Este é o último passo do processo legislativo na União Europeia e marca a adoção da diretiva NIS2, que substitui a  atual diretiva sobre segurança de redes e sistemas de informação (NIS), e do regulamento de Resiliência Operacional Digital (Digital Operational Resilience Act, DORA na digla em inglês).

O objetivo dos dois documentos é melhorar a resiliência e a capacidade de resposta face a incidentes de cibersegurança, embora o DORA esteja focado na área financeira. As redes de comunicação e os sistemas de informação europeus têm estado sob fogo de atacantes, entre os quais se contam hackers patrocinados por governos, e esta é uma área que gera preocupação e na qual a União Europeia quer reforçar o investimento.

"Não há dúvida de que a segurança cibernética continuará a ser um desafio fundamental nos próximos anos. As apostas para nossas economias e nossos cidadãos são enormes. Hoje, demos mais um passo para melhorar nossa capacidade de combater essa ameaça",  afirma Ivan Bartoš, vice-primeiro-ministro checo para a digitalização e ministro do Desenvolvimento Regional, no comunicado do Conselho Europeu.

A diretiva NIS2 estabelece os princípios de gestão da segurança informática e as obrigações de comunicação de incidentes em vários setores indicados como relevantes, entre os quais estão a energia, transporte, saúde e infraestrutura digital, mas alarga o número de organizações abrangidas. É ainda objetivo harmonizar os requisitos de segurança informática e a implementação de medidas de segurança nos vários estados membros.

Bruxelas tem novas regras de cibersegurança. Multas até 15 milhões de euros para infratores
Bruxelas tem novas regras de cibersegurança. Multas até 15 milhões de euros para infratores
Ver artigo

Uma das medidas é a criação formal da Rede Europeia de Organização de Ligação para Crises Cibernéticas, EU-CyCLONE, que apoia a coordenação e gestão de incidentes e crises de segurança informática em larga escala.

A nova diretiva está alinhada com o o regulamento sobre resiliência operacional digital para o setor financeiro (DORA), que foi hoje também aprovado, e com a diretiva sobre a resiliência de entidades críticas (CER), procurando trazer maior clareza jurídica e garantir a coerência entre NIS2 e estes regulamentos.

A diretiva vai ser publicada no Jornal Oficial da União Europeia nos próximos dias e entrará em vigor no vigésimo dia seguinte a esta publicação, ainda em 2022. Os Estados Membros têm 21 meses a partir da entrada em vigor da diretiva para fazer a transposição para a legislação nacional.

Mais resiliência para o sector financeiro

No caso do regulamento DORA, o Conselho Europeu nota que este estabelece requisitos uniformes para a segurança das redes e dos sistemas de informação das empresas e organizações que operam no setor financeiro, bem como para terceiros essenciais que lhes prestam serviços relacionados com as TIC (tecnologias de informação e comunicação), como as plataformas de computação em nuvem ou serviços de análise de dados.

DORA: Fixe esta sigla que vai ser relevante na segurança digital dos bancos e seguradoras
DORA: Fixe esta sigla que vai ser relevante na segurança digital dos bancos e seguradoras
Ver artigo

"Vivemos em tempos de incerteza. Os bancos e outras empresas que prestam serviços financeiros na Europa já dispõem de planos para a sua segurança informática, mas é necessário ir mais longe. Graças aos requisitos jurídicos harmonizados que hoje adotámos, o nosso setor financeiro estará em melhores condições de continuar a funcionar em qualquer momento. Se for lançado um ataque em grande escala ao setor financeiro europeu, estaremos preparados para o enfrentar", afirmou Zbyněk Stanjura, ministro das finanças da Chéquia, citado pelo comunicado do Conselho Europeu.

A adoção do regulamento pelo Conselho Europeu é o último passo do processo legislativo mas cabe agora às entidades reguladoras elaborar as normas técnicas que todas as instituições de serviços financeiros deverão respeitar, desde a banca, aos seguros e à gestão de ativos. a fiscalização fica a cargo das autoridades nacionais.