O Conselho Europeu adoptou a legislação destinada a garantir um elevado nível comum de cibersegurança na União Europeia, a fim de reforçar ainda mais a resiliência e as capacidades de resposta a incidentes tanto do sector público como do privado e da UE no seu todo.
A nova directiva, denominada “NIS 2”, substituirá a directiva actual relativa à segurança das redes e da informação.
Ivan Bartoš, vice-primeiro-ministro responsável pela Digitalização e ministro do Desenvolvimento Regional da Chéquia, diz que “não há dúvida de que a cibersegurança continuará a ser um dos principais desafios dos próximos anos. Os riscos para as nossas economias e para os nossos cidadãos são enormes. Hoje, demos mais um passo no sentido de melhorar a nossa capacidade de fazer face a esta ameaça”.
Reforço da gestão e da cooperação em matéria de riscos e incidentes
O NIS2 estabelecerá a linha de base para as medidas de gestão de riscos de cibersegurança e as obrigações de informação em todos os sectores abrangidos pela directiva, tais como energia, transportes, saúde e infra-estruturas digitais.
A directiva revista visa harmonizar os requisitos de cibersegurança e a aplicação de medidas de cibersegurança nos diferentes Estados-Membros. Para alcançar este objectivo, estabelece regras mínimas para um quadro regulamentar, define mecanismos para uma cooperação eficaz entre as autoridades competentes de cada Estado-Membro, actualiza a lista de sectores e actividades sujeitos a obrigações em matéria de cibersegurança e prevê vias de recurso e sanções para assegurar a execução.
A directiva criará formalmente a Rede Europeia de Organizações de Coordenação de Cibercrises, EU-CyCLONe, que apoiará a gestão coordenada de incidentes e crises de cibersegurança em grande escala.
Alargamento do âmbito de aplicação das regras
Embora, ao abrigo da antiga Diretiva, os Estados-Membros fossem responsáveis por determinar quais as entidades que preencheriam os critérios para serem consideradas operadores de serviços essenciais, a nova Directiva introduz uma regra da limitação com base na dimensão como regra geral para a identificação de entidades regulamentadas. Significa isto que todas as entidades de média e grande dimensão que operam nos sectores ou prestam serviços abrangidos pela directiva serão incluídas no seu âmbito de aplicação.
Embora a directiva revista mantenha esta regra geral, o seu texto inclui disposições adicionais para assegurar a proporcionalidade, um nível mais elevado de gestão dos riscos e critérios precisos fundamentais para permitir às autoridades nacionais determinarem novas entidades abrangidas.
O texto clarifica igualmente que a directiva não se aplicará a entidades que desenvolvam actividades nos domínios da defesa ou da segurança nacional, da segurança pública e da aplicação da lei. O sistema judicial, os parlamentos e os bancos centrais estão igualmente excluídos do seu âmbito de aplicação.
A Directiva será igualmente aplicável às administrações públicas a nível central e regional. Além disso, os Estados-Membros podem decidir que a directiva também se aplique a essas entidades a nível local.
Outras alterações introduzidas pela nova legislação
Além disso, a nova directiva foi alinhada pela legislação sectorial específica, em especial o regulamento relativo à resiliência operacional digital do sector financeiro (DORA) e a directiva relativa à resiliência das entidades críticas (REC), a fim de proporcionar clareza jurídica e assegurar a coerência entre a Directiva NIS2 e estes actos.
Um mecanismo facultativo de aprendizagem entre pares aumentará a confiança mútua e a aprendizagem com base nas boas práticas e experiências adquiridas na União, contribuindo assim para que se alcance um elevado nível comum de cibersegurança.
A nova legislação também simplifica as obrigações de notificação, a fim de evitar tanto notificações como encargos em excesso para as entidades abrangidas.
Próximas etapas
A directiva será publicada no Jornal Oficial da União Europeia nos e entrará em vigor no vigésimo dia após a sua publicação.
Após a entrada em vigor da directiva, os Estados-Membros disporão de 21 meses para integrar as suas disposições no direito nacional.
Se quer ler notícias como esta, subscreva gratuitamente a newsletter da Security Magazine..
