Por Sérgio Sá (*) 

Em janeiro de 2023, entrou em vigor a diretiva Security of Network and Information Systems (NIS 2) também conhecida por Segurança das Redes e da Informação (SRI 2), que os estados membros terão de transpor para a legislação local até outubro 2024, evolução da NIS publicada em 2016 e em vigor através da Lei 65/2021.

Em resultado do incremento dos ciberataques e seu impacto na UE, desde que entrou a primeira diretiva NIS, foi identificada a necessidade de melhorar as medidas de cibersegurança. O objetivo do NIS 2 é assegurar a existência de um elevado nível comum de cibersegurança para os serviços críticos, essenciais e importantes, em todos os estados membros da UE.

Esta diretiva introduz novos âmbitos e abordagens:

  • Envolve mais setores da economia e da sociedade
  • Aumenta o nível de harmonização em relação aos requisitos de segurança e obrigações de comunicação às autoridades competentes
  • Encoraja os estados membros da UE a introduzir novos domínios nas suas estratégias nacionais de cibersegurança, como Cadeia de Abastecimento TIC, Gestão de Vulnerabilidades, serviço base Internet e ciber-higiene
  • Melhora a colaboração e partilha de conhecimento entre os estados membros, ex: revisões entre congéneres
  • Cria uma estrutura nova para a Gestão de Cibercrises (CyCLONE)

abrangendo mais entidades – críticas, essenciais e importantes, nomeadamente:

  • Energia, Transportes, Banca, Infraestrutura do Mercado Financeiro, Saúde, Água potável, Águas residuais, Infraestruturas digitais, Gestão de serviços TIC (B2B), Administração Pública, Espaço
  • Serviços Postais e de Estafeta, Gestão de Resíduos, Produção, Fabrico e Distribuição de produtos químicos, Produção, transformação e distribuição de produtos alimentares, Indústria Transformadora, Prestadores de Serviços Digitais, e Investigação

As organizações abrangidas pela diretiva NIS 2, como recomendação mínima, deverão ter em conta os seguintes requisitos:

  • Modelo de Governo e Gestão de Risco
  • Políticas de Segurança e Formação
  • Gestão de Incidentes e Notificação
  • Gestão de Crise e Continuidade de Negócio
  • Gestão de Risco TIC na cadeia de abastecimento (Produtos, Sistemas e Serviços)
  • Gestão de Ativos
  • Security by Design
  • Gestão de Acessos e Comunicações Seguras

A maioria das entidades críticas, essenciais e importantes já têm pelo menos partes destas medidas implementadas. A questão principal é qual o nível de detalhe que Portugal irá aplicar através da transposição para a legislação nacional.

A diretiva salienta que a implementação destas medidas deve ter em consideração os padrões europeus e internacionais como: custo de implementação, grau de exposição a riscos, dimensão da entidade, probabilidade de ocorrência de incidentes e sua gravidade, impacto social e económico. Estes fatores devem ser tidos em conta na determinação das medidas apropriadas e proporcionais a adotar.

Foi também definido que a dimensão da entidade, por si só, não é fator de exclusão, dependendo da importância que representa na sociedade.

As empresas que não cumpram a diretiva NIS2 podem ser sujeitas a coimas até 10 milhões de euros ou 2% do total do seu volume de negócios anual.

De notar que o NIS 2 acabou de ser lançado, e a sua efetividade dependerá do que for feito até outubro 2024. No entanto, devemos ter em conta que as ciberameaças que deram origem a esta diretiva continuarão a evoluir e também surgirão novos riscos.

De notar que o sector financeiro tem um regulamento que também acabou de entrar em vigor – DORA (Digital Resilience Operational Act), com impacto em várias indústrias também aqui envolvidas e que é lexis specialis da NIS 2.

Deste modo, independentemente da redação final resultado da transposição local da diretiva NIS 2, as organizações deverão começar já a alinhar com os requisitos da Lei 65/2021 (transposição da Diretiva NIS 1) e a seguir começar a preparar-se para os requisitos da NIS 2.

(*) Partner EY, Cybersecurity, Consulting Services