NIS2: a nova Diretiva da União Europeia para segurança cibernética

Com o aumento da complexidade e da sofisticação das ameaças cibernéticas, a União Europeia (UE) tem se esforçado para melhorar a proteção das suas infraestruturas digitais e garantir a continuidade dos serviços essenciais. Nesse contexto, a Diretiva NIS 2, que entrou em vigor em 2023, procura reforçar a segurança cibernética em toda a região. Hoje vamos explorar os principais aspetos da NIS 2 e a sua importância para as empresas e governos.

O que é a NIS2?

A NIS 2 (Network and Information Systems Directive 2), é uma atualização da primeira diretiva NIS, que foi adotada em 2016. A primeira versão visava melhorar a segurança das redes e sistemas de informação no setor público e privado, mas não conseguiu cobrir adequadamente as crescentes ameaças cibernéticas. Por isso, a Comissão Europeia decidiu rever e expandir essa legislação.

A NIS 2 foi criada para estabelecer requisitos mais rigorosos e promover um nível mais elevado de segurança cibernética, abordando áreas como monitorização, gestão de riscos, cooperação entre países da UE e medidas para reduzir a exposição a ciberataques. O objetivo central é garantir que os sistemas e serviços essenciais, como saúde, transporte, energia e serviços financeiros, estejam protegidos contra incidentes cibernéticos que possam afetar gravemente a sociedade.

Principais requisitos da NIS2

A NIS 2, define uma série de obrigações e expectativas para os setores que operam em infraestruturas críticas e para os fornecedores de serviços digitais. Alguns dos principais pontos abordados pela diretiva incluem:

• Abrangência Ampliada: A NIS 2, amplia o objetivo da diretiva original, incluindo novos setores e organizações. A nova legislação abrange não apenas os operadores de serviços essenciais, como hospitais e redes de transporte, mas também empresas de tecnologia, fornecedores de serviços de nuvem e plataformas digitais, como mercados online. Isso amplia o impacto da diretiva e garante que mais partes da economia digital cumpram com os novos requisitos de segurança.
• Requisitos de Segurança Cibernética: A NIS 2 estabelece requisitos mais rigorosos de segurança cibernética para as empresas e organizações cobertas. Elas devem implementar medidas adequadas para identificar, prevenir e responder a ameaças cibernéticas. Além disso, deve haver a realização de auditorias e testes regulares de segurança para detetar vulnerabilidades nos seus sistemas.
• Gestão de Riscos: A diretiva exige que as empresas adotem uma abordagem proativa para a gestão de riscos cibernéticos. Devem implementar políticas de segurança cibernética, realizar avaliações de risco periódicas e atualizar continuamente as suas medidas de proteção. Isso implica uma forte integração entre a estratégia de segurança cibernética e as operações de negócios.
• Notificação de Incidentes: Um dos aspetos mais importantes da NIS 2, é a obrigatoriedade de notificar incidentes de segurança cibernética. Caso ocorra um ataque ou uma violação de segurança que possa ter impacto significativo, as empresas devem comunicar o incidente às autoridades competentes num prazo de 24 horas após a deteção. Isso permite uma resposta mais rápida a incidentes e uma maior cooperação entre os países da UE.
• Responsabilidades da Alta Direção: A diretiva coloca uma maior ênfase na responsabilidade da alta gestão e dos líderes empresariais em relação à segurança cibernética. A NIS 2, exige que a liderança de cada organização assuma a responsabilidade pela segurança cibernética, implementando práticas de monitorização adequadas e garantindo que os recursos necessários sejam disponibilizados para proteger os sistemas.
• Aumento da Cooperação Internacional: A NIS 2, fortalece a colaboração entre os Estados membros da UE. Exige a criação de mecanismos de resposta a incidentes a nível europeu e incentiva a partilha de informações sobre ameaças cibernéticas. Isso, ajuda a aumentar a resiliência coletiva da UE diante de ataques cibernéticos.

Impactos da NIS2 para as empresas

A implementação da NIS 2 traz novos desafios e responsabilidades para as empresas. Organizações que operam em setores críticos precisam adotar uma postura mais rigorosa em relação à cibersegurança, implementando soluções mais avançadas para proteger suas infraestruturas. Além disso, devem garantir que os seus fornecedores e parceiros também cumpram com os requisitos de segurança da diretiva.

Por outro lado, a NIS 2 oferece uma oportunidade para que as empresas se destaquem pela sua resiliência cibernética. A conformidade com as normas de segurança cibernética não só reduz o risco de ataques e incidentes, mas também melhora a confiança do cliente e pode fazer a diferença na escolha do produto. Empresas que investem em segurança cibernética demonstram compromisso com a proteção dos dados e com a continuidade dos serviços, o que pode resultar numa reputação mais forte no mercado.

Conclusão

A NIS 2 é um passo importante na proteção das infraestruturas digitais da União Europeia. Com o aumento da interconectividade e a crescente sofisticação dos ciberataques, a segurança cibernética nunca foi tão crucial. Embora a implementação dos seus requisitos represente um desafio para muitas organizações, a diretiva visa criar um ambiente mais seguro e resiliente para todos. Numa última análise, a NIS 2 procura garantir que os serviços essenciais, a economia digital e a vida quotidiana da sociedade europeia não sejam prejudicados por ataques cibernéticos, criando um futuro mais seguro para todos os cidadãos e empresas da UE.

Conteúdo co-produzido pela MediaNext e pela CSO