Opinião: Cibersergurança - O que muda com a diretiva NIS e por que as organizações t

O aumento de ciberataques exige o reforço da cibersegurança e a diretiva NIS 2 é um dos instrumentos europeus, mas Sérgio Sá questiona o nível de detalhe que Portugal irá aplicar através da transposição para a legislação nacional.

💥️Por Sérgio Sá (*) 

Em janeiro de 2023, entrou em vigor a diretiva ✅S✅ecurity of Network and Information Systems (NIS 2) também conhecida por Segurança das Redes e da Informação (SRI 2), que os estados membros terão de transpor para a legislação local até outubro 2024, evolução da NIS publicada em 2016 e em vigor através da Lei 65/2021.

Em resultado do incremento dos ciberataques e seu impacto na UE, desde que entrou a primeira diretiva NIS, foi identificada a necessidade de melhorar as medidas de cibersegurança. O objetivo do NIS 2 é assegurar a existência de um elevado nível comum de cibersegurança para os serviços críticos, essenciais e importantes💥️, em todos os estados membros da UE.

Esta diretiva introduz novos âmbitos e abordagens:

abrangendo mais entidades – críticas, essenciais e importantes, nomeadamente:

As organizações abrangidas pela diretiva NIS 2, como recomendação mínima, deverão ter em conta os seguintes requisitos:

A maioria das entidades críticas, essenciais e importantes já têm pelo menos partes destas medidas implementadas. A questão principal é qual o nível de detalhe que Portugal irá aplicar através da transposição para a legislação nacional.

A diretiva salienta que a implementação destas medidas deve ter em consideração os padrões europeus e internacionais como: custo de implementação, grau de exposição a riscos, dimensão da entidade, probabilidade de ocorrência de incidentes e sua gravidade, impacto social e económico. Estes fatores devem ser tidos em conta na determinação das medidas apropriadas e proporcionais a adotar.

Foi também definido que a dimensão da entidade, por si só, não é fator de exclusão, dependendo da importância que representa na sociedade.

As empresas que não cumpram a diretiva NIS2 podem ser sujeitas a coimas até 10 milhões de euros ou 2% do total do seu volume de negócios anual.

De notar que o NIS 2 acabou de ser lançado, e a sua efetividade dependerá do que for feito até outubro 2024. No entanto, devemos ter em conta que as ciberameaças que deram origem a esta diretiva continuarão a evoluir e também surgirão novos riscos.

De notar que o sector financeiro tem um regulamento que também acabou de entrar em vigor – DORA (✅Digital Resilience Operational Act), com impacto em várias indústrias também aqui envolvidas e que é ✅lexis specialis da NIS 2.

Deste modo, independentemente da redação final resultado da transposição local da diretiva NIS 2, as organizações deverão começar já a alinhar com os requisitos da Lei 65/2021 (transposição da Diretiva NIS 1) e a seguir começar a preparar-se para os requisitos da NIS 2.

💥️(*) Partner EY, Cybersecurity, Consulting Services

O que você está lendo é [Opinião: Cibersergurança - O que muda com a diretiva NIS e por que as organizações t].Se você quiser saber mais detalhes, leia outros artigos deste site.