Diretiva NIS 2: estará a sua organização preparada para os novos desafios de cibersegurança?

Nesta versão, a diretiva alarga o âmbito de aplicação a mais setores, dividindo-os em elevada criticidade (11) e outros setores críticos (7). Estes setores são considerados essenciais para a economia e a sociedade, e a sua incorporação significa que as entidades de média dimensão (entre 50-249 colaboradores ou mais de 10 milhões em receita) e grande dimensão (>= 250 colaboradores ou mais de 50 milhões em receita) destes setores estão sujeitos a novas obrigações.

	José Rafael Monteiro, Cipher

A antiga distinção entre "operadores de serviços essenciais" (OES) e "fornecedores de serviços digitais" (DSP) é substituída por uma classificação das entidades como sendo "essenciais" ou "importantes", dependendo do setor de atividade e da sua dimensão. Com base nesta classificação, aplicam-se diferentes regimes de supervisão e consequências de não cumprimento, mais restritos e severos para as entidades essenciais. Apesar desta classificação, as entidades em âmbito devem cumprir o mesmo conjunto de requisitos, incluindo a adoção de medidas técnicas e organizacionais adequadas e proporcionais à sua dimensão, para gerir os riscos de cibersegurança dos sistemas que suportam os serviços prestados, prevenindo e minimizando o impacto de eventuais ciberincidentes.

A nível organizacional, um dos novos desenvolvimentos é responsabilização da gestão executiva, que é agora obrigada a supervisionar, aprovar e tomar decisões informadas com base nos riscos de cibersegurança da sua entidade, assim como receber formação na gestão deste tipo de riscos e fornecer treino semelhante aos seus colaboradores. É importante notar que os membros da gestão executiva podem ser considerados pessoalmente responsáveis e enfrentar medidas severas, como a suspensão das suas funções, se não cumprirem as suas obrigações na gestão de risco de cibersegurança.

Juan Luis Melendez Rodríguez, Cipher

Relativamente aos requisitos técnicos, deve ser definido e implementado um quadro abrangente de políticas, processos e procedimentos nos vários domínios da cibersegurança, suportado por tecnologia e equipas capacitadas com os conhecimentos técnicos adequados. Incluem-se como exemplos não exaustivos a gestão dos riscos de cibersegurança, incluindo a cadeia de fornecedores, continuidade do negócio, gestão de incidentes de cibersegurança, gestão segura dos recursos humanos e do controlo de acessos, gestão dos ativos de TIC e de vulnerabilidades, criptografia e gestão de chaves, entre outros.

Especificamente na gestão de ciberincidentes, as entidades devem adotar medidas sólidas, como a implementação de sistemas de deteção e prevenção, e a formação e capacitação de equipas especializadas. Devem também notificar ciberincidentes às autoridades competentes seguindo um regime específico com um aviso inicial, notificação oficial, atualizações intermédias e um reporte final, assim como participar ativamente em mecanismos de cooperação e de resposta a incidentes de cibersegurança.

Em caso de não cumprimento da diretiva, as autoridades supervisoras podem impor sanções administrativas que podem atingir até 10 milhões de euros ou 2% do volume de negócios anual para as entidades essenciais, e até 7 milhões de euros ou 1,4% do volume de negócios anual para as entidades "importantes".

A Diretiva NIS 2 impõe obrigações para setores que podem ter tido pouco conhecimento das medidas de cibersegurança, exigindo a avaliação e adaptação das políticas e procedimentos para se alinharem com os requisitos da diretiva, garantindo não só a conformidade legal, mas também a resiliência face à evolução das ciberameaças.

Conteúdo co-produzido pela MediaNext e pela Cipher