Capítulos 08 Em vigor: 18 de outubro de 2024

Diretiva NIS2

Diretiva sobre a Segurança das Redes e Sistemas de Informação

Visão Geral

A NIS2 substitui e expande significativamente a Diretiva NIS original, estabelecendo um alto nível comum de cibersegurança em toda a UE. Aplica-se a uma gama muito mais ampla de setores e entidades, introduz medidas de supervisão mais rigorosas e harmoniza sanções entre os Estados-Membros.[1]

Como diretiva, a NIS2 exigiu transposição para a legislação nacional até 17 de outubro de 2024. A implementação varia conforme o Estado-Membro.

Âmbito: Entidades Essenciais vs Importantes

Entidades Essenciais (Maior Rigor)[2]

SetorExemplos
EnergiaEletricidade, petróleo, gás, hidrogênio, aquecimento distrital
TransporteAéreo, ferroviário, aquaviário, rodoviário
BancárioInstituições de crédito
Mercados financeirosLocais de negociação, contrapartes centrais
SaúdePrestadores de cuidados de saúde, laboratórios, farmacêuticas, dispositivos médicos
Água potávelFornecedores de água
Águas residuaisTratamento de águas residuais
Infraestrutura digitalIXPs, DNS, registros TLD, nuvem, centros de dados, CDNs, TSPs
Gestão de serviços TICProvedores de serviços gerenciados, provedores de serviços de segurança gerenciados
Administração públicaEntidades do governo central
EspaçoOperadores de infraestrutura terrestre

Entidades Importantes (Rigor Menor)

SetorExemplos
Serviços postaisServiços postais e de courier
Gestão de resíduosColeta e tratamento de resíduos
Produtos químicosFabricação e distribuição
AlimentosProdução e distribuição
ManufaturaDispositivos médicos, eletrônicos, máquinas, veículos
Provedores digitaisMercados online, motores de busca, redes sociais
PesquisaOrganizações de pesquisa

Limiares de Tamanho

A NIS2 aplica-se geralmente a entidades médias e grandes:

  • Média: 50+ empregados OU €10M+ de faturamento/balanço
  • Grande: 250+ empregados OU €50M+ de faturamento OU €43M+ de balanço

Algumas entidades aplicam-se independentemente do tamanho (DNS, registros TLD, provedores de nuvem, centros de dados, etc.).

Requisitos Principais

Medidas de Gestão de Risco (Artigo 21)[3]

As entidades devem implementar medidas técnicas, operacionais e organizacionais apropriadas:

  1. Políticas: Análise de risco e políticas de segurança dos sistemas de informação
  2. Gestão de incidentes: Procedimentos de deteção, resposta e recuperação
  3. Continuidade de negócios: Backup, recuperação de desastres, gestão de crises
  4. Segurança da cadeia de fornecimento: Requisitos de segurança para fornecedores
  5. Segurança de rede: Segurança na aquisição, desenvolvimento e manutenção
  6. Avaliação de eficácia: Políticas para avaliar a eficácia das medidas de segurança
  7. Higiene cibernética básica: Programas de formação e sensibilização
  8. Criptografia: Políticas sobre controlos criptográficos e encriptação
  9. Recursos humanos: Segurança do pessoal e controlos de acesso
  10. Autenticação multifator: MFA e sistemas de comunicação seguros

Comunicação de Incidentes (Artigo 23)[4]

PrazoRequisito
24 horasAlerta precoce ao CSIRT/autoridade competente
72 horasNotificação do incidente com avaliação inicial
1 mêsRelatório final com causa raiz e mitigação

Incidentes significativos devem ser reportados se causarem ou puderem causar perturbação operacional grave ou perda financeira, ou afetarem outras pessoas singulares ou coletivas.

Responsabilidade da Gestão

Órgãos de gestão devem:

  • Aprovar medidas de gestão de risco de cibersegurança
  • Supervisionar a implementação das medidas de segurança
  • Ser pessoalmente responsáveis pelo não cumprimento
  • Participar em formação em cibersegurança

Sanções

  • Entidades essenciais: Até €10 milhões ou 2% do volume de negócios global
  • Entidades importantes: Até €7 milhões ou 1,4% do volume de negócios global[5]

Os Estados-Membros podem impor sanções adicionais, incluindo proibições temporárias de gestão.

Obrigações para Desenvolvedores e Provedores de Serviços TIC

Se você fornece serviços ou produtos TIC:

  1. Provedores de Serviços Gerenciados: Diretamente no âmbito como entidades essenciais
  2. Provedores de Nuvem: Diretamente no âmbito como entidades essenciais
  3. Desenvolvedores de Software: Obrigações na cadeia de fornecimento para entidades clientes
  4. Vendedores de Segurança: Podem ser designados como entidades importantes

Fontes e Referências

[1]
Diretiva (UE) 2022/2555 sobre um alto nível comum de cibersegurança. EUR-Lex: Texto Oficial da NIS2
[2]
Anexos I e II da NIS2: setores de entidades essenciais e importantes. NIS2-Directive.com: Setores
[3]
Artigo 21 da NIS2: Medidas de gestão de risco de cibersegurança. NIS2-Directive.com: Artigo 21
[4]
Artigo 23 da NIS2: Obrigações de comunicação de incidentes. NIS2-Directive.com: Artigo 23
[5]
Artigo 34 da NIS2: Multas administrativas. NIS2-Directive.com: Artigo 34