NIS2: a diretiva europeia de cibersegurança! Para quando em Portugal?

Para quem não está por dentro do mundo da cibersegurança é provável que NIS (Network and Information Systems Directive) ou NIS2 não lhe digam muito (ou diretiva SRI em português). É normal! No entanto, fique a saber que a diretiva NIS veio criar uma mudança de abordagem institucional e regulatória na área da cibersegurança. A NIS2 é a atualização da diretiva NIS (primeiro versão). Conheçam as principais mudanças.

Falar em NIS (primeira versão) ou NIS2 é falar em medidas para melhorar a cibersegurança e resiliência de toda a União Europeia. A Diretiva NIS, que visa proteger dados económicos, foi adotada em 2016. A NIS 2 já foi publicada a 14 de dezembro de 2022 no Jornal Oficial da União Europeia. Aos Estados Membros da União Europeia foi-lhe dado um período de 21 meses para realizar a transposição da NIS para a NIS2, ou seja, até 17 de outubro de 2024.

Decreto-lei 65/2021...

De relembrar que em Portugal a Diretiva NIS foi transposta em 2018, passando a designar o Centro Nacional de CiberSegurança (CNCS) como a entidade responsável por supervisionar a implementação da Diretiva. Em 2021 foi publicado o decreto-lei 65/2021 que regulamenta o regime jurídico da segurança do ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento(UE)2019/881 do PE.

Este decreto passou a obrigar determinadas entidades:

• A nomear de um responsável de Segurança e também um ponto de contacto permanente;
• Realizar o levantamento e comunicação de uma lista de ativos;
• Comunicação de Incidentes;
• Realizar análise de riscos;
• Elaboração/atualização de um Plano de Segurança;
• Realização de um Relatório Anual
• Implementação de medidas que permitam detetar, classificar e comunicar incidentes

O que muda com a diretiva NIS2?

A diretiva relativa à segurança de redes e informações (SRI ou NIS2 na sigla em inglês) introduz novas regras para promover um alto nível comum de cibersegurança em toda a UE - tanto para as empresas como para os países. A legislação permite ainda fortalecer os requisitos de cibersegurança para entidades de média e grande dimensão que operam e prestam serviços em sectores-chave.

Na prática, a nova diretiva aumenta o nível de harmonização em relação aos requisitos de segurança e às obrigações dos Estados Membros em comunicar incidentes.

De um lado as entidades do tipo essenciais e do outro as entidades importantes. A diferença entre estes dois tipos de entidades, é que as entidades essenciais estão sujeitas a requisitos regulatórios mais rigorosos. Com a NIS2, passam a existir 67 tipos de entidades que têm de cumprir a nova diretiva (com a NIS 1 eram “apenas” 30).

Classificação de Entidades com a NIS2

O âmbito de aplicação da diretiva é alargado, sendo que a NIS2 abrange os seguintes sectores:

Entidades essenciais

• energia;
• transportes;
• sector bancário;
• infraestruturas do mercado financeiro;
• saúde;
• água potável e águas residuais;
• infraestruturas digitais; gestão de serviços TIC (entre empresas);
• administração pública

Entidades importantes

• serviços postais e de estafeta;
• gestão de resíduos;
• produção, fabrico e distribuição de produtos químicos;
• produção, transformação e distribuição de produtos alimentares;
• indústria transformadora;
• prestadores de serviços digitais
• investigação

Fonte: https://cdn.nis2directive.eu/

A dimensão das entidades passa também a ser um critério importante para determinar a severidade das medidas a tomar.

NIS2 - melhorias na gestão dos riscos de cibersegurança

Outra das novidades são as melhorias na gestão dos riscos de cibersegurança.  Nesta área, a NIS 2 reforça vários aspetos principais da gestão de riscos:

• Políticas de análise de risco e de segurança dos sistemas de informação;
• Gestão de incidentes;
• Partilha de informação;
• Continuidade do negócio;
• Segurança da cadeia de abastecimento;
• Avaliação da eficácia das medidas de gestão dos riscos de cibersegurança;
• Práticas básicas de ciberhigiene e formação em cibersegurança;
• Políticas e procedimentos relativos à utilização da criptografia;
• Segurança dos recursos humanos;
• Utilização de soluções de autenticação multi fator ou de autenticação contínua

NIS2 - Obrigação de Comunicação

Ao nível das obrigações de comunicação, as entidades abrangidas pela NIS2 são obrigadas a informar imediatamente a autoridade competente da ocorrência de qualquer incidente de cibersegurança, real ou potencial.

A notificação deve ser emitida dentro de 24 horas após o incidente, mas em circunstâncias excecionais pode ser estendida para 72 horas.

NIS2 - Cooperação da União sobre questões de cibersegurança

Ao nível da cooperação da União sobre questões de cibersegurança, esta diretiva reforça o grupo de cooperação e a rede de equipas nacionais responsáveis pela resposta a incidente de segurança.

Neste ponto, será também criado um quadro para a resposta da UE a crises de cibersegurança através das redes de cooperação existentes, nomeadamente a Rede de Organizações de Coordenação de CiberCrises (EU-CyCLONe).

NIS2 - Sensibilização na área da CiberSegurança

No que se refere à Sensibilização na área da cibersegurança, a diretiva incentiva à prática da ciber-higiene que visa criar uma cultura de sensibilização para a segurança digital.

NIS2 - Coimas

O incumprimento das regras estabelecidas pela NIS2 dá direito a coimas que passaram a ser mais elevadas. Relativamente às entidades essenciais, as coimas podem chegar a um montante máximo de 10 milhões de euros ou 2% do volume de negócio global anual total da empresa.

No caso de entidades importantes, as coimas podem chegar até um máximo de 7 milhões de euros ou de, pelo menos, 1,4% do volume de negócio global anual total da empresa

Para quando a transposição da NIS 2 em Portugal?

Como referido, a Diretiva NIS 2 já entrou em vigor na UE a 16 de janeiro de 2023 e Portugal e outros países membros têm de a transpor até 17 de outubro de 2024.

Portugal deve garantir a transposição da diretiva NIS2 para que não sejam criadas barreiras no mercado interno da União Europeia e que critérios desproporcionais e pouco claros não sejam estabelecidos.

Para saber mais pormenores da NIS e NIS2, aconselhamos a lerem também o artigo da cuatrecasas que está muito interessante nesta matéria.