Blog WatchGuard

Compreender as diferenças entre as legislações DORA e a NIS 2

Estas duas importantes legislações europeias destacam-se na evolução da regulamentação em matéria de cibersegurança: a Lei da Resiliência Operacional Digital (DORA) e a Diretiva NIS 2. Ambas visam reforçar a cibersegurança, mas dirigem-se a sectores diferentes e têm objetivos e requisitos distintos. 

Visão geral do DORA e da Diretiva NIS 2

DORA: Em vigor desde 17 de janeiro de 2025, o DORA centra-se no sector financeiro e visa assegurar que as entidades financeiras possam resistir e dar continuidade ao seu funcionamento durante e após sofrerem ciberataques. O principal objetivo é manter a disponibilidade e a integridade dos serviços financeiros, promovendo a resiliência operacional.

NIS 2: Será integrada nas legislações nacionais até outubro de 2024 e visa harmonizar a cibersegurança em toda a UE, dirigindo-se a entidades essenciais em vários sectores: energético, transportes, cuidados de saúde e infraestruturas digitais. A diretiva procura elevar o nível geral de cibersegurança na UE.

Diferenças entre a DORA e a NIS 2

  1. Âmbito de aplicação e entidades visadas:

  • DORA aplica-se a 21 entidades financeiras, incluindo bancos, empresas de investimento, companhias de seguros e prestadores de serviços a terceiros no domínio das TIC (tecnologias da informação e da comunicação).
  • NIS 2 abrange um leque mais vasto de sectores, distinguindo entre Entidades Essenciais (EE), como os fornecedores de energia e de transportes, e Entidades Importantes (IE), como os serviços postais e as empresas de produção alimentar.
  1. Objetivos:

  • DORA centra-se na garantia da resiliência operacional do sector financeiro. Obriga a uma gestão abrangente do risco das TIC (tecnologias da informação e da comunicação), à gestão de incidentes, a testes de resistência, à gestão do risco de terceiros e à partilha de informações no sector financeiro.
  • NIS 2 visa melhorar a postura geral de cibersegurança em toda a UE, colocando a tónica na governação e na deteção e resposta a incidentes, e protegendo e testando perímetros e ativos em vários sectores críticos.
  1. Conformidade e controlo do cumprimento:

  • DORA é um regulamento que será diretamente aplicável em todos os Estados-Membros da UE sem necessidade de transposição nacional. Exige testes de segurança rigorosos, incluindo testes de resiliência anuais e testes de penetração baseados em ameaças de três em três anos.
  • NIS 2 é uma diretiva que exige a transposição para as legislações nacionais, que podem introduzir variações. Impõe sanções rigorosas em caso de incumprimento, incluindo coimas que podem atingir 2% do volume de negócios anual global para as entidades essenciais.
  1. Gestão de riscos por terceiros:

  • DORA exige que as entidades financeiras gerem os riscos colocados pelos prestadores de serviços terceiros de TIC, assegurando contratos sólidos e um acompanhamento contínuo.
  • NIS 2 também aborda a segurança da cadeia de abastecimento, mas num contexto mais vasto, com impacto em vários sectores para além dos serviços financeiros.

Soluções WatchGuard para Conformidade

A WatchGuard oferece uma gama de produtos para ajudar os parceiros e seus clientes a cumprir os requisitos DORA e NIS 2:

Gestão de riscos de ICT:

  • Firewalls com funcionalidades como Gateway AntiVirus e DNSWatch.
  • Soluções de segurança para endpoints (EPP, EDR, EPDR, Advanced EPDR) com painéis de risco e avaliações de vsulnerabilidade.
  • Gestão de patches e encriptação total para proteção de dados.

Gestão de incidentes: 

  • Monitorização contínuo de ameaças com EDR e ThreatSync+ NDR.
  • Monitorização 24/7 e resposta a incidentes com o WatchGuard MDR.

Testes à resiliência: 

  • ThreatSync+ NDR: simulação de ciberataques e identificação de vulnerabilidades.
  • Soluções de Segurança dos Endpoint: realização de testes de resiliência e análises forenses.

Gestão de riscos por terceiros:

  • Os controlos de acesso à rede e o ThreatSync+ NDR são utilizados para monitorizar as atividades de terceiros.
  • AuthPoint MFA para acesso seguro de terceiros.

Serviços geridos de segurança para parceiros

Para reduzir a workload dos clientes e garantir a gestão adequada da segurança, os parceiros podem oferecer os seguintes serviços geridos além dos produtos e serviços da WatchGuard:

  • Monitorização de segurança 24/7
  • Threat Hunting e resposta a incidentes
  • Gestão de patches
  • Avaliações de segurança
  • Relatórios de conformidade
  • Gestão da proteção de endpoints
  • Formação e sensibilização dos utilizadores

Ao aproveitar as soluções de segurança abrangentes da WatchGuard e oferecer esses serviços geridos, os parceiros podem ajudar os clientes a melhorar sua postura de cibersegurança e a garantir a conformidade com o DORA e o NIS 2.

Para obter informações mais detalhadas, leia nossa postagem no blog sobre DORA e aceda ao nosso whitepaper aqui.