Portugal falha prazo, mas há finalmente “notícias” sobre a NIS2

16 Out 2024 · Internet 3 Comentários

Durante vários meses que se tem questionado se Portugal conseguiria cumprir o prazo para transportar a diretiva europeia da segurança da informação NIS2. A resposta é NÃO! No entanto, este assunto parece não estar parado segundo declarações do Governo.

A NIS 2, sucessora da NIS, é uma diretiva da União Europeia, para a área da cibersegurança, que foi publicada a 27 de dezembro de 2022. Os Estados Membros têm de a transpor para a legislação nacional até 17 de outubro de 2024, ou seja, amanhã.

Principais mudanças com a NIS 2

Número de entidades e setores abrangidos será maior;
- A nova Diretiva NIS 2 passa a abranger 18 setores.
- NIS 2 deixa de distinguir “operadores de serviços essenciais” e “fornecedores de serviços digitais” (como acontecia na NIS 1).
  - A classificação de entidades com a NIS 2 passa a ser:Entidades Essenciais e Entidades Importantes.
    - Há setores que passam a estar abrangidos, como, por exemplo, Data Center, setor do hidrogénio, farmacêuticas, etc.
    - As empresas que tenham mais de 50 colaboradores e mais de 10 milhões de euros de volume de negócios são abrangidas pela NIS 2.
    - Entidades essenciais: grandes empresas (+250 empregados ou +50 milhões de Euros de volume de negócios), ou se atuarem nos setores de elevada criticidade;
    - Entidades importantes: grandes ou medias empresas (+50 trabalhadores ou +10 milhões de euros de volume de negócios, mas com menos 250 trabalhadores), ou se atuarem nos setores do Anexo II da diretiva, que não se enquadrem nas Entidades essenciais.
Tratamento e notificação de incidentes
- Estabelece padrões mais rigorosos no que diz respeito à comunicação de incidentes;
- Notificar as autoridades nacionais sobre incidentes cibernéticos significativos no prazo de 24 horas;
- obrigação das organizações comunicarem quaisquer ciber-ameaças significativas que possam impactá-las.
Sanções mais elevadas
- Entidades Essenciais: montante máximo de 10 milhões de euros ou 2% do volume de negócio global anual total da empresa (consoante o montante mais elevado)
- Entidades Importantes: montante máximo de 7 milhões de euros ou de, pelo menos, 1,4% do volume de negócio global anual total da empresa (consoante o montante mais elevado)
Principio de Responsabilidade (Órgãos de topo/administração passam a ter responsabilidade)
Segurança da cadeia de abastecimento (necessário "avaliar" fornecedores e prestadores de serviços diretos)
Práticas básicas de ciber-higiene e formação em cibersegurança
Continuidade do negócio
Criação de uma rede europeia de comunicação e cooperação
Adoção de soluções de autenticação multifator
Reforço das medidas de segurança (no geral)

Uma das alterações mais significativas com a NIS 2 prende-se com o facto do número de organizações abrangidas passar a ser 10 vezes maior do que com a NIS 1. Se com a NIS 1, em Portugal, foram "impactadas" 460 entidades, com a NIS 2 o valor passará a ser superior a 4 mil. Na Europa o valor de empresas que terá de cumprir a NIS 2 ultrapassará as 160 mil.

De acordo com declarações do ministro da Presidência, Leitão Amaro, "este mês vai para consulta pública uma proposta de lei sobre o novo regime da cibersegurança e transposição da diretiva".

Segundo o governante, esta proposta sobre o novo regime nacional da cibersegurança deverá chegar à Assembleia da República em dezembro, depois de consulta pública.

Segundo Leitão Amaro, depois do parlamento se pronunciar sobre este novo regime, o Governo irá fazer a atualização e relação estratégia nacional de cibersegurança.

Acompanhe o Pplware no Google Notícias

Propor Revisão Proponha uma correção, faça uma sugestão

Autor: Pplware

Tags: NIS2 Portugal

Comentários3

Ambush says:

16 de Outubro de 2024 às 14:43

Reportar em 24h? Como se fosse fácil reportar um incidente em 24h. E se forem aos milhares então. Não seria melhor 72h?

É desta que Portugal se afunda lol.

Responder
- Zero.kill@gmail.com says:
  
  16 de Outubro de 2024 às 17:50
  
  Para isso é que deveria existir planeamento coisa que em Portugal não se faz muito. Mas basta olhar para 2024 e ver a quantidade de entidades que escondem que foram atacadas e perderam dados ou os memos foram tornados públicos
  
  Responder
Zero.kill@gmail.com says:

16 de Outubro de 2024 às 17:52

Além do mais foram 2 anos para se prepararem mas só mesmo quando os ceo foram bater com os costados nas grades é que vai existir algum planeamento e algum investimento sério na área da segurança.

Também deveria existir na lei que no caso de algum incidente acontecer por falta de investimento do estado os membros do governo e deputados deveriam ser responsabilizados criminalmente pois só assim faziam o seu trabalho

Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.