Depois de implementar a diretiva Segurança de Redes e Informação (NIS) em 2016, a União Europeia decidiu assumir uma postura mais rigorosa, expandir o decreto adaptado e envolver mais entidades nas suas tentativas de aumentar o nível de segurança cibernética na Europa. O que esperar do NIS2? Aqui estão algumas perguntas que você pode ter, e as respostas para elas.
Qual foi o objetivo da primeira diretiva NIS?
A diretiva NIS, adotada em 2016, foi a primeira legislação sobre segurança cibernética relativa a todos os estados membros da União Europeia. Concentrou-se principalmente em organizações de dois grupos: operadores de serviços essenciais (OES), como saúde, transportes, energia, etc., e prestadores de serviços digitais (DSP), incluindo motores de pesquisa online, mercados na Internet e serviços em nuvem.
O NIS exigiu que estas organizações cumprissem medidas de segurança adequadas e comunicassem quaisquer incidentes graves de cibersegurança que sofressem, mas a directiva também permitiu que os estados considerassem as suas circunstâncias nacionais.
O principal objetivo da diretiva era melhorar a cibersegurança das empresas europeias, entre outros, proporcionando uma autoridade nacional NIS, exigindo que as empresas tivessem uma Equipa de Resposta à Segurança Informática (CSIRT) e permitindo a comunicação estratégica num Grupo de Cooperação, que compreende a UE estados membros, a Comissão Europeia e a Agência da UE para a Cibersegurança (ENISA).
O que é a NIS2?
A diretiva NIS2 expande a sua antecessora, inclui uma maior variedade de organizações de diferentes esferas e, pela primeira vez, considera a segurança da cadeia de abastecimento de TIC. A sua criação foi motivada por anos de desenvolvimento na área da cibersegurança europeia, bem como pelos recentes desafios de cibersegurança.
Durante a pandemia de COVID-19, os ataques cibernéticos aumentaram 220% nos Estados-Membros da UE, realçando que a directiva SRI original pode ter sido demasiado limitada no seu âmbito. O objetivo do SRI2 é reforçar a cibersegurança de cada Estado europeu, apoiar um melhor conhecimento situacional conjunto e aumentar a capacidade da UE para enfrentar coletivamente questões de segurança, melhorando o processo de partilha de informações entre os diferentes setores e países individuais.
O SRI2 deverá minimizar as diferenças entre os vários estados e setores e apresentar um plano estratégico unificado relativamente a uma grande variedade de ameaças à cibersegurança. Em comparação com a NIS1, a NIS2 introduz medidas de supervisão mais rigorosas para as autoridades nacionais, bem como requisitos de aplicação mais rigorosos.
Quais empresas serão incluídas no NIS2?
O NIS2 abrangerá quase todas as entidades comerciais de médio e grande porte que operam no mercado interno da União Europeia. Isso inclui não apenas os estados membros da UE, mas também organizações fora da UE que são essenciais no seu mercado.
Que setores foram incluídos na diretiva NIS1?
- Assistência médica;
- Infraestrutura digital;
- Transporte;
- Abastecimento de água;
- Provedores de serviços digitais;
- Infraestrutura bancária e do mercado financeiro;
- Energia.
Que setores foram adicionados pela diretiva NIS2?
- Fornecedores de redes ou serviços públicos de comunicações eletrónicas;
- Águas residuais e gestão de resíduos;
- Fabricação de certos produtos críticos (por exemplo, produtos farmacêuticos, dispositivos médicos e produtos químicos);
- Comida;
- Serviços digitais (por exemplo, plataformas de redes sociais e serviços de data center);
- Espaço (por exemplo, aeroespacial);
- Serviços postais e de correio;
- Administração pública.
Fonte: Cyberpilot, 2022
Quais os requisitos introduzidos pela NIS2?
A diretriz é composta por sete pontos que devem ser seguidos pelas empresas e setores aplicáveis. Os requisitos incluem resposta a incidentes, segurança da cadeia de abastecimento, encriptação, divulgação de vulnerabilidades e também uma abordagem em duas fases para a comunicação de incidentes, segundo a qual as organizações devem comunicar um incidente no prazo de 24 horas a partir da sua primeira ocorrência e, em seguida, apresentar um relatório final o mais tardar. um mês depois.
O que pode acontecer às empresas que não cumprirem a diretiva?
Se as empresas negligenciarem os requisitos do NIS2, poderão seguir-se várias medidas de aplicação, incluindo instruções vinculativas, uma recomendação de uma auditoria de segurança e multas administrativas até 10 milhões de euros ou 2% do volume de negócios anual total mundial da empresa no exercício financeiro anterior. Quando será aplicada a diretiva?
A versão final da diretiva ainda está a ser discutida pelas autoridades competentes, mas a sua aplicação está prevista para 2024.
Quando será implementada a diretiva?
A versão final da diretiva ainda está a ser discutida pelas autoridades competentes, mas a sua implementação está prevista para 2024.
Como as empresas devem se preparar?
Uma vez que a directiva ainda não se tornou aplicável, não existem requisitos específicos que precise de seguir neste momento. Ainda assim, existem algumas etapas que você pode seguir para deixar sua empresa mais bem preparada para as mudanças que virão.
A NIS2 exigirá que as organizações avaliem os seus riscos de segurança cibernética, algo que poderá fazer com antecedência para obter uma imagem melhor dos seus pontos fortes e fracos. Como a criptografia também fará parte da diretiva, você pode examinar como protege e criptografa seus dados no momento e ver se há alguma melhoria que deseja fazer.