Hoje queremos dizer-te algo importante: passámos com sucesso a auditoria de conformidade AENOR NIS2, tornando o Grupo MailComms a primeira empresa em Espanha a obter este certificado, que é emitido pela AENOR sob requisitos muito exigentes. Esta conquista não só reflecte o nosso compromisso com a cibersegurança e a privacidade, como também oferece uma série de garantias importantes aos nossos clientes.
O que é o NIS2?
A NIS2 (Diretiva revista relativa à segurança das redes e dos sistemas de informação) é a diretiva da UE relativa à segurança das redes e dos sistemas de informação que estabelece um quadro sólido e coerente para melhorar a cibersegurança em toda a União Europeia. Esta norma, que é uma evolução da sua antecessora NIS, impõe um conjunto de requisitos técnicos e organizacionais que as organizações devem cumprir para garantir a segurança e a resiliência dos seus sistemas de informação. Os destaques da NIS2 incluem:
-
- Governação e gestão do risco: as entidades devem dispor de medidas de gestão do risco adequadas e proporcionais para prevenir e atenuar os incidentes de cibersegurança.
- Deteção e resposta a incidentes: requer a implementação de capacidades de monitorização, deteção e resposta a incidentes para minimizar o impacto dos ataques.
- Requisitos técnicos: inclui, em pormenor, as normas técnicas que os sistemas devem cumprir para reduzir os riscos. Estas normas são desenvolvidas pelo Instituto Europeu de Normas de Telecomunicações (ETSI), uma organização independente que produz normas aplicáveis a nível mundial para as tecnologias da informação e das comunicações, incluindo as relacionadas com a cibersegurança. A norma ETSI 319/401 (ETSI EN 319 401 v3.1.1 Requisitos de política geral para prestadores de serviços de confiança) é obrigatória para todos os prestadores de serviços de confiança qualificados (TSPP). Esta ETSI estabelece os requisitos gerais para garantir a manutenção de elevados níveis de segurança e fiabilidade nos serviços prestados aos utilizadores ou clientes.
- Comunicação de incidentes: as instituições têm de comunicar os incidentes relevantes às autoridades competentes dentro de um prazo especificado no próprio texto.
- Medidas técnicas e organizativas: incorporação de medidas técnicas e organizativas adequadas para garantir a segurança das redes e dos sistemas de informação.
| Métrica / Alcance | Detalhes operacionais e capacidade |
|---|---|
| Prazo de entrega física (Burofax) | Entrega no próprio dia (nas grandes cidades) ou no dia útil seguinte (em todo o território nacional). |
| Tentativas de entrega postal | 2 tentativas de entrega incluídas no serviço postal normal, com aviso de chegada na caixa de correio caso estejas ausente. |
| Prazo de retenção na estação de correios | A encomenda fica disponível para levantamento na estação de correios correspondente durante 15 ou 30 dias (conforme a configuração). |
| Guarda de provas legais | Garantia de conservação do aviso de receção, da certificação do conteúdo e do documento original durante, no mínimo, 5 anos. |
| Alcance geográfico | Cobertura total a nível nacional (Espanha, ilhas e territórios sob soberania) e ligações internacionais para envios transfronteiriços. |
| Capacidade de processamento em massa | Plataforma automatizada preparada para a geração, encartilhamento (em formato físico) e envio de milhares de notificações por dia, tudo ao mesmo tempo. |
Que garantias oferece a certificação NIS2 aos nossos clientes?
O Grupo MailComms é o primeiro prestador de serviços de confiança qualificado em Espanha a passar a rigorosa auditoria realizada pela AENOR para a emissão do seu certificado NIS2.
Esta acreditação garante que os nossos serviços principais estão totalmente alinhados com as normas europeias mais rigorosas e que os nossos sistemas de gestão da segurança da informação e da privacidade (ISPS) cumprem os requisitos rigorosos dos nossos clientes em termos de cibersegurança, no âmbito do nosso trabalho na cadeia de abastecimento.
É também de particular interesse para os nossos clientes porque garante que os seus dados e comunicações estão protegidos com as medidas de segurança mais avançadas e actualizadas. A confiança nos nossos serviços é reforçada pela nossa capacidade de identificar, prevenir e responder eficazmente a qualquer ameaça cibernética, garantindo a continuidade e a privacidade das suas operações.
Por outro lado, esta acreditação, juntamente com as restantes certificações que temos no MailComms Group, coloca-nos num nível superior em termos de segurança, privacidade, continuidade do negócio e conformidade regulamentar. Ou seja, garante a devida diligência na escolha de fornecedores por parte das empresas que nos integram na sua cadeia de abastecimento.
Sonia Las Heras, CISO do MailComms Group, explica: “O processo de auditoria para obter esta certificação foi extremamente rigoroso, mas estamos orgulhosos de oferecer uma garantia tão significativa de segurança e privacidade através do nosso compromisso com a filosofia de ‘segurança e conformidade desde a conceção’. Esta abordagem está sempre presente no ADN das nossas plataformas e nos processos comerciais que desenvolvemos em conjunto com os nossos parceiros tecnológicos externos.
Diligência devida na seleção de fornecedores
A devida diligência na seleção de fornecedores é o processo através do qual uma empresa verifica se um terceiro da sua cadeia de abastecimento cumpre as normas de segurança, privacidade e continuidade exigidas pela legislação aplicável, antes de o integrar como fornecedor crítico.
No ambiente empresarial atual, a segurança cibernética tornou-se uma prioridade máxima. A escolha de prestadores de serviços “ciberseguros” de confiança não só garante a proteção dos dados e a continuidade das actividades, como também cumpre a diligência devida exigida na seleção dos fornecedores. As empresas têm de garantir que os seus fornecedores cumprem as mais elevadas normas de segurança e privacidade, tal como estabelecido no regulamento NIS2, para reduzir os riscos, proteger a integridade dos seus sistemas de informação e prestar serviços seguros aos seus utilizadores e clientes.
Descobre tudo o que precisas de saber sobre a Lei SAC.
Ligação entre DORA e NIS2
Embora o DORA e o NIS2 incidam em sectores diferentes, ambos os regulamentos têm um elo comum: melhorar a cibersegurança e a resiliência operacional na União Europeia.
O DORA (Digital Operational Resilience Act) visa garantir a resiliência operacional do sector financeiro. Entre outras coisas, exige uma gestão abrangente dos riscos das TIC, gestão de incidentes, testes de resiliência, gestão de riscos de terceiros e partilha de informações no sector financeiro.
A NIS2 visa otimizar a postura geral de cibersegurança em toda a UE. Esta diretiva centra-se na governação e na deteção e resposta a incidentes e protege e testa perímetros e activos em vários sectores críticos, abrangendo uma gama mais vasta de sectores essenciais e importantes.
| Dimensão | DORA | NIS2 |
|---|---|---|
| Ámbito setorial | Setor financeiro (bancos, seguradoras, gestoras) | Setores essenciais e importantes em toda a UE |
| Objetivo principal | Resiliência operacional digital | Cibersegurança e resiliência de redes e sistemas |
| Gestão de riscos de TIC | Gestão integral de riscos de TIC | Gestão de riscos proporcional ao impacto |
| Terceiros / cadeia de abastecimento | Gestão de riscos dos fornecedores de TIC | Devida diligência na cadeia de abastecimento |
| Notificação de incidentes | Obrigação de notificar as autoridades financeiras | Obrigatória às autoridades competentes NIS2 |
| Testes de resiliência | Testes de resiliência operacional exigidos | Não exige testes formalizados equivalentes |
Ambas as normas partilham princípios fundamentais, como a gestão do risco das TIC, a deteção e resposta a incidentes e a importância da cooperação e da partilha de informações para fazer face às crescentes ciberameaças.
Na MailComms, orgulhamo-nos de estar na vanguarda da conformidade com a cibersegurança para proporcionar a máxima proteção e confiança aos nossos clientes.
Conteúdo relacionado:
> Validade legal do e-mail nas transações comerciais e nos contratos online
Perguntas mais frequentes
O que é a certificação NIS2 e o que é que ela garante?
A certificação NIS2, emitida pela AENOR, atesta que uma organização cumpre os requisitos técnicos e organizacionais da Diretiva UE 2022/2555 em matéria de cibersegurança: gestão de riscos, deteção e resposta a incidentes e medidas técnicas em conformidade com a norma ETSI EN 319 401. Para um cliente, escolher um fornecedor com certificação NIS2 significa que as suas comunicações e dados estão protegidos de acordo com as normas europeias mais exigentes.
Por que é importante que um prestador de serviços de confiança tenha a certificação NIS2?
Porque a norma ETSI EN 319 401 é obrigatória para os Prestadores de Serviços de Confiança Qualificados (PSCC), e a NIS2 exige que as empresas façam a devida diligência na sua cadeia de abastecimento. Contratar um fornecedor certificado facilita o cumprimento dessa obrigação sem teres de auditar individualmente o seu nível de cibersegurança.
Qual é a diferença entre a DORA e a NIS2?
A DORA centra-se na resiliência operacional digital do setor financeiro (bancos, seguradoras, gestoras), enquanto a NIS2 tem um âmbito mais alargado e aplica-se a setores essenciais e importantes em toda a União Europeia. Ambas partilham princípios de gestão de riscos de TIC, notificação de incidentes e controlo de terceiros, mas a DORA é setorial e a NIS2 é transversal.
O que é que a norma ETSI EN 319 401 exige de um fornecedor?
A norma ETSI EN 319 401 define os requisitos gerais de política que os prestadores de serviços de confiança têm de cumprir para garantir níveis elevados e consistentes de segurança e fiabilidade aos seus clientes. É a norma técnica de referência segundo a qual os PSCC têm de operar no âmbito da NIS2 e da eIDAS.
De que forma a certificação NIS2 de um fornecedor influencia a due diligence da minha empresa?
Se a tua empresa estiver sujeita à NIS2, DORA ou outra regulamentação a exercer a devida diligência na tua cadeia de abastecimento, contratar fornecedores já certificados (NIS2, ISO 27001, ISO 27701) transfere parte dessa garantia para o próprio fornecedor e reduz o risco de incumprimento indireto por parte de terceiros.
