NIS2: O Novo Quadro Regulatório Europeu para Reforçar a Cibersegurança Empresarial

Em um mundo cada vez mais digitalizado e com ameaças cibernéticas mais sofisticadas, a União Europeia decidiu fortalecer seu marco regulatório em cibersegurança com a introdução da Diretiva NIS2. Esta regulamentação, que entrou em vigor em janeiro de 2023, substitui a anterior Diretiva NIS1 com o objetivo de estabelecer um padrão comum elevado de cibersegurança para todos os Estados-Membros, especialmente nos setores críticos e essenciais.

A Diretiva (UE) 2022/2555, conhecida como NIS2, regula a segurança das redes e sistemas de informação dentro da União Europeia. Seu principal objetivo é aumentar a resiliência e a capacidade de resposta a incidentes cibernéticos nas entidades públicas e privadas que fornecem serviços essenciais ou importantes para a economia e a sociedade.

Com a NIS2, a UE harmoniza os requisitos de cibersegurança, define critérios comuns de gestão de riscos e impõe novas responsabilidades e mecanismos de supervisão para garantir que as organizações estejam preparadas para enfrentar ameaças cibernéticas.

• Garantir um nível comum elevado de cibersegurança em todos os Estados-Membros.
• Reforçar a proteção de setores críticos (como saúde, energia, transporte, finanças) contra ameaças cibernéticas.
• Estabelecer procedimentos eficazes para prevenção, detecção e notificação de incidentes.
• Coordenação eficaz de respostas a incidentes de cibersegurança a nível europeu.
• Expansão das responsabilidades das organizações, incluindo controle sobre a cadeia de fornecimento e terceiros.

A NIS2 expande significativamente o alcance da regulamentação anterior. Entre as principais mudanças estão:

• Nova classificação das entidades: as entidades são classificadas em “essenciais” (energia, saúde, transporte, financeiro, digital) e “importantes” (indústria, logística, manufatura, tecnologias emergentes).
• Exigências de gestão de riscos ampliadas: as organizações devem ter políticas claras, planos de continuidade operativa, e notificar incidentes em até 24 horas.
• Sanções mais severas: multas que podem chegar a 10 milhões de euros ou 2% da receita global anual da empresa, dependendo da gravidade da infração.
• Responsabilidade sobre a cadeia de fornecimento: maior controle sobre fornecedores e terceiros com acesso a sistemas críticos.

Estima-se que mais de 160.000 entidades na União Europeia sejam afetadas pela NIS2, incluindo:

• Empresas grandes e médias nos setores críticos e essenciais.
• Entidades públicas responsáveis pela gestão de infraestruturas chave.
• Algumas PME, especialmente se operarem em ambientes de alto risco.

As microempresas ficam, em princípio, excluídas, salvo se desempenharem atividades particularmente sensíveis.

Para se preparar para a NIS2, as empresas devem realizar um diagnóstico completo de suas práticas de cibersegurança. Na Ariol Consulting, recomendamos que as empresas comecem a adaptação o quanto antes, com ações como:

• Identificação do status: verificar se a entidade é classificada como essencial ou importante.
• Auditoria de cibersegurança e gestão de riscos: identificar vulnerabilidades e lacunas.
• Definição ou atualização de planos: para resposta a incidentes, continuidade operacional e recuperação.
• Implementação de controles e treinamentos: para garantir conformidade contínua com os requisitos da NIS2.
• Controle da cadeia de fornecimento: incluir fornecedores e terceiros nos processos de segurança.

A Diretiva NIS2 foi aprovada pelo Parlamento Europeu em novembro de 2022 e entrou em vigor em janeiro de 2023. De acordo com o artigo 41, os Estados-Membros têm até 17 de outubro de 2024 para transpor a NIS2 em suas legislações nacionais e aplicar as medidas necessárias.

A Comissão Europeia notificou formalmente 23 Estados-Membros, incluindo Portugal, por não terem completado a transposição integral da NIS2, o que pode acarretar em processos de infracção. Como resultado, vários países estão a acelerar os esforços para garantir a conformidade.

Em Portugal, o processo de transposição da NIS2 está em andamento, mas ainda não foi finalizado. As autoridades portuguesas, incluindo a Autoridade Nacional de Cibersegurança (ANCS), estão trabalhando na adaptação da legislação nacional para garantir que as empresas cumpram com os requisitos da NIS2.

Embora a legislação nacional ainda não tenha sido formalmente aprovada, espera-se que o processo de adaptação esteja pronto antes do prazo final de outubro de 2024. As autoridades já estão recomendando que as empresas iniciem os preparativos, especialmente aquelas que operam em setores críticos ou com impacto sistêmico.

Na Ariol Consulting, ajudamos organizações a cumprir a Diretiva NIS2 com uma abordagem prática e estratégica, personalizada de acordo com as necessidades específicas de cada setor. Desde a avaliação inicial do nível de conformidade até a implementação das medidas necessárias, trabalhamos lado a lado com você para fortalecer sua segurança digital, gerenciar riscos e se preparar para as novas exigências legais.

Fale conosco para saber como podemos ajudá-lo a transformar a conformidade com a NIS2 em uma vantagem competitiva para sua organização.