NIS2: O que os profissionais da proteção de dados precisam de saber sobre a monumental diretiva da UE relativa à cibersegurança

The Bocada Team | fevereiro 6, 2025
Print Friendly, PDF & Email

Índice

  1. O que é o NIS2?
  2. Que organizações terão de cumprir a NIS2 (e a legislação associada dos Estados-Membros)? 
  3. Quais são algumas das medidas que serão exigidas pelo NIS2? 
  4. O que significa a NIS2 para os profissionais da proteção de dados? 
  5. Qual é a diferença na aplicação do NIS2 entre entidades “essenciais” e “importantes”? 
  6. Quais são as consequências do incumprimento?
  7. Quando é que a NIS2 entra em vigor? 

 

O que é o NIS2? 

NIS2 (Diretiva (UE) 2022/2055 do Parlamento Europeu e do Conselho) é uma nova diretiva relativa à cibersegurança que alarga consideravelmente o âmbito da anterior legislação da UE em matéria de cibersegurança (NIS em 2016) para incluir entidades “essenciais” e “importantes” em muitos mais sectores industriais, estabelecendo simultaneamente uma norma ainda mais elevada para a cibersegurança e a resiliência. 

Nota: Consulta o texto completo em inglês aqui.

Que organizações terão de cumprir a NIS2 (e a legislação associada dos Estados-Membros)? 

Embora cada Estado-Membro da UE seja responsável pela criação e gestão das suas próprias listas de entidades essenciais e importantes, eis algumas orientações para dar uma ideia inicial do âmbito da NIS2: 

  • O NIS2 aplica-se a qualquer organização que preste serviços essenciais/importantes na UE.
  • O NIS2 abrange médias empresas (entre 50 e 250 trabalhadores) e grandes (mais de 250 trabalhadores OU um volume de negócios anual de, pelo menos, 50 milhões de euros OU um balanço total de, pelo menos, 43 milhões de euros). 
  • Os sectores que a NIS2 irá regulamentar serão classificados como “muito críticos” ou “críticos”e isto (em combinação com a dimensão da organização e outros factores) determinará se uma entidade é “essencial” ou “importante” para efeitos de aplicação. 

NIS2 Classificações sectoriais: 

 

Nota: Os fornecedores qualificados de serviços fiduciários, os registos de nomes de domínio e os fornecedores de serviços DNS são considerados “essenciais”, independentemente da sua dimensão. 

Para mais informações sobre a forma como as entidades “essenciais” e “importantes” serão determinadas, consultar o n.º 1 do artigo 3. texto integral. 

 

Quais são algumas das medidas que serão exigidas pelo NIS2? 

Medidas adequadas de gestão dos riscos “baseadas numa abordagem de todos os riscos que visa proteger as redes e os sistemas de informação e o ambiente físico desses sistemas contra incidentes, [shall] incluem, pelo menos, o seguinte:” 

 

(a) Políticas de análise de risco e de segurança dos sistemas de informação; 

(b) tratamento de incidentes; 

(c) Continuidade das actividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises; 

(d) Segurança da cadeia de abastecimento, incluindo aspectos relacionados com a segurança das relações entre cada entidade e os seus fornecedores diretos ou prestadores de serviços; 

(e) Segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, incluindo o tratamento e a divulgação de vulnerabilidades; 

(f) políticas e procedimentos para avaliar a eficácia das medidas de gestão dos riscos de cibersegurança; 

(g) práticas básicas de ciber-higiene e formação em cibersegurança; 

(h) Políticas e procedimentos relativos à utilização da criptografia e, se for caso disso, da cifragem; 

(i) segurança dos recursos humanos, políticas de controlo do acesso e gestão de activos; 

(j) A utilização de soluções de autenticação multifactor ou de autenticação contínua, de comunicações seguras de voz, vídeo e texto e de sistemas seguros de comunicação de emergência na entidade, se for caso disso. 

(Fonte: Artigo 21º da Diretiva NIS2).

 

O que significa a NIS2 para os profissionais da proteção de dados? 

 Embora a diretiva se centre ostensivamente na cibersegurança, também descreve muito explicitamente a necessidade de práticas de proteção de dados no ponto “C” da lista acima: 

c) continuidade das actividades, como a gestão de cópias de segurança e a recuperação de desastres, e gestão de crises;

Isto é um claro reconhecimento de que a prevenção de incidentes (através da cibersegurança) não é suficiente. Quando os incidentes ocorrem inevitavelmente (independentemente da causa), as organizações devem ser capazes de manter a continuidade do negócio, recuperando rapidamente.  

Para os profissionais da proteção de dados, há duas implicações básicas: 

  1. Os teus dados críticos devem ser adequadamente protegidos por operações de cópia de segurança e recuperação de desastres. 
  2. Deves ser capaz de demonstrar que as políticas de backup/DR necessárias estão em vigor para cumprir os objectivos RTO (objectivos de tempo de recuperação), RPO (objectivos de ponto de recuperação) e outros KPI. 

Nota: Embora a grande maioria das organizações disponha de soluções de proteção de dados, muitas não dispõem de ferramentas de monitorização e comunicação que possam demonstrar facilmente a eficácia e a conformidade. 

 

Qual é a diferença na aplicação do NIS2 entre entidades “essenciais” e “importantes”? 

A principal diferença é que entidades essenciais serão sujeitas a monitorização/auditoria proactiva. Ou seja, mesmo que não tenha havido um incidente de cibersegurança, as entidades essenciais terão de demonstrar que estão a seguir medidas conformes. Isto pode ocorrer das seguintes formas:  

(a) Inspecções no local e supervisão fora do local, incluindo controlos aleatórios efectuados por profissionais formados; 

(b) Auditorias de segurança regulares e orientadas, efectuadas por um organismo independente ou por uma autoridade competente; 

(c) Auditorias ad hoc, incluindo quando justificadas por um incidente significativo ou por uma infração à presente diretiva por parte da entidade essencial; 

(d) Verificações de segurança baseadas em critérios de avaliação de risco objectivos, não discriminatórios, equitativos e transparentes, se necessário com a cooperação da entidade em causa; 

(e) Pedidos de informações necessários para avaliar as medidas de gestão dos riscos de cibersegurança adoptadas pela entidade em causa, incluindo políticas documentadas de cibersegurança, bem como o cumprimento da obrigação de apresentar informações às autoridades competentes nos termos do artigo 27; 

(f) Pedidos de acesso a dados, documentos e informações necessários ao desempenho das suas funções de controlo; 

(g) Pedidos de provas da aplicação das políticas de cibersegurança, tais como os resultados das auditorias de segurança efectuadas por um auditor qualificado e as respectivas provas subjacentes. 

 

Para os profissionais de proteção de dados e de cópias de segurança, as auditorias ao desempenho das cópias de segurança e os respectivos relatórios poderão ser incluídos nestas “verificações aleatórias”, “auditorias de segurança regulares e específicas”, “auditorias ad hoc” e/ou outros pedidos de informação. Por conseguinte, será provavelmente fundamental que as entidades essenciais disponham de capacidades abrangentes de monitorização e comunicação de cópias de segurança antes do início da aplicação.  

Entidades importantes, por outro lado, terá requisitos de comunicação reactivos. Após um incidente, a entidade será sujeita a um controlo da aplicação da lei e poderá ser objeto de sanções se se determinar que não foram tomadas as medidas necessárias (antes de um incidente). É importante notar que as entidades importantes devem continuar a seguir as mesmas medidas de gestão do risco que as entidades essenciais.

Quais são as consequências do incumprimento?

Em primeiro lugar, a NIS2 permite uma série de sanções contra as organizações infractoras, incluindo avisos públicos, instruções vinculativas para efetuar alterações, suspensões temporárias de serviços e/ou pessoal, entre outras.

Além disso, o NIS2 prevê a possibilidade de aplicação de coimas administrativas por parte de cada Estado-Membro, como segue:

  • Entidades essenciais: um máximo de, pelo menos, 10 000 000 EUR ou um máximo de, pelo menos, 2 % do volume de negócios anual total a nível mundial realizado no exercício financeiro anterior pela empresa a que pertence a entidade essencial, consoante o valor mais elevado.
  • Entidades importantes: um máximo de, pelo menos, 7 000 000 EUR ou um máximo de, pelo menos, 1,4 % do volume de negócios anual total a nível mundial no exercício financeiro anterior da empresa a que pertence a entidade importante, consoante o que for mais elevado.

Ver Capítulo VII para mais informações sobre supervisão, aplicação e sanções.

 

Quando é que a NIS2 entra em vigor? 

Até 17 de outubro de 2024, os Estados-Membros da UE devem integrar as disposições da NIS2 na sua própria legislação local.  

Importante: Muitas organizações que serão consideradas “essenciais” ou “importantes” estão a tomar medidas agora para garantir que adoptam as medidas necessárias de cibersegurança e proteção de dados antes do tempo. 

 

Se fores um profissional de proteção de dados ou de backup e armazenamento e previres desafios que provem operações de backup e recuperação de desastres em conformidade com o NIS2, por favor entra em contacto com a Bocada para uma consulta gratuita.