O seu cliente necessita de correção da vulnerabilidade NIS2. E agora?

TL;DR: A nova diretiva de cibersegurança da UE, NIS2, já está a remodelar a forma como os fornecedores de software fazem negócios através de requisitos mais rigorosos de gestão de vulnerabilidades nos contratos públicos. Esta mudança está a ganhar força e cada vez mais empresas terão de se adaptar. O Aikido ajuda a automatizar os relatórios de conformidade e o controlo de vulnerabilidades para responder a estas novas exigências. Comece aqui a sua jornada de conformidade gratuita, ou continue a ler para compreender o que isto significa para a sua empresa.

Os riscos da não-conformidade de patches do NIS2

Imagina isto: São 8:33 da manhã de uma segunda-feira. Está a fazer a triagem da sua caixa de entrada, com o café na mão, a preparar-se mentalmente para a reunião semanal das 9. Depois vê - a linha de assunto do e-mail que lhe faz cair o estômago.

Abre-se a mensagem de correio eletrónico, percorre-se o texto habitual até se dar por si a ler - e a reler - estas palavras:

Todos os componentes de software utilizados para prestar os serviços devem ser corrigidos dentro dos seguintes prazos, consoante a gravidade da vulnerabilidade:

- Crítico: no prazo de 48 horas a contar da disponibilidade da correção
- Elevado: no prazo de uma semana a contar da disponibilidade da correção
- Médio: no prazo de um mês a contar da disponibilidade da correção
- Baixo: no prazo de três meses a contar da disponibilidade da correção

48 horas para vulnerabilidades críticas. Não são dias úteis. Não são "melhores esforços". 48. Horas. Sem mais nem menos, a sua segunda-feira transformou-se numa olimpíada de conformidade, e está a competir em todos os eventos em simultâneo.

Esses novos requisitos de aplicação de patches do NIS2 não são apenas mais uma caixa de seleção - eles representam um desafio operacional significativo. Pense nisso:

• A sua equipa já está sobrecarregada
• Cada novo CVE é como jogar ao mata-bicho da segurança
• As suas janelas de implementação são apertadas e cada vez mais apertadas
• E agora é necessário documentar e provar o cumprimento destes prazos agressivos?

O incumprimento destes SLA não significa apenas falhar uma auditoria: pode significar a perda de contratos importantes, a aplicação de sanções ou mesmo a exclusão total dos mercados da UE.

Mas a questão é a seguinte: enquanto outros fornecedores se esforçam por criar programas de conformidade maciços e contratar equipas NIS2 dedicadas, você não tem de o fazer.

Como estar em conformidade com o NIS2

Criámos o Aikido especificamente para este momento. A nossa conformidade com o NIS2 é como jogar um jogo no modo fácil para estas dores de cabeça de aquisição. Em literalmente minutos, pode:

• Gerar relatórios de conformidade que as equipas de aprovisionamento aceitam efetivamente
• Acompanhe automaticamente os seus SLAs de vulnerabilidade
• Receba alertas antes de violar quaisquer prazos
• Prove a sua conformidade com dados reais, não com promessas

Vamos explicar exatamente o que significam estes requisitos e como os pode resolver sem pôr em causa todo o seu plano para 2025.

Inscreva-se no Aikido e obtenha o seu relatório NIS2 gratuito em poucos minutos.

Quais são os requisitos do NIS2?

A NIS2 é a mais recente diretiva de cibersegurança da UE e está a remodelar a forma como as empresas lidam com a gestão de vulnerabilidades. Os Estados-Membros da UE estão a transpor a NIS2 para a legislação nacional, fazendo frequentemente referência a normas como a ISO 27001 como base para a implementação.

Ao contrário da sua antecessora, a NIS2 abrange mais sectores e impõe requisitos mais rigorosos - especialmente em relação à segurança da cadeia de fornecimento. As grandes empresas, em especial as de sectores críticos, não estão apenas a implementar estes requisitos internamente; são obrigadas a transmiti-los a todos os fornecedores da sua cadeia de fornecimento.

Ler: NIS2: Quem é afetado?

O que é que isto significa na prática? Se vende software ou serviços a empresas da UE, irá deparar-se cada vez mais com requisitos de contratação que se assemelham exatamente ao exemplo acima. Exigirão prazos específicos para a aplicação de correcções, documentação detalhada do seu processo de gestão de vulnerabilidades e relatórios regulares de conformidade. Não se trata apenas de requisitos de caixa de verificação - as equipas de aquisição estão a verificar ativamente a conformidade e a incluir estes SLAs nos contratos.

Os requisitos mais comuns que estamos a ver incluem:

• SLAs definidos para a correção de vulnerabilidades com base na gravidade (o exemplo na introdução vem de um documento de aquisição real!)
• Análise e comunicação regulares de vulnerabilidades
• Processos documentados para a gestão de vulnerabilidades
• Prova de conformidade através de rastreio automatizado
• Actualizações regulares do estado dos esforços de correção

Requisitos de correção de vulnerabilidades do NIS2

Vamos passar por cima do jargão jurídico e concentrar-nos no que o NIS2 implica realmente para a correção de vulnerabilidades. A própria NIS2 não prescreve prazos específicos para a aplicação de correcções. No entanto, impõe medidas de gestão do risco, incluindo o tratamento e a divulgação de vulnerabilidades, o que leva a que os SLAs descritos sejam impostos pelos compradores de software. Eis o que as equipas de aquisição procuram:

Prazos de resposta

A maioria das empresas está a normalizar estas janelas de correção:

• Vulnerabilidades críticas: 48 horas
• Elevada gravidade: 7 dias
• Gravidade média: 30 dias
• Gravidade reduzida: 90 dias

E sim, estes prazos começam a contar a partir do momento em que o patch fica disponível, não a partir do momento em que o descobre. Isto significa que tem de se manter a par dos anúncios de vulnerabilidades para cada componente da sua pilha.

Requisitos de documentação

Terá de provar três coisas:

1. Quando descobriu cada vulnerabilidade
2. Quando a correção ficou disponível
3. Quando implantou a correção

Sem um acompanhamento automatizado, isto torna-se rapidamente um trabalho a tempo inteiro para a sua equipa de segurança.

Monitorização contínua

Já se foram os dias das verificações de segurança trimestrais. O NIS2 está à espera:

• Verificação regular de vulnerabilidades (a maioria das empresas interpreta isto como diário)
• Monitorização de CVEs para novos avisos de segurança
• Acompanhamento ativo do estado dos patches e da conformidade com o SLA

Gestão do risco

Para cada vulnerabilidade, é necessário:

• Documentar a avaliação da gravidade
• Acompanhar o progresso da correção
• Justificar eventuais atrasos na aplicação de remendos
• Relatório sobre o cumprimento dos SLAs acordados

Foi por isso que criámos o relatório NIS2 no Aikido - ele trata de tudo isto automaticamente. Em vez de criar folhas de cálculo e fazer malabarismos com bilhetes, obtém-se um único painel de controlo que acompanha tudo o que as equipas de compras querem ver.

Implementar com Aikido (Passos Práticos)

A questão das estruturas de conformidade é a seguinte: normalmente, são uma confusão de papelada desligada das suas operações de segurança reais. Mas não precisa de ser assim.

Imaginemos que uma equipa de compras pergunta sobre o seu processo de gestão de vulnerabilidades. Em vez de se esforçar para criar documentação, basta:

1. Ligue o Aikido ao seu pipeline de desenvolvimento
2. Ligue a sua infraestrutura de nuvem
3. Ativar o relatório de conformidade NIS2
4. Exportar as provas automatizadas das suas linhas de tempo de aplicação de patches
5. Enviar

É isso mesmo. Sem sessões de documentação intermináveis. Sem folhas de cálculo. Sem pânico de última hora.

O que obtém de imediato

• Verificação contínua em nove vectores de risco (desde dependências a segurança em tempo de execução)
• Recolha automatizada de provas para os seus controlos técnicos
• Estado de conformidade em tempo real para os requisitos de aquisição
• Relatórios dinâmicos que correspondem diretamente aos requisitos NIS2

A melhor parte? Está a funcionar exatamente onde os seus programadores já estão: em pipelines de CI, repositórios de código e ambientes de nuvem. Enquanto outras equipas estão a recolher manualmente provas para as suas certificações ISO 27001 e esforços de conformidade NIS2, você está a gerar automaticamente relatórios de conformidade a partir dos seus dados de segurança reais.

Próximos passos

Vamos resumir numa frase: não é necessário criar um programa de conformidade maciço ou contratar um exército de consultores para responder a questões de conformidade com a NIS2. Recomendamos a seguinte abordagem estratégica

1. Obter uma imagem clara da sua posição (inscrevendo-se numa conta Aikido gratuita)
2. Execute o seu primeiro relatório de conformidade NIS2
3. Ver exatamente o que precisa de atenção
4. Automatize os relatórios e prove facilmente ao seu cliente que está preparado para o NIS2

Enquanto os seus concorrentes continuam a gerir a sua documentação de patches através de processos manuais, pode ter relatórios de conformidade automatizados a funcionar em minutos. Quando surgirem futuros pedidos de aquisição relativos aos requisitos NIS2, pode avançar com confiança, sabendo que a sua infraestrutura de conformidade está firmemente implementada.

Por isso, da próxima vez que vir uma mensagem de correio eletrónico sobre aquisições com "requisitos NIS2" no assunto? Vá em frente e beba mais um gole de café. Esta já está no papo - ou, melhor dizendo, na caneca.