A Diretiva de Redes e Sistemas de Informação, conhecida como NIS2, surge com o objetivo de reforçar a resiliência digital das organizações no espaço europeu. Com regras mais exigentes e sanções pesadas, as empresas que operam em setores vitais precisam de adaptar as suas infraestruturas para lidar com um panorama de ameaças cada vez mais complexo, segundo os detalhes partilhados pelo site oficial da NIS 2 Directive.
Esta legislação obriga à transposição para as leis nacionais até 17 de outubro de 2024, momento em que as regras passam a ser vinculativas para as entidades abrangidas. O objetivo principal passa por garantir que os Estados-membros da União Europeia possuam equipas de resposta a incidentes (CSIRT) preparadas para qualquer eventualidade, fomentando a cooperação e protegendo infraestruturas críticas que dependem de tecnologias de informação. O crescimento exponencial do cibercrime, aliado ao uso de novas ferramentas como a inteligência artificial por parte de piratas informáticos, tornou a atualização das leis uma prioridade.
Expansão dos setores abrangidos
Enquanto a primeira versão da diretiva focava a sua atenção num número limitado de áreas, a NIS2 aumenta o leque de sete para quinze setores. As organizações passam a ser divididas entre entidades essenciais e importantes, consoante o seu tamanho e o impacto que um possível ataque possa ter na sociedade. As grandes empresas com mais de 250 funcionários e 50 milhões de euros de faturação em áreas como energia, saúde, transportes e finanças são classificadas como essenciais. Já o setor postal, alimentação, produção e plataformas digitais entram na categoria de entidades importantes.
Coimas rigorosas e gestão responsabilizada
O incumprimento das novas normas traz consequências drásticas. A diretiva estabelece que as entidades essenciais podem enfrentar multas que chegam aos 10 milhões de euros ou 2% da receita global anual. No caso das entidades importantes, o teto mínimo da coima fixa-se nos sete milhões de euros ou 1,4% da receita global. Para além do peso financeiro, a NIS2 introduz uma novidade de peso: a responsabilização pessoal dos órgãos de administração. Em casos de negligência perante incidentes de segurança, os executivos podem ser temporariamente suspensos de cargos de chefia e forçados a assumir publicamente as falhas na proteção de dados.
Prazos apertados para notificação de incidentes
A resposta rápida a crises é um dos pilares da lei. Caso ocorra uma falha de segurança significativa que interrompa serviços, a entidade visada dispõe de apenas 24 horas para enviar um aviso prévio às autoridades competentes. Segue-se um prazo de 72 horas para a entrega de um relatório detalhado e um mês para a submissão do relatório final. Para evitar chegar a este ponto, exige-se a implementação de dez medidas de segurança básicas, que incluem autenticação multifator, planos de resposta a ameaças, testes de recuperação, uso de criptografia e formação contínua dos colaboradores.
Ligação a outras diretivas europeias
A conformidade com a NIS2 não atua de forma isolada no panorama europeu. Entidades do setor financeiro, por exemplo, terão de dar prioridade à lei DORA no que toca à gestão de riscos informáticos. Em paralelo, a Diretiva CER abrange os perigos físicos para as infraestruturas, obrigando a um plano de defesa conjunto, enquanto a Lei de Resiliência Cibernética (CRA) foca os seus esforços na segurança dos produtos de hardware e software que chegam aos consumidores. Desta forma, a legislação pretende criar um escudo de proteção holístico para todos os cidadãos da região.
Nenhum comentário
Seja o primeiro!