúde, transportes, assim como serviços digitais.

Quais são os riscos para as empresas que não estão em conformidade com a diretiva NIS?

Lembrando que a diretiva NIS é exigida nas empresas dentro da união europeia, sendo as empresas que não estiverem em conformidade até Maio, além do risco de interrupção indesejada dos serviços críticos por um incidente de segurança da informação, também sofre o risco de multas de 20 milhões de euros ou 4% do volume do faturamento anual.

Como é possível se preparar?

Recomenda-se identificar fragilidades dos controles atuais, tanto tecnológicos, de processos e pessoas, utilizando como base a própria diretiva NIS, assim como outras referências como o padrão ISA99, junto a esta análise recomenda-se realizar testes de segurança, como um teste de invasão (Penetration Test) em todo o escopo do ambiente de serviços críticos.

Referências:
https://ec.europa.eu/digital-single-market/en/network-and-information-security-nis-directive