Em vigor desde o início de 2023, a diretiva NIS2 traz um reforço da responsabilidade para organizações de todo o tipo, sobretudo empresas, no que toca às questões relacionadas com a Cibersegurança e resiliência cibernética na UE. Quais são as organizações mais impactadas? De que forma podem preparar-se para abraçar a mudança que vai ter efeito em Portugal a partir de outubro de 2024, com a transposição da diretiva para os Estados-membros? No nosso artigo explicamos-lhe tudo o que precisa de saber sobre a Diretiva NIS2 e o impacto que vai trazer para os negócios.
Recentemente, tivemos a oportunidade de perceber como uma falha informática pode ter consequências em infraestruturas essenciais e na ordem pública a um nível global. A 19 de julho, o apagão provocado pela atualização do software Falcon Sensor da Crowdstrike levou a dezenas de serviços paralisados ou com graves perturbações, incluindo bancos, empresas de media, aeroportos e muitas outras instituições espalhadas pelo mundo.
O que é a Diretiva NIS2?
É, assim, num contexto em que as consequências dos ciberataques e falhas informáticas são cada vez mais nefastas, que surge a Diretiva NIS2. Em vigor desde 2023 e com implementação obrigatória pelos Estados-Membros a partir de 18 de outubro deste ano, a Diretiva NIS2 (acrónimo para Network and Information Security Directive), é um ato legislativo cujo objetivo é reforçar as medidas de Cibersegurança e de proteção de infraestruturas críticas em toda a União Europeia (UE). A nova diretiva alarga o âmbito de aplicação, colmata as lacunas da primeira versão – a NIS1 – e aumenta a responsabilidade para as empresas, que devem seguir as novas medidas para reforçar os seus sistemas e as competências internas em Cibersegurança.
Como são aplicadas as diretivas da UE
Antes de percebermos quais os setores e o tipo de empresas que vão ser afetadas pela Diretiva NIS2, importa esclarecer o que é uma diretiva e de que forma é que ela é aplicada. Conforme vimos, uma diretiva é um ato legislativo da UE; contudo, não se trata de um regulamento – que é diretamente aplicável nos Estados-membros, sem necessidade de transposição. A diretiva define os objetivos a alcançar, mas a forma como estes são alcançados é mais flexível, sendo responsabilidade de cada Estado-membro a definição das leis e regulamentos a seguir para cumprir esses objetivos. Geralmente, as diretivas estabelecem um prazo de transposição de forma a que os Estados-membros possam adaptar a legislação à sua realidade – e que corresponde, no caso da Diretiva NIS2, a 17 de outubro de 2024. Caso o prazo de transposição não seja cumprido, os países podem ser alvo de ações legais por parte da Comissão Europeia.
Empresas e setores abrangidos pela Diretiva NIS2
A pergunta que paira na mente de muitos gestores de empresas neste momento é, efetivamente, de que forma é que os seus negócios podem ser afetados pela Diretiva NIS2. A nova diretiva classifica as entidades competentes por tipo e tamanho. No que diz respeito à tipologia, falamos de entidades essenciais e entidades importantes. Uma entidade essencial é uma empresa com pelo menos 250 colaboradores, que fature pelo menos 50 milhões de euros/ano ou tenha um balanço anual superior a 43 milhões de euros. Para além disso, uma entidade essencial deverá operar num setor considerado muito crítico, como os que se seguem:
- Energia
- Transportes
- Bancos e infraestruturas da área financeira
- Administração pública
- Cuidados de saúde
- Exploração espacial
- Abastecimento de água (potável e águas residuais)
- Infraestruturas digitais*
Por outro lado, uma entidade importante deverá ter no mínimo 50 colaboradores, uma faturação anual de pelo menos 10 milhões de euros ou um balanço de 10 milhões de euros, e inserir-se num dos setores críticos:
- Serviços postais e de correio
- Gestão de resíduos
- Indústria química e farmacêutica
- Investigação
- Produção, processamento e distribuição alimentar
- Indústria transformadora
- Fornecedores de serviços digitais*
* Embora possam confundir-se, as empresas de infraestruturas digitais e os fornecedores de serviços digitais operam em áreas diferentes. Os primeiros dizem respeito a fornecedores na área de cloud, data centers, Trust Service Providers, entre outros. Já o segundo corresponde a fornecedores de serviços na área do marketing digital, onde se incluem as redes sociais, presença online, e-commerce e similares.
Importa, no entanto, mencionar algumas exceções e aspetos relevantes:
- Existe um conjunto de entidades que são consideradas essenciais por pertencerem a um setor muito crítico, independentemente da sua dimensão. São entidades em que interrupções ou falhas no serviço podem causar graves consequências na ordem pública. Nelas incluem-se fornecedores de redes de comunicações públicas, empresas de registo de nomes de domínio de topo, fornecedores de serviços de DNS, entre outros.
- Dentro dos setores muito críticos, as empresas consideram-se essenciais ou importantes consoante o número de colaboradores ou volume de faturação/balanço anual.
- Todas as empresas dos setores críticos são consideradas importantes, independentemente da sua dimensão ou volume de faturação/balanço anual.
Consulte o infográfico abaixo com o resumo desta informação.
Como preparar a sua empresa para a Diretiva NIS2
A sua empresa ou organização insere-se nos critérios que acabámos de analisar? Então, é essencial que se comece a preparar para as mudanças que a Diretiva NIS2 vai trazer. Apesar de não estarem ainda definidos os regulamentos específicos para cada um dos Estados-membros da UE, a diretiva deixa antever alguns aspetos que permitem às empresas começar a preparar-se para as mudanças.
A monitorização do cumprimento das regras será diferente consoante se trate de uma entidade essencial ou importante. No caso das primeiras, a supervisão será proativa; isto significa que as entidades essenciais podem ser alvo de auditorias ou ações de fiscalização com o objetivo de verificar se a legislação está a ser cumprida, independentemente da ocorrência de incidentes.
Já nas entidades importantes a supervisão é feita apenas se houver indícios de um incidente (à posteriori). Em ambas as situações, se as entidades (essenciais ou importantes) não tomarem as devidas medidas, podem sofrer as consequências previstas em caso de incumprimento da lei. Em Portugal, a entidade responsável pela supervisão das medidas decorrentes da Diretiva NIS2 é o Centro Nacional de Cibersegurança (CNCS).
Requisitos e medidas da Diretiva NIS2
Independentemente de se tratar de uma entidade essencial ou importante, todas as organizações ao abrigo da NIS2 devem adotar medidas relacionadas com a Gestão de Risco, Responsabilidade Corporativa (Governance), Reporting de Incidentes e Continuidade do Negócio.
Gestão de risco
As entidades devem adotar medidas de gestão de riscos de segurança cibernética para minimizar a probabilidade e o impacto das ameaças. Devem ser implementados protolocos técnicos, operacionais e de mitigação de riscos que possam afetar redes e sistemas.
Responsabilidade Corporativa
A diretiva NIS2 prevê que os órgãos de administração sejam os responsáveis por aprovar e supervisionar os protocolos de gestão de riscos, garantindo a sua correta implementação. Da mesma forma, e de acordo com o artigo 20 da diretiva, os membros dos órgãos de administração devem receber e promover a partilha de conhecimento e a formação junto das restantes equipas, de forma a que a sensibilização para a temática da Cibersegurança seja transversal à empresa.
Relatório de Incidentes
As entidades devem definir procedimentos que permitam reportar de forma célere incidentes de segurança que afetem os utilizadores dos sistemas ou a prestação do serviço. A notificação à entidade competente (CNCS) deve ser feita no prazo de 24h desde que se tomou conhecimento do incidente. Deve ainda ser enviado um relatório completo no prazo máximo de 72 horas e um relatório com conclusões finais, um mês após o envio do primeiro documento.
Continuidade dos negócios
A garantia da continuidade da atividade do negócio depois de um incidente é outro dos pilares da diretiva. As entidades devem criar uma estratégia detalhada para cenários de resposta a incidentes com o objetivo de minimizar as interrupções de serviço, e que inclua a recuperação de dados, sendo as soluções de backup na cloud recomendadas para esse efeito.
10 medidas de segurança cibernética da diretiva NIS2
O artigo 21 da NIS2 apresenta um conjunto de medidas básicas de segurança que as organizações devem implementar para dar suporte aos quatro eixos que mencionamos anteriormente. Essas medidas incluem:
- Definição de políticas de análise de risco e segurança de sistemas de TI
- Planos de resposta a incidentes para lidar com ameaças ativas
- Planos de continuidade de negócios, incluindo procedimentos de backup, recuperação de desastres e gestão de crises
- Segurança das cadeias de abastecimento, incluindo medidas que abordam o relacionamento entre empresas e seus fornecedores ou prestadores de serviços diretos
- Segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, incluindo tratamento e divulgação de vulnerabilidades
- Políticas e procedimentos para avaliar a eficácia das medidas de gestão de riscos de segurança cibernética
- Formação para a sensibilização e boas práticas de segurança cibernética
- Políticas sobre o uso de criptografia e codificação
- Procedimentos de controlo de acesso, especialmente para funcionários com acesso a dados confidenciais
- Autenticação multifator, monitorização contínua e sistemas de comunicação seguros
Mais do que uma obrigação de cumprir regulamentos para evitar coimas, a Diretiva NIS2 é um instrumento essencial para proteger entidades e negócios contra uma ameaça cada vez mais omnipresente – a do cibercrime. Mesmo que a sua empresa não seja diretamente afetada pela NIS2, a Cibersegurança deve, hoje, ser um tópico na agenda de todas as organizações. Num cenário dinâmico com ameaças cibernéticas constantes, os riscos ultrapassam, infelizmente, as classificações regulamentares. E não nos podemos esquecer que num mundo digital interligado, todas as organizações – estejam ou não abrangidas pela diretiva NIS2 – desempenham um papel na resiliência global contra o cibercrime.
Como a PONTUAL o pode ajudar
A sua empresa precisa de se preparar para abraçar as mudanças trazidas pela Diretiva NIS2? Ou mesmo não estando nas entidades visadas, ainda não investiu nas medidas de Cibersegurança que vão proteger o seu negócio? A PONTUAL é o Security and Managed Services Provider que presta serviços completos e integrados na área das TI, com um foco crescente nas soluções de Cibersegurança para PME. A nossa abordagem começa no diagnóstico e levantamento de necessidades de segurança dos negócios, passando pela implementação de soluções, monitorização de ameaças e um apoio técnico próximo e constante. Se ainda não conhece o ebook da PONTUAL Cibersegurança para PME, esta é uma excelente altura para fazer o download e ficar a par de todas as boas práticas e medidas de segurança de IT que deve implementar no seu negócio. Tem dúvidas? Gostaria de saber mais sobre os nossos serviços de Cibersegurança? Fale connosco.