TL;DR

A NIS2 é a nova legislação da UE em matéria de cibersegurança para sectores críticos - âmbito mais vasto, regras mais rigorosas. Exige segurança de base (aplicação de patches, cadeia de abastecimento, controlo de acesso), comunicação rápida de incidentes (24 horas) e responsabilização a nível executivo.

Se é uma entidade "essencial" ou "importante" na UE, a conformidade é inegociável até outubro de 2024. Coimas até 10 milhões de euros ou 2% do volume de negócios global.

Resumo do quadro de resultados da Diretiva NIS2:

• Esforço do programador: Moderado (requer a implementação de controlos técnicos específicos, práticas seguras de SDLC centradas no tratamento de vulnerabilidades e na segurança da cadeia de abastecimento, e apoio à deteção/comunicação rápida de incidentes).
• Custo dos instrumentos: Moderado a elevado (depende da maturidade da base; pode exigir investimento em ferramentas de gestão dos riscos, melhor monitorização/registo, gestão das vulnerabilidades, MFA, encriptação, ferramentas de segurança da cadeia de abastecimento).
• Impacto no mercado: Muito elevado (obrigatório para uma vasta gama de entidades que operam na UE; eleva significativamente a fasquia das expectativas e da aplicação da cibersegurança).
• Flexibilidade: Moderada (impõe medidas de segurança mínimas, mas permite a proporcionalidade com base no risco e na dimensão/criticidade da entidade).
• Intensidade da auditoria: Elevada (as autoridades nacionais irão supervisionar e aplicar; envolve potenciais auditorias, inspecções e provas de conformidade, especialmente para entidades essenciais).

O que é a Diretiva NIS2?

A Diretiva SRI2 (Diretiva (UE) 2022/2555) é uma lei da UE sobre cibersegurança que revoga e substitui a Diretiva relativa à segurança das redes e da informação (SRI) de 2016. O seu objetivo é alcançar um nível comum mais elevado de cibersegurança em todos os Estados-Membros da UE. Aborda as deficiências da primeira Diretiva SRI, alargando o seu âmbito de aplicação, clarificando os requisitos, reforçando as obrigações de segurança e introduzindo medidas de supervisão e execução mais rigorosas.

Aspectos fundamentais da Diretiva NIS2:

• Âmbito alargado: Abrange mais sectores críticos para a economia e a sociedade. Distingue entre:
  
  • Entidades essenciais (Anexo I): Inclui sectores como a energia, os transportes, a banca, as infra-estruturas do mercado financeiro, a saúde, a água potável, as águas residuais, as infra-estruturas digitais (IXP, DNS, registos de TLD, fornecedores de serviços em nuvem, centros de dados, CDN, serviços de confiança), a administração pública e o espaço.
  • Entidades importantes (Anexo II): Inclui serviços postais/correios, gestão de resíduos, produtos químicos, produção/transformação/distribuição de alimentos, indústria transformadora (dispositivos médicos, computadores, eletrónica, maquinaria, veículos), fornecedores digitais (mercados em linha, motores de busca, plataformas de redes sociais) e investigação.
  • Aplica-se geralmente às médias e grandes empresas destes sectores, mas os Estados-Membros podem incluir entidades mais pequenas com perfis de risco de segurança elevados.
• Requisitos de segurança mais rigorosos: Obriga as entidades a aplicar "medidas técnicas, operacionais e organizativas adequadas e proporcionadas" para gerir os riscos de cibersegurança (artigo 21.º). Isto inclui uma base mínima de 10 medidas que abrangem a análise de riscos, o tratamento de incidentes, a continuidade das actividades, a segurança da cadeia de abastecimento, o tratamento/divulgação de vulnerabilidades, os testes, a criptografia/encriptação, a segurança dos recursos humanos/controlo de acesso/gestão de activos e a utilização de MFA/comunicações seguras.
• Responsabilidade da gestão: Responsabilizar explicitamente os órgãos de gestão pela aprovação, supervisão e formação sobre as medidas de gestão dos riscos de cibersegurança. O incumprimento pode levar à responsabilização pessoal da direção.
• Obrigações de comunicação de incidentes: Introduz a comunicação em várias fases para incidentes significativos:
  
  • Aviso prévio de 24 horas à CSIRT (Equipa de Resposta a Incidentes de Segurança Informática) ou à autoridade competente.
  • Notificação de incidentes em 72 horas com uma avaliação inicial.
  • Relatório final no prazo de um mês.
• Segurança da cadeia de abastecimento: Exige que as entidades abordem os riscos de cibersegurança nas suas cadeias de abastecimento e nas relações com fornecedores/prestadores diretos.
• Harmonização e aplicação: Visa uma aplicação mais coerente em todos os Estados-Membros, reforça os poderes de supervisão das autoridades nacionais e introduz coimas administrativas significativas em caso de incumprimento.

Os Estados-Membros devem transpor a NIS2 para a sua legislação nacional até 17 de outubro de 2024.

Porque é que é importante?

A NIS2 representa um importante passo em frente na regulamentação da UE em matéria de cibersegurança:

• Impacto mais vasto: Afecta uma gama muito mais vasta de sectores e empresas que operam na UE, em comparação com a Diretiva SRI original. Muitas empresas de tecnologia (fornecedores de serviços de computação em nuvem, centros de dados, fornecedores digitais) são diretamente abrangidas pelo âmbito de aplicação.
• Base de segurança mais elevada: Obriga a um conjunto mais concreto de medidas mínimas de segurança, elevando a norma de cibersegurança em todos os sectores abrangidos.
• Maior responsabilização: Coloca a responsabilidade direta (e potencial responsabilidade) na gestão da supervisão da cibersegurança.
• Resposta mais rápida a incidentes: Os prazos rigorosos para a apresentação de relatórios obrigam as organizações a recorrer a capacidades de deteção e resposta mais rápidas.
• Foco na cadeia de fornecimento: Reconhece e aborda os riscos significativos provenientes da cadeia de abastecimento, obrigando as empresas a olhar para além do seu próprio perímetro.
• Reforço da aplicação: Coimas significativas e poderes de supervisão significam que o incumprimento tem consequências graves.
• Coerência transfronteiriça: Tem por objetivo reduzir a fragmentação dos requisitos de cibersegurança e da supervisão na UE.

Para as entidades essenciais e importantes, a conformidade com o NIS2 não é opcional; é um requisito legal para operar no mercado da UE.

O que e como implementar (técnica e política)

A aplicação da NIS2 exige uma abordagem estruturada centrada na gestão dos riscos e nas medidas de segurança mínimas obrigatórias (artigo 21.º):

1. Confirmação do âmbito de aplicação: Determinar se a sua organização se enquadra no âmbito das entidades "essenciais" ou "importantes" com base nos critérios de sector e dimensão definidos na diretiva e nas transposições nacionais.
2. Avaliação e políticas de risco (n.º 2-A do artigo 21.º): Efetuar avaliações de risco exaustivas que identifiquem as ameaças às redes e aos sistemas de informação. Desenvolver e aplicar as correspondentes políticas de segurança dos sistemas de informação.
3. Tratamento de incidentes (n.º 2, alínea b), do artigo 21.º): Estabelecer procedimentos para detetar, analisar, comunicar (cumprindo os prazos de 24 horas/72 horas/1 mês) e responder a incidentes de cibersegurança. Exige uma monitorização e um registo sólidos.
4. Continuidade das actividades e gestão de crises (nº 2, alínea c), do artigo 21º): Desenvolver planos de continuidade das actividades (gestão de cópias de segurança, recuperação de desastres) e de gestão de crises para garantir a resiliência operacional durante/após incidentes graves.
5. Segurança da cadeia de abastecimento (n.º 2, alínea d), do artigo 21: Avaliar e tratar os riscos relacionados com os fornecedores diretos e os prestadores de serviços (incluindo os PSC). Aplicar requisitos de segurança nos contratos com os fornecedores. Efetuar as devidas diligências.
6. Segurança do sistema e tratamento de vulnerabilidades (n.o 2, alínea e), do artigo 21.o ): Implementar a segurança na aquisição, desenvolvimento e manutenção de redes/sistemas de informação. Estabelecer processos de tratamento e divulgação de vulnerabilidades (por exemplo, utilização de scanners de vulnerabilidades, gestão de correcções). Isto sobrepõe-se fortemente às práticas seguras do SDLC (como o NIST SSDF).
7. Teste de eficácia (n.º 2, alínea f), do artigo 21.º): Desenvolver políticas e procedimentos para avaliar regularmente a eficácia das medidas de gestão dos riscos de cibersegurança implementadas (por exemplo, através de auditorias internas/externas, testes de penetração).
8. Ciber-higiene e formação (n.º 2, alínea g), do artigo 21: Aplicar práticas básicas de ciber-higiene (palavras-passe fortes, aplicação de patches) e dar formação regular de sensibilização para a cibersegurança a todo o pessoal.
9. Criptografia e cifragem (Art. 21(2h)): Definir e aplicar políticas relativas à utilização de criptografia e cifragem sempre que adequado (por exemplo, para dados em repouso e em trânsito).
10. Segurança dos RH, controlo do acesso, gestão de activos (n.º 2, alínea i), do artigo 21: Aplicar procedimentos de segurança para o pessoal (verificações de antecedentes, se necessário), políticas sólidas de controlo do acesso (privilégio mínimo, RBAC) e manter um inventário/gerir os activos de forma segura.
11. Autenticação multi-fator (MFA) e comunicações seguras (Art. 21(2j)): Utilizar a autenticação multifactor ou soluções de autenticação contínua, comunicações seguras de voz/vídeo/texto e sistemas seguros de comunicação de emergência, se for caso disso.

A implementação requer uma combinação de controlos técnicos robustos (firewalls, IDS/IPS, EDR, SIEM, MFA, encriptação, scanners de vulnerabilidades, ferramentas de gestão de patches) e políticas, procedimentos e programas de formação bem documentados.

Erros comuns a evitar

As organizações que se estão a preparar para o NIS2 devem evitar estas armadilhas:

1. Subestimação do âmbito: Assumir incorretamente que a NIS2 não se aplica devido ao sector ou à dimensão, ou não identificar todas as unidades de negócio/sistemas relevantes no âmbito do mesmo.
2. Ignorar o risco da cadeia de abastecimento: Concentrar-se apenas na segurança interna e negligenciar a necessidade de avaliar e gerir os riscos dos fornecedores diretos.
3. Capacidade insuficiente de comunicação de incidentes: Falta de monitorização, deteção, análise e processos internos para cumprir os rigorosos prazos de notificação de 24/72 horas.
4. Falta de adesão/supervisão da gerência: Tratar a NIS2 apenas como uma questão de TI/segurança sem envolver a direção na aprovação de políticas, na supervisão da implementação e na formação necessária.
5. Concentrar-se apenas na tecnologia: Negligenciar os aspectos cruciais do processo, da política, da formação e da governação exigidos pela diretiva.
6. Documentação inadequada: Não documentar adequadamente as avaliações de risco, as políticas, os procedimentos, o tratamento de incidentes e as provas da aplicação dos controlos para eventual supervisão pelas autoridades nacionais.
7. Esperar demasiado tempo: Atrasar a preparação até ao prazo de outubro de 2024, subestimando o tempo necessário para a análise de lacunas, a implementação e as alterações de processos (frequentemente estimadas em cerca de 12 meses).

O que os auditores/autoridades podem perguntar (foco no desenvolvedor)

Embora as auditorias formais ainda não estejam definidas como o SOC 2, as autoridades de controlo nacionais terão poderes para verificar a conformidade. As questões que poderão ter impacto nas equipas de desenvolvimento poderão estar relacionadas com:

• (n.º 2, alínea e), do artigo 21.º) Tratamento de vulnerabilidades: "Qual é o seu processo de identificação, avaliação e correção de vulnerabilidades descobertas no seu software ou nas suas dependências? Apresente provas da aplicação recente de correcções."
• (nº 2, alínea e), do artigo 21º) Desenvolvimento seguro: "Como é que garante que a segurança é tida em conta durante o ciclo de vida do desenvolvimento do software? Pode apresentar provas de práticas de codificação seguras ou de testes de segurança (SAST/SCA)?"
• (Art. 21.º, n.º 2, alínea d)) Cadeia de fornecimento (dependências): "Como avalia a segurança das bibliotecas de código aberto ou dos componentes de terceiros utilizados no seu software?"
• (n.º 2, alínea b), do artigo 21.º) Apoio ao tratamento de incidentes: "Como é que o registo da sua aplicação apoia a deteção e análise de incidentes de segurança?"
• (n.º 2, alínea h), do artigo 21.º) Criptografia: "Onde é utilizada a cifragem na sua aplicação (dados em trânsito, dados em repouso)? Como são geridas as chaves?"
• (nº 2, alínea i), do artigo 21º) Controlo do acesso: "Como é controlado o acesso aos ambientes de desenvolvimento, ao código-fonte e às condutas de implantação?"
• (nº 2, alínea j), do artigo 21º) Autenticação: "A autenticação multifator é utilizada para o acesso dos programadores a sistemas críticos ou repositórios de código?"

As autoridades procurarão provas de processos estabelecidos, controlos técnicos e documentação que demonstre a adesão às medidas de segurança obrigatórias.

Ganhos rápidos para as equipas de desenvolvimento

As equipas de desenvolvimento podem contribuir para a preparação para o NIS2 concentrando-se nos fundamentos:

1. Dar prioridade à gestão de vulnerabilidades: Implementar uma análise SCA e SAST robusta nos pipelines de CI/CD e estabelecer SLAs claros para a correção de vulnerabilidades críticas/elevadas. (Alinha-se com o artigo. 21(2e))
2. Reforçar a segurança CI/CD: Acesso seguro ao pipeline, gestão de secrets de utilização e verificação de artefactos de construção. (Suporta várias medidas do Art. 21º)
3. Melhorar o registo: Assegurar que as aplicações geram registos de eventos de segurança significativos e que os transmitem centralmente para apoiar a deteção de incidentes. (Alinhado com o Art. 21(2b))
4. Impor MFA: Proteger o acesso do programador a repositórios de código, consolas de nuvem e sistemas CI/CD com MFA. (Alinha-se com o Art. 21(2j))
5. Rever as dependências: Rever e gerir ativamente a postura de segurança de bibliotecas de terceiros. (Alinha-se com o Art. 21(2d), 21(2e))
6. Formação básica em codificação segura: Atualizar os conhecimentos da equipa sobre vulnerabilidades comuns (OWASP Top 10) e práticas de codificação segura. (Alinha-se com o Art. 21(2g))

Ignorar isto e... (Consequências do incumprimento)

O incumprimento da NIS2 implica sanções significativas aplicadas pelas autoridades nacionais:

• Multas pesadas:
  
  • Entidades essenciais: Até 10 milhões de euros ou 2% do volume de negócios anual total a nível mundial do exercício financeiro anterior, consoante o montante mais elevado.
  • Entidades importantes: Até 7 milhões de euros ou 1,4% do volume de negócios anual total a nível mundial do exercício financeiro anterior, consoante o montante mais elevado.
• Ordens de correção: As autoridades podem emitir instruções vinculativas para corrigir deficiências.
• Auditorias e inspecções: As organizações não conformes enfrentam um maior escrutínio e auditorias de segurança obrigatórias.
• Suspensão de certificações/autorizações: Em alguns casos, as certificações ou autorizações de funcionamento relevantes podem ser suspensas.
• Divulgação pública: As autoridades podem nomear publicamente as organizações não conformes.
• Responsabilidade da direção: Os membros do órgão de gestão podem ser considerados pessoalmente responsáveis e, potencialmente, ser temporariamente proibidos de exercer funções de gestão por negligência grave.
• Danos à reputação: As coimas e a divulgação pública prejudicam gravemente a confiança dos clientes e a reputação da marca.

FAQ

Quem tem de cumprir a Diretiva NIS2?

Organizações de média e grande dimensão que operam na UE em sectores específicos enumerados no Anexo I ("Entidades Essenciais") e no Anexo II ("Entidades Importantes"). Isto inclui áreas como a energia, os transportes, a saúde, as infra-estruturas digitais (fornecedores de serviços de computação em nuvem, centros de dados, DNS, etc.), os fornecedores digitais (mercados, motores de busca, redes sociais), a indústria transformadora, os serviços postais, entre outros. Para mais pormenores, consulte a diretiva e as transposições nacionais.

Qual é o prazo para a conformidade com a NIS2?

Os Estados-Membros da UE devem adotar e publicar as medidas necessárias para cumprir a Diretiva NIS2 até 17 de outubro de 2024. As organizações abrangidas pelo âmbito de aplicação têm de estar em conformidade até à entrada em vigor da legislação nacional.

Qual é a principal diferença entre a NIS1 e a NIS2?

O NIS2 alarga significativamente o âmbito de aplicação (mais sectores, obrigatório para as entidades de média/grande dimensão), impõe requisitos de segurança e de informação mais rigorosos (incluindo medidas mínimas específicas e prazos apertados), reforça a supervisão e a aplicação (coimas mais elevadas, responsabilidade da gestão) e visa uma melhor harmonização entre os Estados-Membros.

Como é que a NIS2 se relaciona com o RGPD?

São complementares. O RGPD centra-se na proteção dos dados pessoais. A NIS2 centra-se na cibersegurança das redes e dos sistemas de informação utilizados para prestar serviços essenciais/importantes (que frequentemente tratam dados pessoais). O cumprimento dos requisitos de segurança da NIS2 ajuda a proteger os sistemas que contêm dados abrangidos pelo RGPD. A comunicação de violações NIS2 centra-se na interrupção do serviço, enquanto o RGPD se centra nos riscos para os indivíduos decorrentes de violações de dados pessoais.

Como é que o NIS2 se relaciona com o DORA ou com o Cyber Resilience Act (CRA)?

Fazem parte da estratégia digital mais vasta da UE, muitas vezes sobrepondo-se, mas com objectivos diferentes:

• NIS2: Base de referência alargada em matéria de cibersegurança para os sectores essenciais/importantes.
• DORA: Requisitos específicos de resiliência operacional digital para o sector financeiro. O DORA é lex specialis, o que significa que as entidades financeiras seguem o DORA sempre que este se sobrepõe ao NIS2.
• CRA: Centra-se nos requisitos de cibersegurança para produtos com elementos digitais (hardware/software) colocados no mercado da UE ao longo do seu ciclo de vida. O seu objetivo é trabalhar em conjunto para criar camadas de segurança.

Existe uma certificação NIS2?

A diretiva incentiva a utilização de sistemas europeus de certificação da cibersegurança (com base na Lei da Cibersegurança da UE) para demonstrar a conformidade, mas não impõe um "certificado NIS2" específico. A conformidade será supervisionada e aplicada pelas autoridades nacionais competentes.

O que é que constitui um "incidente significativo" que deve ser comunicado ao abrigo da NIS2?

Um incidente é considerado significativo se

a) cause ou seja capaz de causar graves perturbações operacionais ou perdas financeiras para a entidade em causa;

b) Afecte ou seja suscetível de afetar outras pessoas singulares ou colectivas, causando-lhes danos materiais ou morais consideráveis.

As autoridades nacionais fornecerão mais orientações.