A Diretiva NIS 2 (Diretiva sobre a Segurança das Redes e Sistemas de Informação 2, do inglês: Network and Information Systems 2) é uma atualização crucial da primeira diretiva NIS, projetada para reforçar a segurança das redes e sistemas de informação na União Europeia (UE) 🇪🇺 . Este artigo pretende explorar o que é a NIS 2, como será implementada/transitada para Portugal 🇵🇹, quem será responsável pela supervisão, quais os setores dentro do scope, os principais desafios para as organizações e como estas se podem preparar para estar em conformidade a tempo (17 de outubro de 2024). Para isso, está disponível para o final do artigo uma “checklist para determinar o impacto da NIS 2 na minha organização“.
Pontos-chave
- O que é a NIS 2
- NIS 1 versus NIS 2; quais as principais mudanças?
- NIS 2 e RGPD; têm um ponto de interseção?
- Transposição da diretiva para Portugal; quem irá regular?
- Principais desafios para as organizações
- Tipos de organizações afetadas e potenciais CAEs portugueses para manter no radar
- Códigos de Atividade Económica (CAEs) potencialmente impactados pela NIS 2
- Checklist para determinar o impacto da NIS 2 na minha organização
- Consideração Final
- Quais as penalidades que podem ser impostas em caso de não conformidade com a Diretiva NIS2?
O que é a NIS 2?
A NIS 2 é uma diretiva europeia que visa melhorar a cibersegurança em todos os estados membros da UE e com o objetivo de estabelecer requisitos mínimos para a cibersegurança das infraestruturas críticas. Esta diretiva foi criada para enfrentar as ameaças emergentes da cibersegurança, e acima de tudo, proteger a infraestrutura crítica e os serviços essenciais contra ataques provenientes do ciberespaço. A NIS 2 estabelece requisitos de segurança mais rigorosos em comparação com a NIS 1 e expande também o âmbito das organizações que precisam cumprir essas normas.
Através da sua implementação a 17 de outubro de 2024, a Comissão Europeia pretende melhorar o nível de cibersegurança na União Europeia e fortalecer acima de tudo a cooperação internacional no combate aos ciberataques.
A NIS2 está em vigor desde 16 de janeiro de 2023, e os Estados-Membros devem inserir a diretiva na legislação nacional até à da de implementação. Com isto, cerca de 160.000 entidades serão reforçadas do ponto de vista estratégico de cibersegurança e tornando a Europa um lugar seguro para viver e trabalhar. Esta diretiva tem também como objetivo a partilha de informações com o setor privado e parceiros em todo o mundo. Para além de uma diretiva está também em causa a normalização de todo o processo de cibersegurança das empresas a nível europeu.
Figura 1: DIRETIVA (UE) 2022/2555 DO PARLAMENTO EUROPEU E DO CONSELHO de 14 de dezembro de 2022 relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União que altera o Regulamento (UE) n.o 910/2014 e a Diretiva (UE) 2018/1972 e revoga a Diretiva (UE) 2016/1148 (Diretiva SRI 2) – source.
NIS 1 versus NIS 2; quais as principais mudanças?
As alterações entre a diretiva NIS versão 1 e 2 são bastante significativas. De forma a poder avaliar essas mudanças é apresentada a tabela seguinte para melhor entendimento. Esta tabela fornece não só uma visão clara das principais diferenças e melhorias introduzidas pela NIS 2 em comparação com a NIS 1, como também destaca como o novo quadro diretivo irá fortalecer a cibersegurança na União Europeia.
Tabela 1: Comparação entre as diretivas NIS 1 e NIS 2 elencando, também, as principais alterações.
NIS 2 e RGPD; têm um ponto de interseção?
As questões têm sido muitas. A melhor resposta é um “Sim”, a Diretiva NIS2 e o Regulamento Geral sobre a Proteção de Dados (RGPD) têm pontos de interseção, mas servem a propósitos diferentes dentro do domínio da cibersegurança, segurança da informação e da proteção dos dados.
Em suma, a NIS 2 tem como objetivo melhorar e normalizar a cibersegurança e os controlos que as organizações têm implementados no panorama Europeu, enquanto que o RGPD (GDPR em inglês) tem um foco profundo mas exclusivo na proteção dos dados. A tabela seguinte pretende demonstrar as grandes diferenças e pontos de interceção entre os dois quadros: diretiva NIS 2 e (R)egulamento GPD.
Figura 2: Pontos de interceção e diferenças entre os quadros NIS 2 e o RGPD.
Transposição da diretiva para Portugal; quem irá regular?
A NIS 2 será regulamentada por autoridades nacionais específicas designadas para supervisionar a aplicação das normas. Em Portugal, espera-se que estas autoridades incluam a Autoridade Nacional de Segurança (GNS) e o Centro Nacional de Cibersegurança (CNCS), que terão o papel de monitorizar a conformidade e responder a incidentes de cibersegurança.
Além disso, o CNCS é a entidade responsável por supervisionar a aplicação das normas e conformidades relativas à NIS 1; diretiva transposta para a lei portuguesa a 13 de agosto de 2018 , estabelecendo o regime jurídico da segurança do ciberespaço.
Principais desafios para as organizações
Conformidade Legal: As organizações precisam compreender e implementar todos os requisitos legais expostos na diretiva NIS 2. Este desafio envolve:
- Compreensão dos Requisitos: As organizações devem entender e analisar os novos requisitos e obrigações estabelecidos pela NIS 2. Isso pode incluir desde a identificação dos setores e tipos de entidades abrangidas até a compreensão das novas exigências de segurança e notificação de incidentes.
- Implementação das Políticas: Após compreender os requisitos, as organizações precisam implementar políticas, procedimentos e controles que atendam às exigências da NIS 2. Isso pode envolver a revisão e atualização das políticas de segurança existentes e a introdução de novas práticas de conformidade.
- Monitorização e Auditoria: Para garantir a conformidade contínua, as organizações devem estabelecer processos de monitorização continua e auditoria. Isso inclui a realização de auditorias regulares para avaliar a eficácia das medidas de segurança e garantir que estão em conformidade com a NIS 2.
- Gestão de Documentação: Manter uma documentação completa e precisa é crucial para demonstrar conformidade durante auditorias e inspeções. As organizações precisam desenvolver um sistema de gestão de documentação eficiente para registar todas as políticas, procedimentos e incidentes relevantes.
Investimento em Cibersegurança: Aumentar os investimentos em tecnologia e processos de cibersegurança. Este aumento poderá enfrentar vários desafios, nomeadamente:
- Justificação do Orçamento: As organizações devem justificar os aumentos de orçamento para cibersegurança perante os executivos e stakeholders. Isso pode envolver a apresentação de análises de custo-benefício e a demonstração do impacto de ciber-incidentes.
- Tecnologias e Ferramentas: Identificar e implementar as tecnologias e ferramentas certas é crucial. As organizações devem investir em soluções de ponta para monitorização adequada à sua realidade, deteção e resposta a incidentes, além de ferramentas para gestão do risco e continuidade de negócio.
- Atualização da Infraestrutura: A infraestrutura de TI existente pode precisar de atualizações significativas para atender aos novos requisitos de segurança. Isso inclui a atualização de sistemas, a implementação de novas configurações de rede e a adoção de melhores práticas de segurança.
Recursos Humanos: A necessidade de contratar ou formar/treinar profissionais qualificados em cibersegurança é sem dúvida um desafio crítico.
- Escassez de Talentos: Há uma escassez global de profissionais qualificados em cibersegurança. As organizações irão enfrentar dificuldades em atrair e reter talentos com as soft skills necessárias para implementar e manter as medidas de segurança exigidas pelo NIS 2.
- Treino e Capacitação: Além de contratar novos talentos, as organizações precisam de investir no treino e capacitação contínua dos funcionários existentes. Isso inclui, assim, programas de certificação em cibersegurança e treino (awareness) para as novas tecnologias, políticas, processos, procedimentos e práticas de segurança.
- Cultura e Doutrina de Segurança: Desenvolver uma cultura organizacional que valorize a cibersegurança é essencial. Todos os funcionários, não apenas os especialistas em TI, precisam estar cientes das melhores práticas de segurança e dos procedimentos de conformidade. Não só no local de trabalho, mas no uso generalizado da tecnologia!
Gestão de Riscos: Desenvolver e manter uma gestão de riscos robusta é fundamental para identificar e mitigar as ameaças digitais advindas do ciberespaço.
- Identificação de Riscos: As organizações devem adotar uma abordagem sistemática para identificar riscos. Isso pode envolver a realização de avaliações de risco regulares e o uso de ferramentas de análise de risco para identificar vulnerabilidades e potenciais ameaças.
- Avaliação e Priorização: Após identificar os riscos, as organizações precisam avaliá-los e priorizá-los com base na sua gravidade e potencial impacto no negócio. Isso ajuda a focar os recursos nas áreas mais críticas. Ter uma postura proactiva sobre risco!
- Planos de Mitigação: Desenvolver e implementar planos de mitigação sobre o risco é crucial. Isto inclui a implementação de controlos de segurança, a preparação de planos de resposta a incidentes e a definição de procedimentos de continuidade de negócio.
- Monitorização Contínua: A gestão de riscos não é um processo estático. As organizações precisam monitorizar continuamente o ambiente de ameaças e ajustar as estratégias de mitigação conforme necessário. Isto pode incluir a atualização de políticas de segurança, a realização de testes de penetração ou assessments específicos a determinados sistemas críticos para o negócio assim como a revisão de planos de resposta a incidentes.
Tipos de organizações afetadas e potenciais CAEs portugueses para manter no radar
A NIS 2 expande o âmbito das organizações que devem cumprir com os requisitos de segurança. A diretiva identifica estes 18 setores:
Sectores Essenciais
- Energia (eletricidade, petróleo, água, hidrogénio)
- Saúde (hospitais, laboratórios, investigação e desenvolvimento, farmacêuticas, fabricantes de dispositivos médicos)
- Transportes (aéreos, ferroviários, marítimos, rodoviários)
- Banca e finanças
- Água potável
- Águas residuais
- Infraestruturas digitais (IXPs, fornecedores de serviços de cloud, centros de dados, CDNs, TSPs, fornecedores de comunicação eletrónica)
- Gestão de serviços TIC em B2B
- Sector Espacial
- Administração pública (governo central, governos regionais)
Sectores Importantes
- Serviços postais e de correio
- Gestão de resíduos
- Produtos químicos
- Alimentação
- Indústrias de processamento/manufatura
- Serviços digitais (marketplaces online, motores de pesquisa, redes sociais)
- Investigação
Códigos de Atividade Económica (CAEs) potencialmente impactados pela NIS 2
Para além ds setores mencionados anteriormente também empresas de média e grande dimensão em setores críticos podem ser impactadas pelo quadro normativo. Para determinar o impacto da NIS 2 consultar a checklist no final deste artigo.
Na listagem abaixo foram agregados os CAEs nacionais pelo tipo de atividade económica e que podem ser potencialmente impactados pela diretiva NIS 2. Esta tabela requer sempre uma análise do sector, tipo de serviço fornecido e da sua criticidade, entre outros fatores significativos.
Checklist para determinar o impacto da NIS 2 na minha organização
1. Identificação do Setor
- A minha organização opera em setores como energia, saúde, transportes, banca, água potável, águas residuais, infraestruturas digitais, serviços postais e de correio, gestão de resíduos, produtos químicos, alimentação, indústrias de processamento/manufatura, serviços digitais ou investigação?
- A minha organização é um fornecedor de serviços essenciais (energia, transportes, saúde, finanças, água, etc.)?
- A minha organização é um fornecedor de serviços digitais (motores de busca, serviços de cloud, plataformas de comércio eletrónico)?
2. Dimensão da Empresa
- A minha organização é considerada de média ou grande dimensão (mais de 50 funcionários e/ou mais de €10 milhões de faturação anual)?
3. Serviços Fornecidos
- A minha organização fornece serviços essenciais ou digitais listados na NIS 2?
- A minha organização está incluída nos CAEs portugueses afetados pela NIS 2?
4. Dependência da Infraestrutura Digital
- A minha organização depende de infraestruturas digitais para as suas operações críticas?
5. Potencial Impacto de Ciber-incidentes
- Um incidente de segurança pode causar interrupções significativas nas operações da minha organização?
- A minha organização possui um processo de monitorização contínua para detetar, prevenir e responder a incidentes de cibersegurança?
- Existe um plano de resposta a incidentes formalizado e testado regularmente?
6. Consulta da Legislação Nacional
- A minha organização está conforme a lista de setores e serviços abrangidos pela legislação nacional de transposição da NIS 2?
7. Avaliação de Riscos e Segurança
- A minha organização possui um sistema de gestão de riscos implementado para identificar, analisar e mitigar riscos de cibersegurança?
- Existem políticas e procedimentos documentados de segurança da informação na minha organização?
8. Medidas Técnicas e Organizacionais
- A minha organização implementou medidas técnicas e organizacionais adequadas para garantir a segurança das redes e sistemas de informação?
- São realizados testes regulares de segurança, como avaliações de vulnerabilidades, testes de penetração ou assessments específicos a sistemas críticos com impacto na continuidade de negócio?
9. Relatórios de Incidentes
- A minha organização possui procedimentos estabelecidos para evidenciar incidentes de segurança às autoridades competentes, conforme exigido pela NIS 2?
- Os funcionários estão treinados para reconhecer e reportar incidentes de segurança?
10. Auditoria e Conformidade
- A minha organização realiza auditorias internas ou externas regulares para avaliar a conformidade com os requisitos de cibersegurança propostos na NIS 2?
- Existem mecanismos para corrigir as não conformidades identificadas durante as auditorias?
11. Formação e Conscientização
- A minha organização oferece formação regular em cibersegurança para todos os funcionários?
- Existem programas de sensibilização sobre cibersegurança que abordem as ameaças emergentes e as melhores práticas de cibersegurança?
12. Colaboração e Partilha de Informações
- A minha organização participa em iniciativas de partilha de informações sobre ameaças emergentes e incidentes em cibersegurança com outras organizações e autoridades competentes (p.ex., rede de CSIRTs, forums, convenções, etc)?
- Existem parcerias estabelecidas com outras entidades para melhorar a resiliência da organização no que toca à cibersegurança?
13. Documentação e Registos
- A minha organização mantém registos detalhados de todas as políticas, procedimentos e medidas de cibersegurança implementadas?
- Existe uma documentação clara e acessível das ações tomadas para garantir a conformidade com a NIS 2?
Consideração Final
A NIS 2 representa um passo significativo em termpos de cibersegurança a nível europeu, abrangendo através desta nova diretiva uma ampla gama de setores essenciais e críticos. A implementação da diretiva visa aumentar a resiliência e a capacidade de resposta das organizações perante ciberameaças cada vez mais sofisticadas.
É crucial que as empresas compreendam a importância desta diretiva e tomem medidas proativas para garantir a conformidade. A preparação adequada não só evita penalizações severas, como também fortalece a postura em cibersegurança.
Quais as penalidades que podem ser impostas em caso de não conformidade com a Diretiva NIS2?
Aqueles que não cumprirem com as suas obrigações ao abrigo da NIS2 devem esperar sanções severas. A implementação da diretiva prevê diferentes multas que se aplicam a setores importantes ou fornecedores de infraestrutura crítica e setores essenciais. Em caso de infrações comuns, as mesmas penalidades pesadas aplicam-se a todos os grupos.
Setores Essenciais:
- Suspensão (temporária) da certificação ou autorização relativa a parte ou a totalidade dos serviços relevantes prestados ou das atividades realizadas pela entidade.
- Impedimento de qualquer pessoa responsável por funções de gestão ao nível do executivo principal ou representante legal da entidade de exercer funções de gestão.
Fornecedores de Infraestrutura Crítica e Setores Essenciais:
- Multas até 10 milhões de euros ou 2% do volume de negócios anual.
Setores Importantes:
- Multas até 7 milhões de euros ou 1.4% do volume de negócios anual.
Não percam o comboio da cibersegurança; preparem-se já para a NIS 2.