Cibersegurança e NIS2.

Uma nova diretiva de cibersegurança com ações perante infrações e impacto para os cargos diretivos

Em janeiro de 2023 foi promulgada uma nova diretiva NIS (sigla de segurança de sistemas de redes e de informação: Network and Information Systems) através do Regulamento ((UE) 2022/2555), denominada por NIS2, relativa às medidas destinadas a assegurar um elevado e uniformizado nível de cibersegurança em toda a União Europeia e que revoga a anterior diretiva NIS ((UE) 2016/1148). A data máxima para que seja transposta para o ordenamento jurídico português é 17 de outubro de 2024.

Esta nova diretiva vem reforçar os anteriores requisitos da NIS1, de forma a melhorar a resposta ao aumento de ameaças que tem pairado sob os sistemas de redes e de informação, dos quais a nossa sociedade está cada vez mais dependente. Além disso, na nova diretiva estarão também incluídas ações contra as infrações, e as autoridades competentes estarão habilitadas a levar a cabo ações de suspensão de certificações e serviços, podendo ainda proibir temporariamente uma pessoa física de exercer funções de direção geral ou representação legal. Logo, sublinha-se a urgência de agir preventivamente e antecipar a implementação desta diretiva, visto que as consequências se sobrepõem às da anterior normativa.
 

O âmbito de aplicação pode afetar os ambientes industriais OT e dispositivos IoT

Um dos aspetos que diferencia a NIS2 da NIS1 é o seu âmbito de aplicação. Se bem que a NIS1 estava basicamente reservada para entidades formalmente designadas como fornecedores de serviços essenciais dentro de diferentes setores críticos, a NIS2 abre o leque. Neste sentido, a NIS2 vai aplicar-se a médias e grandes empresas de setores críticos e a outras entidades que, independentemente da sua proporção, cumpram com certas características como, por exemplo:

• Que prestem serviços específicos (tais como os prestadores de serviços de confiança ou de DNS).
• Que sejam o único fornecedor que presta um serviço essencial num estado-membro.
• Que sejam uma entidade crítica formalmente designada.

Dentro dos setores de aplicação, podemos encontrar alguns que incluem tecnologias de operação (o que comumente chamamos de OT, do inglês "Operation Technologies", em contraste com os sistemas de informação ou corporativos, denominados IT, do inglês "Information Technologies"). Ainda dentro dos setores de aplicação, incluem-se também os dispositivos IoT, não menos importantes, e que também estariam no âmbito ao qual se dirigem os requisitos de proteção desta diretiva.
 

Setores afetados:

SETORES DE ALTA CRITICIDADE:

• Energia
• Transporte
• Banca
• Setor da saúde
• Água potável
• Águas residuais
• Infraestrutura digital
• Gestão de serviços de TIC (de empresa para empresa)
• Entidades da Administração Pública, excluindo o poder judicial, os parlamentos e os bancos centrais
• Espaço

OUTROS SETORES CRÍTICOS:

• Serviços postais e de correio
• Gestão de resíduos
• Fabrico, produção e distribuição de substâncias e misturas químicas
• Produção, transformação e distribuição de alimentos
• Fabrico
• Fornecedores de serviços digitais
• Investigação

Os requisitos de caráter técnico-organizativo são os recolhidos no artigo 21 da diretiva, a saber:

• As políticas de segurança dos sistemas de informação e análise de riscos.
• A gestão de incidentes.
• A continuidade das atividades, como a gestão de cópias de segurança e a recuperação em caso de catástrofe, e a gestão de crises.
• A segurança da cadeia de fornecimento, incluindo os aspetos de segurança relativos às relações entre cada entidade e os seus fornecedores ou prestadores de serviços diretos.
• A segurança na aquisição, o desenvolvimento e a manutenção de sistemas de redes e de informação, incluindo a gestão e divulgação das vulnerabilidades.
• As políticas e os procedimentos para avaliar a eficácia das medidas para a gestão de riscos de cibersegurança.
• As práticas básicas de ciberhigiene e formação em cibersegurança.
• As políticas e procedimentos relativos à utilização de criptografia e, se aplicável, de cifragem.
• A segurança dos recursos humanos, as políticas de controlo de acesso e a gestão de ativos.
• O uso de soluções de autenticação multifatorial ou de autenticação contínua, comunicações de voz, vídeo e texto seguras e sistemas seguros de comunicações de emergência na entidade, quando aplicável.

Na Babel apostamos no lema de que cumprir com a legislação de cibersegurança protege o negócio, sobretudo, no caso da NIS2, onde poderá haver repercussões diretas para colaboradores em cargo de direção e para infrações. Através da nossa equipa de especialistas podemos ajudar os nossos clientes na adaptação a esta nova normativa, desde a realização da análise de situação até à sua implementação e manutenção posterior.

Aceda ao Guia completo sobre a Nova Diretiva NIS2