/j.svg){kind=small}
/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
Não é novidade que a quantidade de cibercrime tem vindo a aumentar significativamente em todo o mundo – especificamente na Europa. É por isso que a Diretiva NIS (Network and Information Systems), relativa à segurança de redes e sistemas de informação, foi publicada em julho de 2016, abrindo caminho para melhorar o nível geral de cibersegurança na União Europeia (UE).
Com base nessa primeira legislação europeia sobre cibersegurança, a Diretiva NIS 2 entrou em vigor em dezembro de 2022 para reforçar a cibersegurança na UE, apresentando um conjunto abrangente de medidas cuja adoção pelos Estados-Membros da UE é obrigatória até 17 de outubro de 2024.
Para garantir a conformidade e evitar coimas desnecessárias, chegou a altura de as organizações se prepararem para as medidas NIS 2. Eis tudo o que precisam de saber.
O que é a Diretiva NIS 2?
É a legislação mais abrangente da UE em matéria de cibersegurança até à data. O seu objetivo é estabelecer diretrizes para as organizações que prestam serviços essenciais e importantes, para que saibam como reagir em caso de ciberameaça. Pretende também melhorar a colaboração entre os Estados-Membros da UE em matéria de cibersegurança.
Nos termos da Diretiva NIS 2, as organizações devem aplicar, pelo menos, as seguintes medidas:
- Políticas de análise de risco e de segurança dos sistemas de informação;
- Tratamento de incidentes;
- Continuidade das atividades;
- Segurança da cadeia de abastecimento;
- Práticas básicas de ciber-higiene e formação em cibersegurança;
- Procedimentos relativos à utilização de criptografia e cifragem;
- Segurança dos recursos humanos, políticas de controlo de acesso e gestão de ativos;
- Utilização de Autenticação Multi-Fator (MFA), soluções de autenticação contínua e sistemas de comunicação seguros;
- Entre outros.
Que setores são impactados?
Cerca de 160 000 empresas de 18 setores terão de cumprir a Diretiva NIS 2 – basicamente, todas as empresas de média ou grande dimensão, com 50 ou mais trabalhadores e um volume de negócios superior a 10 milhões de euros. No entanto, algumas organizações mais pequenas podem também ser incluídas, independentemente da sua dimensão, se forem identificadas pelos Estados-Membros como atores-chave na nossa sociedade.
Esses 18 setores estão divididos em duas categorias:
Setores essenciais NIS 2
-
Energia (inclui eletricidade, petróleo, gás, hidrogénio)
-
Transportes (inclui operadores aéreos, ferroviários, aquáticos e rodoviários)
-
Banca
-
Infraestruturas do mercado financeiro
-
Saúde
-
Água potável
-
Águas residuais
-
Infraestruturas digitais
-
Gestão de serviço de Tecnologias da Informação e da Comunicação (TIC) (Business-to-Business - B2B)
-
Administração pública
-
Espaço
Setores importantes NIS 2
-
Serviços postais e de correio
-
Gestão de resíduos
-
Fabrico, produção e distribuição de produtos químicos
-
Produção, transformação e distribuição de produtos alimentares
-
Fabrico (inclui dispositivos médicos, computadores, eletrónica, maquinaria, veículos motorizados, entre outros)
-
Fornecedores digitais (inclui plataformas sociais, motores de busca e mercados em linha)
-
Organizações de investigação
As entidades de ambas as categorias terão de cumprir a legislação, mas a diferença reside no rigor com que são supervisionadas e nas sanções de que serão alvo em caso de incumprimento:
- As entidades essenciais podem esperar coimas até 10 milhões de euros ou, pelo menos, 2% do volume de negócios anual a nível mundial.
- As entidades importantes podem esperar coimas até 7 milhões de euros ou, pelo menos, 1,4% do volume de negócios anual a nível mundial.
Próximas etapas e prazos da NIS 2
De modo a prepararem-se para a Diretiva NIS 2, os Estados-Membros e as empresas devem saber o que vai acontecer e quando. Estas são algumas das datas mais importantes a ter em conta:
- Até 17 de outubro de 2024
Os Estados-Membros devem adotar as medidas necessárias para cumprir a Diretiva NIS 2. Essas medidas devem ser aplicadas a partir de 18 de outubro de 2024 - Até 17 de abril de 2025
Os Estados-Membros devem elaborar uma lista de entidades essenciais e importantes. Esta lista deve ser atualizada regularmente. - Até 17 de outubro de 2027
A Comissão Europeia deve rever o funcionamento da Diretiva NIS 2 e apresentar um relatório ao Parlamento Europeu e ao Conselho. Esta revisão deve ser efetuada a cada 36 meses.
Como podem as empresas preparar-se para a NIS 2?
Dado o prazo de 17 de outubro de 2024, é aconselhável agir agora. Poderá haver obstáculos no caminho, pelo que planear antecipadamente manterá as empresas no caminho certo.
O lado positivo é que, se uma organização já tem a certificação ISO 27001, está significativamente mais perto da conformidade com a NIS 2. Quanto ao que está em falta, a Alter Solutions pode ajudar a identificar os serviços e processos críticos das empresas, garantindo a implementação correta de todas as medidas NIS 2. Como?
- Avaliar e diagnosticar
Começamos por identificar os serviços e processos essenciais da empresa, para compreender o impacto que a Diretiva NIS 2 terá sobre os mesmos. Fornecemos um relatório completo e definimos um plano com medidas específicas para garantir a conformidade com a NIS 2. - Implementar as medidas necessárias
Ajudamos a definir políticas de gestão de risco, um plano de continuidade do negócio, canais de comunicação seguros, formação em cibersegurança, entre outros aspetos que possam ter de ser abordados. Damos início à implementação, tendo em conta o nível de segurança específico da empresa. - Monitorizar regularmente
Nesta altura, a empresa em causa já está em conformidade com a NIS 2. No entanto, é importante verificar regularmente a eficácia de todas as medidas implementadas e ajustá-las em conformidade. Esta é uma tarefa contínua para a qual fornecemos todo o apoio necessário.
