NIS2: riscos e oportunidades para as empresas

Introdução e referências normativas

NIS é uma sigla que significa "Segurança de Redes e Informações".

Com essa sigla, a Comunidade Europeia pretendia designar o esforço legislativo para definir uma abordagem padronizada em matéria de segurança cibernética em todos os Estados-Membros da UE.

Em 2018, foi aprovado o primeiro regulamento europeu denominado NIS1 (Diretiva da UE 2016/1148), transposto para o ordenamento jurídico nacional pelo Decreto Legislativo n.º 65, de 18 de maio de 2018.

O Decreto NIS também previu a adoção de uma “estratégia nacional de segurança cibernética”, criando a CSIRT (Equipe de Resposta a Incidentes de Segurança Informática) italiana, com atribuições técnicas relacionadas à prevenção, resposta e monitoramento de incidentes cibernéticos, em colaboração com as CSIRTs europeias.

O NIS1 foi posteriormente substituído pelo NIS2 (Diretiva da UE 2022/2555), transposto para o direito nacional pelo Decreto Legislativo n.º 138, de 4 de setembro de 2024.

A NIS 2 visa superar as limitações da NIS 1, que deixou margem de manobra excessiva aos Estados-Membros durante a transposição, o que resultou na incapacidade de alcançar o objetivo de harmonização, além de ter excluído certas categorias de entidades que deveriam ter sido regulamentadas devido à sua importância para o mercado europeu.

Além disso, a NIS2 foi introduzida para responder ao aumento do ritmo de digitalização que tem ocorrido em todos os Estados-Membros e que foi acelerado pela pandemia; o que ampliou a superfície de exposição a ataques cibernéticos sem um aumento correspondente nos sistemas de segurança.

Por fim, outro objetivo da NIS2 é obrigar os operadores de serviços essenciais e importantes, bem como os prestadores de serviços digitais, a adotar medidas de segurança adequadas e a comunicar prontamente os incidentes às autoridades competentes e aos usuários dos seus serviços.

A nova diretiva foi harmonizada com outras regulamentações setoriais específicas da União Europeia, incluindo:

- a Diretiva sobre Resiliência Operacional Digital para o Setor Financeiro (DORA). Trata-se do regulamento aprovado em 10 de novembro de 2022 com o objetivo de reforçar as medidas de segurança em prol da resiliência e da cibersegurança do setor financeiro, por meio da implementação de uma série de medidas de segurança obrigatórias que garantam a integridade da informação e a cibersegurança dos serviços;

- a Diretiva relativa à resiliência das entidades críticas (CER); destinada a garantir clareza jurídica e coerência entre as diversas diretivas.

As empresas em questão foram divididas em:

• Entidades essenciais (energia; transportes; saúde; abastecimento de água; administração pública; finanças; espaço; infraestrutura digital)
• Entidades importantes (pesquisa; produtos químicos; alimentos; produção industrial; provedores digitais; serviços postais; resíduos)
• Órgãos públicos: Governo central (órgãos constitucionais e de relevância constitucional; Gabinete do Primeiro-Ministro e ministérios; agências tributárias; autoridades independent ) | Governo regional (regiões e províncias autônomas) | Governo local (cidades metropolitanas; municípios com mais de 100.000 habitantes; capitais regionais; autoridades locais de saúde) | Outras entidades públicas (órgãos reguladores da economia; prestadores de serviços econômicos; associações; prestadores de serviços de assistência social, recreativos e culturais; órgãos e instituições de pesquisa; institutos zooprofiláticos experimentais) | Outros tipos de entidades (entidades prestadoras de serviços de transporte público local; instituições de ensino que realizam atividades de pesquisa; entidades que realizam atividades de interesse cultural; empresas internas; empresas participadas e empresas de controlo público)
• Fornecedores: as organizações que prestam serviços essenciais a entidades afetadas pela NIS2 devem reforçar sua segurança digital, mesmo que não estejam explicitamente incluídas nos sectors obrigatórios.

Conteúdo do NIS2

As obrigações gerais inerentes ao conteúdo da NIS2 podem ser resumidas com base em quatro pilares principais:

Governança: A direção deve aprovar as medidas de gestão de riscos adotadas pela organização e avaliar sua eficácia ao longo do tempo: participar regularmente de treinamentos sobre questões de segurança cibernética e oferecer treinamentos semelhantes aos funcionários.

Gestão de riscos: a organização deve avaliar os riscos de segurança e de rede e adotar medidas técnicas, operacionais e organizacionais adequadas e proporcionadas para prevenir ou minimizar o impacto de incidentes sobre os destinatários de seus serviços.

Continuidade dos negócios: a organização deve adotar soluções para garantir a continuidade dos negócios (por exemplo, backups, plano de recuperação de desastres e procedimento de gestão de crises), com o objetivo de minimizar o impacto de quaisquer interrupções nos serviços prestados.

Cadeia de suprimentos: a empresa deve avaliar as vulnerabilidades de cada fornecedor direto, bem como a qualidade geral dos produtos e das práticas de segurança cibernética de seus fornecedores. A avaliação abrangerá fornecedores de TIC e outros fornecedores críticos que possam causar interrupções no serviço pelo qual a organização foi incluída no perímetro da NIS2.

As empresas serão, portanto, obrigadas a medir e relatar:

• Análise de riscos e políticas de segurança de sistemas de informação
• Procedimentos de gerenciamento de incidentes
• Soluções de continuidade de negócios (backup e recuperação de desastres) e procedimentos de gestão de crises e comunicação
• Políticas de segurança da cadeia de suprimentos (fornecedores e prestadores de serviços)
• Segurança na aquisição, desenvolvimento, manutenção e gestão de vulnerabilidades de sistemas de informação e redes

Cronograma do NIS2

As empresas e as administrações públicas terão de realizar uma avaliação para determinar se estão ou não sujeitas às obrigações da Diretiva NIS2.

De 1º de dezembro de 2024 a 28 de fevereiro de 2025, as empresas deverão ter se autenticado no Portal da ACN (Agência Nacional de Segurança Cibernética) utilizando suas credenciais SPID. Durante esse período, os usuários designados como /Serviço de Registro.

Em particular, as empresas são obrigadas a:

• Indique se a entidade faz parte de um grupo de empresas e forneça o código fiscal da empresa controladora, se for o caso.
  
• Enumere as empresas relacionadas e indique seus códigos de identificação fiscal.
  
• Indique os códigos ATECO que descrevem a atividade da entidade.
• Indique os regulamentos setoriais da União Europeia pertinentes.
• Forneça os dados relativos ao faturamento, ao balanço patrimonial e ao número de funcionários para determinar a categoria da empresa.
• Enumere os tipos de entidades às quais a empresa pertence.

Até 17 de janeiro de 2025, os operadores de registros de nomes de domínio de nível superior; os provedores de serviços de sistema de nomes de domínio e de registro de nomes de domínio; os provedores de computação em nuvem; os data centers; os provedores de redes de distribuição de conteúdo; os provedores de serviços gerenciados; os provedores de serviços de segurança gerenciados; bem como os provedores de mercados online; os provedores de mecanismos de busca online e os provedores de plataformas de redes sociais deverão ter se registrado na plataforma.

Até 31 de março de 2025, a ACN elaborou uma lista de entidades essenciais e importantes com base nos registros recebidos por meio da plataforma.

Entre 1º de abril de 2025 e 15 de abril de 2025, a ACN notificou as entidades em questão informando se elas haviam sido incluídas na lista de entidades essenciais ou importantes.

Até 15 de abril de 2025, as entidades que receberam a notificação eram obrigadas a designar, por meio de ato específico, uma entidade responsável pelo cumprimento das obrigações previstas no decreto.

A partir de então, as entidades abrangidas pela diretiva terão de cumprir novos requisitos:

• até 1º de janeiro de 2026; obrigação de notificação de incidentes
• até 1º de outubro de 2026; as obrigações relativas aos órgãos administrativos e às medidas de segurança devem ser cumpridas

A cada ano, a ACN atualizará a lista das entidades envolvidas. As empresas e as administrações públicas terão a oportunidade de se inscrever anualmente, entre janeiro e fevereiro, caso considerem que fazem parte das entidades em questão.

Riscos para as empresas, mas também oportunidades

Após a entrada em vigor da NIS2 e a identificação dos operadores envolvidos, as autoridades competentes poderão realizar atividades de vigilância e inspeções aleatórias para verificar o cumprimento da diretiva por parte desses operadores. Em caso de incumprimento, serão aplicadas sanções às empresas envolvidas.

As multas são muito severas: para grandes empresas, até 10 milhões de euros ou 2% do faturamento global; para médias empresas, até 7 milhões de euros ou 1,4% do faturamento global.

Embora o cumprimento da regulamentação exija um esforço e um investimento evidentes por parte das empresas, é preciso reconhecer que a própria regulamentação visa oferecer uma solução substancial para o problema dos ataques cibernéticos, aos quais as empresas italianas ainda são muito vulneráveis e que muitas vezes tendem a ocultar por questões de imagem. Em termos econômicos, o prejuízo médio estimado para cada ataque cibernético individual é superior a 2 milhões de euros, independentemente do faturamento da empresa.

Como a ERA pode ajudar na gestão da conformidade com a NIS2

Apesar de tudo o que foi exposto acima — o que poderia sugerir que as empresas estão extremamente interessadas e envolvidas em questões de segurança cibernética —, não é incomum, especialmente entre as pequenas e médias empresas, encontrar empresas que pouco ou nada fizeram about questões e que, atualmente, são incapazes de definir sua posição em relação aos riscos aos quais estão expostas, tanto do ponto de vista técnico quanto no que diz respeito ao cumprimento das diversas regulamentações existentes.

Algumas empresas abordam a questão da segurança cibernética por meio de coberturas de seguro. No entanto, as seguradoras costumam relutar em oferecer esse tipo de proteção a empresas que nunca tomaram medidas concretas na esfera cibernética. Isso ocorre porque não existe um método confiável para estimar com precisão os danos causados por um ataque cibernético. Como resultado, os “pacotes NIS2” concentram-se em serviços de avaliação de riscos cibernéticos, mas deixam a cargo das empresas a adoção das medidas necessárias para sanar quaisquer lacunas. A ERA pode oferecer um serviço mais abrangente, contando com uma rede de fornecedores altamente qualificados em condições comerciais muito competitivas.

Mais especificamente, o apoio da ERA consiste em:

• Uma avaliação da estrutura organizacional e técnica da empresa; com o auxílio de questionários de autoavaliação que utilizam indicadores predefinidos;
• Cursos de sensibilização e capacitação; incluindo cursos básicos para todo o pessoal e módulos avançados para a gerência de nível médio e superior; em conformidade com as diretrizes da NIS2;
• Testes específicos e altamente qualificados de análise de vulnerabilidades; tratamento contra phishing e avaliação de riscos de ransomware;
• Apoio de consultores especializados durante a fase de correção após a avaliação;
• Apoio especializado de consultores dedicados para orientar decisões estratégicas na área da segurança cibernética.

Nossa solução inclui a análise da conformidade com a regulamentação NIS2, o que é certamente a preocupação mais urgente; mas também pode acompanhar o cliente na gestão do projeto da fase de correção, ou seja, a fase em que o cliente deve corrigir as diversas “falhas” identificadas no processo de diagnóstico; e é nessa fase que as dificuldades de algumas empresas se tornam mais evidentes, tanto em termos de competências internas quanto de disponibilidade de tempo e recursos.