Novità
Solicite uma demonstração

Como cumprir o Projeto de Lei de Cibersegurança e Resiliência do Reino Unido

Conformidade
Andrew Simmonds fotoAS
Andrew Simmonds

Content Writer

Andy French fotoAF
Andy French

Director of Product Marketing

O Projeto de Lei de Cibersegurança e Resiliência (Cyber Security and Resilience Bill) é uma legislação britânica iminente que ampliará as obrigações obrigatórias de cibersegurança para um conjunto mais amplo de organizações — incluindo provedores de serviços gerenciados e data centers — e endurece as regras para setores já abrangidos pelo NIS Regulations 2018.  

Para estar em conformidade com o Projeto de Lei de Cibersegurança e Resiliência, as organizações devem alinhar controles de segurança, procedimentos de reporte de incidentes e capacidades de recuperação ao NCSC Cyber Assessment Framework (CAF). A adesão a esse framework está deixando de ser voluntária para se tornar mais obrigatória. Ao adotar o framework agora, as organizações podem garantir que, quando ocorrer um incidente cibernético, consigam detectar, reportar e se recuperar dentro dos prazos exigidos por lei.  

Este guia apresenta etapas para alcançar exatamente isso. Para mais informações sobre a própria legislação, veja nosso artigo completo sobre o que é o Projeto de Lei de Cibersegurança e Resiliência e como ele impacta as empresas. 

Principais pontos

  • O Projeto de Lei de CSR se aplica a organizações que operam serviços essenciais e a um novo conjunto de provedores de infraestrutura digital — incluindo provedores de serviços gerenciados e data centers — muitos dos quais estavam totalmente fora do framework NIS anterior. 
  • O Projeto de Lei estabelece expectativas amplas sobre governança, gestão de riscos e resiliência operacional. 
  • As áreas de foco para alcançar conformidade devem incluir: controles de segurança alinhados ao NCSC CAF, relatórios de incidentes enviados em 24 e 72 horas, gestão ativa do risco da cadeia de suprimentos e a capacidade de apresentar aos reguladores evidências de gestão de riscos sob demanda. 
  • Na prática, os reguladores quase certamente irão escrutinar as capacidades de backup e recuperação. Backups que um atacante consegue alcançar, alterar ou excluir não oferecem uma postura de recuperação compatível com a conformidade. 
  • Imutabilidade Absoluta significa acesso zero a ações destrutivas, de modo que ninguém — nem mesmo o administrador mais privilegiado ou um atacante com comprometimento total — pode modificar ou excluir dados de backup. Isso atende, na prática, a elementos-chave dos requisitos do Objetivo D do CAF. 
  • Object First oferece armazenamento de backup seguro, simples e poderoso, absolutamente imutável e desenvolvido especificamente para Veeam, garantindo alinhamento com o Projeto de Lei de CSR. 

Quem deve estar em conformidade com o Projeto de Lei de Cibersegurança e Resiliência?

O Projeto de Lei mantém todos os setores cobertos pelo NIS Regulations 2018 e adiciona várias categorias que antes estavam fora do framework: 

Operadores de Serviços Essenciais (mantidos do NIS 2018)

  • Energia: geradores e distribuidores de eletricidade, operadores de petróleo e gás e operadores de redes de energia. Prestadores de serviços públicos (utilities) se enquadram nessa categoria. 
  • Transporte: operadores aéreos, ferroviários, rodoviários e marítimos cujos serviços são críticos para a infraestrutura nacional. 
  • Saúde: trusts do NHS, prestadores privados de saúde e outras organizações de saúde. Proteger backup para saúde e recuperação de dados é um foco específico, dada a exposição do setor a ransomware. 
  • Água potável: operadores de abastecimento e distribuição de água. 
  • Infraestrutura digital: pontos de troca de tráfego de internet, provedores de sistema de nomes de domínio (DNS), registros de nomes de domínio de nível superior e, de forma mais ampla, operadores de infraestrutura digital. 
  • Provedores de Serviços Digitais Relevantes (RDSPs): marketplaces online, mecanismos de busca online e serviços de computação em nuvem já regulados pelo NIS 2018. Grandes fornecedores de SaaS e de software corporativo que atendam aos limiares relevantes também se enquadram nessa categoria. 

Outros setores que, na prática, se enquadram nas definições de OES e RDSP incluem serviços financeiros e plataformas fintech (quando operam infraestrutura digital crítica), provedores de telecomunicações e provedores de serviços de internet, universidades e instituições de pesquisa que lidam com dados sensíveis e serviços públicos que operam sistemas de rede e informação. 

Novas categorias adicionadas pelo Projeto de Lei de CSR

  • Provedores de Serviços Gerenciados (MSPs): qualquer organização que forneça gestão contínua de TI, suporte, manutenção ou monitoramento sob contrato, quando se conecta ou acessa a rede de um cliente. Os MSPs serão regulados pelo Information Commissioner's Office (ICO). Pequenas e microempresas estão atualmente isentas, embora empresas que cresçam além desses limiares passem a estar no escopo. 
  • Data centers: instalações compartilhadas ou multi-tenant com capacidade igual ou superior a 1 MW e instalações corporativas single-tenant com capacidade igual ou superior a 10 MW. Ofcom e DSIT atuarão como reguladores conjuntos. Os limiares foram definidos para capturar instalações grandes o suficiente para que sua falha cause disrupção econômica ou operacional significativa. 
  • Controladores de grandes cargas: organizações que gerenciam remotamente cargas elétricas substanciais (300 MW ou mais) dentro da rede elétrica e, portanto, podem influenciar a estabilidade da rede. Ofgem é o regulador relevante. 
  • Fornecedores Críticos Designados (DCS): os reguladores passam a ter o poder de incluir fornecedores individuais diretamente no escopo, independentemente de se enquadrarem nas categorias setoriais acima. Os critérios para designação: fornecer bens ou serviços a uma organização regulada; quando uma falha do fornecedor causaria disrupção significativa a um serviço essencial; quando a operação do fornecedor depende de sistemas de rede e informação; e quando não há regulação cibernética equivalente já aplicável. Pequenas empresas não são automaticamente isentas — uma microempresa em posição crítica em uma cadeia de suprimentos ainda pode ser designada. 

O Secretário de Estado também tem o direito de ampliar a população regulada por meio de legislação secundária, sem necessidade de nova legislação primária. 

Para ainda mais detalhes, baixe nosso guia completo do Projeto de Lei de CSR

Principais requisitos do Projeto de Lei de CSR do Reino Unido para empresas

O Projeto de Lei de CSR impõe as quatro obrigações centrais a seguir às organizações dentro do escopo: 

  1. Alinhar-se ao NCSC Cyber Assessment Framework

    O CAF é o padrão técnico pelo qual os reguladores pretendem avaliar a conformidade — passando de uma base voluntária para uma base legal para organizações reguladas. O CAF é organizado em torno de quatro objetivos — gerenciar risco de segurança, proteger contra ciberataques, detectar eventos de cibersegurança e minimizar o impacto de incidentes. Espera-se que as organizações no escopo demonstrem progresso em todos os quatro.

  2. Reportar incidentes em 24 e 72 horas

    Um incidente significativo deve ser reportado ao regulador relevante e ao National Cyber Security Centre em até 24 horas após a sua identificação. Um relatório completo por escrito, incluindo uma avaliação de impacto, deve ser apresentado em até 72 horas. O que aciona o reporte é mais amplo do que no NIS 2018 — ransomware agora é explicitamente coberto, assim como atividade de pré-posicionamento, quando um atacante obteve acesso, mas ainda não causou disrupção visível. MSPs e RDSPs também devem notificar clientes afetados assim que for razoavelmente praticável após registrar o reporte ao regulador. 

  3. Gerenciar o risco da cadeia de suprimentos

    Organizações OES e RDSP são obrigadas a identificar e gerenciar ativamente os riscos cibernéticos apresentados por seus fornecedores. Isso inclui mapear dependências, reforçar proteções contratuais e verificar que os dados mantidos ou gerenciados por terceiros atendem aos mesmos padrões de resiliência que os dados mantidos internamente.

  4. Preparar evidências de gestão contínua de riscos

    Os reguladores ampliaram seus poderes de inspeção e coleta de informações. Eles podem solicitar evidências de como o risco está sendo gerenciado de forma contínua, inspecionar instalações, examinar documentação, testar sistemas e entrevistar colaboradores. 

Penalidades

O Projeto de Lei substitui o regime atual de penalidades em três níveis por uma estrutura mais simples de duas faixas, escalonada pelo faturamento. Violações graves — falha em cumprir deveres de segurança ou em reportar incidentes — acarretam multa máxima de £17 milhões ou 4% do faturamento mundial, o que for maior. Infrações menos graves, como falhas de registro, acarretam máximo de £10 milhões ou 2% do faturamento mundial. Penalidades diárias de até £50.000 se aplicam a violações contínuas. Os reguladores também podem levar em conta fatores atenuantes, incluindo se a organização fez tentativas genuínas de corrigir uma violação e seu histórico prévio de conformidade. 

 

Os controles de backup, restauração e recuperação que atendem ao Projeto de Lei

A conformidade em todos os Objetivos do CAF será importante, mas, quando um incidente real desencadear uma investigação, os reguladores certamente se concentrarão em saber se a organização consegue, de fato, se recuperar. Aqui estão alguns pontos a considerar: 

O que é o Objetivo D do CAF?

O Objetivo D do CAF, “Minimizar o impacto de incidentes de cibersegurança”, é o padrão relevante aqui. Esse objetivo avalia a capacidade de uma organização de responder a incidentes e restaurar funções essenciais. Ele é estruturado em torno de dois princípios:  

  • D1: Planejamento de Resposta e Recuperação
  • D2: Lições Aprendidas

Atender ao Objetivo D exige mais do que um plano de recuperação documentado. Em uma auditoria após um incidente, serão esperadas evidências de três coisas: backups que um atacante não poderia alcançar ou alterar, prova de que esses backups não foram corrompidos e registros de restauração testados mostrando quão rapidamente a organização consegue colocar sistemas críticos de volta em operação. 

Por que os reguladores se importam com backups?

O motivo de os reguladores se importarem de forma tão específica com a integridade de backups é que ataques modernos de ransomware têm como alvo, cada vez mais, repositórios de backup diretamente, corrompendo dados, excluindo pontos de recuperação ou alterando silenciosamente configurações de retenção. Uma organização cujos backups foram comprometidos, na prática, perdeu sua capacidade de recuperação.  

A ênfase do Projeto de Lei na recuperabilidade reflete diretamente essa ameaça. Nos termos da Cláusula 10 do rascunho atual, Provedores de Serviços Gerenciados Relevantes devem "identificar e adotar medidas apropriadas e proporcionais para gerenciar os riscos à segurança dos sistemas de rede e informação dos quais dependem" — medidas que devem "garantir um nível de segurança dos sistemas de rede e informação apropriado ao risco apresentado e prevenir e minimizar o impacto de incidentes."  

Como a Imutabilidade Absoluta contribui para a conformidade com o Projeto de Lei de CSR

Imutabilidade é o controle técnico que endereça os elementos levantados acima. Quando os dados de backup são gravados em armazenamento imutável, eles não podem ser modificados ou excluídos durante o período de retenção — seja por um atacante que tenha obtido acesso à rede, seja por um administrador agindo sob coação. 

No entanto, alguns sistemas que afirmam oferecer backups “imutáveis” têm exceções e brechas ocultas. Imutabilidade Absoluta significa que nem mesmo o administrador mais privilegiado ou um atacante com acesso ao armazenamento de backup consegue modificar ou excluir dados. Isso só pode ser alcançado usando um sistema de armazenamento de backup “seguro por concepção” (secure-by-design), com Acesso Zero para executar ações destrutivas, e esse Acesso Zero deve ser verificável por testes de terceiros. 

Restauração rápida importa tanto quanto a integridade do que está armazenado. O foco do Projeto de Lei de CSR em resiliência operacional reconhece que indisponibilidades prolongadas em serviços essenciais trazem consequências econômicas e sociais; dados íntegros só são úteis se puderem ser restaurados rapidamente. 

Checklist de conformidade com o Projeto de Lei de Cibersegurança e Resiliência

Conformidade demonstrável exige percorrer cinco etapas-chave:  

  1. Confirmar se sua organização está no escopo
  2. Identificar seus próprios fornecedores críticos
  3. Monitorar orientações regulatórias futuras
  4. Revisar a prontidão de resposta a incidentes
  5. Validar que seu arranjo de gestão de riscos e recuperação

Para um guia abrangente sobre como realizar cada uma dessas etapas, baixe nossa Checklist de Conformidade com o Projeto de Lei de CSR

Como o Object First oferece suporte à conformidade com o CSR Bill 

Quando — e não se — o ransomware atacar, seu futuro depende da resiliência cibernética. O Object First é sua defesa definitiva — armazenamento de backup com Imutabilidade Absoluta, desenvolvido especificamente para Veeam e que atende diretamente aos controles do Objetivo D que os reguladores analisam com mais rigor. Baseado em Zero Trust e testado e verificado por terceiros, o Object First não exige nenhuma especialização em segurança e escala com o seu negócio. Quando o armazenamento de backup é tão seguro, simples e poderoso, você e sua organização são Simplesmente Resilientes. 

 

Resumo 

Estar em conformidade com o Cyber Security and Resilience Bill significa cumprir quatro obrigações: alinhar-se ao NCSC CAF, reportar incidentes em 24 e 72 horas, gerenciar o risco da cadeia de suprimentos e demonstrar resiliência contínua aos reguladores sob demanda.  

As organizações devem confirmar agora seu status de enquadramento, mas permanecer vigilantes: o mecanismo de legislação secundária do Bill significa que mesmo quem está fora das definições atuais pode acabar incluído à medida que o arcabouço evolui.  

Entre as obrigações mencionadas, a integridade do backup e a velocidade de recuperação são o que os reguladores mais escrutinam após um incidente real. O appliance de armazenamento de backup seguro, simples e poderoso do Object First garante backups resilientes e desempenho de restauração rápida — atendendo aos requisitos do Objetivo D e oferecendo um caminho rápido e robusto para a recuperação em caso de um ataque de ransomware ou outra perda de dados.

Perguntas frequentes 

O CSR Bill é o mesmo que o NIS? 

Não. O CSR Bill atualiza e amplia o NIS Regulations 2018, em vez de substituí-lo integralmente. As principais diferenças estão no escopo, no reporte, na fiscalização e na flexibilidade.  

  • Quanto ao escopo: MSPs, grandes data centers e grandes controladores de carga são incluídos pela primeira vez, e os reguladores podem designar diretamente fornecedores críticos individuais.  
  • Quanto ao reporte: o prazo de 24/72 horas substitui um regime mais flexível, e a gama de incidentes que devem ser reportados é mais ampla — ransomware e atividades de pré-posicionamento agora entram no escopo, quando não teriam acionado obrigações sob o NIS 2018.  
  • Quanto à fiscalização: a antiga estrutura de penalidades em três níveis dá lugar a um modelo de duas faixas baseado no faturamento, removendo os limites máximos fixos que ofereciam baixa capacidade de dissuasão para organizações maiores.  
  • Quanto à flexibilidade: em vez de incorporar detalhes técnicos na legislação primária, o Bill cria um arcabouço que a legislação secundária e os códigos regulatórios de prática irão detalhar ao longo do tempo.

Que evidências um regulador solicitará após um incidente cibernético? 

É provável que um regulador solicite: 

  • A notificação inicial em 24 horas e o relatório completo em 72 horas
  • Um plano de resposta a incidentes documentado, mostrando os processos que estavam em vigor antes do ataque
  • Evidências de integridade do backup — especificamente, registros mostrando que os dados de backup foram armazenados em um formato que não poderia ser modificado ou excluído
  • Registros de testes de restauração demonstrando que a organização havia verificado previamente os tempos e os procedimentos de recuperação
  • Uma análise pós-incidente abordando a causa raiz e as lições aplicadas.  

Quando o risco da cadeia de suprimentos for um fator contribuinte, a documentação das avaliações de segurança de fornecedores também será relevante.

O CSR Bill exigirá mudanças na minha configuração de backup existente? 

Depende do que você tem hoje. Organizações com soluções de backup que armazenam dados em um formato que pode ser sobrescrito, excluído por um usuário privilegiado ou acessado por uma porta dos fundos administrativa provavelmente precisarão corrigir essas lacunas.  

Adicionar um appliance de armazenamento backup imutável como o Object First é a forma mais direta de eliminar essa exposição sem reconstruir toda a pilha de backup. Ele opera como um alvo endurecido para os dados de backup, mantendo intactas as ferramentas e os fluxos de trabalho existentes.  

Guias relacionados

Ver Todos