A Diretiva NIS2 (Network and Information Security 2) é uma legislação abrangente de cibersegurança da União Europeia que visa melhorar a resiliência e a capacidade de resposta a incidentes cibernéticos.
A Diretiva NIS2 (Network and Information Security 2) é uma legislação abrangente de cibersegurança da União Europeia que visa melhorar a resiliência e a capacidade de resposta a incidentes cibernéticos.
Nos termos da Diretiva NIS 2, as organizações devem aplicar, pelo menos, as seguintes medidas:
- Políticas de análise de risco e de segurança dos sistemas de informação;
- Tratamento de incidentes;
- Continuidade das atividades;
- Segurança da cadeia de abastecimento;
- Práticas básicas de ciber-higiene e formação em cibersegurança;
- Procedimentos relativos à utilização de criptografia e cifragem;
- Segurança dos recursos humanos, políticas de controlo de acesso e gestão de ativos;
- Utilização de Autenticação Multi-Fator (MFA), soluções de autenticação contínua e sistemas de comunicação seguros;
- Entre outros.
Abrangência:
- Empresas de média ou grande dimensão com 50 ou mais trabalhadores e um volume de negócios superior a 10 milhões de euros
- Organizações pertencentes a 18 setores considerados críticos para a economia e a sociedade, divididos em duas categorias: entidades essenciais e entidades importantes
- Empresas que gerem infraestruturas essenciais ou prestam serviços essenciais
- Entidades que oferecem serviços e infraestrutura essenciais para comunicações digitais na UE, independentemente do tamanho
- Organizações responsáveis pela gestão e exploração de domínios de topo e que fornecem serviços DNS essenciais para o funcionamento da Internet
- Qualquer entidade, independentemente do tamanho, se o serviço prestado for essencial para a manutenção de atividades sociais ou econômicas críticas
Entidades Essenciais e Entidades importantes
As entidades de ambas as categorias terão de cumprir a legislação, mas a diferença reside no rigor com que são supervisionadas e nas sanções de que serão alvo em caso de incumprimento.
Quais são as sanções por não cumprir a NIS2
A Diretiva NIS2 estabelece sanções significativamente mais severas para o não cumprimento em comparação com sua predecessora. As penalidades incluem:
Multas Administrativas
Para entidades essenciais:
Multa máxima de pelo menos 10 milhões de euros ou 2% da receita anual global, prevalecendo o valor mais elevado
Para entidades importantes:
Multa máxima de pelo menos 7 milhões de euros ou 1,4% da receita anual global, prevalecendo o valor mais elevado
Penalidades Não Monetárias
As autoridades nacionais de supervisão têm o poder de impor:
- Ordens de conformidade
- Instruções vinculativas
- Auditorias de segurança
- Ordens de notificação de ameaças
- Sanções para a Alta Administração
A NIS2 introduz responsabilidade pessoal para os executivos, que podem enfrentar:
- Proibição temporária de ocupar cargos de gerência
- Obrigação de divulgar publicamente violações de conformidade e identificar os responsáveis
Ou seja em vez de colocar toda a pressão da conformidade com a NIS 2 sobre os departamentos de TI, a Diretiva inclui novas sanções para responsabilizar pessoalmente os órgãos da alta administração por negligência grave no caso de um incidente de segurança cibernética. Por exemplo, uma autoridade competente pode proibir temporariamente os executivos de ocuparem cargos de gerência. Ela também pode ordenar que as organizações divulguem violações de conformidade e façam uma declaração pública identificando as pessoas responsáveis pelo incidente.
Impacto nas PMEs
As pequenas e médias empresas (PME) são significativamente afetadas pela Diretiva NIS2, tanto direta quanto indiretamente:
Impacto Direto
- Abrangência: PMEs com 50 ou mais trabalhadores e um volume de negócios superior a 10 milhões de euros em setores críticos são diretamente afetadas pela NIS2
- Setores Críticos: Empresas em setores como energia, transportes, saúde, infraestruturas digitais, entre outros, estão sujeitas às regulamentações da NIS2
Impacto Indireto
- Cadeia de Fornecimento: Mesmo PMEs menores podem ser afetadas indiretamente como fornecedores de empresas abrangidas pela NIS2
- Requisitos de Segurança: As PMEs podem precisar implementar medidas de segurança mais robustas para manter relações comerciais com entidades maiores
Desafios para PMEs
- Recursos Limitados: Muitas PMEs enfrentam dificuldades devido à falta de recursos financeiros e expertise para implementar as medidas de segurança necessárias
- Compreensão da Diretiva: Há desafios na identificação se a empresa está sujeita à diretiva e quais são os requisitos específicos
- Custos de Conformidade: O investimento necessário para cumprir a NIS2 pode afetar a competitividade e o desempenho financeiro das PMEs
Oportunidades e Benefícios
- Melhoria da Segurança: A conformidade com a NIS2 pode fortalecer a resiliência cibernética das PMEs
- Vantagem Competitiva: PMEs que cumprem a NIS2 podem ter uma vantagem no mercado, especialmente ao lidar com empresas maiores
- Aumento da Confiança: A melhoria da cibersegurança pode resultar em maior confiança dos consumidores e parceiros de negócios
As PMEs devem se preparar adequadamente, realizando avaliações de risco, implementando medidas de segurança robustas e considerando a conformidade com a NIS2 não apenas como uma obrigação legal, mas como uma oportunidade de fortalecimento e crescimento no ambiente digital atual