Esta é uma pergunta que recebemos muito de nossos clientes. A redação da Diretiva NIS2 nem sempre é muito explícita. A NIS2 é uma estrutura que os países precisam implementar. Como é uma Diretiva e não um Regulamento, cada país da UE tem autonomia para implementá-la sob sua própria interpretação.
A linguagem da NIS2 é abrangente, tornando-a um desafio para entender, especialmente até que os países publiquem suas especificidades. Mas, responderemos da forma mais clara possível quais empresas a NIS2 afeta atualmente.
Aikidopara verificar rapidamente se está dentro do escopo
Gostamos que as coisas sejam práticas e diretas. Então, para ajudar a facilitar, aqui está nosso rápido autocheck de 5 passos para ver se você está no escopo da NIS2:
- Sua empresa atua em um setor 'essencial' ou 'importante'?
- Verifique se você faz parte de uma subindústria.
- Você se enquadra nos requisitos de tamanho?
- Se a resposta for 'não' para 1, 2 e 3, verifique novamente se você não é uma exceção (dica profissional: talvez você precise buscar aconselhamento jurídico para estar seguro).
- E, se a resposta for 'não' para tudo o que foi dito acima, verifique se seus clientes estão ou não no escopo.
A quem a NIS2 se aplica?
Existem dois parâmetros chave para verificar se a NIS2 impacta sua empresa:
- Setor: Se você faz parte de um setor que é 'essencial' ou 'importante'.
- Tamanho: Se o tamanho da sua empresa atende a certos limites 'essenciais' ou 'importantes', ou seja, acima de X número de funcionários, €X de receita ou €X de balanço patrimonial.
Vamos analisar ambos com mais profundidade.
A quais setores a NIS2 se aplica?
Tudo começa aqui. A NIS2 visa garantir a segurança de setores essenciais e importantes. A NIS2 expande o número de setores que eram o foco da primeira Diretiva NIS. Ela diferencia entre essencial e importante, mas ambas as categorias estão incluídas em seu escopo.
Setores essenciais: energia, água potável, água residual, transporte, bancário, mercados financeiros, gestão de serviços de TIC, administração pública, saúde e espaço.
Indústrias importantes: serviços postais e de courier, gestão de resíduos, produtos químicos, alimentos, manufatura (por exemplo, dispositivos médicos, computadores/eletrônicos, máquinas/equipamentos, veículos motorizados, reboques/semirreboques/outros equipamentos de transporte), provedores digitais (por exemplo, marketplaces online) e organizações de pesquisa.
Alguns setores estão instantaneamente no escopo, não importa o quê. Alguns exemplos incluem registradores de nomes de domínio, provedores de serviços de confiança, provedores de serviços DNS, registros de nomes TLD e provedores de telecomunicações.
Além disso, as autoridades nacionais terão o poder de designar empresas individuais que não se enquadram perfeitamente nas categorias de setores essenciais ou importantes. Elas podem fazer isso se considerarem que a empresa fornece um serviço exclusivo, tem um impacto significativo e/ou é essencial para a sociedade.
Critérios de tamanho de empresa NIS2
A NIS2 possui regras de limite de tamanho. Isso significa que você precisará cumprir a Diretiva se ultrapassar determinados limites.
Quais são as empresas essenciais e importantes para os critérios de tamanho?
- Empresas essenciais: 250+ funcionários OU €50m+ de faturamento anual OU €43m+ de balanço patrimonial
Nota: Uma empresa essencial que não atende aos limites de tamanho essenciais (acima), mas ainda atende aos limites de tamanho de empresas importantes (abaixo), é considerada uma empresa importante. E, portanto, ainda está no escopo. - Empresas importantes: 50+ funcionários OU €10m+ de faturamento anual OU €10m+ de balanço patrimonial
Assim, superficialmente, a NIS2 se aplica a médias empresas e grandes corporações. E, exclui pequenas e microempresas. Mas, haverá exceções. Por exemplo, se uma empresa não atende aos limites de tamanho, uma autoridade nacional pode exercer sua prerrogativa de designação, assim como nos critérios de setor.
Como sei qual país tem jurisdição sobre meu negócio?
A Comissão Europeia afirma: 'Como regra, entidades essenciais e importantes são consideradas sob a jurisdição do Estado-Membro onde estão estabelecidas. Se a entidade estiver estabelecida em mais de um Estado-Membro, ela deve cair sob a jurisdição de cada um desses Estados-Membros.'
Existem exceções. Em alguns casos, isso significa considerar onde a empresa fornece o serviço (por exemplo, provedores de serviços DNS). Em outros casos, a chave é onde está seu principal estabelecimento (por exemplo, provedores de serviços de Cloud computing).
Existem outras exceções às regras?
Claro, existem algumas regras relacionadas à indústria e ao porte. Além disso, à medida que os países implementarem a diretiva, haverá diferenças entre países a serem observadas, pois as regras localizadas entrarão em vigor (todas até 17 de outubro de 2024).
Por exemplo, se você não atender aos requisitos de tamanho, MAS for o único provedor de um serviço crítico para a atividade social ou econômica em um estado membro, você ainda pode precisar implementar o NIS2.
Nota: Se você atua na indústria financeira, provavelmente já está familiarizado com o Digital Operational Resilience Act (DORA). O DORA é uma legislação – não uma diretiva como a NIS2 – portanto, tem precedência sobre a NIS2. Recomendamos focar seus esforços lá primeiro, mas certifique-se de verificar quando a NIS2 for transposta para a legislação local pelo seu estado membro da UE.
Não se esqueça também da Lei de Ciber-Resiliência CRA). A CRA estabelece requisitos de segurança cibernética para uma variedade de produtos de hardware e software colocados no mercado da UE. Isso inclui alto-falantes inteligentes, jogos, sistemas operacionais, etc.
Precisa de mais detalhes?
Aqui está uma ótima visão geral de quem está no escopo, desenvolvida pelo Centro de Cibersegurança da Bélgica:
Se seus clientes estiverem no escopo, a NIS2 provavelmente o impactará
Você sabia que a NIS2 inclui o efeito cascata de terceiros? Isso significa que, mesmo que você não esteja diretamente no escopo, mas seus clientes sim, você provavelmente precisará cumprir a NIS2.
Empresas que devem implementar a NIS2 precisarão ‘gerenciar e avaliar os riscos’ associados aos seus ‘provedores terceirizados’. Isso inclui, por exemplo, a realização de avaliações de segurança regulares, garantindo que você tenha medidas de cibersegurança adequadas em vigor, e a implementação de contratos/acordos que exijam a conformidade com os requisitos da NIS2.
Então, se você é uma empresa B2B e pensou que estava fora do escopo devido ao setor e porte, mas seus clientes estão no escopo da NIS2, você deve começar a se preparar!
Aikido relatório NIS2
Aikido criou um recurso de relatório NIS2 disponível na nossa aplicação. Concebemos este relatório para ajudar as empresas que precisam de cumprir a diretiva.
Você provavelmente é afetado pela NIS2?
Descubra sua situação em relação à NIS2 com sua aplicação.
Embora nosso relatório não seja exaustivo (e cubra apenas sua configuração técnica), ele o ajudará a começar e a seguir o caminho certo.
Inscreva-se no Aikido receba o seu relatório NIS2 gratuitamente!
Proteja seu software agora
.jpg)
.avif)
