Diretiva NIS2: um reforço da Cibersegurança na União Europeia
A Diretiva(UE) 2022/2555 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022 (Diretiva SRI 2) – atualmente em processo de transposição – alusiva a medidas destinadas a garantir um elevado nível comum de Cibersegurança é um marco regulatório da União Europeia destinado a fortalecer a Cibersegurança e a proteção de infraestruturas críticas e serviços essenciais das empresas contra as ameaças digitais.
Embora o combate ao cibercrime seja um dos principais focos da NIS 2, a nova diretiva estende-se a outros cenários de risco, como aos incidentes provenientes da negligência das empresas e pessoas, como falhas na implementação de medidas de segurança adequadas, falta de manutenção de sistemas críticos, erros humanos ou ausência de práticas robustas de gestão de riscos, que podem igualmente comprometer a resiliência e a continuidade dos serviços essenciais.
Principais mudanças
Ao nível das obrigações para as entidades, a Diretiva NIS2 reforça algumas das medidas já previstas no Decreto-Lei n.º 65/2021 (NIS1), numa tentativa de ganhar maior robustez na aplicação das medidas, mas também maior controlo, não só por parte das empresas, mas também das entidades regulatórias:
• Reforço da Gestão de Riscos e Segurança - As entidades devem implementar medidas técnicas e organizacionais adequadas para gerir riscos relacionados com a Cibersegurança. Isso inclui a identificação do risco, a medição do risco e a implementação de sistemas de proteção, deteção e resposta a ameaças e incidentes.
• Notificação de Incidentes - As obrigações de notificação de incidentes foram reforçadas, com prazos mais claros e curtos para a notificação de incidentes significativos às autoridades competentes.
• Continuidade das atividades.
• Responsabilidade da Gestão de Topo - O conselho de administração ou equivalente deve estar diretamente envolvido na supervisão da conformidade com as medidas de Cibersegurança. A formação em Cibersegurança para gestores passa a ser obrigatória.
• Cooperação com Autoridades Competentes - Reforço dos mecanismos de cooperação e comunicação com as autoridades nacionais e europeias para melhorar a resposta conjunta a incidentes.
• Sanções Mais Rigorosas - Estabelecimento de sanções mais severas para entidades que não cumpram as obrigações impostas pela diretiva.
Maior cobertura de Setores críticos
A NIS2 tem como objetivo ampliar o alcance das regras de Cibersegurança, de modo a garantir que mais setores essenciais fiquem cobertos. A lista de setores inclui agora dois grupos principais: entidades essenciais e entidades importantes. Entre os setores já abrangidos, a NIS2 reforça ainda o âmbito em setores que já eram cobertos pela NIS1:
• Energia - Ampliado para incluir energias renováveis e operadores de redes de distribuição.
• Saúde - Inclui investigação médica, laboratórios de análise e desenvolvimento de vacinas.
• Infraestruturas Digitais - Expande o foco para datacenters, prestadores de serviços em cloud e plataformas digitais.
• Transportes - Abrangendo um leque maior de modos de transporte, como marítimo, aéreo, ferroviário e rodoviário.
Impactos para as Empresas e prazos
As organizações terão de ajustar os seus processos internos, adotando políticas mais robustas de segurança, um maior investimento em tecnologia e formação para atender aos requisitos. As empresas que ainda não estejam em conformidade com as novas medidas, poderão ser alvo de multas até 10 milhões de euros ou 2% da faturação global anual, no caso das entidades essenciais. Para entidades importantes: até 7 milhões de euros ou 1,4% do volume de negócios global anual.
O Futuro da Cibersegurança na União Europeia
A implementação da NIS2 reflete a crescente preocupação com os impactos de ataques cibernéticos numa economia cada vez mais interconectada. Com maior cooperação transnacional, harmonização de padrões de segurança e troca de informações entre os Estados-Membros, espera-se que a diretiva estabeleça um ecossistema digital mais robusto em toda a União Europeia.
Sessão de esclarecimento sobre a NIS2 - 28 de janeiro de 2025 | 10h
Neste dia, marcado como o Dia Europeu da Proteção de Dados, discutiremos os avanços e desafios do RGPD, quase sete anos após a sua implementação, e como a nova Diretiva NIS2 impactará a atualidade das organizações portuguesas.