Ferramenta NIS2: guia de compra para software de conformidade
De que ferramentas NIS2 precisa realmente, quanto custam, a que estar atento e que funcionalidades são obrigatórias ao abrigo da diretiva.
Uma ferramenta NIS2 é um software que ajuda as empresas a aplicar a Diretiva NIS2 da UE (2022/2555) e a sua transposição nacional (na Alemanha: BSIG / NIS2UmsuCG). Tem de cobrir as 10 medidas de cibersegurança do artigo 21 NIS2, bem como a notificação de incidentes e o registo junto da autoridade.
- A NIS2 exige provas de auditoria duradouras. Os documentos Word não bastam.
- O BSI verifica os prazos de resposta (24h / 72h / 1 mês), difíceis de demonstrar manualmente.
- Responsabilidade pessoal da direção ao abrigo do §38 BSIG: precisa de prova de que as medidas foram aplicadas.
- As 10 medidas do artigo 21 abrangem vários departamentos. Ferramentas coordenadas poupam tempo.
| Tool | Purpose | NIS2 |
|---|---|---|
| Plataforma GRC | Governança, risco e conformidade. Representa todas as medidas, riscos e auditorias. | Obrigatória para a documentação |
| Gestão de ativos | Inventário de ativos de TI como base da análise de riscos. | Obrigatória (RSK 2.2) |
| SIEM / registo | Deteção de eventos de segurança, análise forense. | Fortemente recomendado: detetar os incidentes sujeitos a notificação |
| Gestão de patches | Acompanhamento das atualizações de sistemas operativos e aplicações. | Obrigatória (artigo 21(2)(e) NIS2) |
| MFA / IAM | Autenticação multifator, gestão de identidades e acessos. | Obrigatória (artigo 21(2)(j) NIS2) |
| Cópia de segurança / recuperação de desastres | Cópia de segurança de dados e capacidade de recuperação. | Obrigatória (artigo 21(2)(c) NIS2) |
| Gestão de fornecedores | Avaliação da cibersegurança dos seus fornecedores e parceiros. | Obrigatória (artigo 21(2)(d) NIS2) |
| Plataforma de formação | Formação de sensibilização para todo o pessoal e a direção (§38 BSIG). | Obrigatória (artigo 21(2)(g) NIS2) |
- As 10 medidas do artigo 21 NIS2 / §30 BSIG
- Cascata de notificação de incidentes em três fases (24h / 72h / 1 mês) ao abrigo do §32 BSIG
- Dados de registo do BSI (§33 BSIG) com controlo de versões
- Trilho de auditoria: cada alteração com data e hora e responsável
- Validação da direção mediante assinatura conforme com eIDAS
- Inventário de fornecedores com o seu próprio estado de conformidade
- Suporte multipaís em caso de atividade transfronteiriça na UE
- Dependência do fornecedor: a exportação completa de dados tem de ser possível
- « Gratuito para sempre » como argumento de marketing: muitas vezes um isco, leia as letras pequenas
- Os 49 requisitos do BSIG cobertos
- Cascata de notificação de incidentes em três fases integrada
- Trilho de auditoria que não pode ser eliminado
- Proteção da responsabilidade da direção: validação, formação, provas
- Portal de fornecedores: questionários de autosserviço
- Plataforma gratuita, acompanhamento à implementação opcional e pago
Quanto custa uma ferramenta NIS2?
As ferramentas GRC comerciais (Vanta, Drata, OneTrust) situam-se em geral entre 10 000 e 60 000 EUR por ano para uma empresa de média dimensão. O nisd2.eu é gratuito. O nosso acompanhamento à implementação começa em 500 EUR por mês.
Preciso de uma ferramenta ou basta o Excel?
O Excel não basta. O BSI exige um trilho de auditoria à prova de adulteração. Após um incidente, tem de poder provar quem alterou o quê e quando. Os ficheiros Excel são substituídos. Um auditor do BSI irá contestá-lo.
Basta uma única ferramenta ou preciso de várias?
Uma ferramenta GRC cobre a documentação e as provas. Para SIEM, gestão de patches, MFA e cópias de segurança continua a precisar de ferramentas técnicas separadas. Uma boa ferramenta NIS2 integra as provas provenientes desses sistemas.
Pode uma plataforma gratuita estar em conformidade com a NIS2?
Sim. A NIS2 não impõe um fornecedor específico. O que importa é que os requisitos sejam cumpridos e documentados de forma resistente à auditoria. As ferramentas open source e gratuitas conseguem fazê-lo tão bem como as dispendiosas soluções SaaS.