A Diretiva NIS2 é uma re­gu­la­men­ta­ção da UE que reforça a re­si­li­ên­cia ci­ber­né­tica dos Estados-Membros e das empresas através de regras mais rigorosas. Entre os seus prin­ci­pais aspetos destacam-se a im­ple­men­ta­ção de medidas de segurança para melhorar a proteção das TI, au­di­to­rias de segurança e pro­ce­di­men­tos de no­ti­fi­ca­ção rápida em caso de in­ci­den­tes ci­ber­né­ti­cos.

O que é a Diretiva NIS2?

A Diretiva NIS2 da União Europeia tem como objetivo reforçar a re­si­li­ên­cia face às ameaças ci­ber­né­ti­cas nas in­fra­es­tru­tu­ras es­sen­ci­ais e im­por­tan­tes dos Estados-Membros. A sigla NIS2 significa «Network and In­for­ma­tion Security 2» (Segurança das Redes e dos Sistemas In­for­má­ti­cos, em português). Entrou em vigor a 16 de janeiro de 2023, subs­ti­tuindo a anterior Diretiva NIS1, que já tinha promovido uma mudança na segurança das TI.

Para garantir a máxima proteção tanto no setor privado como no público dos Estados-Membros da UE, a nova Diretiva NIS2 introduz regras mais abran­gen­tes e rigorosas para um leque mais alargado de or­ga­ni­za­ções. Este quadro mais rigoroso visa reforçar a re­si­li­ên­cia ci­ber­né­tica e melhorar a resposta a ameaças e vul­ne­ra­bi­li­da­des ci­ber­né­ti­cas. Além disso, a NIS2 garante que as ins­ta­la­ções críticas para o for­ne­ci­mento de bens ou serviços es­sen­ci­ais à população estejam pro­te­gi­das contra falhas e in­ter­rup­ções, mesmo em situações de crise.

O principal objetivo da NIS2 é preparar melhor as empresas para prevenir ci­be­ra­ta­ques e responder de forma rápida e eficiente a problemas de TI. Através de uma es­tra­té­gia de segurança mais coerente entre os Estados-Membros, procura-se criar o mais alto nível possível de ci­ber­se­gu­rança, tanto a nível nacional como in­ter­na­ci­o­nal, no espaço da UE. Todos os Estados-Membros devem transpor a Diretiva NIS2 para a sua le­gis­la­ção nacional, o que, em Espanha, afeta sobretudo as médias e grandes empresas (não as mais pequenas) que se enquadram nas novas normas.

O que muda com a Diretiva NIS2?

A obrigação de im­ple­men­tar a Lei de Ci­ber­se­gu­rança da Diretiva NIS2 traz consigo profundas inovações em 18 setores di­fe­ren­tes. O número de setores clas­si­fi­ca­dos como es­sen­ci­ais duplica-se e o regime de sanções por in­cum­pri­mento torna-se mais rigoroso. Além disso, os diretores exe­cu­ti­vos são di­re­ta­mente res­pon­sá­veis. Em Espanha, serão afetadas as médias empresas com entre 50 e 250 fun­ci­o­ná­rios e receitas anuais entre 10 e 50 milhões de euros, bem como as grandes empresas com mais de 250 fun­ci­o­ná­rios e 50 milhões de euros de receitas anuais. Em geral, em Espanha existem apro­xi­ma­da­mente 25 000 empresas com mais de 50 fun­ci­o­ná­rios e a maioria será afetada pela NIS2.

Resumo das al­te­ra­ções in­tro­du­zi­das pela Diretiva NIS2:

  • Alar­ga­mento dos setores es­sen­ci­ais: a Diretiva NIS2 clas­si­fica mais setores como es­sen­ci­ais.
  • Sanções mais rigorosas: a NIS2 aumenta sig­ni­fi­ca­ti­va­mente as multas por infrações.
  • Res­pon­sa­bi­li­dade dos di­ri­gen­tes: os di­ri­gen­tes são di­re­ta­mente res­pon­sá­veis pelo cum­pri­mento das normas de ci­ber­se­gu­rança.
  • Âmbitos de aplicação mais amplos: a Diretiva NIS2 aplica-se a empresas com mais de 50 fun­ci­o­ná­rios ou com receitas su­pe­ri­o­res a 10 milhões de euros, bem como a de­ter­mi­na­das empresas, in­de­pen­den­te­mente da sua dimensão.
  • Obrigação de análises de risco exaus­ti­vas: as empresas devem realizar análises de risco mi­nu­ci­o­sas.
  • Gestão de riscos e segurança obri­ga­tó­rias: existem re­qui­si­tos rigorosos para a gestão de riscos e medidas de segurança. São obri­ga­tó­rias algumas medidas, tais como testes de pe­ne­tra­ção, firewalls de hardware e es­tra­té­gias de cópias de segurança.
  • Gestão de crises obri­ga­tó­ria: em caso de in­ci­den­tes de segurança, são ne­ces­sá­rias es­tra­té­gias rápidas e eficazes de gestão de crises, co­mu­ni­ca­ção e sistemas de no­ti­fi­ca­ção.
  • Uti­li­za­ção de pro­to­co­los de segurança exis­ten­tes: as empresas podem utilizar normas de segurança já es­ta­be­le­ci­das como re­fe­rên­cia.

Quem é abrangido pela Diretiva NIS2?

A Diretiva NIS2 clas­si­fica as empresas em duas ca­te­go­rias: es­sen­ci­ais e im­por­tan­tes (esta última é nova). São abran­gi­das as empresas com mais de 50 tra­ba­lha­do­res ou com um volume de negócios anual de, pelo menos, 10 milhões de euros. Além disso, algumas empresas também podem estar sujeitas à Diretiva NIS2, in­de­pen­den­te­mente da sua dimensão, se a sua in­ter­rup­ção re­pre­sen­tar um risco sistémico. A categoria «essencial» inclui empresas de onze setores, prin­ci­pal­mente as que são fun­da­men­tais para o fun­ci­o­na­mento do Estado. A categoria «im­por­tante» abrange sete setores adi­ci­o­nais.

Setores e empresas es­sen­ci­ais

  • Energia
  • Abas­te­ci­mento de água
  • Trans­por­tes
  • Banca
  • In­fra­es­tru­tu­ras dos mercados fi­nan­cei­ros
  • Saúde
  • Espaço
  • Gestão de águas residuais
  • Ad­mi­nis­tra­ção pública
  • In­fra­es­tru­tu­ras digitais
  • Gestão de serviços TIC (B2B)

Setores e empresas im­por­tan­tes

  • Serviços postais e de entregas
  • Resíduos
  • Indústria química
  • Abas­te­ci­mento alimentar
  • Pres­ta­do­res de serviços digitais
  • Indústria trans­for­ma­dora
  • In­ves­ti­ga­ção (opcional)

Quais são as obri­ga­ções das empresas?

A Diretiva NIS2 impõe obri­ga­ções rigorosas e al­te­ra­ções sig­ni­fi­ca­ti­vas às empresas. Tenha em conta que a trans­po­si­ção desta diretiva ainda está em curso em Espanha, pelo que as in­for­ma­ções contidas na tabela seguinte podem sofrer al­te­ra­ções:

Obri­ga­ções Medidas
Gestão de riscos e con­ti­nui­dade En­crip­ta­ção, au­ten­ti­ca­ção mul­ti­fa­tor, ci­berhi­gi­ene e segurança na cadeia de abas­te­ci­mento, em con­for­mi­dade com o Esquema Nacional de Segurança (ENS). Os re­qui­si­tos mínimos variam consoante a dimensão da empresa.
No­ti­fi­ca­ção de in­ci­den­tes Os in­ci­den­tes de segurança sig­ni­fi­ca­ti­vos devem ser no­ti­fi­ca­dos ao CSIRT (Equipa de Resposta a In­ci­den­tes de Ci­ber­se­gu­rança) no prazo de 24 horas. A primeira avaliação deve ser realizada em 72 horas e o relatório final num mês.
Registo de for­ne­ce­do­res es­sen­ci­ais As empresas e os ope­ra­do­res de serviços es­sen­ci­ais devem registar-se no âmbito do ENS.
Res­pon­sa­bi­li­dade dos di­ri­gen­tes Os di­ri­gen­tes res­pon­sá­veis pela aprovação e su­per­vi­são das medidas de ci­ber­se­gu­rança serão também res­pon­sa­bi­li­za­dos em caso de ne­gli­gên­cia grave.
Su­per­vi­são e sanções O Centro Crip­to­ló­gico Nacional (CCN-CERT) su­per­vi­si­o­nará o cum­pri­mento, aplicando multas sig­ni­fi­ca­ti­vas em caso de in­cum­pri­mento.

Como facilitar a im­ple­men­ta­ção do NIS2?

Para cumprir atem­pa­da­mente as obri­ga­ções de­cor­ren­tes da Diretiva NIS2, as empresas devem tomar as seguintes medidas:

  • Análise da situação atual e dos objetivos: verifica se a sua empresa está sujeita às obri­ga­ções da NIS2 e avalia a situação atual e as áreas a melhorar no que diz respeito à re­si­li­ên­cia ci­ber­né­tica da sua empresa.
  • Im­ple­men­ta­ção: devem ser in­tro­du­zi­das análises de risco e conceitos de segurança para todos os sistemas de in­for­ma­ção.
  • Avaliação: é ne­ces­sá­rio rever re­gu­lar­mente a eficácia dos métodos de gestão de riscos.
  • Ela­bo­ra­ção: é obri­ga­tó­rio de­sen­vol­ver um plano para gerir in­ci­den­tes de segurança.
  • Gestão de crises e cópias de segurança: devem ser im­ple­men­ta­das medidas de backup de dados e gestão de crises.
  • Sistema de no­ti­fi­ca­ção: é essencial es­ta­be­le­cer um sistema eficaz de no­ti­fi­ca­ção de in­ci­den­tes de segurança.
  • Formação: os fun­ci­o­ná­rios devem receber formação re­gu­lar­mente.
  • Segurança na cadeia de abas­te­ci­mento: deve ser garantida a segurança na cadeia de abas­te­ci­mento.

O que acontece se a NIS2 não for im­ple­men­tada?

As empresas que não im­ple­men­ta­rem as medidas pres­cri­tas enfrentam multas avultadas. As au­to­ri­da­des de su­per­vi­são, em con­for­mi­dade com a Diretiva NIS2, terão amplos poderes de su­per­vi­são, controlo e imposição de medidas, incluindo a imposição de prazos. Além disso, os diretores exe­cu­ti­vos assumirão uma maior res­pon­sa­bi­li­dade no que diz respeito às medidas de proteção e segurança, podendo ser pes­so­al­mente res­pon­sa­bi­li­za­dos em caso de infrações ou ne­gli­gên­cia.

Quando entra em vigor a Diretiva NIS2?

Em 14 de dezembro de 2022, o Par­la­mento Europeu e o Conselho aprovaram a Diretiva (UE) 2022/2555, conhecida como Diretiva NIS2. Esta subs­ti­tuiu a anterior Diretiva NIS e entrou ofi­ci­al­mente em vigor em janeiro de 2023. Todos os Estados-Membros da UE deviam transpô-la para a sua le­gis­la­ção nacional antes de 17 de outubro de 2024 e, em teoria, as medidas já são apli­cá­veis a partir de 18 de outubro deste ano. No entanto, alguns Estados-Membros, como a Espanha, ainda não a trans­pu­se­ram. O prazo para o fazer é 17 de janeiro de 2025. A Diretiva NIS2 introduz al­te­ra­ções sig­ni­fi­ca­ti­vas no Re­gu­la­mento eIDAS (UE) n.º 910/2014 e na Diretiva EECC (UE) 2018/1972.

Em Espanha, estima-se que cerca de 25 000 empresas estarão sujeitas à obrigação de cumprir a Diretiva NIS2, o que re­pre­senta um aumento sig­ni­fi­ca­tivo em relação à re­gu­la­men­ta­ção anterior, a NIS1. Atu­al­mente, o processo de trans­po­si­ção da diretiva está em curso, com um projeto de lei pendente de aprovação. A ins­ti­tui­ção principal res­pon­sá­vel pela sua im­ple­men­ta­ção é o Centro Crip­to­ló­gico Nacional (CCN-CERT), que su­per­vi­si­o­nará as medidas de ci­ber­se­gu­rança e garantirá o cum­pri­mento dos re­qui­si­tos es­ta­be­le­ci­dos na nova re­gu­la­men­ta­ção.

Ir para o menu principal