Prepare a sua empresa para a Diretiva NIS2 da União Europeia
Entenda a Diretiva NIS2
É uma atualização da Diretiva NIS original, que foi implementada em 2016 com o objetivo de reforçar a resiliência do espaço europeu de cibersegurança. No entanto, com o rápido avanço tecnológico e o crescimento das ameaças digitais, tornou-se essencial reforçar e expandir essa regulamentação para proporcionar uma proteção mais abrangente e eficaz.
Quais são as principais mudanças na NIS2?
A NIS2 introduz várias alterações importantes em relação à sua antecessora:
- Alargamento do âmbito: A NIS2 abrange um maior número de setores e entidades, incluindo fornecedores de serviços digitais, infraestruturas críticas, serviços públicos, e empresas privadas que desempenham papéis essenciais para a sociedade e economia.
- Requisitos mais exigentes: As novas normas são mais detalhadas e rigorosas em relação à cibersegurança e à gestão de riscos. As empresas são obrigadas a implementar medidas técnicas e organizacionais adequadas para prevenir, detetar e responder a incidentes de segurança cibernética.
- Notificação de incidentes: As exigências de notificação de incidentes foram intensificadas. Agora, as entidades devem relatar incidentes significativos às autoridades competentes dentro de prazos mais curtos e com informações mais detalhadas.
- Sanções mais duras: A NIS2 prevê penalidades mais severas para as empresas que não cumprirem as suas obrigações, incluindo multas significativas. A conformidade com as novas regras deve ser uma prioridade para evitar essas penalizações.
As entidades abrangidas e notificadas pelo CNCS são obrigadas a quê?
As entidades abrangidas e notificadas pelo Centro Nacional de Cibersegurança (CNCS) têm várias obrigações sob a Diretiva NIS2:
- Comunicação do ponto de contacto permanente e responsável de segurança:
As entidades devem comunicar ao CNCS o ponto de contacto permanente e o responsável pela segurança.
- Comunicação do inventário dos ativos essenciais:
As entidades devem comunicar ao CNCS o inventário dos ativos essenciais para a prestação dos serviços.
- Execução de análises dos riscos globais e parciais:
As entidades devem realizar análises de risco para identificar e mitigar potenciais vulnerabilidades de cibersegurança.
- Elaboração e atualização de um plano de segurança:
As entidades devem elaborar e manter atualizado um plano de segurança que detalhe as medidas implementadas para garantir a segurança da informação.
- Comunicação do relatório anual:
As entidades devem comunicar ao CNCS um relatório anual sobre a segurança da informação.
- Implementação de meios que permitam detetar, classificar e notificar incidentes ao CNCS:
As entidades devem implementar sistemas que permitam detetar e classificar incidentes de cibersegurança e notificar esses incidentes ao CNCS.
- Cumprimento com requisitos de segurança da informação e Instruções do CNCS:
As entidades devem cumprir com os requisitos de segurança da informação e as instruções fornecidas pelo CNCS.
Sectores de Atividade abrangidos pela NIS2
A NIS2 alarga o âmbito de aplicação da NIS, acrescentando vários setores à lista de setores críticos. Além dos setores já abrangidos pela NIS – saúde, energia, transportes, banca e infraestruturas do mercado financeiro, fornecimento e distribuição de água, e infraestrutura digital e prestadores de serviços digitais – a NIS2 inclui também os seguintes setores:
- Águas residuais
- Gestão de serviços TIC (B2B)
- Administração pública
- Espaço
- Serviços postais e de estafeta
- Gestão de resíduos
- Produção, fabrico e distribuição de produtos químicos
- Produção, transformação e distribuição de produtos alimentares
- Indústria transformadora
- Prestadores de serviços digitais
- Investigação
Importância da conformidade com a NIS2
A conformidade com a NIS2 é crucial para garantir a proteção adequada dos sistemas de informação e das redes nos setores mais relevantes para a sociedade. A NIS2 estipula que a gestão aprova o risco para medidas de gestão de segurança cibernética e monitoriza a implementação na sua empresa ou organização. Além disso, mesmo que uma organização esteja fora do âmbito da NIS2, adotar os requisitos de segurança nela previstos irá fortalecer o seu quadro de cibersegurança, a gestão de riscos e o prestígio.
Sanções previstas em caso de incumprimento
As sanções previstas em caso de incumprimento da Diretiva NIS2 são significativas. A diretiva prevê a introdução de coimas até 10 milhões de euros ou 2% do volume de negócios anual global da entidade infratora. Estas sanções têm como objetivo garantir que as organizações levem a sério as suas obrigações de cibersegurança e incentivá-las a investir na proteção adequada dos seus sistemas de informação. É importante notar que estas sanções podem ser aplicadas tanto a entidades essenciais como a entidades importantes, conforme definido pela NIS2. Portanto, é crucial que todas as organizações abrangidas pela NIS2 compreendam as suas obrigações e tomem as medidas necessárias para garantir a conformidade.
Responsabilidade Criminal
A Diretiva NIS2 introduz o conceito de responsabilidade criminal em caso de incumprimento. Na prática, as autoridades dos Estados-Membros passam a ter o poder de responsabilizar pessoalmente os gestores das organizações se for comprovada negligência grave após um incidente cibernético.
Portanto, os quadros superiores de cada entidade podem ser responsabilizados criminalmente em caso de incumprimento. Isso sublinha a importância de uma gestão eficaz da cibersegurança e a necessidade de cumprir as obrigações estabelecidas pela NIS2.
Quando a NIS2 entra em vigor?
Os Estados-membros da UE têm até 17 de outubro de 2024 para transpor a Diretiva NIS2 para as suas legislações nacionais.
Prepare-se com a Wepulse
Na Wepulse, estamos preparados para ajudar a sua empresa a cumprir com as exigências da Diretiva NIS2. Dispomos de soluções tecnológicas que garantem a conformidade.