A regulamentação em matéria de cibersegurança foi concebida para garantir que as indústrias críticas levem a sério as ameaças muito reais de ciberataques. A União Europeia (UE) deu um passo significativo no sentido de reforçar o seu atual quadro de cibersegurança com a introdução da Diretiva NIS2. Adotada em 14 de dezembro de 2022, esta diretiva visa estabelecer um elevado nível comum de cibersegurança em toda a União, colmatando as lacunas da sua antecessora, a Diretiva (UE) 2016/1148 (SRI). Os Estados-Membros são incumbidos de aplicar as medidas necessárias até 17 de outubro de 2024, com a aplicação a começar no dia seguinte.
Antecedentes
A Diretiva SRI2 surge como uma resposta às deficiências identificadas na anterior Diretiva SRI, que serviu como uma iniciativa inovadora da União Europeia para fortalecer a postura de cibersegurança nos seus Estados-Membros. Originalmente adoptada em julho de 2016 e implementada em agosto de 2016, a diretiva visava estabelecer um nível comum de segurança das redes e da informação. Centrou-se principalmente no reforço da resiliência global dos operadores de serviços essenciais e dos prestadores de serviços digitais, reconhecendo a interligação das infra-estruturas críticas na era digital.
Na sua implementação, a primeira Diretiva SRI marcou um passo fundamental no reconhecimento das crescentes ameaças colocadas pelos incidentes cibernéticos e procurou assegurar uma resposta coordenada e harmonizada a estes desafios entre os Estados-Membros da UE. Ao obrigar à identificação dos operadores de serviços essenciais, promover práticas de gestão de riscos e exigir a comunicação de incidentes, a Diretiva SRI lançou as bases para uma abordagem colaborativa da cibersegurança na União Europeia. No entanto, a natureza evolutiva das ciberameaças exige um quadro de cibersegurança abrangente e adaptável, o que levou o Parlamento Europeu e o Conselho a adoptarem as medidas mais abrangentes previstas na NIS2.
7 Principais alterações e expansões
Expansão do âmbito de aplicação
A Diretiva SRI2 alarga o seu âmbito de aplicação, incluindo novos sectores cruciais para a economia e a sociedade. Está a ser introduzido um limite claro de dimensão, abrangendo médias e grandes empresas, com flexibilidade para os Estados-Membros identificarem entidades mais pequenas com perfis de risco de segurança elevados.
Classificação das entidades
Afastando-se da abordagem anterior, a diretiva elimina a distinção entre operadores de serviços essenciais e prestadores de serviços digitais. As entidades são agora classificadas em categorias essenciais e importantes, sujeitas a regimes de controlo distintos.
Requisitos de segurança e de comunicação
Para reforçar as medidas de cibersegurança, a diretiva impõe às empresas uma abordagem de gestão dos riscos. É introduzida uma lista mínima de elementos básicos de segurança, acompanhada de disposições precisas sobre a comunicação de incidentes, o conteúdo dos relatórios e os prazos.
Segurança Supply Chain
Reconhecendo o papel crítico das cadeias de abastecimento, a diretiva obriga as empresas a abordar os riscos de cibersegurança nas suas cadeias de abastecimento e relações com os fornecedores. A nível europeu, é adoptada uma abordagem reforçada para proteger as principais tecnologias da informação e das comunicações.
Veja como o OPSWAT ajuda a proteger a cadeia de fornecimento da Hitachi Energy.
Medidas de controlo e execução
Medidas de supervisão mais rigorosas para as autoridades nacionais, requisitos de aplicação reforçados e harmonização dos regimes de sanções nos Estados-Membros visam criar um quadro de aplicação da cibersegurança mais unificado e eficaz.
Cooperação e partilha de informações
A diretiva reforça o papel do grupo de cooperação na definição de decisões políticas estratégicas, promovendo uma maior partilha de informações e cooperação entre as autoridades dos Estados-Membros. A cooperação operacional, em especial no domínio da gestão de cibercrises, é um ponto fulcral.
Divulgação coordenada de vulnerabilidades
A Diretiva NIS2 introduz um quadro básico para a divulgação coordenada de vulnerabilidades, envolvendo os principais intervenientes responsáveis em toda a UE. Estabelece um registo da UE gerido pela Agência da UE para a Cibersegurança (ENISA) para facilitar o processo de divulgação.
Uma União mais Secure
A Diretiva NIS2 constitui um marco significativo no compromisso da UE para com a cibersegurança. Ao colmatar as deficiências da sua antecessora e ao adaptar-se às necessidades actuais, esta diretiva estabelece um quadro abrangente para as empresas e organizações navegarem no cenário complexo e em constante mudança das ciberameaças.
Procura mais informações sobre a conformidade com a cibersegurança? Saiba mais sobre os principais regulamentos em todo o mundo no nosso blogue.
O que é que se segue?
À medida que o prazo de conformidade se aproxima, as empresas e organizações têm de se manter informadas sobre as disposições da Diretiva NIS2. A adoção proactiva das medidas delineadas não só garantirá a conformidade, como também contribuirá para um ambiente digital mais resistente e seguro em toda a União Europeia.
Descubra como as soluções OPSWAT , de IT a OT e tudo o mais, podem ajudar a sua organização a manter-se em conformidade com o NIS2 e outros regulamentos importantes - fale com um especialista hoje mesmo.
