Em 2024, estamos a participar na segunda edição deste Programa de Formação liderado pelo Pacto Global das Nações Unidas, juntamente com outras 3400 empresas fornecedoras que fazem parte das cadeias de abastecimento. A terceira edição do programa terá início em breve.

Certificación NIS 2

Hoje queremos dizer-te algo importante: passámos com sucesso a auditoria de conformidade AENOR NIS2, tornando o Grupo MailComms a primeira empresa em Espanha a obter este certificado, que é emitido pela AENOR sob requisitos muito exigentes. Esta conquista não só reflecte o nosso compromisso com a cibersegurança e a privacidade, como também oferece uma série de garantias importantes aos nossos clientes.

O que é o NIS2?

A NIS2 (Diretiva revista relativa à segurança das redes e dos sistemas de informação) é a diretiva da UE relativa à segurança das redes e dos sistemas de informação que estabelece um quadro sólido e coerente para melhorar a cibersegurança em toda a União Europeia. Esta norma, que é uma evolução da sua antecessora NIS, impõe um conjunto de requisitos técnicos e organizacionais que as organizações devem cumprir para garantir a segurança e a resiliência dos seus sistemas de informação. Os destaques da NIS2 incluem:

    • Governação e gestão do risco: as entidades devem dispor de medidas de gestão do risco adequadas e proporcionais para prevenir e atenuar os incidentes de cibersegurança.
    • Deteção e resposta a incidentes: requer a implementação de capacidades de monitorização, deteção e resposta a incidentes para minimizar o impacto dos ataques.
    • Requisitos técnicos: inclui, em pormenor, as normas técnicas que os sistemas devem cumprir para reduzir os riscos. Estas normas são desenvolvidas pelo Instituto Europeu de Normas de Telecomunicações (ETSI), uma organização independente que produz normas aplicáveis a nível mundial para as tecnologias da informação e das comunicações, incluindo as relacionadas com a cibersegurança. A norma ETSI 319/401 (ETSI EN 319 401 v3.1.1 Requisitos de política geral para prestadores de serviços de confiança) é obrigatória para todos os prestadores de serviços de confiança qualificados (TSPP). Esta ETSI estabelece os requisitos gerais para garantir a manutenção de elevados níveis de segurança e fiabilidade nos serviços prestados aos utilizadores ou clientes.
    • Comunicação de incidentes: as instituições têm de comunicar os incidentes relevantes às autoridades competentes dentro de um prazo especificado no próprio texto.
    • Medidas técnicas e organizativas: incorporação de medidas técnicas e organizativas adequadas para garantir a segurança das redes e dos sistemas de informação.
Métrica / Alcance Detalhes operacionais e capacidade
Prazo de entrega física (Burofax) Entrega no próprio dia (nas grandes cidades) ou no dia útil seguinte (em todo o território nacional).
Tentativas de entrega postal 2 tentativas de entrega incluídas no serviço postal normal, com aviso de chegada na caixa de correio caso estejas ausente.
Prazo de retenção na estação de correios A encomenda fica disponível para levantamento na estação de correios correspondente durante 15 ou 30 dias (conforme a configuração).
Guarda de provas legais Garantia de conservação do aviso de receção, da certificação do conteúdo e do documento original durante, no mínimo, 5 anos.
Alcance geográfico Cobertura total a nível nacional (Espanha, ilhas e territórios sob soberania) e ligações internacionais para envios transfronteiriços.
Capacidade de processamento em massa Plataforma automatizada preparada para a geração, encartilhamento (em formato físico) e envio de milhares de notificações por dia, tudo ao mesmo tempo.

Que garantias oferece a certificação NIS2 aos nossos clientes?

O Grupo MailComms é o primeiro prestador de serviços de confiança qualificado em Espanha a passar a rigorosa auditoria realizada pela AENOR para a emissão do seu certificado NIS2.

Esta acreditação garante que os nossos serviços principais estão totalmente alinhados com as normas europeias mais rigorosas e que os nossos sistemas de gestão da segurança da informação e da privacidade (ISPS) cumprem os requisitos rigorosos dos nossos clientes em termos de cibersegurança, no âmbito do nosso trabalho na cadeia de abastecimento.

É também de particular interesse para os nossos clientes porque garante que os seus dados e comunicações estão protegidos com as medidas de segurança mais avançadas e actualizadas. A confiança nos nossos serviços é reforçada pela nossa capacidade de identificar, prevenir e responder eficazmente a qualquer ameaça cibernética, garantindo a continuidade e a privacidade das suas operações.

Por outro lado, esta acreditação, juntamente com as restantes certificações que temos no MailComms Group, coloca-nos num nível superior em termos de segurança, privacidade, continuidade do negócio e conformidade regulamentar. Ou seja, garante a devida diligência na escolha de fornecedores por parte das empresas que nos integram na sua cadeia de abastecimento.

Sonia Las Heras, CISO do MailComms Group, explica: “O processo de auditoria para obter esta certificação foi extremamente rigoroso, mas estamos orgulhosos de oferecer uma garantia tão significativa de segurança e privacidade através do nosso compromisso com a filosofia de ‘segurança e conformidade desde a conceção’. Esta abordagem está sempre presente no ADN das nossas plataformas e nos processos comerciais que desenvolvemos em conjunto com os nossos parceiros tecnológicos externos.

Diligência devida na seleção de fornecedores

A devida diligência na seleção de fornecedores é o processo através do qual uma empresa verifica se um terceiro da sua cadeia de abastecimento cumpre as normas de segurança, privacidade e continuidade exigidas pela legislação aplicável, antes de o integrar como fornecedor crítico.

No ambiente empresarial atual, a segurança cibernética tornou-se uma prioridade máxima. A escolha de prestadores de serviços “ciberseguros” de confiança não só garante a proteção dos dados e a continuidade das actividades, como também cumpre a diligência devida exigida na seleção dos fornecedores. As empresas têm de garantir que os seus fornecedores cumprem as mais elevadas normas de segurança e privacidade, tal como estabelecido no regulamento NIS2, para reduzir os riscos, proteger a integridade dos seus sistemas de informação e prestar serviços seguros aos seus utilizadores e clientes.

Descobre tudo o que precisas de saber sobre a Lei SAC.

Ligação entre DORA e NIS2

Embora o DORA e o NIS2 incidam em sectores diferentes, ambos os regulamentos têm um elo comum: melhorar a cibersegurança e a resiliência operacional na União Europeia.

O DORA (Digital Operational Resilience Act) visa garantir a resiliência operacional do sector financeiro. Entre outras coisas, exige uma gestão abrangente dos riscos das TIC, gestão de incidentes, testes de resiliência, gestão de riscos de terceiros e partilha de informações no sector financeiro.

A NIS2 visa otimizar a postura geral de cibersegurança em toda a UE. Esta diretiva centra-se na governação e na deteção e resposta a incidentes e protege e testa perímetros e activos em vários sectores críticos, abrangendo uma gama mais vasta de sectores essenciais e importantes.

Dimensão DORA NIS2
Ámbito setorial Setor financeiro (bancos, seguradoras, gestoras) Setores essenciais e importantes em toda a UE
Objetivo principal Resiliência operacional digital Cibersegurança e resiliência de redes e sistemas
Gestão de riscos de TIC Gestão integral de riscos de TIC Gestão de riscos proporcional ao impacto
Terceiros / cadeia de abastecimento Gestão de riscos dos fornecedores de TIC Devida diligência na cadeia de abastecimento
Notificação de incidentes Obrigação de notificar as autoridades financeiras Obrigatória às autoridades competentes NIS2
Testes de resiliência Testes de resiliência operacional exigidos Não exige testes formalizados equivalentes

Ambas as normas partilham princípios fundamentais, como a gestão do risco das TIC, a deteção e resposta a incidentes e a importância da cooperação e da partilha de informações para fazer face às crescentes ciberameaças.

Na MailComms, orgulhamo-nos de estar na vanguarda da conformidade com a cibersegurança para proporcionar a máxima proteção e confiança aos nossos clientes.

Conteúdo relacionado:

> Validade legal do e-mail nas transações comerciais e nos contratos online

Perguntas mais frequentes

O que é a certificação NIS2 e o que é que ela garante?

A certificação NIS2, emitida pela AENOR, atesta que uma organização cumpre os requisitos técnicos e organizacionais da Diretiva UE 2022/2555 em matéria de cibersegurança: gestão de riscos, deteção e resposta a incidentes e medidas técnicas em conformidade com a norma ETSI EN 319 401. Para um cliente, escolher um fornecedor com certificação NIS2 significa que as suas comunicações e dados estão protegidos de acordo com as normas europeias mais exigentes.

Por que é importante que um prestador de serviços de confiança tenha a certificação NIS2?

Porque a norma ETSI EN 319 401 é obrigatória para os Prestadores de Serviços de Confiança Qualificados (PSCC), e a NIS2 exige que as empresas façam a devida diligência na sua cadeia de abastecimento. Contratar um fornecedor certificado facilita o cumprimento dessa obrigação sem teres de auditar individualmente o seu nível de cibersegurança.

Qual é a diferença entre a DORA e a NIS2?

A DORA centra-se na resiliência operacional digital do setor financeiro (bancos, seguradoras, gestoras), enquanto a NIS2 tem um âmbito mais alargado e aplica-se a setores essenciais e importantes em toda a União Europeia. Ambas partilham princípios de gestão de riscos de TIC, notificação de incidentes e controlo de terceiros, mas a DORA é setorial e a NIS2 é transversal.

O que é que a norma ETSI EN 319 401 exige de um fornecedor?

A norma ETSI EN 319 401 define os requisitos gerais de política que os prestadores de serviços de confiança têm de cumprir para garantir níveis elevados e consistentes de segurança e fiabilidade aos seus clientes. É a norma técnica de referência segundo a qual os PSCC têm de operar no âmbito da NIS2 e da eIDAS.

De que forma a certificação NIS2 de um fornecedor influencia a due diligence da minha empresa?

Se a tua empresa estiver sujeita à NIS2, DORA ou outra regulamentação a exercer a devida diligência na tua cadeia de abastecimento, contratar fornecedores já certificados (NIS2, ISO 27001, ISO 27701) transfere parte dessa garantia para o próprio fornecedor e reduz o risco de incumprimento indireto por parte de terceiros.

Queres mais informações? O MailComms Group responderá a todas as tuas perguntas.

Por favor, deixa-nos os teus dados neste formulário e entraremos em contacto contigo para te explicar o que se aplica ao teu caso particular.

    Nome*

    Apelido*

    Endereço de correio eletrónico da empresa*

    Telefone