NIS2: reforçar a cibersegurança em setores críticos na União Europeia
A Diretiva NIS2, oficialmente designada como Diretiva (UE) 2022/2555, é o mais recente passo da UE para reforçar a segurança digital em todo o território europeu. Publicada em dezembro de 2022, a NIS2 substitui a Diretiva NIS de 2016, alargando o âmbito de aplicação e introduzindo medidas de segurança mais rigorosas.
Com o aumento de ciberataques nos últimos anos, esta legislação reflete a prioridade da UE em garantir a resiliência de infraestruturas críticas e serviços essenciais, reduzindo as vulnerabilidades em cadeias de fornecimento e operações digitais. Mas, como afeta esta diretiva as organizações?
O que é a Diretiva NIS2?
A NIS2 tem como objetivo assegurar um elevado nível de cibersegurança em setores críticos, exigindo às empresas que adotem medidas específicas, como:
- Políticas de gestão de riscos e segurança de sistemas de informação;
- Planos de continuidade de negócio e resposta a incidentes;
- Segurança na cadeia de fornecimento e formação em cibersegurança;
- Implementação de práticas como autenticação multifator e encriptação de dados.
A NIS2 é um pilar essencial para a segurança digital da União Europeia.
Que setores e entidades estão abrangidos?
Tanto entidades públicas, como privadas, devem avaliar o impacto da NIS2 na sua atual postura de cibersegurança, definir um plano de conformidade e compreender as implicações mais amplas do incumprimento.
A NIS2 abrange, a nível europeu, mais de 100.000 organizações de 18 setores:
Abrange todas as entidades de média ou grande dimensão (mais de 50 colaboradores e volume de negócios superior a 10 milhões de euros). No entanto, entidades de menor dimensão podem ser afetadas se se classificarem como “entidades essenciais” ou “entidades importantes”.
Implementação e datas importantes
- Até 17 de outubro de 2024: Estados-Membros devem adotar e implementar as medidas necessárias para cumprir a diretiva.
- Até 17 de janeiro de 2025: Determinadas tipologias de entidades têm de fornecer elementos identificativos à Autoridade Nacional de Cibersegurança.
- Até 17 de abril de 2025: Estados-Membros devem publicar as listas de entidades essenciais e importantes, e das entidades que prestam serviços de registo de nomes de domínio.
- Até 17 de outubro de 2027: A Comissão Europeia avaliará o funcionamento da NIS2 e apresentará um relatório ao Parlamento Europeu e ao Conselho, que deverá ser revisto a cada 36 meses.
Apesar de o prazo de transposição da NIS2 já ter terminado, Espanha e Portugal, tal como outros 21 Estados-Membros, ainda não integraram a diretiva na sua legislação nacional.
Estando o processo de transposição em andamento, as entidades portuguesas e espanholas devem agir no imediato para implementar as medidas exigidas pela diretiva, assegurando a sua conformidade e minimizando riscos de cibersegurança.
Como as organizações se podem preparar?
Independentemente do estágio da transposição, as empresas devem adotar uma abordagem proativa para se prepararem para a NIS2:
- Avaliação de riscos: Identificar as principais ameaças à segurança e as lacunas nas políticas atuais.
- Implementação de medidas: Estabelecer políticas de continuidade de negócio, canais de comunicação seguros e formação para colaboradores.
- Monitorização contínua: Certificar que as medidas implementadas permanecem eficazes e ajustadas às exigências da legislação.
Um passo estratégico para a segurança digital
Mais do que uma obrigação legal, a NIS2 é uma oportunidade para as organizações reforçarem as suas infraestruturas digitais e aumentarem a confiança dos clientes e stakeholders.
Na Izertis, reconhecemos os desafios tecnológicos e somos especialistas em Cibersegurança, ajudando as empresas nas suas transformações digitais. Adapte-se hoje, para garantir a segurança de amanhã.