A nova Diretiva Network and Information Security (NIS2) terá de ser transposta para todos os Estados membros até 17 de outubro de 2024. No entanto, uma vez que o País se prepara para escolher um novo governo em março de 2024, Portugal terá de correr contra o tempo para que esta transposição não se atrase. Na semana passada, a International Data Corporation (IDC) promoveu um evento, em Lisboa, para debater o tema “NIS2: Qual o impacto para a sua organização?”, que reuniu alguns especialistas e onde foram debatidas as alterações mais significativas desta nova diretiva.
Um dos temas discutidos foi o impacto que a mudança de Governo poderá ter na transposição da nova diretiva. Até porque, o processo de transposição é algo moroso e poderá atrasar esta transposição. Após a aprovação e implementação de legislação da União Europeia (UE), as entidades governamentais seguem os procedimentos estabelecidos pela Constituição da República Portuguesa e pelas leis nacionais. Logo, a nova Diretiva NIS2 terá de ser aprovada pelo parlamento, passar por uma ratificação presidencial antes de se tornar lei e só depois será implementada.
No entanto, Portugal está a preparar-se para ajudar as entidades e organizações portuguesas a implementar as medidas necessárias para responder aos desafios da NIS2, Diretor-Geral do Gabinete de Segurança Nacional, um dos oradores convidados, referiu que o setor publico vai ter um papel relevante para ajudar as entidades e organizações a transpor a NIS2. Como tal, o responsável garantiu que vai haver um reforço na estrutura: “a C-Network será composta por 7 centros de competências distribuídos pelo País (incluindo ilhas), integrando especialistas com competências diversas para apoiar as organizações locais. Aliás, para dar resposta vamos quase que duplicar o número de colaboradores. Na minha perspetiva, temos de ser ágeis pois o hacker aplaude a complexidade, porque enquanto estamos a descomplicar, o hacker tem tempo para atacar”.
Outra das alterações mais significativas prende-se com o facto de que o número de organizações abrangidas vai ser 10 vezes maior do que na NIS1, graças à introdução de um critério de dimensão. Neste sentido, António Gameiro Marques sublinhou ainda que o GNS e o CNCS propuseram a realização de uma consulta pública, para auscultar a opinião das empresas nesta matéria, e situou o universo de empresas abrangidas como a rondar uma ordem de grandeza a mais, relativamente às atuais 460 entidades”.
Gabriel Coimbra, Vice-Presidente do Grupo e Country Manager da IDC, explicou que “hoje mais de 30% do negócio das organizações é proveniente de produtos, serviços e experiências digitais, e prevemos que seja mais de 40%, em 2025. Neste contexto, os temas relacionados com a Gestão de Risco e Segurança de Informação são cada vez mais relevantes, e a Diretiva NIS 2 será fundamental para garantir uma maior resiliência digital das organizações europeias, mas exigirá um esforço significativo por parte das grande e médias empresas, que terão de aumentar os seus investimentos em Segurança da Informação em mais 10 a 20%.”
A nova Diretiva NIS2 passa a abranger 15 setores, sendo que as entidades são classificadas entre “importantes” e “essenciais” de acordo com os critérios da UE. Como exemplo, as empresas que tenham mais de 50 colaboradores e mais de 10 milhões de euros de volume de negócios são abrangidas pela NIS 2.
Critérios da Diretiva NIS2
A Diretiva NIS2 relativa à segurança de redes e informações introduz novas regras para promover um âmbito comum de cibersegurança em toda a UE, quer nas empresas como nos países. A partir de agora a nova Diretiva NIS2 abrange entidades que desempenham serviços críticos para a sociedade, tais como energia, transporte, água, saúde, bem como empresas que fornecem serviços digitais, como comércio eletrónico, redes sociais e serviços de pagamento.
No global, a Diretiva NIS2 estabelece padrões mais rigorosos no que diz respeito à segurança e à comunicação de incidentes. Uma vez implementada, as organizações são obrigadas a gerir os riscos cibernéticos, implementar medidas de resistência e a notificar as autoridades nacionais sobre incidentes cibernéticos significativos no prazo de 24 horas. Além disso, a Diretiva NIS2 também impõe a obrigação das organizações comunicarem quaisquer ciber-ameaças significativas que possam impactá-las.
Mediante esta Diretiva, as medidas de supervisão e as disposições de execução são fortalecidas, introduzindo sanções mais severas em caso de não conformidade, com penalidades que podem atingir até 10 milhões de euros ou 2% do volume de negócios anual global do exercício financeiro anterior. A Diretiva NIS2 também estipula poderes de supervisão mais robustos para as autoridades nacionais, conferindo-lhes a capacidade de realizar auditorias e emitir instruções vinculativas.
Jorge Libório, Partner Cyber Security da EY Portugal, outro dos oradores convidados, salientou que “no recente Relatório da EY – “O futuro da cibersegurança na Europa. Desafios relacionados com a Diretiva NIS2”, frisámos que a falta de recursos nas empresas (33% da cibersegurança é feita pelo IT e não por uma identidade independente e específica) tem de ser uma preocupação nesta fase de transposição para as entidades. Melhorar a maturidade nas organizações e ver a cibersegurança como uma alavanca de crescimento e não um obstáculo, é essencial. As pessoas estão “cansadas” da regulamentação e veem-na como um obstáculo. É importante utilizar a regulação de forma proativa como um aliado”.
O mesmo responsável acrescentou ainda que “as partes interessadas deverão ser envolvidas na transposição da diretiva, de forma a serem ouvidas, e conseguirem expor os seus pontos de vista e preocupações. Além disso, a preparação é fundamental, e é muito importante que estas entidades tenham guidance sobre como se podem preparar, bem como, como quanto tempo terão para provar a conformidade depois de transposta a lei, e de que forma podem provar essa conformidade.”
A IDC evidenciou que a economia digital continua a ser um dos principais motores da economia global. Dado que todos os setores e indústrias são agora impactados pelas tecnologias digitais de alguma forma, a questão de como regular essa implementação torna-se mais crucial do que nunca. O relatório “Market Perspective – EMEA Digital Regulations and Policies Radar”, da IDC, enfatiza que a tecnologia vai estar na base do cumprimento dos requisitos regulamentares, e os fornecedores de tecnologia são atores cruciais para promover uma governação eficiente e eficaz, bem como da infraestrutura informativa subjacente aos dados.
Nesse sentido, os provedores de tecnologia devem priorizar a implementação de uma arquitetura flexível e a agilidade dos seus produtos. Para tal, é crucial compreender as perspetivas dos reguladores para antecipar futuros desenvolvimentos e aplicações de regulamentos e políticas. Além disso, é recomendável oferecer tecnologias abrangentes que auxiliem os clientes a adaptarem-se rapidamente, considerando requisitos regulamentares do setor, capacidades analíticas de dados específicas e tecnologias avançadas de elaboração de relatórios.
