Não é novidade que a quantidade de cibercrime tem vindo a aumentar significativamente em todo o mundo – especificamente na Europa. É por isso que a Diretiva NIS (Network and Information Systems), relativa à segurança de redes e sistemas de informação, foi publicada em julho de 2016, abrindo caminho para melhorar o nível geral de cibersegurança na União Europeia (UE).
Com base nessa primeira legislação europeia sobre cibersegurança, a Diretiva NIS 2 entrou em vigor em dezembro de 2022 para reforçar a cibersegurança na UE, apresentando um conjunto abrangente de medidas cuja adoção pelos Estados-Membros da UE é obrigatória até 17 de outubro de 2024.
Para garantir a conformidade e evitar coimas desnecessárias, chegou a altura de as organizações se prepararem para as medidas NIS 2. Eis tudo o que precisam de saber.
O que é a Diretiva NIS 2?
É a legislação mais abrangente da UE em matéria de cibersegurança até à data. O seu objetivo é estabelecer diretrizes para as organizações que prestam serviços essenciais e importantes, para que saibam como reagir em caso de ciberameaça. Pretende também melhorar a colaboração entre os Estados-Membros da UE em matéria de cibersegurança.
Nos termos da Diretiva NIS 2, as organizações devem aplicar, pelo menos, as seguintes medidas:
- Políticas de análise de risco e de segurança dos sistemas de informação;
- Tratamento de incidentes;
- Continuidade das atividades;
- Segurança da cadeia de abastecimento;
- Práticas básicas de ciber-higiene e formação em cibersegurança;
- Procedimentos relativos à utilização de criptografia e cifragem;
- Segurança dos recursos humanos, políticas de controlo de acesso e gestão de ativos;
- Utilização de Autenticação Multi-Fator (MFA), soluções de autenticação contínua e sistemas de comunicação seguros;
- Entre outros.
Que setores são impactados?
Cerca de 160 000 empresas de 18 setores terão de cumprir a Diretiva NIS 2 – basicamente, todas as empresas de média ou grande dimensão, com 50 ou mais trabalhadores e um volume de negócios superior a 10 milhões de euros. No entanto, algumas organizações mais pequenas podem também ser incluídas, independentemente da sua dimensão, se forem identificadas pelos Estados-Membros como atores-chave na nossa sociedade.
Esses 18 setores estão divididos em duas categorias:
As entidades de ambas as categorias terão de cumprir a legislação, mas a diferença reside no rigor com que são supervisionadas e nas sanções de que serão alvo em caso de incumprimento:
- As entidades essenciais podem esperar coimas até 10 milhões de euros ou, pelo menos, 2% do volume de negócios anual a nível mundial.
- As entidades importantes podem esperar coimas até 7 milhões de euros ou, pelo menos, 1,4% do volume de negócios anual a nível mundial.
Próximas etapas e prazos da NIS 2
De modo a prepararem-se para a Diretiva NIS 2, os Estados-Membros e as empresas devem saber o que vai acontecer e quando. Estas são algumas das datas mais importantes a ter em conta:
- Até 17 de outubro de 2024
Os Estados-Membros devem adotar as medidas necessárias para cumprir a Diretiva NIS 2. Essas medidas devem ser aplicadas a partir de 18 de outubro de 2024. -
A 17 de janeiro de 2025
O Grupo de Cooperação SRI (NIS Cooperation Group – NISCG) deve estabelecer uma metodologia de revisão por pares para aprender com as experiências partilhadas, criar confiança mútua, melhorar a cibersegurança e reforçar as capacidades e políticas dos Estados-Membros no âmbito desta diretiva. - Até 17 de abril de 2025
Os Estados-Membros devem elaborar uma lista de entidades essenciais e importantes. Esta lista deve ser atualizada regularmente. - Até 17 de outubro de 2027
A Comissão Europeia deve rever o funcionamento da Diretiva NIS 2 e apresentar um relatório ao Parlamento Europeu e ao Conselho. Esta revisão deve ser efetuada a cada 36 meses.
Como podem as empresas preparar-se para a NIS 2?
Dado o prazo de 17 de outubro de 2024, é aconselhável agir agora. Poderá haver obstáculos no caminho, pelo que planear antecipadamente manterá as empresas no caminho certo.
Embora a certificação ISO 27001 forneça uma base sólida para a gestão de riscos de segurança, o cumprimento dos requisitos NIS 2 varia consoante a legislação nacional. As organizações com a certificação ISO 27001 podem estar mais próximas da conformidade com a NIS 2 - assim como aquelas que já cumprem as medidas da NIS 1 -, mas devem permanecer atentas à evolução dos requisitos nacionais para garantir o alinhamento total.
A Alter Solutions pode ajudar a identificar os serviços e processos críticos das empresas, garantindo a implementação correta de todas as medidas NIS 2. Como?
- Avaliar e diagnosticar
Começamos por identificar os serviços e processos essenciais da empresa, para compreender o impacto que a Diretiva NIS 2 terá sobre os mesmos. Fornecemos um relatório completo e definimos um plano com medidas específicas para garantir a conformidade com a NIS 2. - Implementar as medidas necessárias
Ajudamos a definir políticas de gestão de risco, um plano de continuidade do negócio, canais de comunicação seguros, formação em cibersegurança, entre outros aspetos que possam ter de ser abordados. Damos início à implementação, tendo em conta o nível de segurança específico da empresa. - Monitorizar regularmente
Nesta altura, a empresa em causa já está em conformidade com a NIS 2. No entanto, é importante verificar regularmente a eficácia de todas as medidas implementadas e ajustá-las em conformidade. Esta é uma tarefa contínua para a qual fornecemos todo o apoio necessário.