Para um respons\u00e1vel pela conformidade, saber o que \u00e9 a NIS2 j\u00e1 n\u00e3o \u00e9 suficiente. A diretiva est\u00e1 transposta ou em processo de transposi\u00e7\u00e3o em todos os Estados-Membros, e as primeiras auditorias come\u00e7am a interrogar o componente humano do programa com um n\u00edvel de detalhe que tem surpreendido mais do que um CISO. O artigo 21.\u00ba da Diretiva (UE) 2022\/2555 inclui a forma\u00e7\u00e3o em ciberseguran\u00e7a e as pr\u00e1ticas b\u00e1sicas de ciber-higiene entre as medidas m\u00ednimas obrigat\u00f3rias. O artigo 20.\u00ba acrescenta uma exig\u00eancia que muitos descuram, porque os membros do \u00f3rg\u00e3o de dire\u00e7\u00e3o tamb\u00e9m t\u00eam de receber forma\u00e7\u00e3o espec\u00edfica e podem responder pessoalmente pela falta de medidas adequadas.<\/p>\n
Este texto n\u00e3o repete o que \u00e9 a NIS2. Assume que j\u00e1 o sabes. Desenvolve a camada seguinte, aquela que determina se um programa de sensibiliza\u00e7\u00e3o passa ou n\u00e3o passa uma auditoria. O que a diretiva exige exatamente em mat\u00e9ria de forma\u00e7\u00e3o, a quem se aplica, que conte\u00fados abranger, como demonstr\u00e1-lo e onde o programa costuma cair quando a auditoria come\u00e7a a puxar pelo fio.<\/p>\n
Se precisares do enquadramento geral antes de continuar, temos um artigo anterior sobre o que \u00e9 a NIS2 e como a SMARTFENSE pode ajudar a cumprir a normativa europeia<\/a> que cobre o \u00e2mbito, os setores abrangidos e os prazos formais.<\/p>\n O artigo 21.\u00ba da Diretiva (UE) 2022\/2555 enumera as medidas t\u00e9cnicas, operativas e organizativas que as entidades essenciais e importantes est\u00e3o obrigadas a adotar. Entre essas medidas, o n.\u00ba 21.2 inclui expressamente as \u201cpr\u00e1ticas b\u00e1sicas de higiene cibern\u00e9tica e forma\u00e7\u00e3o em mat\u00e9ria de ciberseguran\u00e7a\u201d. O texto n\u00e3o as apresenta como anexo opcional nem como recomenda\u00e7\u00e3o, trata-as como parte das medidas m\u00ednimas que a entidade tem de demonstrar.<\/p>\n A isto soma-se o artigo 20.\u00ba, que abre uma frente diferente e mais pol\u00edtica. Os membros do \u00f3rg\u00e3o de dire\u00e7\u00e3o t\u00eam de aprovar as medidas de gest\u00e3o de riscos, supervisionar a sua implementa\u00e7\u00e3o e receber forma\u00e7\u00e3o espec\u00edfica para o poderem fazer. A diretiva habilita ainda a responsabilidade individual da dire\u00e7\u00e3o em caso de incumprimentos. Na pr\u00e1tica, isto altera a forma como se vende internamente um programa de sensibiliza\u00e7\u00e3o, porque deixa de ser uma iniciativa do CISO e passa a ser uma obriga\u00e7\u00e3o pessoal de quem assina as decis\u00f5es de seguran\u00e7a.<\/p>\n Em s\u00edntese, o bloco normativo afirma que a NIS2 considera as pessoas um controlo de seguran\u00e7a de primeiro n\u00edvel, exige forma\u00e7\u00e3o para todos e forma\u00e7\u00e3o refor\u00e7ada para a dire\u00e7\u00e3o, e permite sancionar a entidade e os seus dirigentes quando esse controlo falha. O programa de sensibiliza\u00e7\u00e3o deixa de ser comunica\u00e7\u00e3o interna e entra no per\u00edmetro de auditoria.<\/p>\n Uma das primeiras confus\u00f5es aparece quando a diretiva \u00e9 traduzida para um \u00e2mbito interno. \u201cTodo o pessoal\u201d n\u00e3o significa o mesmo numa entidade banc\u00e1ria e num operador energ\u00e9tico com um efetivo industrial disperso, e a auditoria perguntar\u00e1 pela l\u00f3gica de segmenta\u00e7\u00e3o. Conv\u00e9m distinguir quatro p\u00fablicos com tratamentos distintos.<\/p>\n \u00d3rg\u00e3o de dire\u00e7\u00e3o.<\/strong> Conselho, comiss\u00e3o executiva ou equivalente. T\u00eam de receber forma\u00e7\u00e3o dirigida que lhes permita aprovar e supervisionar as medidas de gest\u00e3o de riscos. O conte\u00fado n\u00e3o \u00e9 o mesmo que para um utilizador final, porque o objetivo \u00e9 habilitar a decis\u00e3o informada, n\u00e3o ensin\u00e1-los a reconhecer um phishing.<\/p>\n Pessoal t\u00e9cnico com responsabilidade operativa.<\/strong> TI, seguran\u00e7a, engenharia de plataforma, administradores de sistemas cr\u00edticos. Forma\u00e7\u00e3o espec\u00edfica por fun\u00e7\u00e3o, com conte\u00fados sobre gest\u00e3o de vulnerabilidades, configura\u00e7\u00e3o segura, resposta a incidentes e papel concreto de cada fun\u00e7\u00e3o no plano de continuidade.<\/p>\n Restantes colaboradores com acesso a sistemas.<\/strong> O bloco grande do programa. Forma\u00e7\u00e3o peri\u00f3dica em higiene cibern\u00e9tica b\u00e1sica, reconhecimento de engenharia social, manuseamento seguro de dados, uso de credenciais e reporte de incidentes. Uma boa pr\u00e1tica \u00e9 segmentar tamb\u00e9m dentro deste grupo por n\u00edvel de exposi\u00e7\u00e3o, e n\u00e3o por organograma.<\/p>\n Terceiros com acesso a sistemas cr\u00edticos.<\/strong> Fornecedores, integradores, parceiros t\u00e9cnicos. A diretiva incorpora a seguran\u00e7a da cadeia de fornecimento como medida obrigat\u00f3ria no mesmo artigo 21.\u00ba, e isso inclui o acesso humano de terceiros. Se um fornecedor com conta ativa nunca passou pelo teu programa, o risco e a responsabilidade continuam a ser teus.<\/p>\n Estar classificada como entidade essencial ou importante muda o rigor da supervis\u00e3o mas n\u00e3o a l\u00f3gica do \u00e2mbito. Ambas as categorias est\u00e3o obrigadas a formar o seu pessoal, o que muda \u00e9 a intensidade do controlo posterior por parte das autoridades competentes.<\/p>\n A diretiva n\u00e3o publica um curr\u00edculo, o que deixa \u00e0 entidade a responsabilidade de justificar que o programa cobre o necess\u00e1rio. A estrat\u00e9gia mais limpa \u00e9 construir o plano de conte\u00fados cruzando dois eixos, as medidas t\u00e9cnicas listadas no artigo 21.\u00ba e as amea\u00e7as reais que afetam o setor.<\/p>\n A partir desse cruzamento, um programa tipicamente s\u00f3lido inclui pelo menos estes dom\u00ednios:<\/p>\n Cada dom\u00ednio deve ter material principal, refor\u00e7os breves e pelo menos um mecanismo de avalia\u00e7\u00e3o. Ter um curso por dom\u00ednio n\u00e3o \u00e9 suficiente para um auditor exigente, porque o que a NIS2 mede \u00e9 o car\u00e1cter cont\u00ednuo do programa, n\u00e3o a sua exist\u00eancia pontual.<\/p>\n \u00c9 aqui que caem os programas que no papel parecem completos. A auditoria NIS2 pede evid\u00eancia, e a evid\u00eancia mede-se por camadas. Quando falamos com CISOs que j\u00e1 passaram por uma revis\u00e3o s\u00e9ria, todos descrevem o mesmo problema: cursos existem, o que falta \u00e9 rastreabilidade por utilizador.<\/p>\n Conv\u00e9m ter prontas quatro camadas de evid\u00eancia.<\/p>\n Assiduidade e conclus\u00e3o.<\/strong> Que percentagem do pessoal concluiu cada m\u00f3dulo obrigat\u00f3rio, em que prazo, com quantos lembretes. Isto inclui dirigentes e terceiros, n\u00e3o apenas colaboradores internos.<\/p>\n Compreens\u00e3o.<\/strong> Resultados de avalia\u00e7\u00f5es, n\u00e3o satisfa\u00e7\u00e3o do aluno. A diretiva n\u00e3o pede inqu\u00e9ritos de satisfa\u00e7\u00e3o, exige que o pessoal seja capaz de aplicar o que aprendeu. Uma avalia\u00e7\u00e3o p\u00f3s-forma\u00e7\u00e3o com limiar de aprova\u00e7\u00e3o \u00e9 a pe\u00e7a padr\u00e3o.<\/p>\n Comportamento.<\/strong> Simula\u00e7\u00f5es controladas de phishing, ransomware ou vishing onde se mede a conduta real perante um est\u00edmulo. Esta camada \u00e9 a que distingue um programa formal de um eficaz, porque permite comparar o que o utilizador diz saber com o que realmente faz quando recebe o engodo.<\/p>\n Reporte executivo e rastreabilidade por utilizador.<\/strong> O auditor pedir\u00e1 poder selecionar um nome concreto do quadro de pessoal e ver a sua trajet\u00f3ria completa, com m\u00f3dulos atribu\u00eddos, conclu\u00eddos, avalia\u00e7\u00f5es aprovadas, simula\u00e7\u00f5es recebidas e condutas registadas. Se o sistema n\u00e3o permitir extrair essa vista em minutos, o controlo falha independentemente da qualidade do conte\u00fado.<\/p>\n Junto a estas camadas conv\u00e9m manter um registo documental que recolha a l\u00f3gica do programa, com a pol\u00edtica aprovada pela dire\u00e7\u00e3o, a segmenta\u00e7\u00e3o de p\u00fablicos, o calend\u00e1rio anual, os crit\u00e9rios de \u00eaxito e as revis\u00f5es peri\u00f3dicas. Quando a auditoria pergunta porqu\u00ea o programa est\u00e1 desenhado assim, esse registo \u00e9 a resposta.<\/p>\n Depois de acompanhar implementa\u00e7\u00f5es de programas de sensibiliza\u00e7\u00e3o durante v\u00e1rios anos, h\u00e1 um pequeno conjunto de falhas que se repete com frequ\u00eancia inc\u00f3moda. Conv\u00e9m rev\u00ea-las antes da auditoria, e n\u00e3o depois.<\/p>\n Programa anual de um \u00fanico momento.<\/strong> Uma forma\u00e7\u00e3o obrigat\u00f3ria em janeiro, sem refor\u00e7o, sem simula\u00e7\u00e3o, e d\u00e1-se o ano por coberto. A NIS2 fala de car\u00e1cter cont\u00ednuo, e um auditor experiente vai assinal\u00e1-lo.<\/p>\n Mesmo conte\u00fado para a dire\u00e7\u00e3o e para os utilizadores.<\/strong> O artigo 20.\u00ba exige forma\u00e7\u00e3o espec\u00edfica para o \u00f3rg\u00e3o de dire\u00e7\u00e3o. Servir-lhes o mesmo m\u00f3dulo introdut\u00f3rio que ao restante pessoal n\u00e3o cumpre a obriga\u00e7\u00e3o, mesmo que a presen\u00e7a esteja documentada.<\/p>\n Simula\u00e7\u00f5es de phishing sem m\u00e9tricas longitudinais.<\/strong> Ter uma simula\u00e7\u00e3o por trimestre com resultado pontual n\u00e3o equivale a mostrar evolu\u00e7\u00e3o do comportamento por utilizador, grupo e tipo de isco. O dado comparado no tempo \u00e9 o que evidencia melhoria.<\/p>\n Aus\u00eancia de evid\u00eancia para terceiros.<\/strong> Os fornecedores com acesso a sistemas cr\u00edticos costumam ficar fora do \u00e2mbito, at\u00e9 que a auditoria pergunta como se gere o risco humano da cadeia de fornecimento e a resposta n\u00e3o existe.<\/p>\n Falta de rastreabilidade por utilizador.<\/strong> Relat\u00f3rios agregados com percentagens globais soam bem at\u00e9 que o auditor escolhe tr\u00eas pessoas ao acaso e pede o hist\u00f3rico individual. Se o sistema n\u00e3o o entregar, o programa inteiro fica em d\u00favida.<\/p>\n Documenta\u00e7\u00e3o de governa\u00e7\u00e3o frouxa.<\/strong> Pol\u00edtica sem assinatura, sem revis\u00e3o peri\u00f3dica, sem ata de aprova\u00e7\u00e3o do \u00f3rg\u00e3o de dire\u00e7\u00e3o. O componente formal pesa mais do que muitos esperam, porque a auditoria constr\u00f3i-se sobre o papel antes da pr\u00e1tica.<\/p>\n Chegados a este ponto, a pergunta operacional \u00e9 como se sustenta no tempo um programa que cobre todos estes requisitos sem esgotar a equipa de seguran\u00e7a. A plataforma SMARTFENSE foi pensada exatamente para este cen\u00e1rio e cobre os pontos que um auditor NIS2 vai pedir.<\/p>\n O multicat\u00e1logo de conte\u00fados<\/a> permite atribuir m\u00f3dulos diferentes por fun\u00e7\u00e3o, idioma e n\u00edvel de exposi\u00e7\u00e3o, o que resolve a segmenta\u00e7\u00e3o entre dire\u00e7\u00e3o, t\u00e9cnicos, utilizadores e terceiros. Os conte\u00fados est\u00e3o mapeados a enquadramentos normativos europeus relevantes, NIS2 inclu\u00edda, e atualizam-se quando os reguladores publicam novas orienta\u00e7\u00f5es. Para a forma\u00e7\u00e3o espec\u00edfica do \u00f3rg\u00e3o de dire\u00e7\u00e3o existe material diferenciado, que respeita o tom e o n\u00edvel de profundidade que a dire\u00e7\u00e3o precisa.<\/p>\n A essa segmenta\u00e7\u00e3o juntam-se os programas autom\u00e1ticos<\/a>, planos predefinidos pelos nossos especialistas que atribuem m\u00f3dulos, refor\u00e7os e simula\u00e7\u00f5es conforme a fun\u00e7\u00e3o da pessoa, o seu n\u00edvel de exposi\u00e7\u00e3o e as normativas aplic\u00e1veis. A atribui\u00e7\u00e3o de conte\u00fados deixa de depender de folhas de c\u00e1lculo manuais da equipa de seguran\u00e7a: o sistema reativa o plano quando muda o quadro de pessoal, quando entra um fornecedor com acesso ou quando o regulador publica uma nova orienta\u00e7\u00e3o, e liga cada m\u00f3dulo ao enquadramento normativo a que responde. \u00c9 a pe\u00e7a que reduz at\u00e9 setenta por cento o tempo de gest\u00e3o sem perder rastreabilidade por utilizador.<\/p>\n O calend\u00e1rio de campanhas<\/a> sustenta o car\u00e1cter cont\u00ednuo que a diretiva exige, alternando m\u00f3dulos principais, refor\u00e7os breves, simula\u00e7\u00f5es de phishing e avalia\u00e7\u00f5es ao longo do ano. A rastreabilidade por utilizador \u00e9 nativa, o que significa que quando o auditor pede a vista de uma pessoa concreta, a informa\u00e7\u00e3o sai em segundos, n\u00e3o em semanas.<\/p>\n A SMARTFENSE \u00e9 uma plataforma de sensibiliza\u00e7\u00e3o para a ciberseguran\u00e7a com presen\u00e7a consolidada na Europa e na Am\u00e9rica Latina, conte\u00fado nativo em portugu\u00eas europeu, espanhol, italiano e ingl\u00eas, e suporte para ambientes multicat\u00e1logo que os respons\u00e1veis pela conformidade de grupos multinacionais apreciam. Se a tua organiza\u00e7\u00e3o est\u00e1 a preparar a documenta\u00e7\u00e3o para uma auditoria NIS2, vale a pena rever tamb\u00e9m a nossa p\u00e1gina de conformidade normativa<\/a> e o artigo sobre conformidade normativa como compromisso sustentado<\/a>, onde aprofundamos como se encaixam os diferentes enquadramentos.<\/p>\n A NIS2 acaba por consolidar uma ideia que o setor pedia h\u00e1 anos. O fator humano \u00e9 um controlo de seguran\u00e7a, com tudo o que isso implica. Precisa de pol\u00edtica aprovada, \u00e2mbito definido, conte\u00fados justificados, avalia\u00e7\u00e3o peri\u00f3dica, evid\u00eancia individual e revis\u00e3o pela dire\u00e7\u00e3o. O que antes se resolvia com um curso anual e alguns emails de lembrete pede agora uma arquitetura. Para os respons\u00e1veis pela conformidade que h\u00e1 muito discutiam o or\u00e7amento do programa de sensibiliza\u00e7\u00e3o, a diretiva fecha a discuss\u00e3o por eles. Vale a pena aproveitar.<\/p>\n","protected":false},"excerpt":{"rendered":" O artigo 21.\u00ba da NIS2 obriga a formar todo o pessoal e o \u00f3rg\u00e3o de dire\u00e7\u00e3o. Que conte\u00fados cobrir, como medir e como demonstrar em auditoria.<\/p>\n","protected":false},"author":31,"featured_media":41246,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3,687],"tags":[593,2176,921,2182,449],"class_list":["post-41251","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","category-blog-pt-pt","tag-compliance-pt-pt","tag-conformidade-regulamentar","tag-europa-pt-pt","tag-nis2","tag-sensibilizacao"],"acf":[],"yoast_head":" \nO que exige o artigo 21.\u00ba da NIS2 em forma\u00e7\u00e3o e higiene cibern\u00e9tica?<\/h2>\n
A quem se dirige realmente a forma\u00e7\u00e3o no \u00e2mbito da NIS2?<\/h2>\n
Que conte\u00fados deve cobrir um programa de sensibiliza\u00e7\u00e3o compat\u00edvel com a NIS2?<\/h2>\n
\n
Como se mede e se demonstra o cumprimento da sensibiliza\u00e7\u00e3o em auditoria?<\/h2>\n
Que erros t\u00edpicos fazem cair um programa de sensibiliza\u00e7\u00e3o numa auditoria NIS2?<\/h2>\n
Como a SMARTFENSE ajuda a sustentar o componente humano da NIS2<\/h2>\n
O fator humano como controlo audit\u00e1vel<\/h2>\n