Esta é uma pergunta que recebemos muitas vezes dos nossos clientes. A redação da Diretiva NIS2 nem sempre é muito explícita. A NIS2 é um quadro que os países têm de implementar. Uma vez que se trata de uma diretiva e não de um regulamento, cada país da UE tem autonomia para a implementar de acordo com a sua própria interpretação.
A linguagem da NIS2 é ampla, o que torna difícil a sua compreensão, especialmente até que os países publiquem as suas especificidades. No entanto, responderemos da forma mais clara possível quais as empresas que a NIS2 afecta atualmente.
Auto-verificação rápida doNIS2 do Aikidopara ver se está dentro do âmbito
Gostamos que as coisas sejam práticas e diretas. Por isso, para ajudar a tornar as coisas mais fáceis, eis a nossa rápida auto-verificação em 5 passos para ver se está no âmbito do NIS2:
- A sua empresa trabalha num sector "essencial" ou "importante"?
- Verificar se faz parte de uma sub-indústria.
- Está abrangido pelos requisitos de dimensão?
- Se a resposta for "não" a 1, 2 e 3, verifique novamente se não é uma exceção (dica profissional: pode ser necessário procurar aconselhamento jurídico para estar seguro).
- E, se a resposta for "não" a todas as perguntas anteriores, verifique se os seus clientes estão ou não abrangidos pelo âmbito de aplicação.
A quem se aplica a NIS2?
Há dois parâmetros-chave a verificar para saber se o NIS2 afecta a sua empresa:
- Setor de atividade: Se faz parte de um sector que é "essencial" ou "importante".
- Dimensão: Se a dimensão da sua empresa corresponder a determinados limiares "essenciais" ou "importantes", ou seja, mais de X empregados, X receitas ou X balanço.
Vamos analisar ambos com mais profundidade.
A que sectores se aplica o NIS2?
Tudo começa aqui. A NIS2 tem por objetivo garantir a segurança dos sectores essenciais e importantes. A NIS2 alarga o número de indústrias que eram o foco da primeira Diretiva NIS. Estabelece uma diferença entre essencial e importante, mas ambas as categorias estão incluídas no seu âmbito de aplicação.
Sectores essenciais: energia, água potável, águas residuais, transportes, banca, mercados financeiros, gestão de serviços TIC, administração pública, cuidados de saúde e espaço.
Indústrias importantes: serviços postais e de correio, gestão de resíduos, produtos químicos, produtos alimentares, indústria transformadora (por exemplo, dispositivos médicos, computadores/eletrónica, máquinas/equipamentos, veículos a motor, reboques/semi-reboques/outro equipamento de transporte), fornecedores digitais (por exemplo, mercados em linha) e organismos de investigação.
Alguns sectores têm um âmbito de aplicação imediato, independentemente do que aconteça. Alguns exemplos incluem os registadores de nomes de domínio, os fornecedores de serviços fiduciários, os fornecedores de serviços DNS, os registos de nomes TLD e os fornecedores de telecomunicações.
Além disso, as autoridades nacionais terão o poder de designar empresas individuais que não se enquadram nas categorias de sectores essenciais ou importantes. Poderão fazê-lo se considerarem que a empresa presta um serviço único, tem um impacto significativo e/ou é essencial para a sociedade.
Critérios de dimensão das empresas NIS2
O NIS2 tem regras de limite de dimensão. Isto significa que terá de cumprir a diretiva se ultrapassar determinados limiares.
Quais são as empresas essenciais e importantes para os critérios de dimensão?
- Empresas essenciais: mais de 250 trabalhadores OU mais de 50 milhões de euros de volume de negócios anual OU mais de 43 milhões de euros de balanço
Nota: Uma empresa essencial que não cumpra os limiares de dimensão essenciais (acima), mas que cumpra os limiares de dimensão das empresas importantes (abaixo), é considerada uma empresa importante. E, por conseguinte, continua a ser abrangida pelo âmbito de aplicação. - Empresas importantes: Mais de 50 trabalhadores OU mais de 10 milhões de euros de volume de negócios anual OU mais de 10 milhões de euros de balanço
Assim, à primeira vista, o NIS2 aplica-se às médias empresas e às grandes empresas. E, deixa de fora as pequenas e micro empresas. Mas haverá excepções. Por exemplo, se uma empresa não atingir os limiares de dimensão, uma autoridade nacional pode exercer a sua prerrogativa de designação, tal como acontece com os critérios sectoriais.
Como posso saber que país tem jurisdição sobre a minha empresa?
A Comissão Europeia afirma: "Regra geral, considera-se que as entidades essenciais e importantes estão sob a jurisdição do Estado-Membro em que estão estabelecidas. Se a entidade estiver estabelecida em mais do que um Estado-Membro, deverá estar sob a jurisdição de cada um desses Estados-Membros".
Existem excepções. Nalguns casos, isso significa considerar o local onde a empresa presta o serviço (por exemplo, fornecedores de serviços DNS). Noutros casos, a chave é onde está o seu estabelecimento principal (por exemplo, fornecedores de serviços de computação em nuvem).
Existem outras excepções às regras?
Naturalmente, existem algumas relacionadas com as regras do sector e da dimensão. Além disso, à medida que os países implementam a diretiva, haverá diferenças de país para país a que se deve prestar atenção à medida que as regras localizadas entram em vigor (todas até 17 de outubro de 2024).
Por exemplo, se não cumprir os requisitos de dimensão, mas for o único prestador de um serviço crítico para a atividade social ou económica num Estado-Membro, poderá ainda assim ter de implementar a NIS2.
Nota: Se trabalha no sector financeiro, provavelmente já conhece a Lei da Resiliência Operacional Digital (DORA). A DORA é um ato legislativo - e não uma diretiva como a NIS2 - pelo que tem precedência sobre a NIS2. Recomendamos que concentre os seus esforços primeiro nessa lei, mas certifique-se de que a verifica quando a NIS2 for transposta para a legislação local pelo seu Estado-Membro da UE.
Não se esqueça também do Cyber Resilience Act (CRA). O CRA estabelece requisitos de cibersegurança para uma série de produtos de hardware e software colocados no mercado da UE. Estes incluem altifalantes inteligentes, jogos, sistemas operativos, etc.
Procura um pouco mais de pormenor?
Aqui está uma óptima visão geral de quem está no âmbito, desenvolvida pelo Centro para a Cibersegurança da Bélgica:
Se os seus clientes estiverem abrangidos, o NIS2 irá provavelmente afectá-lo
Sabia que a NIS2 inclui o efeito de arrastamento de terceiros? Isto significa que, mesmo que não esteja diretamente abrangido pelo âmbito de aplicação, mas os seus clientes estejam, é provável que tenha de cumprir a NIS2.
As empresas que têm de implementar a NIS2 terão de "gerir e avaliar os riscos" associados aos seus "fornecedores terceiros". Isto inclui, por exemplo, a realização de avaliações de segurança regulares, a garantia de que existem medidas de cibersegurança adequadas e a implementação de contratos/acordos que exijam o cumprimento dos requisitos da NIS2.
Portanto, se é uma empresa B2B e pensava que estava fora do âmbito de aplicação devido ao sector e à dimensão, mas os seus clientes estão no âmbito de aplicação do NIS2, deve começar a preparar-se!
Aikido apresenta relatório NIS2
A Aikido Security criou uma funcionalidade de relatório NIS2 disponível na nossa aplicação. Concebemos este relatório para ajudar as empresas que necessitam de cumprir a diretiva.
É provável que seja afetado pelo NIS2?
Saiba em que ponto se encontra a sua aplicação no NIS2.
Embora o nosso relatório não seja exaustivo (e abranja apenas a sua configuração técnica), irá ajudá-lo a começar e a seguir o caminho certo.
Registe-se no Aikido e obtenha o seu relatório NIS2 gratuitamente!
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)