NIS2: Tudo sobre a nova diretiva de cibersegurança da UE
Diretiva NIS2 (NIS2 Directive) é um regulamento da União Europeia (UE) que busca fortalecer a segurança digital de seus estados-membros, introduzindo deveres mais rigorosos para empresas e outras entidades. Entre os pontos principais da NIS2 estão a implementação de medidas de proteção, a execução de inspeções periódicas de segurança e a implementação de canais de notificação de incidentes mais ágeis.
- Resolução de domínio mais rápida para te manter online por mais tempo
- Proteção adicional contra interrupções e quedas
- Sem necessidade de transferência de domínio
O que é a Diretiva NIS2?
A Diretiva NIS2, válida para os estados-membros da União Europeia, tem como objetivo melhorar a resistência de infraestruturas essenciais ou importantes contra ameaças cibernéticas. Ao entrar em vigor em 16 de janeiro de 2023, ela substituiu a diretiva anterior, NIS1, que já havia introduzido um moderno padrão de segurança de TI.
Para garantir a máxima proteção, tanto no setor público quanto privado, a Diretiva NIS2 estabelece regras mais abrangentes e rigorosas, para um grupo-alvo maior. Essa atualização, mais exigente, busca fortalecer a segurança cibernética, atuando mais eficazmente contra ameaças digitais e lacunas de segurança. Além disso, a NIS2 pretende assegurar que entidades que fortalecem bens e serviços essenciais à população estejam protegidas contra falhas e interrupções no funcionamento, mesmo em situações de crise.
A principal missão da NIS2 é fazer com que empresas estejam mais bem preparadas para evitar ciberataques e reagir com eficiência e agilidade a problemas de TI. Com uma estratégia de segurança mais consistente, a diretiva visa a maximizar a cibersegurança da União Europeia e servir de inspiração internacional. Todos os estados-membros da UE estão implementando a diretiva em suas respectivas legislações nacionais, o que afeta entidades de todos os tamanhos, desde que se enquadrem nas novas regras.
O que muda a Diretiva NIS2?
O dever de implementar a Diretiva NIS2 incorre em mudanças significativas para empresas e entidades da União Europeia, de 18 setores diferentes. Novidade em relação à diretiva anterior, mais que o dobro de setores foram classificados como essenciais. Além disso, multas por descumprimento da diretiva tornaram-se mais pesadas e também podem ser aplicadas a gestores. Na Alemanha, que será usada como exemplo ao longo do artigo, a NIS2 afeta cerca de 40 mil empresas com mais de 50 funcionários, ou seja, mais de 10 milhões de euros anuais em volume de negócios.
Este é o resumo das mudanças ocasionadas pela Diretiva NIS2:
- Ampliação do grupo de setores essenciais: A NIS2 classifica ainda mais setores como essenciais.
- Punições mais severas: A diretiva estipula multas substancialmente maiores por infrações.
- Responsabilização de gestores: Funcionários em cargos de gestão passam a ser diretamente responsáveis pelo cumprimento das normas de cibersegurança.
- Maior campo de aplicação: A Diretiva NIS2 se aplica a empresas com mais de 50 funcionários ou faturamento anual superior a 10 milhões de euros, bem como a certas empresas independentemente do seu tamanho.
- Obrigatoriedade de análises de riscos: Empresas têm o dever de realizar análises de riscos minuciosas.
- Dever de gestão de riscos e de segurança: A NIS2 estabelece exigências rigorosas de gestão de riscos e de segurança. Diversas medidas de proteção, como testes de intrusão, firewalls de hardware e estratégias de backup são obrigatórias.
- Gestão de crises compulsória: Para lidar com incidentes de segurança, as empresas devem ter estratégias de gestão de crises, canais de comunicação e sistemas de notificação que funcionem com rapidez e eficácia.
- Uso dos protocolos de segurança existentes: As empresas podem usar, como referência, os padrões de segurança já existentes de setores regulamentados.
- Escaneamento regular de vírus e malware
- Backup automático e recuperação de arquivos simples
O que a Diretiva NIS2 afeta?
A NIS2 distingue tipos de empresas, classificando cada uma como “essencial” ou “importante” (a categoria importante é novidade). Empresas com mais de 50 funcionários ou faturamento anual igual ou superior a 10 milhões de euros são diretamente afetadas pela definição. Há também empresas que podem se enquadrar na NIS2, independentemente do tamanho: quando sua inoperância implicar riscos sistêmicos. A categoria essencial engloba empresas de onze setores, especialmente àquelas com infraestruturas críticas, de importância decisiva para a sociedade. Já a categoria importante se aplica a sete setores com relevância sistêmica.
Categoria essencial: Setores e empresas
- Energia
- Abastecimento de água
- Transporte
- Instituições bancárias
- Infraestruturas do mercado financeiro
- Instituições de saúde
- Agências espaciais
- Esgotos
- Administração pública
- Infraestrutura digital
- Gestão de serviços de TI e telecomunicações (B2B)
Categoria importante: Setores e empresas
- Serviços postais e de entregas
- Coleta de lixo
- Indústria química
- Fornecimento de alimentos
- Provedores de serviços digitais
- Indústria (empresas de processamento ou fabricação)
- Pesquisa (facultativo)
Que deveres a NIS2 estabelece para empresas?
A NIS2 estabelece deveres mais rigorosos e medidas significativas para as empresas, incluindo:
| Deveres | Medidas |
|---|---|
| Gestão de riscos e de continuidade operacional (§30, 31) | Criptografia, autenticação multifatorial, higiene cibernética, atribuição de funções e controle de acesso, gestão de backup e recuperação de sistemas, segurança da cadeia de suprimentos e análises de riscos estão entre os itens obrigatórios. Devido à regra do âsize capâ (limite de tamanho), os requisitos mÃnimos diferem de acordo com o porte da empresa. |
| Dever de notificação e informação (§32, 35) | Incidentes de segurança significativos devem ser relatados ao CSIRT (Cybersecurity Incident Response Team) ou ao órgão nacional responsável, em até 24 horas. As primeiras análises devem ser concluÃdas após 72 horas. Um relatório final detalhado deve ser apresentado dentro de um mês. |
| Dever de cadastramento (§33, 34) | As entidades afetadas e os provedores de serviços de registro de nomes de domÃnio devem enviar informações aos órgãos competentes por meio de um recurso de cadastramento, no prazo máximo de três meses após a entrada em vigor da NIS2. Se o dever de cadastramento não for cumprido, também pode ser exercido pelo órgão de fiscalização. |
| Dever de aprovação, monitoramento e treinamento de gestores (§38) | A delegação de medidas de segurança pela administração da empresa não é mais suficiente. Os gestores agora precisam aprovar ativamente as medidas necessárias e têm um dever parcial de treinamento. |
| Medidas de supervisão e execução (§61, 62) | Os órgãos nacionais de segurança da informação devem fiscalizar a implementação das medidas obrigatórias. No mÃnimo três anos após a vigência da NIS2, esses órgãos podem exigir comprovação do cumprimento dos deveres. Em caso de perigo iminente, medidas podem ser impostas. |
Como facilitar a implementação da NIS2?
Para obedecer a diretiva desde o início, as empresas afetadas devem tomar as seguintes medidas:
- Análise da situação atual e ideal: Empresas afetadas pela NIS2 devem avaliar qual é a situação atual e qual o potencial de melhoria da sua resiliência cibernética.
- Implementação: Planos de análise de riscos e de segurança devem ser implementados para todos os sistemas de TI.
- Avaliação: As empresas devem verificar regularmente a eficácia dos seus métodos de gestão de riscos.
- Planejamento: As empresas têm o dever de elaborar um plano para lidar com incidentes de segurança.
- Gestão de backup e de crise: É necessário implementar medidas para a realização de backups de dados e gestão de crises.
- Sistema de notificação: Deve ser criado um sistema eficaz de notificação de incidentes de segurança.
- Treinamentos: Os funcionários devem ser treinados regularmente.
- Segurança da cadeia de suprimentos: Deve-se garantir a segurança da cadeia de suprimentos.
O que pode acontecer com empresas que não implementarem a NIS2?
Empresas que não implementarem as medidas estipuladas estão sujeitas a multas consideráveis (§65). A NIS2 concede aos órgãos fiscalizadores poderes abrangentes de supervisão, controle e instrução, incluindo a imposição de prazos. Além disso, os gestores assumem uma responsabilidade significativamente maior pelas medidas de proteção e segurança, podendo ser punidos pessoalmente em caso de infrações ou negligência (§38, §61).
Quando a Diretiva NIS2 entrou em vigor?
Em 14 de dezembro de 2022, o Parlamento Europeu e o Conselho Europeu aprovaram a Diretiva 2022/2555, conhecida como Diretiva NIS2. Ela entrou em vigor oficialmente em 16 de janeiro de 2023, substituindo a Diretiva NIS1. Até o dia 17 de outubro de 2024, ela deve ser implementada por todos os estados-membros da UE em suas respectivas legislações nacionais. Ela introduz grandes alterações no Regulamento eIDAS (UE) nº 910/2014 e na Diretiva EECC (UE) 2018/1972.
Ainda usando a Alemanha como exemplo, mais de 30 mil empresas e instituições do país serão obrigadas a implementar a NIS2, o que representa um considerável aumento de mais de 50% em comparação com a NIS1. Atualmente, existem dois projetos de lei e um documento de discussão que definem a estrutura e o conteúdo da lei alemã NIS2UmsuCG (Lei de Implementação da NIS2 e de Fortalecimento da Segurança Cibernética).