O Jornal Oficial da União Europeia publicou esta semana a directiva NIS 2 que deve ser transposta para o direito nacional no prazo de 21 meses.
Depois de um longo período de discussões e decisões, a União Europeia adoptou finalmente a directiva NIS 2 a 14 de Dezembro de 2022, a qual foi publicada no Jornal Oficial da UE a 27 de Dezembro deste ano.
Cada Estado – Membro da UE tem agora 21 meses para transpor esta directiva para o direito nacional. A NIS 2 dá seguimento e altera a directiva sobre segurança das redes e da informação SRI, adoptada em 2016.
A Directiva UE 2022/2055 do Parlamento Europeu e do Conselho, de 14 de Dezembro de 2022, relativa às medidas destinadas a assegurar um elevado nível comum de cibersegurança em toda a União, altera o regulamento UE 910/2014 e a directiva UE 2018/1972 e revoga a directiva UE 2016/1148.
A nova directiva visa harmonizar entre todos os Estados-membros e reforçar as obrigações em termos de cibersegurança e de notificação em caso de incidente.
Certos sectores – transportes, saúde, infra-estruturas de telecomunicações, entre outros – estão sujeitos a obrigações específicas devido à sua natureza particularmente sensível.
A dimensão das entidades – empresas, instituições públicas, entre outros – é um critério importante para determinar a severidade das medidas a tomar.
A directiva indica no artigo 1º as regras e medidas comuns a seguir para a cibersegurança e identifica no artigo 2º os sujeitos obrigados (privados e públicos com exclusões específicas por Estados).
Até 17 de Abril de 2025, os Estados-Membros estabelecem uma lista das entidades essenciais e importantes, bem como das entidades que prestam serviços de registo de nomes de domínio. Os Estados-Membros revêm e, se for caso disso, actualizam essa lista com regularidade e, pelo menos, de dois em dois anos.
As autoridades competentes, o ponto de contacto único e os CSIRT do mesmo Estado-Membro terão de cooperar (art. 13º) para receber notificações de incidentes significativos (art. 23º), e de incidentes cibernéticos, ameaças cibernéticas e quase-acidentes regulados no art. 30º.
O capítulo III regula a COOPERAÇÃO A NÍVEL UNIÃO E INTERNACIONAL, que inclui representantes dos Estados-membros, da Comissão e da ENISA (art. 14º), bem como uma rede de CSIRTs nacionais (art. 15º). Também foi criada a EU-CyCLONe, uma rede para apoiar a gestão coordenada de incidentes e crises de segurança cibernética em grande escala a nível operacional e para assegurar o intercâmbio regular de informações relevantes entre os Estados Membros e as instituições, órgãos, gabinetes e agências da União.
A ENISA é então obrigada (artigo 18) a emitir um relatório sobre o estado da segurança cibernética na União de dois em dois anos e apresentá-lo ao Parlamento Europeu, e o mecanismo de “avaliação pelos pares” a ser definido até 17 de Janeiro de 2025.
Até 17 de Outubro de 2024, os Estados-membros devem adoptar e publicar as medidas necessárias para dar cumprimento à directiva, cujas disposições são aplicáveis a partir de 18 de Outubro de 2024.
Poderá consultar aqui a directiva NIS 2.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
