Pplware

NIS2: a diretiva europeia de cibersegurança! Para quando em Portugal?

Para quem não está por dentro do mundo da cibersegurança é provável que NIS (Network and Information Systems Directive) ou NIS2 não lhe digam muito (ou diretiva SRI em português). É normal! No entanto, fique a saber que a diretiva NIS veio criar uma mudança de abordagem institucional e regulatória na área da cibersegurança. A NIS2 é a atualização da diretiva NIS (primeiro versão). Conheçam as principais mudanças.


Falar em NIS (primeira versão) ou NIS2 é falar em medidas para melhorar a cibersegurança e resiliência de toda a União Europeia. A Diretiva NIS, que visa proteger dados económicos, foi adotada em 2016. A NIS 2 já foi publicada a 14 de dezembro de 2022 no Jornal Oficial da União Europeia. Aos Estados Membros da União Europeia foi-lhe dado um período de 21 meses para realizar a transposição da NIS para a NIS2, ou seja, até 17 de outubro de 2024.

Decreto-lei 65/2021…

De relembrar que em Portugal a Diretiva NIS foi transposta em 2018, passando a designar o Centro Nacional de CiberSegurança (CNCS) como a entidade responsável por supervisionar a implementação da Diretiva. Em 2021 foi publicado o decreto-lei 65/2021 que regulamenta o regime jurídico da segurança do ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento(UE)2019/881 do PE.

Este decreto passou a obrigar determinadas entidades:

O que muda com a diretiva NIS2?

A diretiva relativa à segurança de redes e informações (SRI ou NIS2 na sigla em inglês) introduz novas regras para promover um alto nível comum de cibersegurança em toda a UE – tanto para as empresas como para os países. A legislação permite ainda fortalecer os requisitos de cibersegurança para entidades de média e grande dimensão que operam e prestam serviços em sectores-chave.

Na prática, a nova diretiva aumenta o nível de harmonização em relação aos requisitos de segurança e às obrigações dos Estados Membros em comunicar incidentes.

De um lado as entidades do tipo essenciais e do outro as entidades importantes. A diferença entre estes dois tipos de entidades, é que as entidades essenciais estão sujeitas a requisitos regulatórios mais rigorosos. Com a NIS2, passam a existir 67 tipos de entidades que têm de cumprir a nova diretiva (com a NIS 1 eram “apenas” 30).

Classificação de Entidades com a NIS2

O âmbito de aplicação da diretiva é alargado, sendo que a NIS2 abrange os seguintes sectores:

Entidades essenciais

Entidades importantes

Fonte: https://cdn.nis2directive.eu/

A dimensão das entidades passa também a ser um critério importante para determinar a severidade das medidas a tomar.

NIS2 – melhorias na gestão dos riscos de cibersegurança

Outra das novidades são as melhorias na gestão dos riscos de cibersegurança.  Nesta área, a NIS 2 reforça vários aspetos principais da gestão de riscos:

NIS2 – Obrigação de Comunicação

Ao nível das obrigações de comunicação, as entidades abrangidas pela NIS2 são obrigadas a informar imediatamente a autoridade competente da ocorrência de qualquer incidente de cibersegurança, real ou potencial.

A notificação deve ser emitida dentro de 24 horas após o incidente, mas em circunstâncias excecionais pode ser estendida para 72 horas.

NIS2 – Cooperação da União sobre questões de cibersegurança

Ao nível da cooperação da União sobre questões de cibersegurança, esta diretiva reforça o grupo de cooperação e a rede de equipas nacionais responsáveis pela resposta a incidente de segurança.

Neste ponto, será também criado um quadro para a resposta da UE a crises de cibersegurança através das redes de cooperação existentes, nomeadamente a Rede de Organizações de Coordenação de CiberCrises (EU-CyCLONe).

NIS2 – Sensibilização na área da CiberSegurança

No que se refere à Sensibilização na área da cibersegurança, a diretiva incentiva à prática da ciber-higiene que visa criar uma cultura de sensibilização para a segurança digital.

NIS2 – Coimas

O incumprimento das regras estabelecidas pela NIS2 dá direito a coimas que passaram a ser mais elevadas. Relativamente às entidades essenciais, as coimas podem chegar a um montante máximo de 10 milhões de euros ou 2% do volume de negócio global anual total da empresa.

No caso de entidades importantes, as coimas podem chegar até um máximo de 7 milhões de euros ou de, pelo menos, 1,4% do volume de negócio global anual total da empresa

Para quando a transposição da NIS 2 em Portugal?

Como referido, a Diretiva NIS 2 já entrou em vigor na UE a 16 de janeiro de 2023 e Portugal e outros países membros têm de a transpor até 17 de outubro de 2024.

Portugal deve garantir a transposição da diretiva NIS2 para que não sejam criadas barreiras no mercado interno da União Europeia e que critérios desproporcionais e pouco claros não sejam estabelecidos.

Para saber mais pormenores da NIS e NIS2, aconselhamos a lerem também o artigo da cuatrecasas que está muito interessante nesta matéria.

Exit mobile version