A nova Directiva Network and Information Security (NIS2) terá de ser transposta para todos os Estados membros até 17 de outubro de 2024. No entanto, uma vez que o país se prepara para escolher um novo Governo em Março de 2024, Portugal “terá de correr contra o tempo para que esta transposição não se atrase”, avança a IDC.
Uma das alterações mais significativas prende-se com o facto de que o número de organizações abrangidas vai ser 10 vezes maior do que na NIS1. A nova NIS2 visa assegurar uma resposta ágil e eficaz a ameaças cibernéticas, promovendo uma governança eficiente e incentivando a conformidade com os regulamentos estabelecidos pela UE.
A empresa a International Data Corporation (IDC) promoveu recentemente um evento, em Lisboa, para debater o tema “NIS2: Qual o impacto para a sua organização?”, que reuniu alguns especialistas e onde foram debatidas as alterações mais significativas desta nova directiva.
O encontro teve a participação de especialistas, incluindo António Gameiro Marques, Diretor-Geral do Gabinete de Segurança Nacional, Jorge Libório, Partner Cyber Security da EY Portugal, e Gabriel Coimbra, Vice-Presidente do Grupo e CM da IDC.
Um dos temas discutidos foi o impacto que a mudança de Governo poderá ter na transposição da nova directiva. Até porque, o processo de transposição “é algo moroso e poderá atrasar esta transposição”. Após a aprovação e implementação de legislação da União Europeia (UE), as entidades governamentais seguem os procedimentos estabelecidos pela Constituição da República Portuguesa e pelas leis nacionais. Logo, a nova Directiva NIS2 terá de ser aprovada pelo parlamento, passar por uma ratificação presidencial antes de se tornar lei e só depois será implementada.
No entanto, Portugal está a preparar-se para ajudar as entidades e organizações portuguesas a implementar as medidas necessárias para responder aos desafios da NIS2, Director-Geral do Gabinete de Segurança Nacional, um dos oradores convidados, referiu que o sector público vai ter um papel relevante para ajudar as entidades e organizações a transpor a NIS2. Como tal, o responsável garantiu que haverá um reforço na estrutura: “a C-Network será composta por sete centros de competências distribuídos pelo país (incluindo ilhas), integrando especialistas com competências diversas para apoiar as organizações locais. Aliás, para dar resposta vamos quase que duplicar o número de colaboradores. Na minha perspectiva, temos de ser ágeis pois o hacker aplaude a complexidade, porque enquanto estamos a descomplicar, o hacker tem tempo para atacar”.
O número de organizações abrangidas pela nova directiva será 10 vezes maior que na NIS1 Neste sentido, António Gameiro Marques sublinhou que o GNS e o CNCS propuseram a realização de uma consulta pública, para auscultar a opinião das empresas nesta matéria.
Gabriel Coimbra, Vice-Presidente do Grupo e Country Manager da IDC, explicou que “hoje mais de 30% do negócio das organizações é proveniente de produtos, serviços e experiências digitais, e prevemos que seja mais de 40%, em 2025. Neste contexto, os temas relacionados com a Gestão de Risco e Segurança de Informação são cada vez mais relevantes, e a Directiva NIS 2 será fundamental para garantir uma maior resiliência digital das organizações europeias, mas exigirá um esforço significativo por parte das grande e médias empresas, que terão de aumentar os seus investimentos em Segurança da Informação em mais 10 a 20%.”
A nova Directiva NIS2 passa a abranger 15 sectores, sendo que as entidades são classificadas entre “importantes” e “essenciais” de acordo com os critérios da UE. Como exemplo, as empresas que tenham mais de 50 colaboradores e mais de 10 milhões de euros de volume de negócios são abrangidas pela NIS 2.
Critérios da Diretiva NIS2
A Directiva NIS2 relativa à segurança de redes e informações introduz novas regras para promover um âmbito comum de cibersegurança em toda a UE, quer nas empresas como nos países.
A nova Directiva abrange entidades que desempenham serviços críticos para a sociedade, tais como energia, transporte, água, saúde, bem como empresas que fornecem serviços digitais, como comércio electrónico, redes sociais e serviços de pagamento.
No global, a Directiva NIS2 estabelece padrões mais rigorosos no que diz respeito à segurança e à comunicação de incidentes. Uma vez implementada, as organizações são obrigadas a gerir os riscos cibernéticos, implementar medidas de resistência e a notificar as autoridades nacionais sobre incidentes cibernéticos significativos no prazo de 24 horas. Além disso, a Directiva NIS2 também impõe a obrigação das organizações comunicarem quaisquer ciber-ameaças significativas que possam impactá-las.
Mediante esta Directiva, as medidas de supervisão e as disposições de execução são fortalecidas, introduzindo sanções mais severas em caso de não conformidade, com penalidades que podem atingir até 10 milhões de euros ou 2% do volume de negócios anual global do exercício financeiro anterior.
A Directiva NIS2 também estipula poderes de supervisão mais robustos para as autoridades nacionais, conferindo-lhes a capacidade de realizar auditorias e emitir instruções vinculativas.
Jorge Libório, Partner Cyber Security da EY Portugal, outro dos oradores convidados, salientou que “no recente Relatório da EY – “O futuro da cibersegurança na Europa. Desafios relacionados com a Directiva NIS2”, frisámos que a falta de recursos nas empresas (33% da cibersegurança é feita pelo IT e não por uma identidade independente e específica) tem de ser uma preocupação nesta fase de transposição para as entidades. Melhorar a maturidade nas organizações e ver a cibersegurança como uma alavanca de crescimento e não um obstáculo, é essencial. As pessoas estão “cansadas” da regulamentação e veem-na como um obstáculo. É importante utilizar a regulação de forma proativa como um aliado”.
O mesmo responsável acrescentou ainda que “as partes interessadas deverão ser envolvidas na transposição da diretiva, de forma a serem ouvidas, e conseguirem expor os seus pontos de vista e preocupações. Além disso, a preparação é fundamental, e é muito importante que estas entidades tenham guidance sobre como se podem preparar, bem como, como quanto tempo terão para provar a conformidade depois de transposta a lei, e de que forma podem provar essa conformidade.”
A IDC evidenciou que a economia digital continua a ser um dos principais motores da economia global. Dado que todos os sectores e indústrias são agora impactados pelas tecnologias digitais de alguma forma, a questão de como regular essa implementação torna-se mais crucial do que nunca. O relatório “Market Perspective – EMEA Digital Regulations and Policies Radar”, da IDC, enfatiza que a tecnologia vai estar na base do cumprimento dos requisitos regulamentares, e os fornecedores de tecnologia são actores cruciais para promover uma governação eficiente e eficaz, bem como da infraestrutura informativa subjacente aos dados.
Nesse sentido, os provedores de tecnologia devem priorizar a implementação de uma arquitectura flexível e a agilidade dos seus produtos. Para tal, é crucial compreender as perspectivas dos reguladores para antecipar futuros desenvolvimentos e aplicações de regulamentos e políticas. Além disso, é recomendável oferecer tecnologias abrangentes que auxiliem os clientes a adaptarem-se rapidamente, considerando requisitos regulamentares do sector, capacidades analíticas de dados específicas e tecnologias avançadas de elaboração de relatórios.
