# Como um gerenciador de senhas viabiliza a conformidade com a NIS2

A NIS2 é uma expansão da diretiva de cibersegurança anterior da UE, a NIS, adotada em 2016 como um conjunto de requisitos para proteger redes e sistemas de informação em toda a UE. A NIS2 foi apresentada em 2020 e entrou em vigor em 16 de janeiro de 2023.

A diretiva exige que empresas identificadas como operadoras de serviços essenciais implementem medidas adequadas para aprimorar a cibersegurança e cumprir obrigações legais. A NIS2 abrange várias organizações que não faziam parte da diretiva original, ampliando os setores afetados de 7 para 15 para proteger ainda mais áreas vitais. A lista de entidades incluídas na NIS2 agora inclui:

- Energia
- Saúde
- Transporte
- Finanças
- Abastecimento de água
- Infraestrutura digital
- Administração pública
- Provedores digitais
- Serviços postais
- Gestão de resíduos
- Espaço
- Alimentos
- Manufatura
- Produtos químicos
- Pesquisa

Além disso, a NIS2 aumenta os requisitos para a aplicação da cibersegurança, inclui regras mais rígidas para notificação de incidentes e prevê penalidades mais severas por não conformidade. As autoridades competentes desempenham um papel crucial na supervisão da conformidade e na facilitação da notificação de incidentes em setores vitais da economia e da sociedade. Segundo o site oficial, o processo típico de conformidade com a NIS2 leva aproximadamente 12 meses, incluindo avaliações de segurança, auditoria, consultoria e implementação de ferramentas.

Com a fiscalização agora se intensificando em toda a UE, as organizações estão sob pressão real para demonstrar sua postura de cibersegurança. O Artigo 21 é o de maior impacto, pois se relaciona ao gerenciamento seguro de credenciais, uma disposição que os auditores estão examinando de perto.

## O que o Artigo 21 da NIS2 realmente exige?

De todos os 45 artigos da Diretiva NIS2, o Artigo 21 é aquele em que a maioria das organizações dedicará mais tempo. Ele estabelece as medidas mínimas de gestão de riscos de cibersegurança que todas as entidades essenciais e importantes devem implementar e conseguir demonstrar na prática.

A diretiva usa uma linguagem deliberada: as medidas devem ser "adequadas e proporcionais" com base no porte da entidade, na exposição a riscos e na probabilidade e gravidade dos incidentes. Trata-se de uma abordagem baseada em resultados, não prescritiva.

O Artigo 21(2) lista dez medidas mínimas que toda organização abrangida deve implementar:

- **(a)**Análise de riscos e políticas de segurança dos sistemas de informação
- **(b)**Tratamento de incidentes
- **(c)**Continuidade dos negócios — gerenciamento de backups e recuperação de desastres
- **(d)**Segurança da cadeia de suprimentos
- **(e)**Segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação
- **(f)**Políticas para avaliar a eficácia das medidas de cibersegurança
- **(g)**Práticas básicas de higiene cibernética e treinamento em cibersegurança
- **(h)**Políticas de criptografia e cifragem
- **(i)**Segurança de recursos humanos, políticas de controle de acesso e gestão de ativos
- **(j)**Autenticação multifator ou soluções de autenticação contínua

## O que os auditores do Artigo 21 verificam na prática

O Artigo 21 é baseado em resultados, o que significa que os auditores não estão apenas revisando documentos de políticas; eles estão verificando se os controles estão operacionais e comprovados por evidências. Três lacunas são sinalizadas com mais frequência:

- **MFA ausente ou aplicada de forma inconsistente**

Ter uma política de autenticação multifator (MFA) não é o mesmo que ter a MFA aplicada. Os auditores buscam aplicação no nível organizacional, não adoção por usuários individuais.
- **Contas com privilégios excessivos**

O controle de acesso previsto no Artigo 21(2)(i) exige que os princípios de privilégio mínimo sejam aplicados e documentados.
- **Credenciais de serviço não gerenciadas**

Chaves de API, senhas de contas de serviço e credenciais compartilhadas que ficam fora de qualquer sistema gerenciado são uma constatação recorrente em auditorias.

O ponto em comum: os auditores verificam se a segurança é gerenciada como um processo repetível e demonstrável.

## O que faltava na legislação NIS original?

O maior problema da NIS original era que ela era ampla demais, vaga demais e não tinha recursos viáveis de fiscalização.

Agora, as penalidades por não conformidade são significativas: entidades essenciais enfrentam multas de até € 10 milhões ou 2% da receita anual global; entidades importantes, até € 7 milhões ou 1,4%.

Nos primeiros dias da COVID, muitas empresas em toda a UE migraram para o trabalho remoto, e rapidamente ficou evidente que a NIS original era ineficaz em relação aos seus objetivos declarados.

## Como a Bitwarden aborda a conformidade com o Artigo 21 da NIS2

Auditores que analisam a conformidade com o Artigo 21 não leem documentos de políticas isoladamente. Eles buscam evidências de que os controles são aplicados, consistentes e documentados em toda a organização. As três lacunas apontadas com mais frequência — aplicação inconsistente de MFA, contas com privilégios excessivos e credenciais não gerenciadas — também são as lacunas que um gerenciador de senhas está mais bem posicionado para fechar.

### Aplicação de MFA no nível organizacional

A Bitwarden permite que as organizações exijam login em duas etapas em toda a organização por meio de controles de políticas empresariais. A Bitwarden também se integra ao Duo para aplicação e monitoramento centralizados de MFA. Além disso, os relatórios de integridade do cofre incluem um [relatório de 2FA inativo](https://bitwarden.com/pt-br/help/reports/#inactive-2fa-report/) que destaca quaisquer credenciais armazenadas sem uma semente TOTP incluída.

### Controle de acesso e gerenciamento de credenciais privilegiadas

Controles de acesso baseados em função, permissões em nível de coleção e políticas de grupos de usuários permitem que os administradores apliquem princípios de privilégio mínimo a todas as credenciais da organização. Os proprietários da organização também podem modificar [as configurações de coleção](https://bitwarden.com/pt-br/help/collection-management/#collection-management-settings/) para restringir o acesso de administradores a credenciais compartilhadas, garantindo que até mesmo funções elevadas não tenham visibilidade irrestrita de credenciais confidenciais.

### Credenciais não gerenciadas e acesso à cadeia de suprimentos

Senhas de contas de serviço e credenciais compartilhadas que ficam em planilhas, conversas por e-mail ou cofres pessoais são um ponto cego que os auditores procuram especificamente. A Bitwarden leva essas credenciais para um ambiente governado e auditável, onde o acesso é controlado, registrado e revogável. [Bitwarden Secrets Manager](https://bitwarden.com/pt-br/products/secrets-manager/) também leva controle de segurança centralizado às chaves de API.

### Trilha de auditoria para gerenciamento de riscos documentado

Os logs de eventos do console de administração da Bitwarden registram quem acessou quais credenciais, quando e de onde. Integrações com ferramentas de SIEM ou o uso de chaves de API permitem que esses eventos sejam ingeridos e processados junto com outros monitoramentos de eventos na infraestrutura da empresa.

### Criptografia e criptografia de ponta a ponta 

A Bitwarden criptografa os dados no lado do cliente antes que eles saiam do dispositivo do usuário. A arquitetura de conhecimento zero e a base de código aberto permitem que a implementação da criptografia seja verificada de forma independente. A criptografia está claramente documentada no [whitepaper de segurança da Bitwarden](https://bitwarden.com/pt-br/help/bitwarden-security-white-paper/).

Para organizações com requisitos rigorosos de residência de dados, a Bitwarden oferece um serviço de nuvem dedicado na UE e uma [opção de implantação auto-hospedada](https://bitwarden.com/pt-br/help/self-host-bitwarden/) em que os dados permanecem inteiramente dentro da sua própria infraestrutura.

### Segurança de credenciais na cadeia de suprimentos

As organizações podem compartilhar credenciais com fornecedores por meio dos recursos de compartilhamento seguro do [Bitwarden Send](https://bitwarden.com/pt-br/help/about-send/) ou usando RBAC e integrando temporariamente um contratado. Quando a relação com um fornecedor termina, o acesso é revogado pela plataforma.

### Treinamento e cultura de segurança de credenciais

Um gerenciador de senhas apoia diretamente uma cultura de segurança ao tornar senhas fortes e exclusivas o caminho mais fácil para todos os usuários. Além disso, os usuários empresariais da Bitwarden também recebem uma [conta gratuita para famílias](https://bitwarden.com/pt-br/help/families-for-enterprise/) para que também possam praticar bons hábitos de segurança em casa.

## Atenda aos requisitos da NIS2 com a Bitwarden hoje mesmo

A aplicação da NIS2 está se acelerando em toda a UE, e o Artigo 21 estabelece um padrão claro: os controles devem ser implementados, aplicados e comprovados. As organizações que resistirão ao escrutínio de auditorias são aquelas que conseguem mostrar aos reguladores uma postura de segurança documentada e operacional, credencial por credencial.

A Bitwarden oferece às organizações os dois lados desse requisito. Controles de políticas empresariais aplicam MFA, permissões de acesso e princípios de privilégio mínimo a todos os usuários. Logs de eventos do console de administração e integrações com SIEM criam a trilha de auditoria que comprova que esses controles estão funcionando. E, como uma plataforma de código aberto com opções de nuvem na UE e implantação auto-hospedada, a Bitwarden apoia os requisitos de soberania de dados das organizações da UE.

A conformidade não precisa ser um projeto de infraestrutura longo e caro. Um gerenciador de senhas é uma das formas mais rápidas de fechar as lacunas de credenciais que os auditores verificam e de construir o registro de evidências que eles pedirão para ver.

Comece com uma [avaliação gratuita do Bitwarden Business](https://bitwarden.com/pt-br/pricing/business/) hoje mesmo.

## Perguntas frequentes

#### O que é a NIS2?

A NIS2 enfatiza processos de gerenciamento de riscos de cibersegurança, que são projetados para exigir que as empresas adotem medidas para prevenir ou mitigar ameaças cibernéticas. Ela abrange riscos e medidas relacionados à IA, incluindo testes de cibersegurança, documentação e estratégias de mitigação.

#### Qual é a diferença entre NIST e NIS2?

Ao contrário da NIS2, o [NIST Cyber Security Framework](https://bitwarden.com/pt-br/resources/nist-cybersecurity-framework/) não contém uma lista acionável. Usar um framework de resiliência em cibersegurança específico do NIST pode ajudar as organizações a se prepararem para cumprir efetivamente a diretiva de segurança da informação.

#### O que é o ato de execução da NIS2?

A Diretiva NIS2 agora abrange entidades públicas e privadas de médio e grande porte em setores mais críticos para a resiliência cibernética.

#### O que são as redes e os sistemas de informação da NIS2?

A NIS2, como legislação em toda a UE, enfatiza processos de gerenciamento de riscos de cibersegurança projetados para enfrentar o desafio do cenário em evolução das ameaças cibernéticas. O desenho exige que as empresas adotem medidas para prevenir ou mitigar ameaças cibernéticas. Ela abrange riscos e medidas relacionados à IA, incluindo testes de cibersegurança, documentação e estratégias de mitigação.

A NIS2 abrange muito mais organizações que não faziam parte da diretiva NIS original. Isso inclui operadores de serviços essenciais em setores críticos como saúde, energia e transporte. A União Europeia visa harmonizar medidas e práticas de cibersegurança em todos os seus Estados-membros.

Ela também distingue entre entidades essenciais e importantes ao definir requisitos.

Saiba mais sobre [segurança e conformidade da Bitwarden](https://bitwarden.com/pt-br/compliance/).

## Tenha agora uma segurança de senhas poderosa e confiável. Escolha seu plano.

## Pessoal

### Acabou de começar?

*Obtenha o gerenciamento básico de senhas hoje mesmo. Sempre gratuito.*

[Criar conta gratuita](https://bitwarden.com/go/start-free/)

---

### Premium

**$1.65** *por mês*

*Cobrado anualmente por US$ 19,80*

Aproveite recursos premium

- Autenticador integrado
- Anexos de arquivos
- Acesso de emergência
- Bloqueador de phishing
- Relatórios de segurança e muito mais

Compartilhe itens do cofre com mais um usuário

[Criar conta Premium](https://bitwarden.com/go/start-premium/)

---

### Famílias

**$3.99** *por mês*

*Até 6 usuários, cobrado anualmente por US$ 47,88*

Proteja os logins da sua família

- 6 contas premium
- Compartilhamento ilimitado
- Coleções ilimitadas
- Armazenamento da organização

Compartilhe itens do cofre entre seis pessoas

[Iniciar teste gratuito do Families](https://bitwarden.com/go/start-families-trial/)

---

Preços exibidos em USD e baseados em uma assinatura anual. Impostos não incluídos.

## Empresas

### Teams

*Para equipes e empresas em crescimento que precisam avançar rapidamente.*

**$4** *por mês / por usuário, cobrado anualmente*

**Sem concessões**

Todos os recursos Premium, além de recursos avançados como:

- Compartilhe credenciais com segurança
- Audite atividades com logs de eventos
- Sincronize seu diretório existente
- Automatize o provisionamento com SCIM

[Iniciar teste gratuito](https://bitwarden.com/go/start-teams-trial/)

---

### Enterprise

*Para empresas que precisam de proteção e controle avançados.*

**$6** *por mês / por usuário, cobrado anualmente*

**Proteção máxima**

Todos os recursos Premium e Teams, além de recursos de nível empresarial como:

- Controle de acesso granular
- Integração com SSO sem senha
- Recuperação de conta fácil
- Flexibilidade para auto-hospedagem
- Remediação de riscos com o Access Intelligence [novo]
- Plano Families gratuito para todos os usuários

[Iniciar teste gratuito](https://bitwarden.com/go/start-enterprise-trial/)

---

### Fale com vendas

*Para grandes organizações, fale com um especialista sobre um plano sob medida e saiba como a Bitwarden pode:*

*por mês*

- Reduzir riscos de cibersegurança
- Aumentar a produtividade
- Integrar-se perfeitamente

A Bitwarden se adapta a empresas de qualquer porte para levar segurança de senhas à sua organização

[Fale com Vendas](https://bitwarden.com/talk-to-sales)

---

Preços exibidos em USD e com base em uma assinatura anual. Impostos não incluídos.