logo

Are you need IT Support Engineer? Free Consultant

Diretiva NIS2/SRI2 e as suas implicações

O que é a Diretiva NIS2/SRI2

A Diretiva NIS2/SRI2 trata-se da mais completa legislação relativa à cibersegurança na UE até à data. Visa harmonizar e intensificar medidas de segurança, adaptando-se às ameaças cibernéticas e mudanças tecnológicas, estabelecendo requisitos mais rigorosos para os Estados-Membros e empresas.

Os Estados-Membros têm até outubro de 2024 para transpor a NIS2 para a legislação nacional.

 

Setores Impactados

A Diretiva NIS2/SRI1 abrange 18 setores, que por sua vez incluem 160 000 empresas. Todas as empresas de média ou grande dimensão – 50 ou mais trabalhadores e um volume de negócio superior a 10 milhões de euros.

Contudo, algumas pequenas empresas podem também estar incluídas, independentemente do número de funcionários, e se os Estados-Membros as identificarem como importantes para a sociedade.

Esses 18 setores estão divididos em duas categorias:

setores afetados pela NIS2

As seguintes categorias diferenciam-se pelo rigor com que são supervisionadas e pelas sanções de que serão alvo caso não cumpram com a diretiva.

Entidades Essenciais: podem receber coimas até 10 milhões de euros ou, pelo menos, 2% do volume de negócios anual a nível mundial.

Entidades Importantes: podem receber coimas até 7 milhões de euros ou, pelo menos, 1,4% do volume de negócios anual a nível mundial.

 

Datas importantes:

De modo a cumprir com as datas, aqui ficam as mais importantes que deve considerar:

Até 17 de outubro de 2024: Os Estados-Membros devem implementar as ações necessárias para cumprir a Diretiva NIS 2/SRI1, que deve ser aplicada a partir de 18 de outubro de 2024.

A 17 de janeiro de 2025: O Grupo de Cooperação SRI (NIS Cooperation Group – NISCG) deve desenvolver um sistema de revisão por pares para compartilhar experiências, criar confiança mútua, aprimorar a cibersegurança e fortalecer as capacidades e políticas dos Estados-Membros conforme esta diretiva.

Até 17 de abril de 2025: Os Estados-Membros devem elaborar uma lista de entidades essenciais e importantes, que deve ser atualizada com frequência.

Até 17 de outubro de 2027: A Comissão Europeia deve rever o funcionamento da Diretiva NIS/SRI1 2 e apresentar um relatório ao Parlamento Europeu e ao Conselho. Este processo deve ser realizado a cada 36 meses.

 

 

Próximos passos:

Uma vez que o prazo está estipulado para 17 de outubro de 2024, o nosso conselho é agir o mais rápido possível. É importante fazer um planeamento atempado.

A diretiva identifica um mínimo de medidas de mitigação de risco, que de modo adequado e proporcional, deverão ser aplicadas nas entidades essenciais e importantes. Algumas das medidas identificadas são:

 

  • Políticas de análise de riscos e de segurança das redes e sistemas de informação;
  • Tratamento e Gestão de incidentes;
  • Continuidade do negócio ou atividade (gestão de cópias de segurança, recuperação de desastres e gestão de crises);
  • Segurança da cadeia de abastecimento;
  • Segurança na aquisição, desenvolvimento e manutenção dos SRI, incluído o tratamento de vulnerabilidades e divulgação;
  • Políticas e procedimentos para avaliar a eficácia das medidas de gestão de cibersegurança;
  • Práticas básicas de ciberhigiene e formação em cibersegurança;
  • Politicas e procedimentos relativos à utilização de criptografia e cifragem;
  • Segurança dos recursos humanos, políticas seguidas em matéria de controlo do acesso e gestão de ativos;
  • Utilização de soluções de autenticação multifatores ou de autenticação contínua, comunicações seguras de voz, vídeo e texto e sistemas seguros de comunicações de emergência no seio da entidade, se for caso disso.

 

Para mais informações, fale connosco