Não é novidade que a quantidade de cibercrime tem vindo a aumentar significativamente em todo o mundo – especificamente na Europa. É por isso que a Diretiva NIS (Network and Information Systems), relativa à segurança de redes e sistemas de informação, foi publicada em julho de 2016, abrindo caminho para melhorar o nível geral de cibersegurança na União Europeia (UE).


Com base nessa primeira legislação europeia sobre cibersegurança, a Diretiva NIS 2 entrou em vigor em dezembro de 2022 para reforçar a cibersegurança na UE, apresentando um conjunto abrangente de medidas cuja adoção pelos Estados-Membros da UE é obrigatória até 17 de outubro de 2024.


Para garantir a conformidade e evitar coimas desnecessárias, chegou a altura de as organizações se prepararem para as medidas NIS 2. Eis tudo o que precisam de saber.

 

 

O que é a Diretiva NIS 2?

É a legislação mais abrangente da UE em matéria de cibersegurança até à data. O seu objetivo é estabelecer diretrizes para as organizações que prestam serviços essenciais e importantes, para que saibam como reagir em caso de ciberameaça. Pretende também melhorar a colaboração entre os Estados-Membros da UE em matéria de cibersegurança.


Nos termos da Diretiva NIS 2, as organizações devem aplicar, pelo menos, as seguintes medidas:

  • Políticas de análise de risco e de segurança dos sistemas de informação;
  • Tratamento de incidentes;
  • Continuidade das atividades;
  • Segurança da cadeia de abastecimento;
  • Práticas básicas de ciber-higiene e formação em cibersegurança;
  • Procedimentos relativos à utilização de criptografia e cifragem;
  • Segurança dos recursos humanos, políticas de controlo de acesso e gestão de ativos;
  • Utilização de Autenticação Multi-Fator (MFA), soluções de autenticação contínua e sistemas de comunicação seguros;
  • Entre outros.

 

 

Que setores são impactados?

Cerca de 160 000 empresas de 18 setores terão de cumprir a Diretiva NIS 2 – basicamente, todas as empresas de média ou grande dimensão, com 50 ou mais trabalhadores e um volume de negócios superior a 10 milhões de euros. No entanto, algumas organizações mais pequenas podem também ser incluídas, independentemente da sua dimensão, se forem identificadas pelos Estados-Membros como atores-chave na nossa sociedade.


Esses 18 setores estão divididos em duas categorias:

 

NIS 2 Sectors Infographic PT

 

As entidades de ambas as categorias terão de cumprir a legislação, mas a diferença reside no rigor com que são supervisionadas e nas sanções de que serão alvo em caso de incumprimento:

  • As entidades essenciais podem esperar coimas até 10 milhões de euros ou, pelo menos, 2% do volume de negócios anual a nível mundial.
  • As entidades importantes podem esperar coimas até 7 milhões de euros ou, pelo menos, 1,4% do volume de negócios anual a nível mundial.

 

 

Próximas etapas e prazos da NIS 2

De modo a prepararem-se para a Diretiva NIS 2, os Estados-Membros e as empresas devem saber o que vai acontecer e quando. Estas são algumas das datas mais importantes a ter em conta:

  • Até 17 de outubro de 2024
    Os Estados-Membros devem adotar as medidas necessárias para cumprir a Diretiva NIS 2. Essas medidas devem ser aplicadas a partir de 18 de outubro de 2024.

  • A 17 de janeiro de 2025

    O Grupo de Cooperação SRI (NIS Cooperation Group – NISCG) deve estabelecer uma metodologia de revisão por pares para aprender com as experiências partilhadas, criar confiança mútua, melhorar a cibersegurança e reforçar as capacidades e políticas dos Estados-Membros no âmbito desta diretiva.

  • Até 17 de abril de 2025
    Os Estados-Membros devem elaborar uma lista de entidades essenciais e importantes. Esta lista deve ser atualizada regularmente.

  • Até 17 de outubro de 2027
    A Comissão Europeia deve rever o funcionamento da Diretiva NIS 2 e apresentar um relatório ao Parlamento Europeu e ao Conselho. Esta revisão deve ser efetuada a cada 36 meses.

 

Como podem as empresas preparar-se para a NIS 2?

Dado o prazo de 17 de outubro de 2024, é aconselhável agir agora. Poderá haver obstáculos no caminho, pelo que planear antecipadamente manterá as empresas no caminho certo.


Embora a certificação ISO 27001 forneça uma base sólida para a gestão de riscos de segurança, o cumprimento dos requisitos NIS 2 varia consoante a legislação nacional. As organizações com a certificação ISO 27001 podem estar mais próximas da conformidade com a NIS 2 - assim como aquelas que já cumprem as medidas da NIS 1 -, mas devem permanecer atentas à evolução dos requisitos nacionais para garantir o alinhamento total.

 

A Alter Solutions pode ajudar a identificar os serviços e processos críticos das empresas, garantindo a implementação correta de todas as medidas NIS 2. Como?

  • Avaliar e diagnosticar
    Começamos por identificar os serviços e processos essenciais da empresa, para compreender o impacto que a Diretiva NIS 2 terá sobre os mesmos. Fornecemos um relatório completo e definimos um plano com medidas específicas para garantir a conformidade com a NIS 2.

  • Implementar as medidas necessárias
    Ajudamos a definir políticas de gestão de risco, um plano de continuidade do negócio, canais de comunicação seguros, formação em cibersegurança, entre outros aspetos que possam ter de ser abordados. Damos início à implementação, tendo em conta o nível de segurança específico da empresa.

  • Monitorizar regularmente
    Nesta altura, a empresa em causa já está em conformidade com a NIS 2. No entanto, é importante verificar regularmente a eficácia de todas as medidas implementadas e ajustá-las em conformidade. Esta é uma tarefa contínua para a qual fornecemos todo o apoio necessário.

 

  Sabe mais sobre as implicações legais da Diretiva NIS 2 neste artigo.
A Diretiva NIS 2 é uma legislação da UE sobre cibersegurança
Garantir a conformidade NIS 2
A Alter Solutions pode ajudar empresas de diferentes setores a prepararem-se para cumprir a legislação mais abrangente da UE em matéria de cibersegurança.
Partilha este artigo