Medidas de cibersegurança do NIS2 para setores críticos na União Europeia

NIS2: reforçar a cibersegurança em setores críticos na União Europeia

A Diretiva NIS2, oficialmente designada como Diretiva (UE) 2022/2555, é o mais recente passo da UE para reforçar a segurança digital em todo o território europeu. Publicada em dezembro de 2022, a NIS2 substitui a Diretiva NIS de 2016, alargando o âmbito de aplicação e introduzindo medidas de segurança mais rigorosas.

Com o aumento de ciberataques nos últimos anos, esta legislação reflete a prioridade da UE em garantir a resiliência de infraestruturas críticas e serviços essenciais, reduzindo as vulnerabilidades em cadeias de fornecimento e operações digitais. Mas, como afeta esta diretiva as organizações?

O que é a Diretiva NIS2?

A NIS2 tem como objetivo assegurar um elevado nível de cibersegurança em setores críticos, exigindo às empresas que adotem medidas específicas, como:

  • Políticas de gestão de riscos e segurança de sistemas de informação;
  • Planos de continuidade de negócio e resposta a incidentes;
  • Segurança na cadeia de fornecimento e formação em cibersegurança;
  • Implementação de práticas como autenticação multifator e encriptação de dados.

A NIS2 é um pilar essencial para a segurança digital da União Europeia.

Que setores e entidades estão abrangidos?

Tanto entidades públicas, como privadas, devem avaliar o impacto da NIS2 na sua atual postura de cibersegurança, definir um plano de conformidade e compreender as implicações mais amplas do incumprimento. 

A NIS2 abrange, a nível europeu, mais de 100.000 organizações de 18 setores:
 

setores que devem cumprir com a diretiva NIS2 de cibersegurança

Abrange todas as entidades de média ou grande dimensão (mais de 50 colaboradores e volume de negócios superior a 10 milhões de euros). No entanto, entidades de menor dimensão podem ser afetadas se se classificarem como “entidades essenciais” ou “entidades importantes”.

Implementação e datas importantes

  • Até 17 de outubro de 2024: Estados-Membros devem adotar e implementar as medidas necessárias para cumprir a diretiva.
  • Até 17 de janeiro de 2025: Determinadas tipologias de entidades têm de fornecer elementos identificativos à Autoridade Nacional de Cibersegurança.
  • Até 17 de abril de 2025: Estados-Membros devem publicar as listas de entidades essenciais e importantes, e das entidades que prestam serviços de registo de nomes de domínio.
  • Até 17 de outubro de 2027: A Comissão Europeia avaliará o funcionamento da NIS2 e apresentará um relatório ao Parlamento Europeu e ao Conselho, que deverá ser revisto a cada 36 meses. 

Apesar de o prazo de transposição da NIS2 já ter terminado, Espanha e Portugal, tal como outros 21 Estados-Membros, ainda não integraram a diretiva na sua legislação nacional.

Estando o processo de transposição em andamento, as entidades portuguesas e espanholas devem agir no imediato para implementar as medidas exigidas pela diretiva, assegurando a sua conformidade e minimizando riscos de cibersegurança.

Como as organizações se podem preparar?

Independentemente do estágio da transposição, as empresas devem adotar uma abordagem proativa para se prepararem para a NIS2:

  • Avaliação de riscos: Identificar as principais ameaças à segurança e as lacunas nas políticas atuais.
  • Implementação de medidas: Estabelecer políticas de continuidade de negócio, canais de comunicação seguros e formação para colaboradores.
  • Monitorização contínua: Certificar que as medidas implementadas permanecem eficazes e ajustadas às exigências da legislação.

Um passo estratégico para a segurança digital

Mais do que uma obrigação legal, a NIS2 é uma oportunidade para as organizações reforçarem as suas infraestruturas digitais e aumentarem a confiança dos clientes e stakeholders.

Na Izertis, reconhecemos os desafios tecnológicos e somos especialistas em Cibersegurança, ajudando as empresas nas suas transformações digitais. Adapte-se hoje, para garantir a segurança de amanhã.