Compliance

NIS2 representa “um passo significativo para a melhoria do ecossistema de cibersegurança da UE”, diz a ENISA

Com a entrada da NIS2 em vigor, a ENISA explica à IT Security as mudanças profundas que a nova regulação europeia de cibersegurança trará, bem como o seu papel de “apoiar os Estados-Membros e a Comissão na implementação da NIS2”

Por Rita Sousa e Silva . 21/06/2024

NIS2 representa “um passo significativo para a melhoria do ecossistema de cibersegurança da UE”, diz a ENISA

Em entrevista à IT Security, a Agência Europeia para a Segurança das Redes e da Informação (ENISA), organismo da União Europeia (UE), explica de que forma o seu papel será reforçado no âmbito da Diretiva NIS2 – que deverá ser transposta pelos países-membros até 17 de outubro de 2024 – e aborda as principais diferenças que o novo quadro regulamentar europeu traz em comparação à sua antecessora, a NIS.

“Globalmente, a NIS2 introduz uma série de novas tarefas para os Estados-Membros e para a ENISA e alarga o seu âmbito a muitos novos setores e aumenta consideravelmente o número de entidades abrangidas pela diretiva”, começou por contextualizar a ENISA, referindo que a Diretiva NIS2 representa “um passo significativo para a melhoria do ecossistema de cibersegurança da UE e um importante instrumento político para aumentar a resiliência nos setores críticos da UE”.

Como a NIS2 mudará o panorama de cibersegurança europeia

Além de reforçar a abordagem adotada na NIS, a nova diretiva de cibersegurança europeia “consolida ainda mais os requisitos de segurança fora da NIS1 e visa aumentar a harmonização entre os Estados-Membros, tanto no que diz respeito às obrigações de segurança como de comunicação”, frisa a ENISA, que acrescenta também que a NIS2 consolida “outros atos legislativos em matéria de cibersegurança num único quadro jurídico”.

Para a agência europeia, uma “diferença fundamental entre a NIS1 e a NIS2” prende-se com o facto de que a diretiva atualizada “alarga o âmbito, acrescentando setores adicionais, como o setor espacial e as administrações públicas”. Neste sentido, explana a ENISA, a Diretiva NIS2 “acrescenta novos setores, mas também aumenta o número de empresas abrangidas pelos setores, utilizando a regra do limite máximo de dimensão”, sendo que, “nos grandes países, a NIS2 aplicar-se-á a milhares de entidades”.

A nova regulação europeia permitirá também responsabilizar a gestão de topo das empresas “pela aprovação das medidas de gestão dos riscos de cibersegurança adotadas”, passando a estar encarregue de “supervisionar a sua implementação”. Desta forma, a liderança executiva de uma organização deverá assegurar a conformidade com as normas regulatórias, podendo “ser responsabilizada caso não tome as medidas de segurança adequadas”.

Além disto, a NIS2 “formaliza a rede CyCLONe da UE para a gestão de crises cibernéticas e exige que os Estados-Membros da UE desenvolvam quadros abrangentes para a gestão de crises cibernéticas”, revela a ENISA, deixando claro que “a rede EU-CyCLONe e os quadros nacionais relevantes pretendem melhorar a gestão da preparação para incidentes e crises de grande escala e desenvolver mecanismos para uma consciência situacional partilhada”.

O papel da ENISA no âmbito da NIS2

Com a entrada da NIS2 em vigor, o papel da ENISA será alargado e, em geral, “consiste em apoiar os Estados-Membros e a Comissão na implementação da NIS2”. A título de exemplo, a ENISA refere que “a Agência apoia a Comissão, prestando-lhe aconselhamento técnico sobre as regras de execução da NIS2 para medidas de segurança e comunicação de incidentes para as entidades da infraestrutura digital da NIS2”.

“A ENISA também apoiou a entrega de uma orientação para os Estados-Membros da UE sobre como implementar uma política nacional de divulgação de vulnerabilidades, para permitir a investigação responsável de vulnerabilidades, também conhecida como hacking ético”, acrescenta a agência de cibersegurança.

A ENISA desempenhará também novas tarefas específicas de cibersegurança ao abrigo da diretiva em questão, nomeadamente a manutenção de “uma base de dados de vulnerabilidades da UE, fornecendo um repositório único da UE e uma autoridade de numeração para informações públicas sobre vulnerabilidades”.

O organismo europeu estará ainda encarregue de desenvolver “um registo da UE para entidades de infraestruturas digitais, para permitir a supervisão transfronteiriça”, bem como de fornecer o secretariado da Cyclone. A par disto, a ENISA deverá apresentar, de dois em dois anos, “um relatório sobre a cibersegurança da UE no seu conjunto, com base num índice de cibersegurança para os Estados-Membros da UE”, indica.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.