ENISA: “Olhar para a NIS 2 como uma oportunidade de melhorarmos a cibersegurança nas nossas organizações” (com vídeo)

Ricardo Figueiredo, Cybersecurity Expert da European Union Agency for Cybersecurity (ENISA), levou até ao palco da 2.ª edição da IT Security Conference o tema da nova Diretiva NIS 2.

A sucessora da NIS 1 nasceu num contexto de eventos disruptivos, como foi o caso da pandemia da COVID-19, da transformação digital e das questões de geo-política e soberania digital entre China, EUA e União Europeia. No contexto de ameaças, “vemos tudo a mudar rapidamente, com mais impacto, mais ativo, algo que nos preocupa diariamente”, começa por explicar Ricardo Figueiredo. 

A proposta da NIS 2 surge assim naquele que é considerado o maior pacote legislativo à escala europeia, onde se pode encontrar também o Cybersecurity Act, a Nova Estratégia da União Europeia para a Cibersegurança, iniciativas setoriais (DORA) e a reformulação dos mecanismos e dos instrumentos de financiamento ao nível da cibersegurança.

O Cybersecurity Expert considera que o ponto de partida para compreender a nova diretriz passa por avaliar o que “correu bem e o que correu menos bem na diretiva NIS 1”. Um dos grandes problemas, destaca, estava relacionado com âmbito de aplicação da Diretiva, admitindo a dificuldade na sua gestão, que acabou por “criar muitas divergências”. Em causa estava a não inclusão (a priori) no âmbito da diretiva de determinados setores que também deveriam ter sido considerados críticos; por outro lado, na transposição para a legislação nacional, os Estados-Membros tiveram a liberdade de “identificar os operadores de serviços essenciais que efetivamente iriam estar abrangidos”, o que levou a que cada Estado-Membro identificasse os operadores de acordo com os seus critérios, criando significativas divergências a nível europeu.

A questão da supervisão foi outro dos pontos referidos por Ricardo Figueiredo, uma vez que um dos pilares da NIS 1 estava relacionado com “a partilha da informação e com a cooperação entre os Estados-Membros” que, funcionando numa base voluntária, ficou aquém das expectativas.

Novidades da NIS 2 

O âmbito de aplicação da nova Diretiva é agora bastante mais alargado. “Vamos ter mais do dobro dos setores a ‘caírem’ dentro do âmbito da Diretiva NIS e dentro destes setores muito mais empresas”, graças à introdução de um critério de dimensão. 

Uma das outras alterações elencadas está relacionada com a designação antiga, que desaparece, com as entidades a serem classificadas como “entidades essenciais” e “entidades importantes”. Há ainda um “reforço do foco na componente de gestão de risco”, acrescenta Ricardo Figueiredo.

Em suma, as empresas de média ou grande dimensão estarão abrangidas pela nova Diretiva NIS, com um regime de supervisão específico no caso de serem classificadas como “entidades essenciais” ou “entidades importantes”; por outro lado, ao nível da gestão de risco, existirão “um mínimo de medidas de segurança técnica e organizativa” a serem observadas. De acordo com o cybersecurity expert da ENISA, será também encorajada a aplicação de standards internacionais e de certificação e será ainda exigida a demonstração da aplicação de políticas de controlo de segurança de informação implantadas nas organizações. No fim, e numa ótica de gestão de risco, a NIS 2 traz a responsabilização do Board por não compliance. 

Ricardo Figueiredo sublinha que é necessário “ver a NIS 2 como uma oportunidade de melhorarmos a cibersegurança nas nossas organizações e contribuir para aumentar a resiliência dos setores críticos”.

A nova Diretiva passa a compreender 15 setores. As entidades passarão a ser classificadas entre “importantes” e “essenciais” de acordo com os critérios da União Europeia para classificação de organizações. As empresas que tenham mais de 50 colaboradores e mais de 10 milhões de euros de volume de negócios passam a estar abrangidas pela NIS 2.

Atualmente, os Estados Membros encontram-se a fazer a transposição da NIS 2, que deverá estar concluída até 17 de outubro de 2024. A lista de entidades abrangidas no âmbito desta nova Diretiva terá de ser apresentada em abril de 2025.

A IT Security Conference volta a 10 de outubro de 2024!