A Diretiva NIS 2 visa melhorar a segurança dos sistemas de redes e informações dentro da UE, exigindo que as organizações implementem medidas de segurança proporcionais ao setor e ao tamanho do seu negócio, e reportem quaisquer incidentes às autoridades competentes.
Visa também melhorar a resiliência e a capacidade de resposta a incidentes, estabelecendo um quadro coerente para todas as atividades de supervisão e aplicação da legislação, regulamentando as empresas e os governos em matéria de cibersegurança e segurança da informação.
Os líderes serão responsáveis por garantir que as medidas de cibersegurança estejam implementadas e a funcionar de forma eficaz nas suas organizações. Para cumprir esta responsabilidade, deverão ter o conhecimento e as competências necessárias para avaliar os riscos de cibersegurança, questionar os planos de segurança, discutir atividades, formular opiniões e avaliar políticas e soluções que protejam os ativos das suas organizações. A falta de uma supervisão adequada dos riscos pode resultar em responsabilidades significativas para a empresa.
À medida que o panorama das ameaças cibernéticas na União Europeia continua a evoluir, a Diretiva NIS 2 irá fortalecer a postura de cibersegurança através da responsabilização dos C-suite (altos executivos), de medidas abrangentes de resiliência, da notificação rápida de incidentes e de uma vigilância colaborativa. A conformidade com esta Diretiva irá promover a confiança entre clientes, shareholders e acionistas. Todas as entidades estarão sujeitas ao seguinte:
Os requisitos de segurança e de reporting devem ser proporcionais ao risco, dimensão, custo, impacto e gravidade de cada incidente. Medidas técnicas, operacionais e organizacionais, como recuperação de desastres, gestão de crises, segurança na aquisição de sistemas, gestão e divulgação de vulnerabilidades, são requisitos básicos. A Diretiva NIS 2 introduz prazos rigorosos para a notificação à autoridade local – Centro Nacional de Cibersegurança.
As organizações devem realizar avaliações de risco internas e coordenadas para identificar vulnerabilidades específicas dos seus fornecedores, prestadores de serviços e das respetivas soluções e processos de cibersegurança.
A Diretiva NIS 2 estabelece um quadro básico para a divulgação coordenada de vulnerabilidades recém-descobertas em toda a UE. Cria também uma base de dados para vulnerabilidades publicamente conhecidas da UE em produtos e serviços de tecnologias de informação e comunicação (TIC), que será gerida e mantida pela European Union Agency for Cybersecurity (ENISA).
A Diretiva NIS 2 redefine, face à NIS, a classificação dos tipos de organizações abrangidas, tendo em conta fatores como o número de colaboradores, setor de atividade e criticidade.
A NIS 2 substitui a classificação de Operators of Essential Services (OES) e Digital Service Providers (DSP) por duas novas categorias: Setores de importância crítica e Outros setores críticos. Para além destas, em circunstâncias excecionais, pequenas/microempresas podem ser incluídas no âmbito da Diretiva NIS 2 se cumprirem qualquer um dos seguintes critérios:
São o único fornecedor de um serviço essencial para a manutenção de atividades sociais ou económicas críticas dentro de um Estado-Membro.
Fornecedores de redes públicas de comunicações eletrónicas ou prestadores de serviços de comunicações eletrónicas acessíveis ao público.
Prestadores de serviços de confiança.
A NIS 2 enfatiza o papel crítico das entidades essenciais, que são identificadas como organizações que possuem pelo menos 250 funcionários ou receitas superiores a 50 milhões de euros, e pertencem a determinados setores de atividade.
As entidades importantes são identificadas como organizações que têm entre 50 e 249 funcionários ou mais de 10 milhões de euros em receitas.
Explore as nossas soluções de cibersegurança e garanta a proteção dos seus dados, sistemas e processos com um ambiente digital seguro.
Aceda a conteúdos sobre tendências, boas práticas e soluções para a proteção do seu negócio contra ameaças cibernéticas.