Por Rui Duro (*)

O pano de fundo da nova diretiva é um ambiente de ameaças em rápida mudança que está a afetar cada vez mais as redes das empresas, e um reconhecimento de que a primeira Diretiva NIS foi implementada de forma diferente nos estados membros da UE. Por conseguinte, a UE quer uma abordagem mais holística e uniforme da proteção cibernética de sectores e cadeias de fornecimento que afetam infraestruturas críticas, uma vez que um ataque cibernético catastrófico pode ter um enorme impacto na economia de cada Estado Membro, mas também no resto da Europa. Por exemplo, se a empresa nacional de energia de um país for retirada de serviço por um curto ou longo período, os preços da eletricidade subirão. E uma vez que a eletricidade é comercializada numa bolsa europeia, os preços irão subir em toda a Europa.

Porque é importante para o seu negócio?

Ao contrário da Diretiva RGPD, que protege os dados pessoais dos cidadãos, o NIS2 visa proteger os dados económicos - dados que afetam as economias das empresas e dos países membros.

Ao abrigo da nova legislação, os Estados-Membros devem implementar, entre outras coisas, uma estratégia nacional de cibersegurança e uma lei nacional que inclua requisitos de gestão de risco e de informação para as empresas abrangidas pela diretiva NIS2, bem como um ponto de contacto nacional único para tratar do NIS2.

Quem é afetado?

Para além dos sectores que foram incluídos na Diretiva NIS, o novo NIS2 estende-se também a vários novos sectores públicos e privados, incluindo os sectores alimentar, empresas de transporte marítimo e de carga, fornecedores de telecomunicações e de dados, plataformas de meios de comunicação social e fornecedores de centros de dados, empresas envolvidas na gestão de resíduos e águas residuais, e empresas transformadoras que são importantes para a economia do país. As empresas abrangidas pela diretiva estão divididas em duas categorias: entidades significativas (por exemplo, empresas de telecomunicações, serviços públicos e bancos) e entidades importantes (por exemplo, empresas alimentares e empresas de transporte de mercadorias). No entanto, as empresas com menos de 250 empregados ou um volume de negócios anual inferior a 50 milhões de euros estão isentas.

Embora, devido ao conceito de responsabilidade da cadeia de abastecimento, devemos assumir, que as empresas mais pequenas que são fornecedoras dos sectores abrangidos pela Diretiva, devem também cumprir o NIS2.

Além disso, a diretiva também abrange as administrações públicas, mas não é claro nesta fase se isto inclui, por exemplo, os municípios.

O que é que isso significa para a sua organização?

O NIS2 impõe novos requisitos às empresas e organizações afetadas. Estes incluem requisitos de especialização e responsabilidade de gestão, gestão eficaz do risco, incluindo análise de risco e resposta a incidentes, e comunicação e tratamento de incidentes cibernéticos.

A gestão é assim responsável pela conformidade da organização com a diretiva NIS2 e pode ser responsabilizada pelo incumprimento. A própria empresa ou organização deve cumprir vários requisitos de cibersegurança, incluindo a implementação de medidas de segurança e normas internacionais tais como a ISO27001 ou o quadro NIST.

As empresas que não cumprirem a diretiva NIS2 podem ser sujeitas a multas até 10 milhões de euros ou 2% do total do volume de negócios anual global da empresa.

É importante salientar que, tal como com a diretiva GDPR, não haverá um rótulo ou lista de controlo NIS2 para as empresas a seguir. Cabe à própria organização implementar medidas para que a sua proteção de dados esteja em conformidade. Vendedores de cibersegurança como Check Point podem ajudar com diretrizes, mas cabe à própria empresa pôr em prática os relatórios necessários.

Quando é que a sua organização deve estar em conformidade com o NIS2?

No final de Dezembro de 2022, a Diretiva NIS2 foi adotada e tornada oficial na UE. Depois disso, os Estados membros têm 21 meses para transpor a Diretiva para a legislação nacional. Mas isso não significa que possa esperar até lá para implementar as novas medidas. Porque já 18 meses após a adoção, as organizações afetadas pela diretiva devem poder cumprir.

Embora isto possa parecer muito tempo, sabemos por experiência que para muitas empresas pode levar muito tempo a implementar novas medidas, procedimentos, etc. Por conseguinte, é importante que a sua organização comece hoje.

Conselhos para começar

Muitas organizações já implementaram algumas medidas uma vez que tiveram de cumprir os requisitos iniciais do SRI. Mas outras organizações precisam de se adaptar a uma realidade totalmente nova. Pode ser uma tarefa grande e assustadora, e para algumas, pode parecer avassaladora. É por isso que reunimos as seguintes dicas para o ajudar a preparar-se para o NIS2.

Como mencionado anteriormente, a Diretiva NIS2 não fornece uma lista de controlo ou um conjunto mínimo de requisitos para a tecnologia de proteção. Descreve "proteção adequada", que pode ser interpretada de inúmeras maneiras. Contudo, podemos assumir que as empresas, no mínimo, necessitam de firewall e tecnologia de prevenção de intrusões na sua rede, mas também de proteção de segurança de terminais e implementação de autenticação multi-fator, encriptação de dados e limitação de acesso.

No entanto, é importante mencionar que nem tudo pode ser fixado com tecnologia. O processo e a tecnologia são igualmente importantes. Isto significa que a sua organização deve obter uma visão geral e um plano, e não apenas procurar uma solução rápida.

Dito isto, há alguns passos iniciais que se podem dar. Em primeiro lugar, é importante verificar se a sua empresa está abrangida pela nova diretiva. Se estiver, aqui estão cinco dicas sobre por onde começar:

  • Certifique-se de que a cibersegurança é uma prioridade máxima para a gestão da organização e de que a direção está consciente das suas responsabilidades em matéria de segurança. Comece por analisar as necessidades da sua empresa e crie um roteiro com objetivos e prazos claros para a implementação.
  • Identifique e priorize os seus ativos, incluindo informação, processos e sistemas.
  • Implementar um quadro sobre o qual possa construir a sua segurança. Este poderia ser ISO2001 ou NIST. É também importante que implemente a gestão de risco dos seus bens e operações.
  • Automatizar o maior número possível de processos e rotinas. Por exemplo, no futuro, a segurança informática deverá sempre fazer parte de novos sistemas e de implementações em nuvem.
  • Consolide as suas funções e soluções de segurança. Isto torna as operações mais fáceis e mais seguras e reduzirá os custos de pessoal, por exemplo.
  • Estabelecer um processo de relatórios que cumpra os requisitos do NIS2 - e assegurar que pode ser ativamente utilizado para mitigar ataques e ameaças.

(*) Country  Manager Portugal da Check Point 

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.