A Diretiva NIS2 (Network and Information Security 2) é o novo regulamento europeu sobre cibersegurança, adotado em 2019. Reforça a segurança dos sistemas críticos contra ciberataques. Esta lei atualiza a anterior diretiva NIS, que exigia requisitos mínimos de cibersegurança para os estados-membros da UE, no entanto, a NIS2 visa melhorar a proteção de infraestruturas-chave como a energia, a saúde, as finanças, os transportes, a água ou as telecomunicações em toda a UE para fazer face às crescentes ameaças cibernéticas, melhorando as normas de cibersegurança.
A Diretiva SRI2 foi formalmente adotada em 2022 e os Estados-Membros da UE têm até outubro de 2024 para a transpor para a legislação nacional. A partir dessa data, as empresas afetadas terão de começar a cumprir os requisitos estabelecidos no regulamento, embora se espere que os governos comecem a trabalhar na implementação desta lei com antecedência.
A Diretiva NIS2 exige que os Estados-Membros da UE adaptem a sua legislação nacional para cumprir as novas medidas de cibersegurança. Cada país deve designar autoridades nacionais responsáveis pelo controlo do cumprimento e por garantir que as empresas abrangidas pelo âmbito de aplicação da diretiva aplicam medidas adequadas.
Ao contrário da NIS, a NIS2 não se centra apenas nos operadores de serviços essenciais, mas abrange também outros setores considerados críticos para a economia e a sociedade. Além disso, introduz novos requisitos em matéria de gestão de riscos, governação e comunicação de incidentes.
A NIS2 alarga significativamente o número de empresas que estarão sob a sua supervisão. Esta diretiva inclui:
1. Operadores de Entidades Essenciais (EE) ou Entidades Importantes (EI) como a energia, transportes, saúde, banca, entre outros, aumentando o seu número para 18 sectores (anteriormente com o NIS eram apenas 7).
O que as torna classificáveis como EI ou EE?
i. Pertencer a um dos 18 setores determinados.
ii. Volume de negócios ou lucro superior a 10 milhões de euros, ou mais de 50 trabalhadores.
A destacar: Independentemente da dimensão da empresa, esta pode ser designada para EI ou EE se a empresa for a única prestadora deste serviço ou, pertencer à cadeia de fornecimento de uma determinada entidade que possa ser alcançada através da empresa em questão.
2. Entidades Críticas Adicionais (ECA), tais como fornecedores de serviços digitais, telecomunicações, gestão de resíduos, indústria alimentar, fabricantes de produtos médicos, empresas da cadeia de abastecimento das TIC, entre outros, com um total de 12 setores enumerados. Se for afetada, pode tornar-se uma entidade crítica (EC), independentemente da sua dimensão.
De notar: Independentemente da dimensão da empresa, esta pode ser designada como uma RCE ou EC se for o único fornecedor desse serviço ou pertencer-se à cadeia de fornecimento de uma determinada entidade que possa ser contactada através da empresa em questão.
Para saber se a sua empresa é afetada por esta lei, deve validar que pertence a um dos setores selecionados e que cumpre vários critérios de dimensão, volume de negócios e desempenho.
Em suma, qualquer empresa que gere infraestruturas essenciais ou presta serviços essenciais pode ser obrigada a cumprir os requisitos do NIS2.
Quadro explicativo:
Fonte: Aliança SPAC
As empresas afetadas terão de adotar uma abordagem mais estruturada e abrangente da gestão dos riscos de cibersegurança. Entre outras medidas, terão de desenvolver políticas de segurança, realizar auditorias regulares, formar o seu pessoal e ter procedimentos claros para a comunicação de incidentes de cibersegurança.
O não cumprimento da regulamentação exigida resultará em coimas ou sanções administrativas destinadas a impor o cumprimento desta lei. As coimas podem ir até 2 milhões de euros ou 10% do volume de negócios global anual das empresas, o que as deixaria numa situação muito difícil, não só financeiramente, mas também em termos de confiança na sua reputação.
No caso de um ataque ou incidente de segurança significativo, as empresas serão obrigadas a notificar as autoridades competentes no prazo de 24 horas, representando uma grande mudança na rapidez e eficiência da gestão de incidentes.
Para além dos custos e das alterações que podem parecer difíceis, esta lei representa um avanço, uma vez que proporciona uma proteção sólida contra uma das maiores ameaças que as empresas enfrentam atualmente: as ciberameaças.
Quando é que esta lei será aplicada?
A Diretiva SRI2 foi formalmente adotada em 2022 e os Estados-Membros da UE têm até outubro de 2024 para a transpor para a legislação nacional. A partir dessa data, as empresas afetadas terão de começar a cumprir os requisitos estabelecidos no regulamento, embora se espere que os governos comecem a trabalhar na implementação desta lei com antecedência.
Como é aplicada?
A Diretiva NIS2 exige que os Estados-Membros da UE adaptem a sua legislação nacional para cumprir as novas medidas de cibersegurança. Cada país deve designar autoridades nacionais responsáveis pelo controlo do cumprimento e por garantir que as empresas abrangidas pelo âmbito de aplicação da diretiva aplicam medidas adequadas.
Ao contrário da NIS, a NIS2 não se centra apenas nos operadores de serviços essenciais, mas abrange também outros setores considerados críticos para a economia e a sociedade. Além disso, introduz novos requisitos em matéria de gestão de riscos, governação e comunicação de incidentes.
A que empresas se aplica?
A NIS2 alarga significativamente o número de empresas que estarão sob a sua supervisão. Esta diretiva inclui:
1. Operadores de Entidades Essenciais (EE) ou Entidades Importantes (EI) como a energia, transportes, saúde, banca, entre outros, aumentando o seu número para 18 sectores (anteriormente com o NIS eram apenas 7).
O que as torna classificáveis como EI ou EE?
i. Pertencer a um dos 18 setores determinados.
ii. Volume de negócios ou lucro superior a 10 milhões de euros, ou mais de 50 trabalhadores.
A destacar: Independentemente da dimensão da empresa, esta pode ser designada para EI ou EE se a empresa for a única prestadora deste serviço ou, pertencer à cadeia de fornecimento de uma determinada entidade que possa ser alcançada através da empresa em questão.
2. Entidades Críticas Adicionais (ECA), tais como fornecedores de serviços digitais, telecomunicações, gestão de resíduos, indústria alimentar, fabricantes de produtos médicos, empresas da cadeia de abastecimento das TIC, entre outros, com um total de 12 setores enumerados. Se for afetada, pode tornar-se uma entidade crítica (EC), independentemente da sua dimensão.
De notar: Independentemente da dimensão da empresa, esta pode ser designada como uma RCE ou EC se for o único fornecedor desse serviço ou pertencer-se à cadeia de fornecimento de uma determinada entidade que possa ser contactada através da empresa em questão.
Para saber se a sua empresa é afetada por esta lei, deve validar que pertence a um dos setores selecionados e que cumpre vários critérios de dimensão, volume de negócios e desempenho.
Em suma, qualquer empresa que gere infraestruturas essenciais ou presta serviços essenciais pode ser obrigada a cumprir os requisitos do NIS2.
Quadro explicativo:
Fonte: Aliança SPAC
Como isso as afeta?
As empresas afetadas terão de adotar uma abordagem mais estruturada e abrangente da gestão dos riscos de cibersegurança. Entre outras medidas, terão de desenvolver políticas de segurança, realizar auditorias regulares, formar o seu pessoal e ter procedimentos claros para a comunicação de incidentes de cibersegurança.
O não cumprimento da regulamentação exigida resultará em coimas ou sanções administrativas destinadas a impor o cumprimento desta lei. As coimas podem ir até 2 milhões de euros ou 10% do volume de negócios global anual das empresas, o que as deixaria numa situação muito difícil, não só financeiramente, mas também em termos de confiança na sua reputação.
No caso de um ataque ou incidente de segurança significativo, as empresas serão obrigadas a notificar as autoridades competentes no prazo de 24 horas, representando uma grande mudança na rapidez e eficiência da gestão de incidentes.
Para além dos custos e das alterações que podem parecer difíceis, esta lei representa um avanço, uma vez que proporciona uma proteção sólida contra uma das maiores ameaças que as empresas enfrentam atualmente: as ciberameaças.