NIS2: Diretiva com medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União Europeia

01-02-2024

A nova legislação NIS2 entrará em vigor em outubro de 2024
NIS2: Diretiva com medidas destinadas a garantir um elevado nível comum de cibersegurança em toda a União Europeia

As medidas de Segurança de Redes e Informações estão sujeitas a uma nova legislação já este ano. O conjunto de novas normas NIS2 entrará em vigor em outubro de 2024, aumentando a resiliência coletiva das infraestruturas críticas europeias através da aplicação de sete requisitos de segurança abrangentes. As novas medidas visam aumentar o seu âmbito e abrangência, reforça princípios considerados essenciais à ciber-resiliência, e cria um grupo de apoio à coordenação estratégica de iniciativas de cibersegurança entre Estados-membros.
 

Um breve enquadramento sobre a Diretiva NIS

Network and Information Security (NIS) é o primeiro diploma legislativo da União Europeia a abordar o tema da cibersegurança. A 6 de julho de 2016, a Diretiva NIS foi adotada com o objetivo de reforçar a resiliência do espaço europeu de cibersegurança a nível de entidades consideradas relevantes para os estados-membros e espaço europeu, sendo que apenas foi transposta para lei portuguesa a 13 de agosto de 2018 (resultou na Lei 46/2018), que floresceu no Regime Jurídico da Segurança do Ciberespaço.

O Centro Nacional de Cibersegurança (CNCS) é responsável pela supervisão da adequada implementação da Diretiva NIS, no entanto a obrigação de cumprir as mesmas recai nas entidades – com requisitos de segurança da informação e Instruções do CNCS – e de notificar – incidentes de segurança relevantes.

As regras de cibersegurança da UE introduzidas em 2016 foram atualizadas pela Diretiva NIS2, que entra em vigor a partir de outubro de 2024. Esta alteração visa modernizar o quadro jurídico existente para acompanhar o aumento da digitalização e a evolução do panorama das ameaças à cibersegurança. 

A Diretiva NIS2 prevê medidas jurídicas para aumentar o nível global de cibersegurança na UE, assegurando:
  • Preparação dos Estados-Membros, exigindo-lhes que estejam devidamente equipados. 
  • Cooperação entre todos os Estados-Membros, através da criação de um grupo de cooperação para apoiar e facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados-Membros.
  • Uma cultura de segurança em todos os setores que são vitais para a economia e sociedade - e que dependem fortemente das TIC - como a energia, os transportes, a água, a banca, as infraestruturas dos mercados financeiros, os cuidados de saúde e as infraestruturas digitais.
 

Quais são os principais elementos da Diretiva NIS2?

A Diretiva NIS2 visa adaptar-se às necessidades atuais, tornando-as orientadas para o futuro.

Para o efeito, a diretiva acrescenta novos setores com base no grau de digitalização e interligação e na importância crucial para a economia e a sociedade, introduzindo uma regra clara de limiar de dimensão. Simultaneamente, deixa uma certa margem de manobra aos Estados-Membros para identificarem entidades de menor dimensão com um perfil de risco de segurança elevado que devam também ser abrangidas pelas obrigações da nova diretiva.

A nova diretiva elimina também a distinção entre operadores de serviços essenciais e prestadores de serviços digitais. As entidades serão classificadas com base na sua importância e divididas em duas categorias: entidades essenciais e entidades importantes, que estarão sujeitas a um regime de supervisão diferente.

A nova diretiva reforça e simplifica os requisitos de segurança e de informação das empresas, impondo uma abordagem de gestão do risco, que prevê uma lista mínima de elementos básicos de segurança que devem ser aplicados. Além disso, a NIS2 aborda a segurança das cadeias de abastecimento e das relações com os fornecedores, exigindo que as empresas abordem individualmente os riscos de cibersegurança nas cadeias de abastecimento e nas relações com os fornecedores. 

A diretiva introduz medidas de supervisão mais rigorosas para as autoridades nacionais, requisitos de execução mais rigorosos e visa harmonizar os regimes de sanções nos Estados-Membros.

A NIS2 estabelece também um quadro de base com os principais intervenientes responsáveis para a divulgação coordenada das vulnerabilidades recentemente descobertas em toda a UE e cria uma base de dados de vulnerabilidades da UE para as vulnerabilidades publicamente conhecidas nos produtos e serviços TIC, que será gerida e mantida pela agência da UE para a cibersegurança (ENISA).
 

Que setores e tipos de entidades serão abrangidos pela NIS2?

O NIS2 abrange entidades dos seguintes setores:

Setores de elevada criticidade: 
  •  energia (eletricidade, aquecimento e arrefecimento urbano, petróleo, gás e hidrogénio);
  • transportes (aéreos, ferroviários, marítimos e rodoviários); 
  • banca; 
  • infraestruturas do mercado financeiro; 
  • saúde, incluindo o fabrico de produtos farmacêuticos e vacinas; 
  • água potável; 
  • águas residuais; 
  • infraestruturas digitais; 
  • fornecedores de serviços de centros de dados; 
  • redes de distribuição de conteúdos; 
  • fornecedores de serviços de confiança; 
  • fornecedores de redes públicas de comunicações eletrónicas e de serviços de comunicações eletrónicas acessíveis ao público); 
  • gestão de serviços TIC, administração pública e espaço.

Outros setores críticos: 
  • serviços postais e de correio; 
  • gestão de resíduos; 
  • produtos químicos; 
  • produtos alimentares; 
  • fabrico de dispositivos médicos, computadores e eletrónica, máquinas e equipamentos, veículos a motor, reboques e semi-reboques e outro equipamento de transporte; 
  • fornecedores digitais (mercados em linha, motores de busca em linha e plataformas de serviços de redes sociais);
  • organizações de investigação.
 

Como é que a NIS2 irá reforçar e racionalizar os requisitos de segurança e as obrigações de comunicação de incidentes das entidades?

A Diretiva NIS2 introduz uma série de requisitos de segurança específicos que as entidades devem cumprir. Estes requisitos incluem:
  • A implementação de uma gestão de riscos de cibersegurança eficaz.
  • A implementação de medidas de segurança técnicas e organizacionais adequadas.
  • A formação dos colaboradores em cibersegurança.

A diretiva também estabelece um regime mais rigoroso para a comunicação de incidentes. As entidades devem notificar as autoridades competentes de qualquer incidente de cibersegurança que possa ter um impacto significativo na sua operação. As pequenas e médias empresas (PME) podem ter dificuldade em cumprir os requisitos da Diretiva NIS2. Por isso, é importante que os Estados-Membros forneçam apoio e orientação a estas empresas.
 

Quais são as sanções por incumprimento da diretiva NIS2?

As organizações que não cumpram a diretiva NIS2 podem ser sujeitas a multas significativas.
  • As entidades essenciais podem ser objeto de coimas até 10 milhões de euros ou 2% do seu volume global de negócios, consoante o montante mais elevado.
  • As entidades importantes podem ser objeto de coimas até 7 milhões de euros ou 1,4% do seu volume global de negócios, consoante o montante mais elevado.
Para além das sanções monetárias, as organizações não conformes podem ser objeto de medidas não financeiras, como ordens de cumprimento, instruções vinculativas, requisitos de notificação e comunicação para as partes envolvidas e implementação de alterações com base em conclusões de auditorias de segurança.


A Diretiva NIS2 é uma necessidade, pois as empresas precisam de garantir a privacidade e a proteção dos dados dos clientes e assegurar a continuidade dos negócios. As boas práticas listadas na diretiva devem ser adotadas transversalmente por todos os setores e não apenas pelas organizações legalmente obrigadas a tal.

Realize um Rapid Security Assessment para analisar as vulnerabilidades da sua empresa e receber recomendações de melhoria, consoante as novas normas da NIS2.

Ficou com dúvidas? Entre em contacto com a Hydra iT!
 

Partilhar
byfullscreen@2024