A diretiva (UE) NIS2 2022/2555 é uma atualização da Diretiva sobre Segurança das Redes e dos Sistemas Informáticos (NIS) com o objetivo de fortalecer e unificar as medidas de cibersegurança em todos os Estados membros da União Europeia.
Esta diretiva aplica-se às empresas da União Europeia que pela sua atividade se considerem essenciais para o funcionamento da economia e da sociedade europeia.
A NIS2 divide as empresas em dois tipos:
- Entidades Essenciais (EE): empresas do setor dos transportes, de serviços como eletricidade e água, da saúde (hospitais e centros de saúde) e bancário.
- Entidades Importantes (IE): empresas de mensagens, fornecedores digitais, empresas de gestão de resíduos, empresas produtoras, empresas de alimentação.
O primeiro tipo de entidade, EE, têm que cumprir com requisitos mais exigentes sobre obrigações de notificação de incidentes e medidas de segurança.
Medidas de cibersegurança requeridas pela NIS2
As empresas devem cumprir medidas tanto de matéria de cibersegurança como de gestão de riscos, como:
- Implementação de um sistema de autenticação multifator (MFA).
- Controlo de acesso aos sistemas com um nível mínimo de permissões.
- Segurança na cadeia de fornecimento, assegurar aspetos relacionados com a segurança com as relações das diferentes partes da empresa (entidades, fornecedores, etc).
- Sistemas de prevenção para detetar e prevenir ciberataques.
- Políticas de backup, manter um sistema de recuperação de dados continuidade do negócio.
- Formação de cibersegurança a todos os trabalhadores da empresa e desenvolver políticas de ciberhigiene.
Qual é a data de entrada em vigor da diretiva?
Esta directiva entrou em vigor em 16 de janeiro de 2023 e todos os Estados membros devem adotar as medidas necessárias para cumprir com a diretiva antes de 17 de outubro de 2024.
Quais são as sanções em caso de incumprimento da normativa?
Em caso de não aplicar a normativa NIS2, as sanções por incumprimento podem ser:
- Para as “Entidades Essencias” (EE): máximo de 10 milhões de euros ou máximo de 2% do volume de negócio total anual global da empresa no exercício anterior.
- Para as “Entidades Importantes” (EI): máximo de 7 milhões de euros ou máximo de 1.4% do volume de negócio total anual global da empresa no exercício anterior.