Para quem não está por dentro do mundo da cibersegurança é provável que NIS (Network and Information Systems Directive) ou NIS2 não lhe digam muito (ou diretiva SRI em português). É normal! No entanto, fique a saber que a diretiva NIS veio criar uma mudança de abordagem institucional e regulatória na área da cibersegurança. A NIS2 é a atualização da diretiva NIS (primeiro versão). Conheçam as principais mudanças.
Falar em NIS (primeira versão) ou NIS2 é falar em medidas para melhorar a cibersegurança e resiliência de toda a União Europeia. A Diretiva NIS, que visa proteger dados económicos, foi adotada em 2016. A NIS 2 já foi publicada a 14 de dezembro de 2022 no Jornal Oficial da União Europeia. Aos Estados Membros da União Europeia foi-lhe dado um período de 21 meses para realizar a transposição da NIS para a NIS2, ou seja, até 17 de outubro de 2024.
Decreto-lei 65/2021…
De relembrar que em Portugal a Diretiva NIS foi transposta em 2018, passando a designar o Centro Nacional de CiberSegurança (CNCS) como a entidade responsável por supervisionar a implementação da Diretiva. Em 2021 foi publicado o decreto-lei 65/2021 que regulamenta o regime jurídico da segurança do ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento(UE)2019/881 do PE.
Este decreto passou a obrigar determinadas entidades:
- A nomear de um responsável de Segurança e também um ponto de contacto permanente;
- Realizar o levantamento e comunicação de uma lista de ativos;
- Comunicação de Incidentes;
- Realizar análise de riscos;
- Elaboração/atualização de um Plano de Segurança;
- Realização de um Relatório Anual
- Implementação de medidas que permitam detetar, classificar e comunicar incidentes
O que muda com a diretiva NIS2?
A diretiva relativa à segurança de redes e informações (SRI ou NIS2 na sigla em inglês) introduz novas regras para promover um alto nível comum de cibersegurança em toda a UE – tanto para as empresas como para os países. A legislação permite ainda fortalecer os requisitos de cibersegurança para entidades de média e grande dimensão que operam e prestam serviços em sectores-chave.
Na prática, a nova diretiva aumenta o nível de harmonização em relação aos requisitos de segurança e às obrigações dos Estados Membros em comunicar incidentes.
De um lado as entidades do tipo essenciais e do outro as entidades importantes. A diferença entre estes dois tipos de entidades, é que as entidades essenciais estão sujeitas a requisitos regulatórios mais rigorosos. Com a NIS2, passam a existir 67 tipos de entidades que têm de cumprir a nova diretiva (com a NIS 1 eram “apenas” 30).
Classificação de Entidades com a NIS2
O âmbito de aplicação da diretiva é alargado, sendo que a NIS2 abrange os seguintes sectores:
Entidades essenciais
- energia;
- transportes;
- sector bancário;
- infraestruturas do mercado financeiro;
- saúde;
- água potável e águas residuais;
- infraestruturas digitais; gestão de serviços TIC (entre empresas);
- administração pública
Entidades importantes
- serviços postais e de estafeta;
- gestão de resíduos;
- produção, fabrico e distribuição de produtos químicos;
- produção, transformação e distribuição de produtos alimentares;
- indústria transformadora;
- prestadores de serviços digitais
- investigação
Fonte: https://cdn.nis2directive.eu/
A dimensão das entidades passa também a ser um critério importante para determinar a severidade das medidas a tomar.
NIS2 – melhorias na gestão dos riscos de cibersegurança
Outra das novidades são as melhorias na gestão dos riscos de cibersegurança. Nesta área, a NIS 2 reforça vários aspetos principais da gestão de riscos:
- Políticas de análise de risco e de segurança dos sistemas de informação;
- Gestão de incidentes;
- Partilha de informação;
- Continuidade do negócio;
- Segurança da cadeia de abastecimento;
- Avaliação da eficácia das medidas de gestão dos riscos de cibersegurança;
- Práticas básicas de ciberhigiene e formação em cibersegurança;
- Políticas e procedimentos relativos à utilização da criptografia;
- Segurança dos recursos humanos;
- Utilização de soluções de autenticação multi fator ou de autenticação contínua
NIS2 – Obrigação de Comunicação
Ao nível das obrigações de comunicação, as entidades abrangidas pela NIS2 são obrigadas a informar imediatamente a autoridade competente da ocorrência de qualquer incidente de cibersegurança, real ou potencial.
A notificação deve ser emitida dentro de 24 horas após o incidente, mas em circunstâncias excecionais pode ser estendida para 72 horas.
NIS2 – Cooperação da União sobre questões de cibersegurança
Ao nível da cooperação da União sobre questões de cibersegurança, esta diretiva reforça o grupo de cooperação e a rede de equipas nacionais responsáveis pela resposta a incidente de segurança.
Neste ponto, será também criado um quadro para a resposta da UE a crises de cibersegurança através das redes de cooperação existentes, nomeadamente a Rede de Organizações de Coordenação de CiberCrises (EU-CyCLONe).
NIS2 – Sensibilização na área da CiberSegurança
No que se refere à Sensibilização na área da cibersegurança, a diretiva incentiva à prática da ciber-higiene que visa criar uma cultura de sensibilização para a segurança digital.
NIS2 – Coimas
O incumprimento das regras estabelecidas pela NIS2 dá direito a coimas que passaram a ser mais elevadas. Relativamente às entidades essenciais, as coimas podem chegar a um montante máximo de 10 milhões de euros ou 2% do volume de negócio global anual total da empresa.
No caso de entidades importantes, as coimas podem chegar até um máximo de 7 milhões de euros ou de, pelo menos, 1,4% do volume de negócio global anual total da empresa
Para quando a transposição da NIS 2 em Portugal?
Como referido, a Diretiva NIS 2 já entrou em vigor na UE a 16 de janeiro de 2023 e Portugal e outros países membros têm de a transpor até 17 de outubro de 2024.
Portugal deve garantir a transposição da diretiva NIS2 para que não sejam criadas barreiras no mercado interno da União Europeia e que critérios desproporcionais e pouco claros não sejam estabelecidos.
Para saber mais pormenores da NIS e NIS2, aconselhamos a lerem também o artigo da cuatrecasas que está muito interessante nesta matéria.