NIS2 – Regulamentar para um futuro mais seguro
A NIS2 é a chamada diretiva de cibersegurança à escala da UE que entrou em vigor em outubro de 2024. Em comparação com a NIS1, a NIS2 introduz alterações significativas, que também imporão obrigações de cibersegurança mais rigorosas a mais organizações. Os Estados-Membros terão de adotar novas disposições que contenham estas medidas de controlo e execução mais rigorosas para garantir o cumprimento da diretiva. A NIS2 substitui a diretiva NIS1, resultando em várias diferenças significativas em relação à NIS1: a NIS2 alarga o âmbito de aplicação a entidades de maior dimensão, como os fabricantes de produtos químicos e de dispositivos médicos, os fabricantes de alimentos e os fornecedores de redes sociais, que anteriormente não estavam abrangidos pela NIS1. A NIS2 substitui a distinção entre “operador de serviços essenciais” e “prestador de serviços digitais” por “entidades essenciais” e “entidades críticas”, com base, nomeadamente, na dimensão e no sector. Embora ambas tenham obrigações semelhantes, as entidades essenciais estão sujeitas a medidas de execução e controlo mais rigorosas. O supervisor do sector deve ser responsável pelas medidas de controlo.
A NIS2 impõe novas obrigações em matéria de cibersegurança às entidades “essenciais” e “críticas”, incluindo a gestão dos riscos e da cadeia de abastecimento, a comunicação de incidentes informáticos e a partilha de informações. O cumprimento destes requisitos exigirá que as entidades abrangidas desenvolvam e apliquem novas políticas e procedimentos. A NIS2 exige que os Estados-Membros da UE melhorem as suas estratégias nacionais de cibersegurança e respondam às ameaças digitais que enfrentam. É importante que as organizações se mantenham a par das futuras iniciativas dos Estados-Membros neste domínio.
Requisitos de segurança reforçados
A NIS2 melhorará os requisitos de segurança das empresas através da introdução de uma metodologia de gestão de riscos e de uma lista mínima de elementos básicos de segurança. A diretiva contém também disposições muito mais pormenorizadas sobre a comunicação de incidentes, incluindo, por exemplo, o conteúdo e o calendário das comunicações. De acordo com a diretiva, a notificação deve ser feita no prazo de 24 horas após a ocorrência do incidente e deve incluir um processo de notificação mais pormenorizado. A NIS2 também exige que se aborde a segurança da cadeia de abastecimento. Isto inclui também os riscos colocados pelas relações de co-medição. A NIS2 sublinha também a responsabilidade da direção pela cibersegurança da organização e atribui responsabilidade individual aos órgãos de gestão, como os conselhos de administração e a direção, para garantir a aplicação efectiva dos requisitos de cibersegurança. As organizações podem estar sujeitas a várias ordens de execução e o incumprimento pode resultar em coimas substanciais.
