NIS2: a diretiva europeia de cibersegurança! Para quando em Portugal?
Para quem não está por dentro do mundo da cibersegurança é provável que NIS (Network and Information Systems Directive) ou NIS2 não lhe digam muito (ou diretiva SRI em português). É normal! No entanto, fique a saber que a diretiva NIS veio criar uma mudança de abordagem institucional e regulatória na área da cibersegurança. A NIS2 é a atualização da diretiva NIS (primeiro versão). Conheçam as principais mudanças.
Falar em NIS (primeira versão) ou NIS2 é falar em medidas para melhorar a cibersegurança e resiliência de toda a União Europeia. A Diretiva NIS, que visa proteger dados económicos, foi adotada em 2016. A NIS 2 já foi publicada a 14 de dezembro de 2022 no Jornal Oficial da União Europeia. Aos Estados Membros da União Europeia foi-lhe dado um período de 21 meses para realizar a transposição da NIS para a NIS2, ou seja, até 17 de outubro de 2024.
Decreto-lei 65/2021...
De relembrar que em Portugal a Diretiva NIS foi transposta em 2018, passando a designar o Centro Nacional de CiberSegurança (CNCS) como a entidade responsável por supervisionar a implementação da Diretiva. Em 2021 foi publicado o decreto-lei 65/2021 que regulamenta o regime jurídico da segurança do ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento(UE)2019/881 do PE.
Este decreto passou a obrigar determinadas entidades:
- A nomear de um responsável de Segurança e também um ponto de contacto permanente;
- Realizar o levantamento e comunicação de uma lista de ativos;
- Comunicação de Incidentes;
- Realizar análise de riscos;
- Elaboração/atualização de um Plano de Segurança;
- Realização de um Relatório Anual
- Implementação de medidas que permitam detetar, classificar e comunicar incidentes
O que muda com a diretiva NIS2?
A diretiva relativa à segurança de redes e informações (SRI ou NIS2 na sigla em inglês) introduz novas regras para promover um alto nível comum de cibersegurança em toda a UE - tanto para as empresas como para os países. A legislação permite ainda fortalecer os requisitos de cibersegurança para entidades de média e grande dimensão que operam e prestam serviços em sectores-chave.
Na prática, a nova diretiva aumenta o nível de harmonização em relação aos requisitos de segurança e às obrigações dos Estados Membros em comunicar incidentes.
De um lado as entidades do tipo essenciais e do outro as entidades importantes. A diferença entre estes dois tipos de entidades, é que as entidades essenciais estão sujeitas a requisitos regulatórios mais rigorosos. Com a NIS2, passam a existir 67 tipos de entidades que têm de cumprir a nova diretiva (com a NIS 1 eram “apenas” 30).
Classificação de Entidades com a NIS2
O âmbito de aplicação da diretiva é alargado, sendo que a NIS2 abrange os seguintes sectores:
Entidades essenciais
- energia;
- transportes;
- sector bancário;
- infraestruturas do mercado financeiro;
- saúde;
- água potável e águas residuais;
- infraestruturas digitais; gestão de serviços TIC (entre empresas);
- administração pública
Entidades importantes
- serviços postais e de estafeta;
- gestão de resíduos;
- produção, fabrico e distribuição de produtos químicos;
- produção, transformação e distribuição de produtos alimentares;
- indústria transformadora;
- prestadores de serviços digitais
- investigação
A dimensão das entidades passa também a ser um critério importante para determinar a severidade das medidas a tomar.
NIS2 - melhorias na gestão dos riscos de cibersegurança
Outra das novidades são as melhorias na gestão dos riscos de cibersegurança. Nesta área, a NIS 2 reforça vários aspetos principais da gestão de riscos:
- Políticas de análise de risco e de segurança dos sistemas de informação;
- Gestão de incidentes;
- Partilha de informação;
- Continuidade do negócio;
- Segurança da cadeia de abastecimento;
- Avaliação da eficácia das medidas de gestão dos riscos de cibersegurança;
- Práticas básicas de ciberhigiene e formação em cibersegurança;
- Políticas e procedimentos relativos à utilização da criptografia;
- Segurança dos recursos humanos;
- Utilização de soluções de autenticação multi fator ou de autenticação contínua
NIS2 - Obrigação de Comunicação
Ao nível das obrigações de comunicação, as entidades abrangidas pela NIS2 são obrigadas a informar imediatamente a autoridade competente da ocorrência de qualquer incidente de cibersegurança, real ou potencial.
A notificação deve ser emitida dentro de 24 horas após o incidente, mas em circunstâncias excecionais pode ser estendida para 72 horas.
NIS2 - Cooperação da União sobre questões de cibersegurança
Ao nível da cooperação da União sobre questões de cibersegurança, esta diretiva reforça o grupo de cooperação e a rede de equipas nacionais responsáveis pela resposta a incidente de segurança.
Neste ponto, será também criado um quadro para a resposta da UE a crises de cibersegurança através das redes de cooperação existentes, nomeadamente a Rede de Organizações de Coordenação de CiberCrises (EU-CyCLONe).
NIS2 - Sensibilização na área da CiberSegurança
No que se refere à Sensibilização na área da cibersegurança, a diretiva incentiva à prática da ciber-higiene que visa criar uma cultura de sensibilização para a segurança digital.
NIS2 - Coimas
O incumprimento das regras estabelecidas pela NIS2 dá direito a coimas que passaram a ser mais elevadas. Relativamente às entidades essenciais, as coimas podem chegar a um montante máximo de 10 milhões de euros ou 2% do volume de negócio global anual total da empresa.
No caso de entidades importantes, as coimas podem chegar até um máximo de 7 milhões de euros ou de, pelo menos, 1,4% do volume de negócio global anual total da empresa
Para quando a transposição da NIS 2 em Portugal?
Como referido, a Diretiva NIS 2 já entrou em vigor na UE a 16 de janeiro de 2023 e Portugal e outros países membros têm de a transpor até 17 de outubro de 2024.
Portugal deve garantir a transposição da diretiva NIS2 para que não sejam criadas barreiras no mercado interno da União Europeia e que critérios desproporcionais e pouco claros não sejam estabelecidos.
Para saber mais pormenores da NIS e NIS2, aconselhamos a lerem também o artigo da cuatrecasas que está muito interessante nesta matéria.
Este artigo tem mais de um ano
Empresas privadas nesses segmentos já têm SOC, por vezes dedicado outras vezes contratado
Mas mesmo agora o dds e outros derivados não deixam de ter repercussões …
Saudinha !