Responsabilidade Ampla pela Segurança da Infraestrutura Digital na União Europeia

A Responsabilidade Compartilhada pela Segurança Digital na Europa

As tecnologias digitais transformaram profundamente a sociedade, governos, empresas e vida cotidiana ao longo das últimas décadas. Porém, essa crescente dependência da tecnologia carrega consigo uma responsabilidade ampla: garantir que a segurança permaneça robusta e inabalável, independentemente do caso de uso. A AWS reconhece essa responsabilidade como um princípio fundamental, onde cada colaborador contribui para que a segurança seja integrada em todas as dimensões do negócio.

Esse compromisso posiciona a AWS de forma estratégica enquanto o cenário regulatório de cibersegurança continua evoluindo na Europa. Um exemplo expressivo dessa evolução é a Diretiva sobre Medidas para um Nível Comum Elevado de Cibersegurança em toda a União (Diretiva NIS 2), formalmente adotada pelo Parlamento Europeu e Conselho da UE como Diretiva (UE) 2022/2555 e aplicável desde outubro de 2024.

Até dezembro de 2025, a maioria dos Estados-Membros da UE transpôs a NIS 2 para legislação nacional, embora os cronogramas de implementação completa se estendam até 2025–2026 em várias jurisdições. Os requisitos e prazos de transposição variam entre os países europeus, com o objetivo comum de fortalecer a postura de cibersegurança em todo o continente.

Conformidade com a Diretiva NIS 2

A NIS 2 busca garantir que as entidades mitiguem os riscos impostos por ameaças cibernéticas, minimizem o impacto de incidentes e protejam a continuidade de serviços essenciais e importantes na UE. A diretiva estabelece um marco fortalecido em nível europeu, impondo obrigações proporcionais e baseadas em risco para entidades essenciais e importantes em setores críticos.

O escopo de implementação é amplo: a NIS 2 obriga a adoção de medidas abrangentes, incluindo governança, gerenciamento de incidentes, continuidade de negócios, segurança da cadeia de suprimentos, controles de acesso e criptografia. Essas medidas devem cobrir todo o ciclo de vida da cibersegurança — identificação, proteção, detecção, resposta, recuperação e comunicação — com requisitos para testes regulares, gerenciamento de riscos da cadeia de suprimentos e comunicação de incidentes significativos às autoridades nacionais.

Infraestrutura Crítica e Certificações Regionais

Em vários países europeus, os serviços da AWS já fazem parte da infraestrutura crítica nacional. Na Alemanha, por exemplo, o Amazon EC2 e o Amazon CloudFront estão no escopo da regulação KRITIS (Kritische Infrastruktur — Infraestrutura Crítica). Por vários anos, a AWS vem cumprindo suas obrigações de segurança, conduzindo auditorias relacionadas à infraestrutura crítica nacional e mantendo canais estabelecidos de troca de informações de segurança com o BSI (Bundesamt für Sicherheit in der Informationstechnik — Escritório Federal Alemão de Segurança da Informação).

A empresa também participa da iniciativa UP KRITIS, um esforço cooperativo entre indústria e governo alemão para estabelecer padrões do setor. Essa colaboração demonstra o compromisso em trabalhar com autoridades locais para elevar o padrão de segurança.

Além da infraestrutura crítica, a AWS conquistou múltiplas certificações regionais que validam seu desempenho em segurança:

• C5 – na Alemanha, oferece um marco de controle abrangente para estabelecer e evidenciar a segurança de operações em nuvem
• ENS High – na Espanha, compreende princípios para proteção adequada aplicáveis a agências governamentais e organizações públicas
• HDS – na França, demonstra um marco adequado de medidas técnicas e de governança para proteger dados de saúde pessoal
• Pinakes – na Espanha, oferece um marco de avaliação para gerenciar e monitorar controles de cibersegurança de provedores de serviços

Modelo de Responsabilidade Compartilhada e Conformidade

A AWS oferece mais de 150 certificações e atestados de conformidade independentemente auditadas em segurança, incluindo ISO 27001, ISO 22301, ISO 20000, ISO 27017 e SOC 2 (Controles de Sistemas e Organizações). Essas certificações reforçam que a segurança e conformidade são responsabilidades compartilhadas entre a plataforma e os clientes.

A AWS garante que a infraestrutura de nuvem esteja em conformidade com requisitos regulatórios aplicáveis e boas práticas de provedores de nuvem. Os clientes, por sua vez, mantêm responsabilidade por construir workloads conformes na nuvem. O Modelo de Responsabilidade Compartilhada da AWS detalha essa divisão clara de obrigações.

Segurança por Design e Frameworks de Arquitetura

Para a segurança na nuvem, é crucial que os clientes façam da segurança por design e segurança por padrão os pilares centrais do desenvolvimento de produtos. A AWS disponibiliza o AWS Well-Architected Framework para ajudar a construir infraestrutura segura, de alto desempenho, resiliente e eficiente para diversas aplicações e workloads.

Clientes que utilizam o AWS Cloud Adoption Framework (AWS CAF) podem melhorar a prontidão para nuvem identificando e priorizando oportunidades de transformação. Esses recursos fundamentais apoiam a segurança de workloads regulados.

Ferramentas de Gestão de Riscos e Conformidade

No que diz respeito às medidas de gerenciamento de riscos de cibersegurança e obrigações de comunicação que a NIS 2 estabelece, ofertas de serviços existentes da AWS podem ajudar clientes a cumprir sua parte do modelo de responsabilidade compartilhada.

Monitoramento, Auditoria e Avaliação

• AWS CloudTrail fornece registro de auditoria centralizado de todas as ações na plataforma
• Amazon CloudWatch oferece métricas, alarmes e análise de logs de aplicação em tempo real
• AWS Config permite que clientes avaliem, auditem e avaliem continuamente as configurações e relacionamentos de recursos selecionados na AWS, localmente e em outras nuvens
• AWS Security Hub oferece uma visão abrangente do estado de segurança na AWS e ajuda a avaliar ambientes contra padrões do setor e boas práticas

Automação de Evidências e Resiliência

• AWS Audit Manager automatiza a coleta de evidências para demonstração de conformidade
• AWS Resilience Hub realiza avaliações de resiliência para garantir continuidade operacional

A AWS disponibiliza ainda AWS Whitepapers abrangentes, como o Guia de Resposta a Incidentes de Segurança da AWS, para que clientes entendam, implementem e gerenciem conceitos fundamentais de segurança em suas arquiteturas em nuvem.

Guia Atualizado de Considerações NIS 2

O guia atualizado de Considerações NIS 2 para Clientes da AWS (dezembro de 2025) apresenta uma tabela de mapeamento que conecta os requisitos do Anexo da diretiva a capacidades específicas da AWS, permitindo que entidades interpretem obrigações e implementem controles proporcionais de forma eficiente.

Treinamento e Conscientização em Cibersegurança

A NIS 2 determina o desenvolvimento e implementação de programas abrangentes de conscientização em cibersegurança para corpos diretivos e funcionários. A AWS oferece diversos programas de treinamento sem custo ao público para aumentar a conscientização sobre segurança cibernética, como o AWS Security Learning Hub, que inclui simulações de phishing, fundamentos de segurança em nuvem e módulos baseados em função.

Clientes podem entregar treinamento em toda a organização utilizando módulos do AWS Skill Builder sobre phishing, higiene cibernética e práticas seguras em nuvem, atribuindo caminhos específicos por função e rastreando conclusão em múltiplas contas através do AWS Organizations.

Cooperação com Autoridades e Agências de Segurança

A Amazon se esforça por ser a empresa mais centrada no cliente do mundo. Para a AWS Security Assurance, isso significa manter equipes que se envolvem continuamente com autoridades para compreender e superar obrigações regulatórias e de clientes. Essa abordagem representa uma forma de elevar o padrão de segurança na Europa.

A AWS coopera com agências de cibersegurança globais, reconhecendo a importância de seu papel em manter o mundo seguro. Para isso, desenvolveu o AWS Global Cloud Security Program (GCSP) para fornecer às agências uma linha direta e consistente de comunicação com o time de segurança da AWS.

Parcerias Regionais Estratégicas

Dois exemplos de membros do GCSP incluem:

• O Dutch National Cyber Security Centrum (NCSC-NL), com quem a AWS assinou acordo de cooperação em maio de 2023
• A Agência Nacional de Cibersegurança Italiana (ACN)

Na Espanha, a AWS assinou um acordo de colaboração estratégica (MoU) com o Centro Nacional de Inteligência e Centro Nacional de Criptologia (CNI-CCN) em agosto de 2023 para promover cibersegurança e inovação no setor público através da tecnologia AWS Cloud. Como resultado, o CCN aderiu ao GCSP e a parceria produziu oito guias STIC (Série 887) sobre tópicos como endurecimento, resposta a incidentes e monitoramento para ambientes multi-nuvem e híbridos.

A parceria também gerou o template ENS Landing Zone (CCN-STIC-887 Anexo A), que clientes podem baixar do site do CCN para implantar ambientes em nuvem conformes com ENS. Além da acreditação ENS High, mais de 25 serviços de nuvem da AWS foram acreditados pelo CCN sob o Catálogo de Segurança de Produtos e Serviços para processar workloads sensíveis e classificadas na Espanha.

Contribuição em Contextos de Crise

Com a guerra na Ucrânia, a importância dessa colaboração se tornou evidente. A AWS desempenhou papel importante em ajudar o governo da Ucrânia a manter continuidade e fornecer serviços críticos aos cidadãos desde o início do conflito.

Próximos Passos para Organizações Europeia

A AWS continua fornecendo aos principais stakeholders maior clareza sobre como auxilia clientes a enfrentar seus desafios de cibersegurança mais complexos, oferecendo oportunidades para análises profundas sobre soluções em desenvolvimento.

O guia atualizado de Considerações NIS 2 para Clientes da AWS (dezembro de 2025) e o AWS Compliance Center servem como hubs centrais para recursos mais recentes, incluindo mapeamentos para Diretrizes Técnicas de Implementação da ENISA (26 de junho de 2025), whitepapers e documentação pronta para auditoria.

Entidades podem começar com AWS Control Tower ou Landing Zone Accelerator para estabelecer baselines de segurança, depois aplicar o Well-Architected Framework (Pilares de Segurança e Confiabilidade) para projetar arquiteturas auditáveis e resilientes.

Para organizações que buscam expertise externa, parceiros do AWS Marketplace oferecem suporte especializado em análise de lacunas, testes de resiliência e implementação de mapeamentos ENISA.

Fonte

Embracing our broad responsibility for securing digital infrastructure in the European Union (https://aws.amazon.com/blogs/security/embracing-our-broad-responsibility-for-securing-digital-infrastructure-in-the-european-union/)