Como um gerenciador de senhas viabiliza a conformidade com a NIS2

A NIS2 é uma expansão da diretiva de cibersegurança anterior da UE, a NIS, adotada em 2016 como um conjunto de requisitos para proteger redes e sistemas de informação em toda a UE. A NIS2 foi apresentada em 2020 e entrou em vigor em 16 de janeiro de 2023.

A diretiva exige que empresas identificadas como operadoras de serviços essenciais implementem medidas adequadas para aprimorar a cibersegurança e cumprir obrigações legais. A NIS2 abrange várias organizações que não faziam parte da diretiva original, ampliando os setores afetados de 7 para 15 para proteger ainda mais áreas vitais. A lista de entidades incluídas na NIS2 agora inclui:

• Energia

• Saúde

• Transporte

• Finanças

• Abastecimento de água

• Infraestrutura digital

• Administração pública

• Provedores digitais

• Serviços postais

• Gestão de resíduos

• Espaço

• Alimentos

• Manufatura

• Produtos químicos

• Pesquisa

Além disso, a NIS2 aumenta os requisitos para a aplicação da cibersegurança, inclui regras mais rígidas para notificação de incidentes e prevê penalidades mais severas por não conformidade. As autoridades competentes desempenham um papel crucial na supervisão da conformidade e na facilitação da notificação de incidentes em setores vitais da economia e da sociedade. Segundo o site oficial, o processo típico de conformidade com a NIS2 leva aproximadamente 12 meses, incluindo avaliações de segurança, auditoria, consultoria e implementação de ferramentas.

Com a fiscalização agora se intensificando em toda a UE, as organizações estão sob pressão real para demonstrar sua postura de cibersegurança. O Artigo 21 é o de maior impacto, pois se relaciona ao gerenciamento seguro de credenciais, uma disposição que os auditores estão examinando de perto.

De todos os 45 artigos da Diretiva NIS2, o Artigo 21 é aquele em que a maioria das organizações dedicará mais tempo. Ele estabelece as medidas mínimas de gestão de riscos de cibersegurança que todas as entidades essenciais e importantes devem implementar e conseguir demonstrar na prática.

A diretiva usa uma linguagem deliberada: as medidas devem ser "adequadas e proporcionais" com base no porte da entidade, na exposição a riscos e na probabilidade e gravidade dos incidentes. Trata-se de uma abordagem baseada em resultados, não prescritiva.

O Artigo 21(2) lista dez medidas mínimas que toda organização abrangida deve implementar:

• (a) Análise de riscos e políticas de segurança dos sistemas de informação

• (b) Tratamento de incidentes

• (c) Continuidade dos negócios — gerenciamento de backups e recuperação de desastres

• (d) Segurança da cadeia de suprimentos

• (e) Segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação

• (f) Políticas para avaliar a eficácia das medidas de cibersegurança

• (g) Práticas básicas de higiene cibernética e treinamento em cibersegurança

• (h) Políticas de criptografia e cifragem

• (i) Segurança de recursos humanos, políticas de controle de acesso e gestão de ativos

• (j) Autenticação multifator ou soluções de autenticação contínua

O Artigo 21 é baseado em resultados, o que significa que os auditores não estão apenas revisando documentos de políticas; eles estão verificando se os controles estão operacionais e comprovados por evidências. Três lacunas são sinalizadas com mais frequência:

• MFA ausente ou aplicada de forma inconsistente

  Ter uma política de autenticação multifator (MFA) não é o mesmo que ter a MFA aplicada. Os auditores buscam aplicação no nível organizacional, não adoção por usuários individuais.

• Contas com privilégios excessivos

  O controle de acesso previsto no Artigo 21(2)(i) exige que os princípios de privilégio mínimo sejam aplicados e documentados.

• Credenciais de serviço não gerenciadas

  Chaves de API, senhas de contas de serviço e credenciais compartilhadas que ficam fora de qualquer sistema gerenciado são uma constatação recorrente em auditorias.

O ponto em comum: os auditores verificam se a segurança é gerenciada como um processo repetível e demonstrável.

O maior problema da NIS original era que ela era ampla demais, vaga demais e não tinha recursos viáveis de fiscalização.

Agora, as penalidades por não conformidade são significativas: entidades essenciais enfrentam multas de até € 10 milhões ou 2% da receita anual global; entidades importantes, até € 7 milhões ou 1,4%.

Nos primeiros dias da COVID, muitas empresas em toda a UE migraram para o trabalho remoto, e rapidamente ficou evidente que a NIS original era ineficaz em relação aos seus objetivos declarados.

Auditores que analisam a conformidade com o Artigo 21 não leem documentos de políticas isoladamente. Eles buscam evidências de que os controles são aplicados, consistentes e documentados em toda a organização. As três lacunas apontadas com mais frequência — aplicação inconsistente de MFA, contas com privilégios excessivos e credenciais não gerenciadas — também são as lacunas que um gerenciador de senhas está mais bem posicionado para fechar.

A Bitwarden permite que as organizações exijam login em duas etapas em toda a organização por meio de controles de políticas empresariais. A Bitwarden também se integra ao Duo para aplicação e monitoramento centralizados de MFA. Além disso, os relatórios de integridade do cofre incluem um relatório de 2FA inativo que destaca quaisquer credenciais armazenadas sem uma semente TOTP incluída.

Controles de acesso baseados em função, permissões em nível de coleção e políticas de grupos de usuários permitem que os administradores apliquem princípios de privilégio mínimo a todas as credenciais da organização. Os proprietários da organização também podem modificar as configurações de coleção para restringir o acesso de administradores a credenciais compartilhadas, garantindo que até mesmo funções elevadas não tenham visibilidade irrestrita de credenciais confidenciais.

Senhas de contas de serviço e credenciais compartilhadas que ficam em planilhas, conversas por e-mail ou cofres pessoais são um ponto cego que os auditores procuram especificamente. A Bitwarden leva essas credenciais para um ambiente governado e auditável, onde o acesso é controlado, registrado e revogável. Bitwarden Secrets Manager também leva controle de segurança centralizado às chaves de API.

Os logs de eventos do console de administração da Bitwarden registram quem acessou quais credenciais, quando e de onde. Integrações com ferramentas de SIEM ou o uso de chaves de API permitem que esses eventos sejam ingeridos e processados junto com outros monitoramentos de eventos na infraestrutura da empresa.

A Bitwarden criptografa os dados no lado do cliente antes que eles saiam do dispositivo do usuário. A arquitetura de conhecimento zero e a base de código aberto permitem que a implementação da criptografia seja verificada de forma independente. A criptografia está claramente documentada no whitepaper de segurança da Bitwarden.

Para organizações com requisitos rigorosos de residência de dados, a Bitwarden oferece um serviço de nuvem dedicado na UE e uma opção de implantação auto-hospedada em que os dados permanecem inteiramente dentro da sua própria infraestrutura.

As organizações podem compartilhar credenciais com fornecedores por meio dos recursos de compartilhamento seguro do Bitwarden Send ou usando RBAC e integrando temporariamente um contratado. Quando a relação com um fornecedor termina, o acesso é revogado pela plataforma.

Um gerenciador de senhas apoia diretamente uma cultura de segurança ao tornar senhas fortes e exclusivas o caminho mais fácil para todos os usuários. Além disso, os usuários empresariais da Bitwarden também recebem uma conta gratuita para famílias para que também possam praticar bons hábitos de segurança em casa.

A aplicação da NIS2 está se acelerando em toda a UE, e o Artigo 21 estabelece um padrão claro: os controles devem ser implementados, aplicados e comprovados. As organizações que resistirão ao escrutínio de auditorias são aquelas que conseguem mostrar aos reguladores uma postura de segurança documentada e operacional, credencial por credencial.

A Bitwarden oferece às organizações os dois lados desse requisito. Controles de políticas empresariais aplicam MFA, permissões de acesso e princípios de privilégio mínimo a todos os usuários. Logs de eventos do console de administração e integrações com SIEM criam a trilha de auditoria que comprova que esses controles estão funcionando. E, como uma plataforma de código aberto com opções de nuvem na UE e implantação auto-hospedada, a Bitwarden apoia os requisitos de soberania de dados das organizações da UE.

A conformidade não precisa ser um projeto de infraestrutura longo e caro. Um gerenciador de senhas é uma das formas mais rápidas de fechar as lacunas de credenciais que os auditores verificam e de construir o registro de evidências que eles pedirão para ver.

Comece com uma avaliação gratuita do Bitwarden Business hoje mesmo.

O que é a NIS2?

A NIS2 enfatiza processos de gerenciamento de riscos de cibersegurança, que são projetados para exigir que as empresas adotem medidas para prevenir ou mitigar ameaças cibernéticas. Ela abrange riscos e medidas relacionados à IA, incluindo testes de cibersegurança, documentação e estratégias de mitigação.

Qual é a diferença entre NIST e NIS2?

Ao contrário da NIS2, o NIST Cyber Security Framework não contém uma lista acionável. Usar um framework de resiliência em cibersegurança específico do NIST pode ajudar as organizações a se prepararem para cumprir efetivamente a diretiva de segurança da informação.

O que é o ato de execução da NIS2?

A Diretiva NIS2 agora abrange entidades públicas e privadas de médio e grande porte em setores mais críticos para a resiliência cibernética.

O que são as redes e os sistemas de informação da NIS2?

A NIS2, como legislação em toda a UE, enfatiza processos de gerenciamento de riscos de cibersegurança projetados para enfrentar o desafio do cenário em evolução das ameaças cibernéticas. O desenho exige que as empresas adotem medidas para prevenir ou mitigar ameaças cibernéticas. Ela abrange riscos e medidas relacionados à IA, incluindo testes de cibersegurança, documentação e estratégias de mitigação.

A NIS2 abrange muito mais organizações que não faziam parte da diretiva NIS original. Isso inclui operadores de serviços essenciais em setores críticos como saúde, energia e transporte. A União Europeia visa harmonizar medidas e práticas de cibersegurança em todos os seus Estados-membros.

Ela também distingue entre entidades essenciais e importantes ao definir requisitos.