Compreender as diferenças entre as legislações DORA e a NIS 2
Estas duas importantes legislações europeias destacam-se na evolução da regulamentação em matéria de cibersegurança: a Lei da Resiliência Operacional Digital (DORA) e a Diretiva NIS 2. Ambas visam reforçar a cibersegurança, mas dirigem-se a sectores diferentes e têm objetivos e requisitos distintos.
Visão geral do DORA e da Diretiva NIS 2
DORA: Em vigor desde 17 de janeiro de 2025, o DORA centra-se no sector financeiro e visa assegurar que as entidades financeiras possam resistir e dar continuidade ao seu funcionamento durante e após sofrerem ciberataques. O principal objetivo é manter a disponibilidade e a integridade dos serviços financeiros, promovendo a resiliência operacional.
NIS 2: Será integrada nas legislações nacionais até outubro de 2024 e visa harmonizar a cibersegurança em toda a UE, dirigindo-se a entidades essenciais em vários sectores: energético, transportes, cuidados de saúde e infraestruturas digitais. A diretiva procura elevar o nível geral de cibersegurança na UE.
Diferenças entre a DORA e a NIS 2
-
Âmbito de aplicação e entidades visadas:
- DORA aplica-se a 21 entidades financeiras, incluindo bancos, empresas de investimento, companhias de seguros e prestadores de serviços a terceiros no domínio das TIC (tecnologias da informação e da comunicação).
- NIS 2 abrange um leque mais vasto de sectores, distinguindo entre Entidades Essenciais (EE), como os fornecedores de energia e de transportes, e Entidades Importantes (IE), como os serviços postais e as empresas de produção alimentar.
-
Objetivos:
- DORA centra-se na garantia da resiliência operacional do sector financeiro. Obriga a uma gestão abrangente do risco das TIC (tecnologias da informação e da comunicação), à gestão de incidentes, a testes de resistência, à gestão do risco de terceiros e à partilha de informações no sector financeiro.
- NIS 2 visa melhorar a postura geral de cibersegurança em toda a UE, colocando a tónica na governação e na deteção e resposta a incidentes, e protegendo e testando perímetros e ativos em vários sectores críticos.
-
Conformidade e controlo do cumprimento:
- DORA é um regulamento que será diretamente aplicável em todos os Estados-Membros da UE sem necessidade de transposição nacional. Exige testes de segurança rigorosos, incluindo testes de resiliência anuais e testes de penetração baseados em ameaças de três em três anos.
- NIS 2 é uma diretiva que exige a transposição para as legislações nacionais, que podem introduzir variações. Impõe sanções rigorosas em caso de incumprimento, incluindo coimas que podem atingir 2% do volume de negócios anual global para as entidades essenciais.
-
Gestão de riscos por terceiros:
- DORA exige que as entidades financeiras gerem os riscos colocados pelos prestadores de serviços terceiros de TIC, assegurando contratos sólidos e um acompanhamento contínuo.
- NIS 2 também aborda a segurança da cadeia de abastecimento, mas num contexto mais vasto, com impacto em vários sectores para além dos serviços financeiros.
Soluções WatchGuard para Conformidade
A WatchGuard oferece uma gama de produtos para ajudar os parceiros e seus clientes a cumprir os requisitos DORA e NIS 2:
Gestão de riscos de ICT:
- Firewalls com funcionalidades como Gateway AntiVirus e DNSWatch.
- Soluções de segurança para endpoints (EPP, EDR, EPDR, Advanced EPDR) com painéis de risco e avaliações de vsulnerabilidade.
- Gestão de patches e encriptação total para proteção de dados.
Gestão de incidentes:
- Monitorização contínuo de ameaças com EDR e ThreatSync+ NDR.
- Monitorização 24/7 e resposta a incidentes com o WatchGuard MDR.
Testes à resiliência:
- ThreatSync+ NDR: simulação de ciberataques e identificação de vulnerabilidades.
- Soluções de Segurança dos Endpoint: realização de testes de resiliência e análises forenses.
Gestão de riscos por terceiros:
- Os controlos de acesso à rede e o ThreatSync+ NDR são utilizados para monitorizar as atividades de terceiros.
- AuthPoint MFA para acesso seguro de terceiros.
Serviços geridos de segurança para parceiros
Para reduzir a workload dos clientes e garantir a gestão adequada da segurança, os parceiros podem oferecer os seguintes serviços geridos além dos produtos e serviços da WatchGuard:
- Monitorização de segurança 24/7
- Threat Hunting e resposta a incidentes
- Gestão de patches
- Avaliações de segurança
- Relatórios de conformidade
- Gestão da proteção de endpoints
- Formação e sensibilização dos utilizadores
Ao aproveitar as soluções de segurança abrangentes da WatchGuard e oferecer esses serviços geridos, os parceiros podem ajudar os clientes a melhorar sua postura de cibersegurança e a garantir a conformidade com o DORA e o NIS 2.