Motorola tem um novo smartphone da “família” edge na Europa que chega com resistência à água
Maio 5, 2023Whering é um armário virtual que o ajuda a decidir o que vestir e a escolher a melhor combinação de roupas
Maio 5, 2023Por Sérgio Sá (*)
Em janeiro de 2023, entrou em vigor a diretiva Security of Network and Information Systems (NIS 2) também conhecida por Segurança das Redes e da Informação (SRI 2), que os estados membros terão de transpor para a legislação local até outubro 2024, evolução da NIS publicada em 2016 e em vigor através da Lei 65/2021.
Em resultado do incremento dos ciberataques e seu impacto na UE, desde que entrou a primeira diretiva NIS, foi identificada a necessidade de melhorar as medidas de cibersegurança. O objetivo do NIS 2 é assegurar a existência de um elevado nível comum de cibersegurança para os serviços críticos, essenciais e importantes, em todos os estados membros da UE.
Esta diretiva introduz novos âmbitos e abordagens:
- Envolve mais setores da economia e da sociedade
- Aumenta o nível de harmonização em relação aos requisitos de segurança e obrigações de comunicação às autoridades competentes
- Encoraja os estados membros da UE a introduzir novos domínios nas suas estratégias nacionais de cibersegurança, como Cadeia de Abastecimento TIC, Gestão de Vulnerabilidades, serviço base Internet e ciber-higiene
- Melhora a colaboração e partilha de conhecimento entre os estados membros, ex: revisões entre congéneres
- Cria uma estrutura nova para a Gestão de Cibercrises (CyCLONE)
abrangendo mais entidades – críticas, essenciais e importantes, nomeadamente:
- Energia, Transportes, Banca, Infraestrutura do Mercado Financeiro, Saúde, Água potável, Águas residuais, Infraestruturas digitais, Gestão de serviços TIC (B2B), Administração Pública, Espaço
- Serviços Postais e de Estafeta, Gestão de Resíduos, Produção, Fabrico e Distribuição de produtos químicos, Produção, transformação e distribuição de produtos alimentares, Indústria Transformadora, Prestadores de Serviços Digitais, e Investigação
As organizações abrangidas pela diretiva NIS 2, como recomendação mínima, deverão ter em conta os seguintes requisitos:
- Modelo de Governo e Gestão de Risco
- Políticas de Segurança e Formação
- Gestão de Incidentes e Notificação
- Gestão de Crise e Continuidade de Negócio
- Gestão de Risco TIC na cadeia de abastecimento (Produtos, Sistemas e Serviços)
- Gestão de Ativos
- Security by Design
- Gestão de Acessos e Comunicações Seguras
A maioria das entidades críticas, essenciais e importantes já têm pelo menos partes destas medidas implementadas. A questão principal é qual o nível de detalhe que Portugal irá aplicar através da transposição para a legislação nacional.
A diretiva salienta que a implementação destas medidas deve ter em consideração os padrões europeus e internacionais como: custo de implementação, grau de exposição a riscos, dimensão da entidade, probabilidade de ocorrência de incidentes e sua gravidade, impacto social e económico. Estes fatores devem ser tidos em conta na determinação das medidas apropriadas e proporcionais a adotar.
Foi também definido que a dimensão da entidade, por si só, não é fator de exclusão, dependendo da importância que representa na sociedade.
As empresas que não cumpram a diretiva NIS2 podem ser sujeitas a coimas até 10 milhões de euros ou 2% do total do seu volume de negócios anual.
De notar que o NIS 2 acabou de ser lançado, e a sua efetividade dependerá do que for feito até outubro 2024. No entanto, devemos ter em conta que as ciberameaças que deram origem a esta diretiva continuarão a evoluir e também surgirão novos riscos.
De notar que o sector financeiro tem um regulamento que também acabou de entrar em vigor – DORA (Digital Resilience Operational Act), com impacto em várias indústrias também aqui envolvidas e que é lexis specialis da NIS 2.
Deste modo, independentemente da redação final resultado da transposição local da diretiva NIS 2, as organizações deverão começar já a alinhar com os requisitos da Lei 65/2021 (transposição da Diretiva NIS 1) e a seguir começar a preparar-se para os requisitos da NIS 2.
(*) Partner EY, Cybersecurity, Consulting Services
