Site Search Site Search

A carregar resultados

Os Estados-Membros devem adotar as medidas e fazer a transposição para a legislação local.

Diretiva NIS 2: fortalecer a cibersegurança e a resiliência na UE
Diretiva NIS2: fortalecer a cibersegurança e a resiliência na UE
  • Março 19, 2025

Qual o objetivo da Diretiva NIS 2?

A Diretiva NIS 2 visa melhorar a segurança dos sistemas de redes e informações dentro da UE, exigindo que as organizações implementem medidas de segurança proporcionais ao setor e ao tamanho do seu negócio, e reportem quaisquer incidentes às autoridades competentes.

Visa também melhorar a resiliência e a capacidade de resposta a incidentes, estabelecendo um quadro coerente para todas as atividades de supervisão e aplicação da legislação, regulamentando as empresas e os governos em matéria de cibersegurança e segurança da informação.


A Gestão de Topo assumirá a responsabilidade pela gestão de risco da NIS 2

Os líderes serão responsáveis por garantir que as medidas de cibersegurança estejam implementadas e a funcionar de forma eficaz nas suas organizações. Para cumprir esta responsabilidade, deverão ter o conhecimento e as competências necessárias para avaliar os riscos de cibersegurança, questionar os planos de segurança, discutir atividades, formular opiniões e avaliar políticas e soluções que protejam os ativos das suas organizações. A falta de uma supervisão adequada dos riscos pode resultar em responsabilidades significativas para a empresa.


Revolucionar as medidas técnicas, operacionais e organizacionais

À medida que o panorama das ameaças cibernéticas na União Europeia continua a evoluir, a Diretiva NIS 2 irá fortalecer a postura de cibersegurança através da responsabilização dos C-suite (altos executivos), de medidas abrangentes de resiliência, da notificação rápida de incidentes e de uma vigilância colaborativa. A conformidade com esta diretiva irá promover a confiança entre clientes, shareholders e acionistas. Todas as entidades estarão sujeitas ao seguinte:

Segurança e reporting

Os requisitos de segurança e de reporting devem ser proporcionais ao risco, dimensão, custo, impacto e gravidade de cada incidente. Medidas técnicas, operacionais e organizacionais, como recuperação de desastres, gestão de crises, segurança na aquisição de sistemas, gestão e divulgação de vulnerabilidades, são requisitos básicos. A Diretiva NIS 2 introduz prazos rigorosos para a notificação à autoridade local - Centro Nacional de Cibersegurança.

Gerir o risco de fornecedores

As organizações devem realizar avaliações de risco internas e coordenadas para identificar vulnerabilidades específicas dos seus fornecedores, prestadores de serviços e das respetivas soluções e processos de cibersegurança.

Divulgação de Vulnerabilidades

A Diretiva NIS 2 estabelece um quadro básico para a divulgação coordenada de vulnerabilidades recém-descobertas em toda a UE. Cria também uma base de dados para vulnerabilidades publicamente conhecidas da UE em produtos e serviços de tecnologias de informação e comunicação (TIC), que será gerida e mantida pela European Union Agency for Cybersecurity (ENISA).


Quem está abrangido pela NIS 2

A Diretiva NIS 2 redefine, face à NIS, a classificação dos tipos de organizações abrangidas, tendo em conta fatores como o número de colaboradores, setor de atividade e criticidade.

A NIS 2 substitui a classificação de Operators of Essential Services (OES) e Digital Service Providers (DSP) por duas novas categorias: Setores de importância crítica e Outros setores críticos. Para além destas, em circunstâncias excecionais, pequenas/microempresas podem ser incluídas no âmbito da Diretiva NIS 2 se cumprirem qualquer um dos seguintes critérios:

  • São o único fornecedor de um serviço essencial para a manutenção de atividades sociais ou económicas críticas dentro de um Estado-Membro;

  • Fornecedores de redes públicas de comunicações eletrónicas ou prestadores de serviços de comunicações eletrónicas acessíveis ao público;

  • Prestadores de serviços de confiança;

  • Registos de nomes de domínio de topo e prestadores de serviços de sistemas de nomes de domínio; e

  • Entre outras especificidades decorrentes do artigo 2.º da NIS 2.

A sua organização está abrangida pela Diretiva NIS 2?


Setores de importância crítica abrangidos pela NIS 2

A NIS 2 enfatiza o papel crítico das entidades essenciais, que são identificadas como organizações que possuem pelo menos 250 funcionários ou receitas superiores a 50 milhões de euros, e pertencem a determinados setores de atividade.

O setor da Energia é vasto e diversificado do ponto de vista da Diretiva NIS 2, abrangendo organizações que fornecem eletricidade, aquecimento/arrefecimento, petróleo, gás e hidrogénio. Esta diretiva exige que as organizações deste setor reforcem a segurança e a resiliência dos sistemas que desempenham um papel vital na produção, fornecimento, distribuição, armazenamento e transmissão de energia.

As organizações deste setor devem considerar o tipo de clientes a quem prestam serviços e implementar medidas que sejam apropriadas e proporcionais aos riscos que as suas infraestruturas enfrentam. Estas medidas podem variar desde formação direcionada para a gestores e stakeholders de cibersegurança e segurança física até à realização de avaliações anuais de cibersegurança e risco. Além disso, planos robustos de resposta e recuperação de desastres são cruciais para mitigar os impactos dos incidentes cibernéticos.

De acordo com a Diretiva NIS 2, o setor dos transportes incluí: o transporte aéreo, ferroviário, aquático e rodoviário. Estas devem identificar e proteger a sua infraestrutura crítica, comunicar incidentes atempadamente e colaborar com as entidades reguladoras relevantes. Interrupções significativas no setor dos transportes têm, historicamente, provocado um efeito de repercussão em toda a sociedade.

As organizações devem, portanto, proteger os seus dados em tempo real e a segurança geral da sua cadeia de abastecimento. São necessários investimentos substanciais para melhorar a segurança das tecnologias operacionais a resiliência a longo prazo. As tecnologias utilizadas para facilitar o transporte devem cumprir um padrão rigoroso, sendo responsabilidade da entidade assegurar que todos os fornecedores envolvidos na cadeia de abastecimento mantenham o nível de segurança, ou superior, para reduzir o risco de ciberataques. Além disso, a realização regular de testes de resiliência em cibersegurança também é essencial para promover uma cultura de melhoria contínua nas medidas de proteção.  

O setor financeiro possui uma ampla gama de requisitos de conformidade, e a Diretiva NIS 2 não é exceção. Para evitar a duplicação das obrigações das entidades que operam nestes setores, a Diretiva estabelece que, quando uma entidade estiver sujeita a obrigações específicas do setor que sejam “pelo menos equivalentes em efeito” às obrigações substanciais de cibersegurança ou de notificação de incidentes previstas na Diretiva NIS 2, essas obrigações da NIS 2 não serão aplicáveis.

O Regulamento sobre a Digital Operational Resilience Act (DORA) é  considerado um regulamento específico do setor para as entidades financeiras no que diz respeito à Diretiva NIS 2. Consequentemente, as disposições do DORA relacionadas com a gestão de riscos de TIC, incidentes, relatórios, testes de resiliência e partilha de informações aplicar-se-ão em vez das previstas na Diretiva NIS 2. Do ponto de vista da NIS 2, o regulamento estabelece regras uniformes sobre a segurança das redes e dos sistemas de informação das entidades financeiras, tais como bancos, companhias de seguros e empresas de investimento.

O setor da administração pública gere grandes quantidades de dados sensíveis, que devem ser sempre protegidos. Reconhecida como setor de importância crítica, as entidades nos setores dos serviços sociais, regulação económica e representação política são frequentemente alvo de ciberataques. Ciberataques bem-sucedidos podem causar disrupções operacionais significativas ou violações de dados com impactos sociais de longo alcance.

Medidas robustas de cibersegurança são fundamentais para proteger os ativos de informação e os dados pessoais. Existem diferentes níveis de consciencialização sobre cibersegurança em todo o setor, pelo que a diretiva exige que as organizações invistam fortemente na formação nesta área. Além da formação, as avaliações de risco regulares e os relatórios para melhorias contínuas são essenciais. Estas ações são fundamentais para reforçar o setor face ao cenário de ameaças cibernéticas em constante evolução, garantindo a proteção dos ativos de informação e dos dados pessoais.

Para a Diretiva NIS 2, o setor da saúde engloba prestadores de cuidados de saúde, incluindo fabricantes de produtos farmacêuticos, como vacinas. O potencial de incidentes cibernéticos em locais como hospitais e centros de saúde pode ter consequências ameaçadoras, destacando a importância de proteger os dados dos pacientes e garantir a sua disponibilidade.

Incidentes cibernéticos recentes que afetaram o setor da saúde tiveram efeitos de longo alcance, especialmente, sobre populações vulneráveis. As organizações deste setor devem adotar medidas para mitigar tais perturbações e garantir a continuidade da prestação de serviços essenciais. Tais medidas incluem o aperfeiçoamento e testes regulares dos sistemas de cibersegurança, a formação dos colaboradores em práticas de cibersegurança, o desenvolvimento de planos abrangentes de resposta e comunicação de incidentes, e a proteção dos dados dos pacientes através de procedimentos adequados de manuseamento e armazenamento dos mesmos.

Reconhecido como uma entidade importância crítica sob a Diretiva NIS 2, o setor espacial apoia várias indústrias, incluindo telecomunicações, navegação e segurança nacional. A sofisticação dos ciberataques neste setor, muitas vezes planeados por organizações criminosas, exige que as organizações cumpram os requisitos mais rigorosos estabelecidos pela Diretiva.

A complexidade deste setor é amplificada pelas barreiras físicas associadas aos locais remotos onde os seus sistemas operam (ou seja, no espaço), bem como pela dependência de sistemas antigos que foram desenvolvidos sem considerar a cibersegurança. As entidades desta indústria devem concentrar-se na segurança da cadeia de abastecimento e colaborar estreitamente com as entidades reguladoras para identificar e mitigar os riscos de cibersegurança. Isto inclui a realização de uma diligência rigorosa na escolha de fornecedores, a gestão eficaz dos riscos na cadeia de abastecimento e a monitorização atenta das interações com terceiros para reforçar a segurança global.

Fornecer água potável à sociedade e gerir as águas residuais é fundamental para garantir saúde pública e reduzir o impacto ambiental. A Diretiva dá uma grande importância à proteção da infraestrutura, incluindo centros de tratamento e distribuição de água, que dependem fortemente de sistemas de tecnologia operacional (OT) para processos como a dosagem de produtos químicos e a regulação de pressão.

A implementação dos controlos exigidos pela Diretiva NIS 2 implicará que as entidades no setor de abastecimento de água terão de investir significativamente em medidas de proteção cibernética. Os sistemas de tratamento de água atuais foram desenvolvidos muito antes de a cibersegurança ser uma preocupação, desta forma, os seus sistemas são inadequados do ponto de vista da cibersegurança. As organizações afetadas terão de estabelecer processos de gestão de risco para os sistemas OT, garantir atualizações regulares de segurança para sistemas e plataformas, e proporcionar formação abrangente em cibersegurança aos seus funcionários. Será também necessário colaborar entre os setores para desenvolver estratégias de segurança coesas.

As entidades do setor da infraestrutura digital incluem Fornecedores de pontos de troca de tráfego; Prestadores de serviços de domain name service (DNS), excluindo operadores de servidores de nomes raiz; Registos de nomes de top-level domain (TLD); Prestadores de serviços de computação em cloud; Prestadores de serviços de centro de dados; Fornecedores de redes de distribuição de conteúdos; Prestadores de serviços de confiança; Fornecedores de redes públicas de comunicações eletrónicas; Prestadores de serviços de comunicações eletrónicas acessíveis ao público.

As entidades dentro da gestão de serviços de TIC incluem:

  • Prestadores de serviços geridos;
  • Prestadores de serviços de segurança geridos.

A nossa dependência da infraestrutura digital torna as entidades deste setor vitais para a vida quotidiana, uma vez que qualquer interrupção pode afetar tanto os fornecedores de tecnologia como os seus utilizadores. A natureza totalmente digital deste setor amplifica a sua vulnerabilidade a ciberataques. Os ambientes digital e físico devem ser considerados em conjunto. A Diretiva NIS 2 reconhece essas necessidades, realçando a segurança física, a resposta a incidentes, os planos de recuperação e a supervisão regulatória para proteger este setor crítico.


Outros setores críticos abrangidos pela Diretiva NIS 2

As entidades importantes são identificadas como organizações que têm entre 50 e 249 funcionários ou mais de 10 milhões de euros em receitas.

Tal como outras indústrias, o setor postal depende cada vez mais da tecnologia digital para as suas operações, tornando-se altamente vulnerável às ameaças cibernéticas. Este setor, que abrange os serviços postais e de correio, é especificamente alvo de ameaças cibernéticas através de esquemas de phishing e várias formas de engenharia social, especialmente durante os períodos de maior movimento. A cibersegurança ao abrigo da Diretiva NIS 2 é crucial para o setor dos correios devido à sua utilização generalizada na sociedade.

Os principais desafios do setor incluem a falta de conhecimento sobre cibersegurança e a atuação de agentes externos que visam informações e ativos em trânsito. Cumprir com a NIS 2 requer a implementação de medidas de proteção, como o reforço da segurança de dados, a gestão de riscos na cadeia de abastecimento e a colaboração entre operadores postais para uma melhor mitigação de riscos e partilha de informações.

O setor da gestão de resíduos é crucial para a manutenção da saúde ambiental e pública e, está a entrar numa era transformadora sob a Diretiva NIS 2. As ciberameaças que são capazes de perturbar serviços essenciais como a recolha, transporte, tratamento e disposição de resíduos representam riscos para a saúde pública e o meio ambiente.

A Diretiva NIS 2 orienta o setor para uma postura digital reforçada. Esta integra a cibersegurança em todos os aspetos do ciclo de vida da gestão de resíduos, promovendo um ambiente onde a conscientização sobre as ciberameaças é fundamental. O setor deverá realizar avaliações de risco cibernético completas e desenvolver estratégias de mitigação eficazes.

O setor químico, que integra várias indústrias, é um dos focos da Diretiva NIS 2 devido ao potencial impacto generalizado dos ciberataques. Abrange entidades na indústria farmacêutica, corantes, agroquímicos, produtos químicos alimentares, catalisadores, entre outros. Os ciberataques, especialmente em sistemas de controlo industrial, podem interromper processos de produção crítica.

A Diretiva enfatiza a segurança da cadeia de abastecimento, exigindo que as organizações avaliem e mitiguem riscos, e que mantenham a supervisão da cadeia de fornecimento e reservem orçamento para os custos de conformidade - incluindo a sua própria infraestrutura de segurança e a dos seus fornecedores.

O setor de investigação lida com informações sensíveis e confidenciais, o que o torna um alvo atrativo para cibercriminosos. Este setor inclui organizações que trabalham com produtos farmacêuticos, semicondutores e tecnologia, onde o valor dos dados envolvidos aumenta o risco de ciberataques. Ameaças como fugas de dados, espionagem interna e várias formas de roubo cibernético podem ocorrer, dado o potencial de exploração de dados sensíveis de investigação para enriquecimento financeiro, pessoal ou patrocinado por estados.

A natureza descentralizada do setor de investigação pode complicar o estabelecimento de políticas e práticas de cibersegurança consistentes. Sob a Diretiva NIS 2, há uma necessidade urgente de aumentar a consciencialização sobre cibersegurança entre os colaboradores, capacitando-os a reconhecer e responder de forma mais eficaz às ameaças cibernéticas. As organizações de investigação devem navegar e cumprir vários regulamentos para proteger os seus dados, incluindo o Regulamento Geral de Proteção de Dados (RGPD), a Lei da Inteligência Artificial e a Diretiva NIS 2.

O setor alimentar abrange alimentos para animais, cereais e sementes oleaginosas, açúcar e produtos de confeitaria, frutas e vegetais, alimentos especializados e laticínios. Este setor tem vindo a digitalizar cada vez mais os seus processos de cadeia de abastecimento, aumentando a sua vulnerabilidade a ciberataques que podem perturbar várias operações, desde a agricultura ao processamento de alimentos, embalamento, transporte e vendas a retalho.

A Diretiva incentiva uma melhor colaboração com os estados-membros da UE para melhorar a cadeia de abastecimento de segurança alimentar e utilizar informações para compreender e preparar-se melhor para ameaças específicas da indústria. A realização de avaliações de risco e a gestão da segurança dos sistemas de informação durante a aquisição, implementação, manutenção e desmantelamento é fundamental para identificar vulnerabilidades. Isto é reforçado pela promoção da identificação de infraestruturas críticas e pela conformidade com normas de cibersegurança.

O setor industrial inclui organizações envolvidas na produção de dispositivos médicos, computadores e eletrónica, máquinas e equipamentos, veículos automóveis, reboques e semirreboques, assim como outros equipamentos de transporte. As organizações, desde a produção em pequena escala até aos grandes processos industriais, enfrentam riscos significativos devido à interconectividade das máquinas digitalizadas. O setor é vulnerável a várias ciberameaças, incluindo ataques à Internet of Things (IoT), sabotagem de equipamentos, ransomware e ataques à cadeia de abastecimento.

Dando ênfase à segurança da cadeia de abastecimento, a Diretiva NIS 2 incentiva os fabricantes a concentrarem-se na avaliação e mitigação dos riscos associados a essa cadeia. Isto é fundamental para manter os controlos de segurança rigorosos e minimizar vulnerabilidades. As organizações devem implementar medidas abrangentes de cibersegurança e avaliar regularmente a sua postura de segurança. O melhoramento da gestão de riscos é crucial para o setor da indústria e pode exigir investimento em novas ferramentas e processos, a fim de cumprir com a regulamentação e aumentar a colaboração com fornecedores de TI.

O setor digital, é um campo dinâmico e em constante expansão, que engloba diversos serviços, incluindo motores de busca, mercados online e redes sociais. Reconhecido pela Diretiva NIS 2 como um conjunto de entidades críticas para a supervisão regulamentar, estas organizações fazem a ponte entre a inovação e a cibersegurança. Este setor revolucionou a forma como empresas e indivíduos comunicam, realizam transações e acedem a informação. Contudo, a sua conectividade online inerente também cria amplas oportunidades para ameaças cibernéticas. Em resposta a estes desafios, a Diretiva estabelece requisitos rigorosos para os fornecedores digitais. Estes devem reportar todos os incidentes de segurança significativos e manter registos detalhados dos seus sistemas de segurança, promovendo uma maior responsabilização e transparência.

A conformidade dos quadros regulamentares, como a Diretiva NIS 2 e o RGPD, pode, em casos específicos, ser acompanhado pelo cumprimento da Digital Services Act (DSA) e da Digital Markets Act (DMA). Dada a natureza global das suas operações, incluindo parcerias fora da UE, os fornecedores digitais devem também considerar as implicações da Diretiva NIS 2 para os seus negócios internacionais.


Execuções

A NIS 2 confere às autoridades de supervisão nos Estados-Membros da UE capacidades de execução para regular a cibersegurança e a segurança da informação em entidades tanto privadas como governamentais. As medidas de supervisão são as seguintes:

  • Setores de elevada criticidade: supervisão ex-ante e ex-post, inspeções presenciais e supervisão offsite, auditorias de segurança regulares e direcionadas, verificações de segurança e pedidos de informação, e auditorias ad hoc.

  • Outros setores críticos: supervisão ex-post, inspeções presenciais e supervisão ex-post offsite, auditorias de segurança direcionadas, verificações de segurança e pedidos de informação.

A Diretiva NIS 2 entrou em vigor a 16 de janeiro de 2023 na União Europeia. Os Estados-Membros deviam adotar e publicar as medidas necessárias para estar em conformidade até 17 de outubro de 2024*, as quais entraram em vigor a partir de 18 de outubro de 2024.

(*Está em curso em Portugal o processo de transposição legislativa da Diretiva NIS 2, ocorreu no mês de dezembro de 2024 a consulta pública.)

Estão em vigor medidas administrativas para incentivar as entidades a seguir práticas de cibersegurança e proteger os seus sistemas críticos, que incluem: 

  • Instruções vinculativas: se as entidades violarem as regras de cibersegurança, poderão receber instruções específicas para retificar a situação;

  • Recomendações de auditoria de segurança: as entidades podem ser obrigadas a implementar as recomendações de uma auditoria de segurança;

  • Alinhamento com os requisitos da NIS: podem ser emitidas ordens para garantir que as medidas de segurança estão em conformidade com os requisitos da NIS; e

  • Multas administrativas: para entidades essenciais, a multa máxima é de €10 milhões ou 2% do volume de negócios total anual a nível mundial, e para entidades importantes, a multa máxima é de €7 milhões ou 1,4% do volume de negócios total anual a nível mundial.

Fortaleça a segurança da sua organização

Explore as nossas soluções de cibersegurança e garanta a proteção dos seus dados, sistemas e processos com um ambiente digital seguro.

Saiba mais

Subscreva a nossa mailing list de Cibersegurança

Aceda a conteúdos sobre tendências, boas práticas e soluções para a proteção do seu negócio contra ameaças cibernéticas.

Subscreva já
Siga-nos

Os campos obrigatórios estão assinalados com um asterisco(*)

Ao submeter este formulário assume ter lido a nossa declaração de privacidade, dando o seu consentimento para que façamos o processamento de dados de acordo com a referida declaração (incluindo transferências internacionais). Se, a qualquer momento, mudar de ideias quanto à receção de informação sobre a PwC, poderá enviar-nos um email.

Contacte-nos

Marcelo Ferreira Rodrigues

Marcelo Ferreira Rodrigues

Cybersecurity & Privacy Partner, PwC Portugal

Linkedin Follow Email
Luis Carlos Fernandes

Luis Carlos Fernandes

Risk Assurance Director, PwC Portugal

Linkedin Follow Email
Fechar
Assurance Advisory Tax Indústrias Sala de imprensa Carreiras PwC em Portugal Contacte-nos

© 2015 - 2025 PwC. Todos os direitos reservados. "PwC" refere-se à rede de entidades que são membros da PricewaterhouseCoopers International Limited (PwCIL), cada uma das quais é uma entidade legal distinta e não atuam como agentes da PwCIL, nem das restantes entidades membros da network. A PwCIL não presta serviços a clientes. A PwCIL não assumirá qualquer responsabilidade perante terceiros por atos ou omissões praticados no exercício da atividade profissional das suas firmas membros, nem exerce qualquer controlo sobre, ou os vincula juridicamente. Nenhuma das entidades pertencentes à rede PwC exerce qualquer controlo sobre, nem vincula juridicamente as demais entidades no exercício da sua atividade profissional pelo que não poderão as mesmas ser responsabilizadas, a que título for, perante terceiros por atos ou omissões praticados no exercício das respetivas atividades profissionais.