Será a NIS2 a grande arma da Europa no que respeita à Cibersegurança?

Aumentar os níveis de cibersegurança e resiliência de sistemas-chave na Europa. Esta foi a grande promessa que resultaria da implementação da Directiva NIS. 9 de Maio de 2018, a data limite dos estados membros para transpôr a Directiva de Segurança de Redes e Sistemas de Informação - vulgarmente chamada de Directiva NIS, foi um marco no contexto Europeu.

Pela primeira vez tinha sido atirada pela europa a primeira "pedra" para forçar a implementação de legislação transversal aos estados membros, exclusivamente dedicada à cibersegurança, com a promessa de fazer face à realidade tecnológica que se vivia, assim como aos agentes de ameaça cada vez mais transversais e impactantes.

Mas se foi um marco importante, numa direcção necessária, também não menos importante foi a imediata percepção que seria um passo com um impacto reduzido e que necessitaria muito rapidamente de uma actualização com controlos mais adequados à realidade das ciberameaças. Facto é que aproximadamente 2 anos depois, em Dezembro de 2020, já havia uma proposta de uma nova versão da directiva NIS - NIS2.

De uma forma bastante simplista mas exemplificativa das maiores diferenças entre as duas versões desta directiva temos os seguintes 4 vectores:

Capacidades

Foi notória a tentativa (embora muito aquém) de com a NIS1 os estados membros da UE melhorarem as suas capacidades de segurança. No entanto, e percebendo-se que havia ainda um grande caminho a percorrer, a NIS2 pretende introduzir um conjunto de medidas de supervisão e aplicação bastante mais apertadas.

Cooperação

Se por um lado na NIS1 tinhamos um aumento de cooperação a nivel da UE, a NIS2 pretende ir bastante mais além, nomeadamente com os seguintes vectores:

• Estabelecer a EU-CyCLONe onde basicamente se pretende ter um grupo europeu de cibercrise para gerir incidentes de cibersegurança a larga escala na UE;
• Aumentar a partilha de informação entre autoridades dos estados membros com um papel mais activo e relevante no grupo de cooperação NIS;
• Coordenar a gestão de vulnerabilidades para vulnerabilidades novas de uma forma transversal na EU

Gestão do risco de cibersegurança

Sem dúvida que um dos pontos-chave da NIS1 se focou na adopção de práticas de gestão de risco e de notificação de incidentes de cibersegurança relevantes às autoridades nacionais, por parte dos operadores de serviços essenciais e fornecedores de serviços digitais.

Com a NIS2 é pretendido que, em adição à implementação de gestão de risco, se reforcem os requisitos de segurança com uma lista bastante bem definida de medias que incluem a resposta a incidentes e gestão de crises, gestão de vulnerabilidades e publicação de vulnerabilidades, testes de cibersegurança e um uso efectivo de mecanismos de encriptação.

É também introduzido o conceito de reforço da cibersegurança na supply chain com especial foco em tecnologias-chave e estratégicas.

Por fim, existe agora um foco na responsabilidade da administração da empresa pelo cumprimento das medidas de gestão dos riscos de cibersegurança e obrigações de comunicação de incidentes de cibersegurança com disposições mais precisas sobre o processo de comunicação, o conteúdo e o espaço temporal.

Âmbito e sectores

E por último e provavelmente até o ponto mais relevante para a maioria das organizações, o âmbito teve bastantes alterações. A NIS1 foi relativamente criticada não só pelo conteúdo e pelo provavelmente reduzido impacto dos requisitos, como também por deixar alguns sectores relevantes de fora da equação. Relembre-se que os únicos sectores em âmbito da NIS1 eram a saúde, os bancos e infraestruturas de mercados financeiros, fornecimento de água, fornecedores de serviços digitiais, transporte, infraestruturas digitais e energia.

A NIS2 veio de facto trazer a tão esperada introdução (aos sectores já acima mencionados) dos fornecedores de comunicações electrónicas redes ou serviços acessíveis ao público, serviços digitais como plataformas de serviços de redes sociais, e serviços de datacdenters, resíduos, espaço, produção de produtos críticos como farmacêuticos, químicos e dispositivos médicos, correios, comida e administração pública.

Em bom da verdade, finalmente poderemos ver uma amplitude de âmbito que finalmente quebra a maior parte dos silos dentro de uma sociedade, no que respeita à implementação de uma directiva que tem como objectivo precisamente capacitar e aumentar a maturidade de cibersegurança dos estados membros da UE.

A dimensão de supervisão e impacto financeiro como ponto de viragem

A NIS2 coloca a supervisão e obrigatoriedade de execução no centro das responsabilidades das autoridades nacionais competentes e estabelece um quadro holístico para a capacidde das actividades de supervisão e execução dos estados membros. Com isto procura-se efectivamente assegurar o cumprimento efectivo das medidas NIS por parte das organizações dos sectores em âmbito, concedendo às autoridades nacionais um conjunto de capacidades como auditorias regulares e direccionadas, presenciais e remotas, pedidos de informações e acesso a informação e documentos que evidenciem o cumprimento das medidas estabelecidas.

Estranhamente, tem havido uma relutância geral entre os estados membros em aplicar sanções e penalizações às entidades que não implementam os requisitos de segurança ou não comunicam os incidentes de cibersegurança, o que não pode deixar de resultar num impacto directo da falta de eficácia desta directiva. Tendo havido tal alinhamento entre todos os estados membros no que respeita à GDPR, estranha-se que tal também não exista em relação à directiva NIS.

Assim, a fim de tornar a aplicação eficaz, a nova proposta estabelece um quadro coerente de sanções em toda a União. Por conseguinte, estabelece uma lista mínima de sanções administrativas por violação das obrigações de gestão e comunicação de riscos de cibersegurança estabelecidas na directiva NIS.

Estas sanções incluem instruções vinculativas, ordem para implementar as recomendações de uma auditoria de segurança, ordem para alinhar as medidas de segurança com os requisitos da NIS e multas administrativas. este último ponto será provavelmente o que terá maior "poder" de persuasão para as entidades executarem e implementarem os requisitos da NIS. A proposta da directiva NIS estabelece que os estados membro estabelecessem uma coima de pelo menos 10.000.000 € ou 2% do volume de negócios anual total mundial do exercício anterior, consoante o que for mais elevado.

No exercício dos seus poderes de execução, as autoridades nacionais responsáveis pelas observações devem ter em devida conta as circunstâncias particulares de cada caso, tais como a natureza, gravidade e duração da infração, os danos causados ou perdas incorridas, o caráter intencional ou negligente da infração.

A fim de assegurar uma verdadeira responsabilização pelas medidas de cibersegurança a nível organizacional, a proposta da directiva NIS introduz disposições sobre a responsabilidade das pessoas singulares que exerçam cargos de representação ou de quadros superiores nas entidades abrangidas pelo âmbito de aplicação desta nova directiva.

Por fim...

É notório o avanço que a UE quer dar à maturidade de cibersegurança nos seus estados membros. É também de louvar esta revisão da directiva NIS, que muitas críticas teve na sua primeira verão, não só pelo reduzido âmbito de execução, como dos próprios requisitos que nela constavam.

Vemos que a Comissão fez um esforço de claro alinhamento entre a NIS2 e a proposta de de directiva CIR - Resiliência de infraestruturas críticas, assim como em relação à segurança na cadeia de fornecedores tecnológicos que suportam áreas críticas e tecnologias-chave na UE, com especial foco no que respeita ao caminho já percorrido anteriormente relativamente às recomendações de cibersegurança nas redes 5G.

Vemos uma unificação de várias frentes de regulação e uma procura de acompanhar o resto do mundo no aumento da maturidade de cibersegurança. No entanto, tudo isto culminará num sucesso ou insucesso, de acordo com a capacidades das autoridades nacionais supervisionarem a efectiva implementação dos requisitos desta nova directiva e a consequente aplicação de sanções em caso grave de falha de cumprimento.