Aplicações das medidas da Diretiva (UE) 2022/2555

A cibersegurança na Europa dá um passo à frente com a Diretiva NIS2 (UE 2022/2555),que amplia as obrigações em matéria de proteção digital, abrangendo mais setores eestabelecendo padrões mais rigorosos para a gestão de riscos cibernéticos.

info@ariolconsulting.com
 Image

NIS2

Os nossos escritórios

Os nossos escritórios

Lisboa

Avenida da Republica nº 6, 1º esq 1050 – 191

213 303 856

Porto

Augusto Rosa, 79

4000-098

222 448 783

O que implica a Diretiva NIS2?

Diante do impacto crescente das ameaças cibernéticas, a União Europeia introduziu a Diretiva NIS2 para reforçar a segurança digital em organizações-chave. Esta nova regulamentação substitui a NIS1, ampliando o seu alcance com normas mais exigentes para garantir uma estratégia uniforme em todos os Estados-Membros.

Principais novidades da NIS2:

Cobertura ampliada

Incorpora novos setores e classifica as empresas como "essenciais" ou "importantes", de acordo com seu papel na economia e na sociedade.

Obrigação de notificação de incidentes

Prazos mais definidos para a notificação de ciberataques e coordenação entre os Estados-Membros.

Requisitos de segurança mais rígidos

Inclui medidas reforçadas na cadeia de abastecimento e melhores práticas de cibersegurança.

Sanções mais severas

Endurecimento das penalizações para garantir o cumprimento.

Maior cooperação internacional

Reforço da colaboração e troca de informações por meio de iniciativas como o EU-CYCLONe.

A quais entidades se aplica?

A Diretiva NIS2 afeta empresas médias e grandes, sejam do setor público ou privado, que atuem em setores considerados críticos ou estratégicos, conforme estipulado nos Anexos I e II da norma. Para determinar se uma organização está dentro do âmbito de aplicação, utiliza-se como referência a classificação definida na Recomendação 2003/361/CE:


  • Microempresas: Menos de 10 trabalhadores e volume de negócios ou balanço anual inferior a 2 milhões de euros.
  • Pequenas empresas: Menos de 50 empregados e volume de negócios ou balanço anual inferior a 10 milhões de euros.
  • Empresas médias: Entre 50 e 250 empregados, com receitas anuais inferiores a 50 milhões de euros ou um balanço inferior a 43 milhões.•
  • Grandes empresas: Mais de 250 empregados e volume de negócios ou balanço anual superior a 43 milhões de euros.

Um aspecto importante a ser considerado é que aquelas entidades cujo capital ou direitos de voto estejam em mais de 25% nas mãos de organismos públicos, não serão consideradas PME sob esta classificação. No entanto, essa exceção não é levada em conta no contexto da NIS2, portanto, continuam sujeitas às suas disposições.


Precisa aplicar medidas de conformidade com a NIS2?

Garantimos um serviço à medida da sua empresa.

Diretiva NIS2 na Portugal

A União Europeia aprovou oficialmente a Diretiva NIS2 em novembro de 2022, tendo a sua publicação ocorrido no Jornal Oficial da UE a 27 de dezembro do mesmo ano. Esta norma entrou em vigor a 16 de janeiro de 2023, iniciando-se o período de adaptação pelos países membros. Cada Estado-Membro, incluindo Portugal, deve incorporar esta diretiva na sua legislação nacional até, no máximo, 17 de outubro de 2024, iniciando a sua aplicação efetiva a partir do dia seguinte, 18 de outubro de 2024.


Cronograma de adequação

Aprovação

Noviembro de 2022

Entrada em vigor

16 de janeiro de 2023.

Publicação oficial

27 de dezembro de 2022

Transposição em Portugal

Até 17 de outubro de 2024

Aplicação obrigatória

A partir de 18 de outubro de 2024

Impacto em Pequenas Empresas

Embora a Diretiva NIS2 exclua, em princípio, micro e pequenas empresas, existem certas exceções quando estas desempenham funções essenciais dentro de setores estratégicos. Mesmo com uma estrutura reduzida, algumas organizações podem estar sob o alcance desta regulamentação se forem cumpridas determinadas condições, como por exemplo:


  1. Ser o único operador que oferece um serviço crucial dentro de um país membro da UE.
  2. Prestar serviços cuja interrupção represente um risco para a segurança, ordem pública ou saúde da população.
  3. Ter um papel cuja interrupção possa causar consequências significativas além das fronteiras nacionais.

Se sua empresa já cumpria com a NIS1, também deve se adaptar à NIS2?

A NIS2 representa uma evolução significativa em relação à regulamentação anterior, alargando a sua cobertura e introduzindo alterações-chave, como a eliminação da divisão entre operadores de serviços essenciais (OSE) e prestadores de serviços digitais (PSD). No caso de Portugal, a implementação da NIS1 já tinha abrangido sectores adicionais, incluindo áreas como a administração pública, a indústria alimentar e a química. Com a chegada da NIS2, redefine-se e alarga-se o conceito de entidade essencial, tornando-se indispensável que as organizações revejam cuidadosamente o novo quadro normativo. Mesmo as que já cumpriam com a NIS1 podem estar sujeitas a novas obrigações e controlos mais rigorosos.

Setores Chave Afetados pela NIS2

Energia: Redes elétricas, hidrogénio, infraestruturas de recarga de veículos elétricos.

Saúde: Laboratórios, desenvolvimento de medicamentos e dispositivos médicos.

Infraestrutura Digital: Computação em nuvem, centros de dados e redes de comunicação.

Serviços TIC: Fornecedores de segurança gerida e serviços de TI essenciais.

Administração Pública: Organismos governamentais de nível estatal e regional.

Gestão da Água: Infraestruturas de abastecimento e saneamento.

Espaço: Operadores de infraestruturas espaciais e satélites.

Setores de Elevada Criticidade (Anexo I)

Outros Setores Regulamentados (Anexo II)

  • Serviços postais e de mensageria.
  • Gestão de resíduos e tratamento de resíduos perigosos.
  • Indústrias química e alimentar. Produção de equipamentos eletrónicos, sanitários e automóveis.
  • Instituições de investigação em setores estratégicos.
  • Plataformas digitais, redes sociais e marketplaces.

Precisa aplicar medidas de conformidade com a NIS2?

Garantimos um serviço à medida da sua empresa.

Obrigações-Chave para Empresas Afetadas

As organizações que se encontrem dentro do âmbito de aplicação deverão implementar medidas avançadas de cibersegurança, incluindo:


  1. Gestão de riscos: Estratégias de segurança e avaliação contínua de ameaças.
  2. Planos de continuidade: Sistemas de backup, recuperação de incidentes e protocolos de resposta.
  3. Segurança na cadeia de abastecimento: Monitorização dos fornecedores para mitigar as vulnerabilidades.
  4. Proteção de infraestruturas de TI: Aplicação de autenticação multifator e criptografia de dados.
  5. Capacitação em cibersegurança: Formação periódica para o pessoal.
  6. Notificação de incidentes dentro de prazos definidos.

Aplicação da NIS2 a Empresas Multinacionais na UE

A Diretiva NIS2 possui um alcance aplicável em toda a União Europeia, o que implica que as empresas multinacionais devem adaptar-se às normas de cibersegurança em cada um dos países membros onde operam. Apesar de cada nação ser responsável por incorporar a directiva na sua legislação, as entidades ficarão sob a jurisdição principal do país onde se encontram estabelecidas.


No caso de prestadores de serviços como redes de comunicação, plataformas de computação em nuvem ou redes sociais, a jurisdição será determinada pelo Estado-Membro onde se localize a sede principal da empresa. Se a companhia operar em múltiplos países, deverá cumprir com as regulações locais de cada um deles, com as autoridades nacionais a colaborar na supervisão e controlo.


Se uma empresa não estiver estabelecida na União Europeia, mas prestar serviços dentro do seu território, deverá nomear um representante em pelo menos um dos Estados-Membros onde tenha presença. Esta abordagem garante que as empresas multinacionais seguem um quadro regulador harmonizado e coerente em matéria de cibersegurança em toda a UE

Processo de Notificação de Incidentes

Primeiro aviso: Nas primeiras 24 horas após a deteção.

Relatório preliminar: Em 72 horas com detalhes sobre o impacto inicial.

Atualização intermédia: Se exigido pela autoridade competente.

Relatório final: No prazo de 1 mês, detalhando a origem, efeitos e medidas corretivas.

Responsabilidades dos Órgãos de Direção

Image

Os responsáveis pela gestão a nível diretivo nas entidades consideradas essenciais e importantes têm um papel crucial na aprovação e supervisão das políticas de gestão de riscos relacionados com a cibersegurança, conforme exigido pela Diretiva NIS2. A falta de cumprimento dessas responsabilidades pode resultar em sanções severas, incluindo multas, penalidades administrativas e restrições temporárias, conforme a legislação nacional vigente. Entre as principais obrigações dos órgãos de direção estão:



  • Validar que as medidas adotadas para a gestão de riscos em cibersegurança sejam adequadas e alinhadas com os requisitos legais.
  • Acompanhar a correta implementação e cumprimento destas medidas dentro da entidade.
  • Investir na formação e atualização contínua em cibersegurança para desenvolver competências necessárias para identificar riscos e avaliar a eficácia das estratégias de segurança.
  • Assegurar que são oferecidos programas de formação periódica aos colaboradores sobre cibersegurança.
  • Assumir a responsabilidade por qualquer incumprimento das disposições estabelecidas pela regulamentação.

Cumprimento e Requisitos Regulatórios

As organizações sujeitas à Diretiva NIS2 devem cumprir com as medidas relativas à gestão de riscos em cibersegurança e à notificação de incidentes. Para verificar esse cumprimento, as autoridades competentes poderão realizar auditorias regulares ou específicas, tanto para entidades essenciais quanto para aquelas consideradas importantes, com base em avaliações de risco ou como resposta a incidentes de segurança.


O cumprimento pode ser evidenciado através da adoção de normas e diretrizes europeias ou internacionais, como as estabelecidas na série ISO/IEC 27000, que abordam a gestão de riscos cibernéticos e a segurança física das redes e sistemas de informação. Além disso, cabe aos órgãos de direção aprovar e supervisionar as medidas implementadas para a gestão desses riscos.


Durante as auditorias ou em resposta a requisitos regulamentares, as entidades deverão apresentar documentação detalhada que comprove as suas políticas de cibersegurança, registos das atividades desenvolvidas e evidências da aplicação efetiva dessas políticas. Isto inclui fornecer provas documentadas das políticas adotadas, informações sobre a sua supervisão e demonstrar a implementação eficaz, garantindo assim a transparência e a conformidade com os regulamentos estabelecidos.

Image
  • Entidades essenciais: Até 10M€ ou 2% do volume de negócios global anual.
  • Entidades importantes: Até 7M€ ou 1,4% do volume de negócios global anual.
  • Outras sanções possíveis:
  • Suspensão de certificações e licenças.
  • Inabilitação temporária de diretores.
  • Publicação oficial dos incumprimentos detectados.

O não cumprimento da regulamentação pode acarretar sanções económicas significativas:

Consequências do Não Cumprimento

Solicite seu ORÇAMENTO

Preencha o formulário e entraremos em contato o mais breve possível.