As 9 medidas do Art. 27.o (parte 1)
Tratamento de incidentes, continuidade, cadeia de abastecimento e desenvolvimento
Cenario de abertura
Imagine que o vosso sistema ERP esta encriptado. Um ransomware infiltrou-se atraves de um software de contabilidade de um fornecedor. Os dados de producao estao inacessiveis. O CEO pergunta: «O que fizemos mal? Quais as medidas NIS2 que deveriamos ter implementado?» A resposta envolve pelo menos quatro das nove medidas do Art. 27.o.
a) Tratamento de incidentes
A primeira medida obrigatoria (Art. 27.o, al. a) e a implementacao de capacidades de tratamento de incidentes. O framework NIST de resposta a incidentes, adaptado ao contexto NIS2, estrutura-se em seis fases: Preparar (definir politicas, equipa CSIRT interno ou externo, runbooks); Detetar (SIEM, EDR, alertas de anomalias); Conter (isolamento de sistemas comprometidos); Erradicar (remocao de malware, patch de vulnerabilidades); Recuperar (restauro a partir de backups verificados); e Licoes aprendidas (post-incident review documentado). Cada fase deve ter procedimentos escritos e testados.
b) Continuidade de negocio e backups
A segunda medida (Art. 27.o, al. b) exige planos de continuidade de negocio e capacidades de recuperacao. A regra de backup 3-2-1-1-0 e a referencia da industria: 3 copias dos dados, em 2 suportes diferentes, 1 copia offsite, 1 copia offline ou imutavel (air-gapped), 0 erros verificados nos testes de restauro. O plano de continuidade (BCP) e o plano de recuperacao de desastres (DRP) devem ser documentados, aprovados pela gestao e testados pelo menos anualmente. A gestao de crises inclui linhas de comunicacao alternativas para o caso de os sistemas principais estarem comprometidos.
c) Seguranca da cadeia de abastecimento
O Art. 27.o, al. c) e o Art. 28.o exigem que as entidades avaliem e gerem o risco introduzido pelos fornecedores de tecnologia e servicos. O caso SolarWinds de 2020 e o exemplo paradigmatico: um update malicioso do software de monitorizacao Orion infetou cerca de 18 000 organizacoes a nivel mundial, incluindo agencias do governo dos EUA. A resposta regulatoria passou por exigir inventarios de fornecedores criticos, clausulas contratuais de seguranca, auditorias de fornecedores e avaliacao de risco antes de onboarding de novos fornecedores de software ou servicos.
d) Seguranca no desenvolvimento e aquisicao de sistemas
A quarta medida (Art. 27.o, al. d) abrange a seguranca no ciclo de desenvolvimento de software e na aquisicao de produtos e servicos digitais. As boas praticas incluem a adocao de um SBOM (Software Bill of Materials) nos formatos SPDX ou CycloneDX para rastrear componentes de terceiros, bem como a integracao de testes de seguranca no pipeline de CI/CD (SAST, DAST, SCA). O caso XZ Utils (CVE-2024-3094) de 2024 ilustrou os riscos da cadeia de abastecimento de software open-source: um backdoor inserido gradualmente por um ator malicioso num componente de compressao amplamente utilizado, descoberto apenas por acidente.
Ciclo de resposta a incidentes NIS2
Caso real
SolarWinds 2020: 18 000 vitimas por um update maliciosoEm dezembro de 2020, revelou-se que o grupo APT29 (ligado ao servico de inteligencia russo SVR) tinha inserido um backdoor no software de monitorizacao de rede Orion da SolarWinds. Cerca de 18 000 organizacoes, incluindo o Departamento do Tesouro dos EUA e a Microsoft, tinham instalado o update malicioso. O ataque permaneceu ativo durante meses sem deteao. A NIS2 responde a este vetor com os requisitos das alineas c) e d) do Art. 27.o.
Quiz do modulo 4
Responda a 5 perguntas sobre o conteudo deste modulo. E necessario obter 70% ou mais para avancar.