O que é a Diretiva NIS2/SRI2
A Diretiva NIS2/SRI2 trata-se da mais completa legislação relativa à cibersegurança na UE até à data. Visa harmonizar e intensificar medidas de segurança, adaptando-se às ameaças cibernéticas e mudanças tecnológicas, estabelecendo requisitos mais rigorosos para os Estados-Membros e empresas.
Os Estados-Membros têm até outubro de 2024 para transpor a NIS2 para a legislação nacional.
Setores Impactados
A Diretiva NIS2/SRI1 abrange 18 setores, que por sua vez incluem 160 000 empresas. Todas as empresas de média ou grande dimensão – 50 ou mais trabalhadores e um volume de negócio superior a 10 milhões de euros.
Contudo, algumas pequenas empresas podem também estar incluídas, independentemente do número de funcionários, e se os Estados-Membros as identificarem como importantes para a sociedade.
Esses 18 setores estão divididos em duas categorias:
As seguintes categorias diferenciam-se pelo rigor com que são supervisionadas e pelas sanções de que serão alvo caso não cumpram com a diretiva.
Entidades Essenciais: podem receber coimas até 10 milhões de euros ou, pelo menos, 2% do volume de negócios anual a nível mundial.
Entidades Importantes: podem receber coimas até 7 milhões de euros ou, pelo menos, 1,4% do volume de negócios anual a nível mundial.
Datas importantes:
De modo a cumprir com as datas, aqui ficam as mais importantes que deve considerar:
Até 17 de outubro de 2024: Os Estados-Membros devem implementar as ações necessárias para cumprir a Diretiva NIS 2/SRI1, que deve ser aplicada a partir de 18 de outubro de 2024.
A 17 de janeiro de 2025: O Grupo de Cooperação SRI (NIS Cooperation Group – NISCG) deve desenvolver um sistema de revisão por pares para compartilhar experiências, criar confiança mútua, aprimorar a cibersegurança e fortalecer as capacidades e políticas dos Estados-Membros conforme esta diretiva.
Até 17 de abril de 2025: Os Estados-Membros devem elaborar uma lista de entidades essenciais e importantes, que deve ser atualizada com frequência.
Até 17 de outubro de 2027: A Comissão Europeia deve rever o funcionamento da Diretiva NIS/SRI1 2 e apresentar um relatório ao Parlamento Europeu e ao Conselho. Este processo deve ser realizado a cada 36 meses.
Próximos passos:
Uma vez que o prazo está estipulado para 17 de outubro de 2024, o nosso conselho é agir o mais rápido possível. É importante fazer um planeamento atempado.
A diretiva identifica um mínimo de medidas de mitigação de risco, que de modo adequado e proporcional, deverão ser aplicadas nas entidades essenciais e importantes. Algumas das medidas identificadas são:
- Políticas de análise de riscos e de segurança das redes e sistemas de informação;
- Tratamento e Gestão de incidentes;
- Continuidade do negócio ou atividade (gestão de cópias de segurança, recuperação de desastres e gestão de crises);
- Segurança da cadeia de abastecimento;
- Segurança na aquisição, desenvolvimento e manutenção dos SRI, incluído o tratamento de vulnerabilidades e divulgação;
- Políticas e procedimentos para avaliar a eficácia das medidas de gestão de cibersegurança;
- Práticas básicas de ciberhigiene e formação em cibersegurança;
- Politicas e procedimentos relativos à utilização de criptografia e cifragem;
- Segurança dos recursos humanos, políticas seguidas em matéria de controlo do acesso e gestão de ativos;
- Utilização de soluções de autenticação multifatores ou de autenticação contínua, comunicações seguras de voz, vídeo e texto e sistemas seguros de comunicações de emergência no seio da entidade, se for caso disso.