Em dezembro de 2022, a União Europeia publicou a tão aguardada Diretiva 2022/2555, também conhecida como NIS2, que tem como objetivo alcançar um “elevado nível comum de cibersegurança na União”. Essa diretiva substitui a Diretiva (UE) 2016/1148 sobre “Segurança de Redes e Sistemas de Informação” (NIS), transposta para o ordenamento jurídico português pela Lei n.º 46/2018 de 13 de agosto, na qual se estabelece o regime jurídico da segurança do ciberespaço em Portugal.
Neste artigo, vamos explorar os principais pontos da nova Diretiva NIS2 e entender qual o impacto nas empresas e organizações que operam nos setores mais relevantes para a sociedade.
Ampliação do âmbito de aplicação:
A NIS2 ampliou significativamente o seu âmbito de aplicação em relação à NIS anterior. Agora, a diretiva abrange não apenas os operadores de infraestruturas críticas e prestadores de serviços essenciais, mas também novos setores, como órgãos da administração pública, empresas de gestão de resíduos, empresas que gerem a prestação de serviços TIC, empresas que atuam no setor espacial, entre outros. Essa expansão visa garantir uma maior proteção dos sistemas de informação e redes em setores cruciais para a sociedade.
Classificação de entidades essenciais e importantes:
Uma mudança significativa na NIS2 é a nova abordagem à classificação das organizações com base na criticidade dos serviços prestados e no seu impacto na economia. Agora, as entidades são classificadas como “entidades essenciais” ou “entidades importantes”. As entidades essenciais estão sujeitas a um regime de maior supervisão, com obrigações adicionais de relato e preparação para a resposta a crises e incidentes. Já as entidades classificadas como importantes têm o dever de comunicação em caso de ocorrência de incidentes relevantes. Pode-se consultar no Anexo I e Anexo II os setores de importância crítica, onde se incluem as “entidades essenciais” e as “entidades importantes”.
Obrigações de comunicação de incidentes:
Uma das principais alterações introduzidas pela NIS2 é a clareza em relação às situações em que as empresas e organizações são obrigadas a comunicar os incidentes de cibersegurança. A diretiva estabelece a obrigação de comunicação de incidentes, tanto em nível nacional quanto internacional, para as empresas que prestam serviços nos setores mais relevantes. Isso inclui o registro formal dessas entidades junto da União Europeia, com a Agência Europeia para a Segurança das Redes e da Informação (ENISA) responsável pela gestão e coordenação. A gestão dessas entidades tem responsabilidades específicas na implementação de medidas concretas, como a gestão dos riscos de cibersegurança, a implementação de normas, a realização regular de formação para resposta a incidentes de segurança e a notificação de incidentes, entre outras ações.
A Diretiva enfatiza a responsabilidade de notificação de incidentes, com a participação direta das equipes CSIRT (Computer Security Incident Response Team). O primeiro parágrafo do artigo 23 estabelece que “Os Estados-Membros devem garantir que as entidades essenciais e importantes notifiquem sua equipe CSIRT ou, quando aplicável, sua autoridade competente, sem demora injustificada (…), de qualquer incidente que tenha um impacto significativo na prestação de seus serviços (…)“. O artigo estipula a obrigatoriedade de emitir um alerta nas primeiras 24 horas, fazer uma notificação oficial do incidente dentro das primeiras 72 horas e fornecer um relatório completo do incidente até um mês após a primeira notificação oficial.”
Pretende-se assim promover uma resposta mais eficaz e uma maior cooperação entre os países membros da União Europeia nas respostas de ameaças cibernéticas.
Abordagem de gestão do risco:
A NIS2 define um conjunto de princípios que visa uniformizar os requisitos de segurança informática e da informação em todos os Estados membros. Isso implica uma abordagem de gestão do risco, onde as empresas e as organizações são incentivadas a implementar medidas concretas para gerir os riscos de cibersegurança. A adoção dessa abordagem tem como objetivo melhorar a capacidade de resiliência e resposta a incidentes, tanto no setor público quanto no privado.
Ampliação das Coimas:
Esta diretiva também traz alterações significativas no que diz respeito às contraordenações. Agora, as entidades essenciais e importantes podem ser sujeitas a coimas em casos de infração às medidas de gestão de riscos de cibersegurança e obrigações de notificação. As coimas devem ser proporcionais e dissuasivas, levando em consideração as circunstâncias de cada caso. O valor das coimas varia de acordo com o tipo de entidade, podendo chegar a valores elevados, com base no volume de negócios anual a nível mundial. Esta ampliação das coimas pretende incentivar a conformidade e a adoção de medidas adequadas de segurança cibernética pelas empresas essenciais e importantes.
Gestão de Crises de Cibersegurança:
Uma das principais novidades introduzidas pela nova Diretiva diz respeito à melhoria da coordenação na gestão de crises de cibersegurança em larga escala a nível da União Europeia.
Reconhecendo a importância crucial da cooperação e comunicação entre as entidades na gestão de crises, foi estabelecida a “Cyber Crisis Liaison Organization Network” (CyCLONe). Esta rede tem como objetivo promover a cooperação entre as autoridades nacionais responsáveis pela gestão de crises cibernéticas, permitindo uma colaboração coordenada por meio da “partilha de informação e o conhecimento da situação com base em ferramentas e apoio fornecidos pela ENISA”. Um dos objetivos é estabelecer uma ligação entre o nível técnico, representado pela rede de CSIRT, e a gestão política das crises de cibersegurança de grande escala, com a ENISA a desempenhar um papel essencial nesse processo.
No âmbito nacional, destaca-se o artigo 9, que estabelece a obrigatoriedade dos Estados-Membros designarem ou criarem uma ou mais autoridades competentes responsáveis pela gestão de crises e incidentes de cibersegurança em larga escala, conhecidas como “autoridades de gestão de cibercrises”. É crucial garantir que essas autoridades disponham dos recursos necessários para desempenhar suas funções de maneira eficaz e eficiente.
Conclusão
A nova Diretiva NIS2 marca um avanço significativo na procura de um elevado nível de cibersegurança na União Europeia. Com a ampliação de âmbito, obrigações de comunicação de incidentes, abordagem de gestão do risco e classificação de entidades, a NIS2 procura garantir a proteção adequada dos sistemas de informação e das redes nos setores mais relevantes para a sociedade. As empresas e as organizações devem estar atentas às mudanças introduzidas pela diretiva e prepararem-se para cumprir as novas obrigações. A cooperação e a partilha de boas práticas entre os países membros serão fundamentais para fortalecer a cibersegurança em toda a União Europeia.
Para mais informações contacte-nos.
MORADA
Rua Soares dos Reis, nº765 – 3
4400 – 317 Vila Nova de Gaia
Portugal
TELEFONE
+351 932 942 000 (custo de chamada para rede móvel nacional)
+351 223 744 827(custo de chamada para rede fixa nacional)