Article 21(2).

As organizações devem estabelecer e manter políticas de análise de riscos e segurança dos sistemas de informação. Isto inclui a definição de um quadro de governação, a realização de avaliações de risco regulares, a manutenção de um registo de riscos e o estabelecimento de ciclos de revisão das políticas de segurança. A avaliação do Konforme abrange a maturidade das políticas, a completude do registo de riscos e a estrutura de governação.

Procedimentos para a prevenção, deteção e resposta a incidentes, incluindo caminhos de escalamento e obrigações de notificação. A NIS2 introduz prazos rigorosos de reporte de incidentes — um alerta precoce em 24 horas, uma notificação do incidente em 72 horas e um relatório final no prazo de um mês. O Konforme acompanha a maturidade do seu tratamento de incidentes e a prontidão do plano de resposta.

Gestão da continuidade de negócio, incluindo gestão de cópias de segurança, recuperação de desastres e gestão de crises. As organizações devem garantir que conseguem manter as funções essenciais durante e após um incidente. O Konforme analisa as suas configurações de backup na cloud e avalia a maturidade da sua documentação de PCN/PRD.

Aspetos relacionados com a segurança nas relações entre cada entidade e os seus fornecedores diretos ou prestadores de serviços. Isto inclui a avaliação do risco dos fornecedores, requisitos contratuais de segurança e a monitorização da cadeia de abastecimento quanto a vulnerabilidades. O Konforme avalia os seus processos de gestão de risco de fornecedores e controlos de terceiros.

Segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, incluindo tratamento e divulgação de vulnerabilidades. O scanner técnico do Konforme verifica as suas configurações AWS e Azure em relação a controlos mapeados para a NIS2 — segmentação de rede, regras de firewall, segurança de VPC e gestão de vulnerabilidades.

Políticas e procedimentos para avaliar a eficácia das medidas de gestão de riscos de cibersegurança. As organizações devem testar e avaliar regularmente a sua postura de segurança. O Konforme fornece uma pontuação contínua que mostra exatamente onde estão as lacunas de conformidade e como estão a evoluir ao longo do tempo.

Práticas básicas de ciber-higiene e formação em cibersegurança para os colaboradores. A NIS2 exige explicitamente que os órgãos de gestão também recebam formação. As campanhas de formação de colaboradores do Konforme permitem atribuir reconhecimentos de políticas e questionários de segurança, acompanhar a conclusão e criar um registo de auditoria.

Políticas e procedimentos relativos à utilização de criptografia e, quando apropriado, encriptação. O scanner técnico do Konforme verifica as configurações de encriptação em repouso e em trânsito em toda a sua infraestrutura cloud — buckets S3, instâncias RDS, volumes EBS, Azure Storage, entre outros.

Segurança dos recursos humanos, políticas de controlo de acessos e gestão de ativos. Isto abrange todo o ciclo de vida do colaborador, desde a integração até à saída, controlo de acessos baseado em funções e princípios de privilégio mínimo. O Konforme verifica as configurações IAM, políticas de palavras-passe e avalia os seus processos de segurança de RH.

A utilização de soluções de autenticação multifator ou autenticação contínua, comunicações seguras de voz, vídeo e texto, e sistemas de comunicação de emergência seguros dentro da entidade. O Konforme verifica a aplicação de MFA nas suas contas cloud e avalia a sua postura de autenticação de forma holística.