O que é a Diretiva NIS2?
A Network and Information Security (NIS) é uma diretiva da União Europeia (UE) que visa proteger as infraestruturas digitais, responsáveis pela gestão de serviços essenciais nos Estados-Membros.
A NIS2 é a segunda fase dessa estrutura, desenvolvida para responder às mudanças no cenário de cibersegurança e em conformidade com o mais recente Regulamento Geral de Proteção de Dados (RGPD) da UE.
Foi aprovada a transposição da NIS2 para a lei portuguesa. Após a publicação em Diário da República, vai ser lançada uma plataforma eletrónica onde as entidades abrangidas devem fazer o seu registo no prazo de 60 dias.
A que setores se aplica?
A NIS2 procura o fortalecimento das capacidades nacionais de cibersegurança, a melhoria da cooperação entre os Estados-Membros da UE e o aumento da resiliência das entidades críticas de todas as dimensões e setores de atividade abrangentes.
Aeroespacial
Banca
Águas Residuais
Energia
Serviços Postais e de Estafeta
Administração Pública
Produtos Químicos e Alimentares
Gestão de Resíduos
Indústria
Saúde
TIC
Investigação
O que exige?
Com a entrada em vigor da NIS, as organizações abrangidas devem considerar cuidadosamente todos os requisitos específicos da diretiva, incluindo as normas detalhadas de cibersegurança, as obrigações de notificação, a necessidade de formação e sensibilização, bem como as potenciais sanções associadas ao seu incumprimento.
Medidas de segurança
as organizações são obrigadas a implementar medidas apropriadas de proteção - controlos de acesso, deteção de ameaças, gestão de incidentes, proteção de dados, etc.
Avaliação de risco
as organizações são obrigadas a realizar avaliações de risco regulares para aferir a probabilidade e o impacto de falhas de segurança nos negócios - que as ajudam a tomar medidas proativas para reduzir o risco, ou minimizar o impacto de incidentes, caso ocorram.
Relatórios
as organizações são obrigadas a reportar todos os incidentes de cibersegurança ao órgão de supervisão nacional (CNCS) - as autoridades avaliam o impacto do incidente e tomam as medidas necessárias para minimizar danos.
Desafios e oportunidades para as organizações
A implementação da NIS2 apresenta vários desafios para as organizações, que com o parceiro certo podem ser traduzidos em oportunidades de melhoria e crescimento da vantagem competitiva no mercado:
-
Complexidade regulatória
Entender e cumprir os requisitos detalhados da NIS2 pode ser complexo e demorado.
-
Recursos e Capacidades
A necessidade de investimentos significativos em tecnologias
de cibersegurança e no desenvolvimento de capacidades internas.
-
Expertise
Falta de know-how nas equipas internas das organizações.
-
Coordenação e Colaboração
Garantir a cooperação eficaz entre diferentes entidades e setores. Importância de comunicação com autoridades e organismos especializados (ex. CNCS, ENISA).
-
Cultura Organizacional
Promover uma cultura de cibersegurança em toda a organização, desde as chefias até aos colaboradores de base.
1. O que é a Diretiva NIS2?
A NIS2 é a nova diretiva europeia de cibersegurança que substitui a NIS1, com o objetivo de reforçar a segurança digital das organizações críticas e essenciais na União Europeia.
2. Quem está abrangido pela NIS2?
A diretiva aplica-se a entidades públicas e privadas de setores essenciais (energia, transportes, saúde, água, etc.) e de setores importantes (serviços digitais, alimentação, manufatura, etc.).
3. Como são classificadas as entidades abrangidas?
Entidades Essenciais: organizações críticas de setores chave (Anexo I), prestadores de DNS/domínios/serviços de confiança, comunicações eletrónicas públicas relevantes, certas entidades públicas e outras designadas pelo Estado-Membro ou como críticas pela UE.
Entidades Importantes: entidades dos Anexos I ou II que não sejam essenciais, mas cuja falha teria impacto significativo (único prestador, riscos para segurança/saúde públicas, riscos sistémicos ou alta relevância nacional/regional).
4. Como saber se a minha empresa é abrangida?
Independentemente da dimensão que tenham, a presente diretiva é aplicável às entidades identificadas como entidades críticas nos termos da Diretiva (UE) 2022/2557 e às entidades prestadoras de serviços de registo de nomes de domínio. No que toca aos restantes setores, a aplicação da NIS2 depende, em regra, da dimensão da organização, sendo abrangidas as entidades de média e grande dimensão que operem nos setores essenciais e importantes definidos pela Diretiva.
5. Que tipo de incidentes devem ser reportados?
Incidentes que causem impacto significativo na continuidade dos serviços essenciais, como falhas de segurança, ataques de ransomware, brechas de dados ou compromissos da cadeia de fornecimento, devem ser reportados.
6. Quais são as principais obrigações da NIS2?
A NIS2 exige:
- Implementação de medidas técnicas e organizacionais de cibersegurança
- Reporte obrigatório de incidentes de segurança
- Gestão de riscos da cadeia de fornecimento
- Responsabilização da gestão de topo pela conformidade
7. O que acontece se não cumprir a NIS2?
As entidades essenciais e importantes podem ser sujeitas a multas elevadas (até 10 milhões de euros ou 2% da faturação global anual, consoante o valor mais alto) e a sanções adicionais impostas pelas autoridades competentes. No caso de entidades da Administração Pública, podem ser aplicadas regras próprias.
8. Quem é responsabilizado?
Os órgãos de direção devem aprovar e supervisionar medidas de cibersegurança e podem ser responsabilizados pelo incumprimento, quando este se verifique. No entanto, pessoas com autoridade legal ou de decisão também respondem pelo não cumprimento dos requisitos em vigor.
9. Qual é a diferença entre NIS1 e NIS2?
A NIS2 amplia o leque de setores abrangidos, introduz regras de reporte mais rigorosas, e responsabiliza diretamente a gestão de topo das organizações.
10. Como deve a minha organização preparar-se?
- Avaliar os riscos e a maturidade da postura de cibersegurança
- Definir políticas e processos claros de gestão de incidentes
- Formar equipas internas e sensibilizar colaboradores
- Garantir que a direção está envolvida e consciente das suas responsabilidades
11. Qual a relação da NIS2 com outras normas?
A NIS2 complementa outras regulamentações. Muitas práticas de segurança do RGPD e da ISO 27001 já ajudam a cumprir os requisitos da diretiva.
12. Quais os próximos passos para as organizações?
As organizações devem começar por mapear os requisitos da NIS2, identificar lacunas nos controlos de segurança atuais e definir um plano de ação para atingir a conformidade.
A abordagem 360º da Claranet Portugal
A Claranet Portugal disponibiliza uma abordagem holística para ajudar a sua organização a manter-se segura e em conformidade, reforçando os laços de confiança no mercado, junto de Clientes e fornecedores.
Auditar, testar e melhorar a segurança dos seus ativos, e mapear os serviços digitais e identificar as dependências e fornecedores críticos.
-
Cyber intelligence CTI
-
Vulnerability Assessment
Garantir padrões elevados em termos de disponibilidade, autenticidade, integridade e confidencialidade dos dados, bem como detetar em tempo real os comportamentos anormais e prevenir incidentes de segurança.
- SOC-as-a-Service
- Managed detection and response (MDR)
- PAM, IAM and AD Security and Recovery
- Digital Forensics Incident Response
- Disaster Recovery
- Backup Imutáveis
Reforço de Governance e acompanhamento de Conformidade.
- Third Party Risk Management
Consciencialização dos colaboradores para a segurança, e formá-los em resiliência operacional.
- Security Awareness
- Training and Testing
Inventariar as vulnerabilidades, falhas e lacunas em matéria de resiliência digital e implementar rapidamente medidas corretivas.
- Penetration Testing
- RED and Purple Teaming
Reforço de Governance e acompanhamento de Conformidade.
- Third Party Risk Management
