Diretiva NIS 2: Fortalecendo a Cibersegurança na União Europeia

A Diretiva (UE) 2022/2555, conhecida como Diretiva NIS 2 (Network and Information Systems), foi adotada pelo Parlamento Europeu e pelo Conselho em 14 de dezembro de 2022. Essa legislação estabelece um elevado nível comum de cibersegurança em toda a União Europeia (UE), substituindo a anterior Diretiva NIS 1 (2016/1148). A necessidade de revisão surgiu devido ao aumento da digitalização e à evolução das ameaças cibernéticas, que exigiram uma atualização das medidas regulatórias para garantir a segurança e resiliência digital.

Principais Objetivos da Diretiva NIS 2

A Diretiva NIS 2 tem como objetivo principal reforçar a ciber-resiliência dos Estados-Membros, da UE, abordando lacunas identificadas na diretiva anterior. Entre os avanços, destaca-se a ampliação do âmbito de aplicação para incluir setores como energia, transporte, saúde, infraestrutura digital e serviços públicos. Além disso, as entidades abrangidas devem implementar medidas de gestão de riscos de cibersegurança que incluem avaliações de risco, políticas de segurança, gestão de incidentes e continuidade de negócios. A diretiva enfatiza a colaboração entre Estados-Membros, promovendo mecanismos de partilha de informações e respostas coordenadas a crises cibernéticas.

Por que a NIS 1 deu lugar a NIS 2?

A Diretiva NIS 1, adotada em 2016, foi pioneira na harmonização de normas de cibersegurança na UE, mas revelou desafios significativos. Sua implementação resultou em níveis desiguais de proteção entre os Estados-Membros, além de vulnerabilidades que ameaçavam o funcionamento do mercado interno. A rápida evolução das ameaças digitais e o aumento da dependência de infraestruturas críticas exigiram uma atualização do quadro normativo. A NIS 2 surge, assim, para corrigir essas deficiências, estabelecendo requisitos mais rigorosos, eliminando a distinção entre operadores de serviços essenciais e prestadores de serviços digitais e abrangendo um número maior de setores.

Alterações e Reforços Introduzidos

Uma das principais mudanças introduzidas pela Diretiva NIS 2 é a eliminação da distinção entre “operadores de serviços essenciais” e “prestadores de serviços digitais”. Agora, todas as entidades que atendem a determinados critérios de tamanho e importância setorial são classificadas como “entidades essenciais” ou “entidades importantes”, independentemente de serem públicas ou privadas. Além disso, a diretiva estabelece obrigações específicas para as administrações públicas, reconhecendo a importância de proteger os serviços governamentais contra ameaças cibernéticas.

A Diretiva NIS 2 também introduz requisitos mais detalhados para a notificação de incidentes de cibersegurança. As entidades devem relatar incidentes significativos às autoridades competentes sem demora injustificada, seguindo um cronograma específico que inclui uma notificação inicial dentro de 24 horas e um relatório final no prazo de um mês após o incidente. Essas medidas visam garantir uma resposta rápida e coordenada a incidentes cibernéticos, minimizando o impacto potencial.

Obrigações de Cumprimento

A Diretiva NIS 2 estabelece obrigações específicas para as entidades classificadas como essenciais e importantes, visando fortalecer a cibersegurança na União Europeia. Essas entidades devem implementar medidas de gestão de riscos de cibersegurança. A diretiva também enfatiza a segurança da cadeia de abastecimento e a necessidade de colaboração com outras entidades e autoridades para enfrentar ameaças cibernéticas eficazmente.

Sanções pelo Não Cumprimento

O não cumprimento das obrigações estabelecidas pela Diretiva NIS 2 pode resultar em sanções significativas. Para entidades essenciais, os Estados-Membros devem aplicar multas administrativas que podem chegar a 10 milhões de euros ou 2% do volume de negócios anual global, prevalecendo o valor mais elevado. No caso de entidades importantes, as multas podem atingir 7 milhões de euros ou 1,4% do volume de negócios anual global, também prevalecendo o valor mais elevado. Essas sanções visam garantir a conformidade e incentivar a implementação de medidas adequadas de cibersegurança, reconhecendo a importância crítica desses setores para a sociedade e a economia.

Prazos e Implementação

A Diretiva NIS 2 entrou em vigor em 16 de janeiro de 2023, e os Estados-Membros têm até 17 de outubro de 2024 para transpor as suas disposições para a legislação nacional. As entidades abrangidas devem estar seguindo os novos requisitos a partir de 18 de outubro de 2024. A implementação efetiva da diretiva requer que os Estados-Membros estabeleçam ou designem autoridades competentes em cibersegurança, pontos de contato únicos e equipes de resposta a incidentes de segurança informática (CSIRTs).

Impacto Esperado

Espera-se que a Diretiva NIS 2 fortaleça significativamente a cibersegurança na UE, promovendo uma abordagem harmonizada entre os Estados-Membros. Ao ampliar o âmbito de aplicação e estabelecer requisitos de segurança mais rigorosos, a diretiva visa reduzir a fragmentação regulatória e aumentar a resiliência cibernética em setores críticos. Além disso, ao melhorar a cooperação e a troca de informações, a UE estará melhor preparada para enfrentar ameaças cibernéticas em evolução, protegendo a economia e a sociedade contra potenciais danos causados por incidentes de cibersegurança.