A Diretiva SRI2, mais conhecida por NIS 2 (Diretiva (UE) 2022/2555) é uma diretiva lançada pela União Europeia em 2022 que veio atualizar a NIS (Network and Information Security, ou Segurança da Rede e Informação), transposta para Portugal no Regime Jurídico da Segurança do Ciberespaço, mais conhecido por DL 65/ 2021.
Esta diretiva de cibersegurança vem dar resposta à crescente digitalização das organizações, e visa aumentar a resiliência operacional digital, definindo obrigações específicas de cibersegurança para organizações específicas em diversos setores. Esta diretiva impõe penalidades substanciais por não conformidades.
A NIS2 terá de ser transposta para lei nacional até 17 de outubro de 2024.
Quem é abrangido?
A NIS2 amplia o âmbito das entidades que devem cumprir os requisitos de cibersegurança, aplicando-se a entidades públicas e privadas que sejam consideradas médias empresas ou que excedam os limiares relativos a médias empresas (tal como classificadas na Recomendação 2003/361/CE), dividindo-as em duas categorias principais: Médias empresas com mais de 50 colaboradores ou volume de negócios anual acima de 10 milhões de euros, e grandes entidades.
Setores de Importância Crítica (Entidades essenciais)
Energia
Transportes
Setor bancário
Infraestruturas do mercado financeiro
Saúde
Água potável
Águas residuais
Infraestruturas digitais
Gestão de serviços TIC (B2B)
Administração pública
Espaço
Outros Setores Críticos (Entidades importantes)
Serviços postais e de estafeta
Gestão de resíduos
Produção, fabrico e distribuição de produtos químicos
Produção, transformação e distribuição de produtos alimentares
Indústria transformadora
Prestadores de serviços digitais
Investigação
Qualquer das empresas abrangidas tem de cumprir com os mesmos requisitos, existindo contudo diferenças na abordagem de supervisão. Para mais detalhes, pode consultar os artigos 2,3 e 4 e anexos I e II da diretiva.
Os estados membros, na transposição para a lei nacional, podem estender estes requisitos a outro tipo de empresas e setores.
Quais são os requisitos da NIS2?
A NIS introduz requisitos mínimos de cibersegurança para todas as entidades abrangidas, com o objetivo de assegurar consistência na União Europeia (artigo 21º).
Políticas de análise dos riscos e de segurança dos sistemas de informação;
Tratamento de incidentes;
Continuidade das atividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises;
Segurança da cadeia de abastecimento, incluindo aspetos de segurança respeitantes às relações entre cada entidade e os respetivos fornecedores ou prestadores de serviços diretos;
Segurança na aquisição, desenvolvimento e manutenção dos sistemas de rede e informação, incluindo o tratamento e a divulgação de vulnerabilidades;
Políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança;
Práticas básicas de ciber-higiene e formação em cibersegurança;
Políticas e procedimentos relativos à utilização de criptografia e, se for caso disso, de cifragem;
Segurança dos recursos humanos, políticas seguidas em matéria de controlo do acesso e gestão de ativos;
Utilização de soluções de autenticação multifatores ou de autenticação contínua, comunicações seguras de voz, vídeo e texto e sistemas seguros de comunicações de emergência no seio da entidade, se for caso disso.
Notificação de Incidentes (artigo 23º)
Qualquer incidente com impacto significativo deve ser notificado sem demora injustificada:
Sem demora injustificada e, em qualquer caso, no prazo de 24 horas depois de terem tomado conhecimento do incidente significativo, um alerta rápido, que, se aplicável, deve indicar se há suspeitas de que o incidente significativo foi causado por um ato ilícito ou malicioso ou se pode ter um impacto transfronteiriço;
Sem demora injustificada e, em qualquer caso, no prazo de 72 horas depois de terem tomado conhecimento do incidente significativo, uma notificação de incidente, que, se aplicável, deve atualizar as informações a que se refere a alínea a) e fornecer uma avaliação inicial do incidente significativo, incluindo da sua gravidade e do seu impacto, bem como, se disponíveis, dos indicadores de exposição a riscos;
A pedido de uma CSIRT ou, se aplicável, da autoridade competente, um relatório intercalar com informações atualizadas importantes sobre a situação;
O mais tardar um mês após a apresentação da notificação de incidente mencionada na alínea b), um relatório final que contenha os seguintes elementos:
uma descrição pormenorizada do incidente, incluindo da sua gravidade e do seu impacto,
o tipo de ameaça ou provável causa primária suscetível de ter desencadeado o incidente,
medidas de atenuação aplicadas e em curso,
se aplicável, o impacto transfronteiriço do incidente;
Em caso de incidente em curso no momento da apresentação do relatório final referido na alínea d), os Estados-Membros devem assegurar que as entidades em causa apresentem um relatório intercalar nessa altura e um relatório final no prazo de um mês após terem resolvido o incidente.
Envolvimento da gestão de topo (artigo 20º)
A cibersegurança passa a ser responsabilidade dos órgãos de direção da empresa, que terá de aprovar as medidas de gestão de risco de cibersegurança, e supervisionar a sua implementação, e podem ser responsabilizados por infrações cometidas pelas entidades referidas nesse artigo.
Os membros do órgão de direção das entidades essenciais e importantes sejam obrigados a frequentar ações de formação e incentivar as entidades essenciais e importantes a oferecer regularmente ações de formação semelhantes aos seus trabalhadores, a fim de adquirirem conhecimentos e competências suficientes para identificarem e avaliarem as práticas de gestão dos riscos de cibersegurança, bem como o seu impacto nos serviços prestados pela entidade.
Coimas Aplicáveis
Os Estados-Membros devem assegurar que, sempre que violem as obrigações previstas no artigo 21º ou 23º, as entidades essenciais sejam sujeitas, nos termos dos nº 2 e 3 do presente artigo, a coimas num montante máximo não inferior a 10 000 000 EUR ou num montante máximo não inferior a 2 % do volume de negócios anual a nível mundial, no exercício financeiro anterior, da empresa a que a entidade essencial pertence, consoante o montante que for mais elevado.
Os Estados-Membros devem assegurar que, sempre que violem o artigo 21º ou 23º, as entidades importantes sejam sujeitas, nos termos dos nº 2 e 3 do presente artigo, a coimas num montante máximo não inferior a 7 000 000 EUR ou num montante máximo não inferior a 1,4 % do volume de negócios anual a nível mundial, no exercício financeiro anterior, da empresa a que a entidade importante pertence, consoante o montante que for mais elevado.
(Crédito da Imagem: konstakorhonen via Shutterstock, ID: 2318974289)