Diretiva NIS2 chega para reforçar a cibersegurança na UE

Autora:
Beatriz Cunha
Técnica Digital & Innovation, SGS Portugal
 

A chegada da Diretiva NIS2 implica o cumprimento de novos requisitos e obrigações para as organizações. Tudo em nome do fortalecimento da cibersegurança na UE.

A Diretiva NIS 2, ou Network and Information Security Directive, que em português se traduz por Diretiva de Segurança de Redes e Informações, vai suceder à NIS original, com a qual partilha o principal objetivo: melhorar o nível de segurança cibernética nos Estados-Membros da União Europeia (UE). E foram as falhas da primeira, cuja implementação apresentou resultados inconsistentes em toda a UE, assim como as crescentes ameaças cibernéticas, que levaram a Comissão Europeia a propor a NIS2, a mais abrangente diretiva europeia de cibersegurança, que deverá estar em vigor em toda a EU em outubro deste ano.

A insuficiência de resiliência digital das empresas da EU e a falta de compreensão comum das ameaças e de resposta conjunta às crises está por detrás desta nova Diretiva, que expande a cobertura dos sete setores originais, acrescentando mais oito, para um total de 15.

Os setores incluídos na Diretiva NIS2

Mais de 160 mil empresas impactadas

 Introduzida em 2020 e em vigor desde 16 de janeiro de 2023, a Diretiva NIS2 visa reforçar a segurança das redes e dos sistemas de informação na UE, exigindo que os operadores de infraestruturas e serviços considerados essenciais implementem medidas de segurança adequadas e comuniquem quaisquer incidentes às autoridades competentes.

De facto, o tempo está a passar para centenas de milhares de organizações da UE que têm de reavaliar a sua postura em matéria de cibersegurança e dar resposta aos rigorosos requisitos na área da gestão de riscos e de comunicação de incidentes, sob pena de sanções severas em caso de incumprimento. 

As estimativas apontam para a existência de mais de 160 mil empresas afetadas pela NIS2, com o valor máximo de multa por incumprimento a chegar aos 10 milhões de euros.

Há muito para fazer até 17 de outubro deste ano, data limite da transposição da diretiva para o direito nacional. Isto significa que cada organização abrangida será legalmente obrigada a cumprir os seus requisitos até ao quarto trimestre de 2024.

As áreas de ação no âmbito da diretiva NIS2 

São quatro as áreas no âmbito das quais há novos requisitos e obrigações para as organizações:

• gestão de riscos, através da implementação de medidas que incluem gestão de incidentes, maior segurança da cadeia de abastecimento e da rede, melhor controlo de acesso e encriptação;
• responsabilidade corporativa, através do supervisionamento, aprovação e treino nas medidas de segurança cibernética, para lidar com os riscos. As violações podem resultar em penalizações para a gestão, incluindo uma potencial proibição temporária de funções de gestão;
• obrigações de comunicação, que passam pela implementação de processos para notificação imediata de incidentes de segurança;
• continuidade dos negócios, através da criação de planos que garantam a continuidade dos negócios em caso de incidentes cibernéticos.